dataKEKS 11 Geschrieben 11. Juli Melden Geschrieben 11. Juli Hallo Freunde der Microsoft Welt, ich verzweifle gerade an unserem Management Server - er läuft im Schnitt etwa einmal die Woche auf 100% CPU Last, Auslöser Spooler.exe. Eckdaten: - Windows Server 2022 - kein DC - UniFi Manager, Axis Camera Station etc - Drucker von Develop, Epson, HP, und Lexmark werden über ihn gespoolt Wir können bislang nicht eingrenzen woher das kommt, es passiert sowohl innerhalb als auch außerhalb der Schulzeiten, sprich egal ob die Geräte an sein müssten oder nicht, ob gedruckt wird oder nicht - einfach null Ansatz. Durch die bunte Mischung an Aufgaben ist es leider leichter gesagt als getan die Maschine komplett neu aufzusetzen drum würden wir schon gerne versuchen der Ursache auf den Grund zu gehen - nur wie? Dank Monitoring mit Zabbix wissen wir, das die CPU Last gestern bis etwa 19:30 Uhr komplett friedlich war, dann aber sich stetig gesteigert hat und heute morgen war mit Dienstneustart der Spuck auch wieder vorbei, siehe Anlage. Die andere Spitze kommt durch die Datensicherung und erscheint damit in der Nacht jedes Werktags, somit ist das in Ordnung. Was ich schon gecheckt habe ist die Ereignisanzeige, unter den Drucker- und Dokumentdiensten ist die letzte Meldung vom 23. April 2025 und somit auch nicht zielführend Wenn euch nichts anderes einfällt würde ich alle Drucker Schritt für Schritt auf unseren zweiten Management Server auslagern und auf dem problematischen löschen, aber es wäre ja schon cool dem Problem auf den Grund gehen zu können.... Grüße aus BaWü Norbert Zitieren
cj_berlin 1.477 Geschrieben 11. Juli Melden Geschrieben 11. Juli Moin, habt ihr schon versucht, mit Treiberisolation herumzuspielen? Manchmal kann das helfen. Was auch helfen kann, ist das Rendering auf die Clients zu verschieben (da gibt es Gruppenrichtlinien für). Natürlich nur, wenn sie das können. Zitieren
dataKEKS 11 Geschrieben 11. Juli Autor Melden Geschrieben 11. Juli Haben wir noch nie gemacht, lese mich da gerade mal ein. Hast Du damit gute Erfahrungen? Zitieren
cj_berlin 1.477 Geschrieben 11. Juli Melden Geschrieben 11. Juli Sowas ist in der Regel entweder wegen blöder Treiber (da hilft Isolation) oder wegen blöder Druckjobs (da *kann* das Verlegen auf den Client helfen)... Aber manchmal sind Treiber so schlecht, dass da gar nichts hilft als einen generischen zu nehmen und auf irgendwelche fortschrittlichen Features zu verzichten. Spooler Logging hochsetzen: Two Minute Drill: Enabling Print Queue Logging | Microsoft Community Hub Zitieren
Weingeist 176 Geschrieben 11. Juli Melden Geschrieben 11. Juli Häufigste Ärger-Ursache seit MS-Security-Hardening: Verbinden mit Printserver-Name statt Print-Server FQDN. Das prüfe ich immer als erstes da alles an Fehlerbilder möglich ist. Dann würde ich noch das NTLM-Logging sowie Firewall-Logging auf Droped Pakete aktivieren sofern nicht bereits gemacht. Wenn z.B. NTLM systemweit deaktiviert wird, dann versuchen die Drucker sich nach Ablauf des Kerberos Tickets des Users sich permanent per NTLM zu verbinden. Was dann so halb funktioniert (aber nicht sollte) oder eben auch nicht (random). Das ist vor allem bei den Protected Users nach ~3h der Fall. Wenn das viele machen, könnte ich mir schon einen Anstieg der CPU-Last vorstellen. Ansonsten der beste Tipp den ich Dir punkto Drucker geben kann: Ausschliesslich die teure(re)n Business-Geräte der grossen Hersteller verwenden. Da passt auch das Treiberpaket inkl. Updates über viele Jahre. Dann: Printserver immer isoliert betreiben ohne anderen Krams. (einfache Rollbacks). Zitieren
dataKEKS 11 Geschrieben 14. Juli Autor Melden Geschrieben 14. Juli Heute Nacht war es mal wieder so weit: 100% CPU Last.... Also war in diesem die Treiber Isolation leider noch nicht die Lösung, also weiter suchen, denn von alten, nicht mehr benötigten Treibern habe ich den Server bereits befreit und jetzt im Schuljahr (hier an BaWü haben wir noch bis Ende des Monats Schule) darf ich die Treiber nicht aktualisieren... Gruß Norbert Zitieren
zahni 586 Geschrieben 14. Juli Melden Geschrieben 14. Juli Wenn man den Zustand hat,, kann man mit der Process Explorer den zuständigen Thread ermitteln, die CPU-Last verursacht. Wenn das nicht gerade eine OS-Thread ist, kann da Rückschlüsse auf den zuständigen Treiber finden. Ich könnte mir z.B. vorstellen, dass irgendein Consumer-Treiber eine interne Update- oder nach-Hause-Telefonier-Funktion hat und einfach seinen C&C-Server nicht erreichen kann. Wir hatten früher von Mutterkonzern DNS-Auflösung für alle Internetadresse, ohne dass die Server eine Verbindung herstellen konnten. Das kann zu Hängern führen, weil Verbindungsversuche in einen Timeout laufen.... https://learn.microsoft.com/de-de/sysinternals/downloads/process-explorer Zitieren
daabm 1.409 Geschrieben 15. Juli Melden Geschrieben 15. Juli (bearbeitet) Dachte grad auch an Procexp - vielleicht mit konfigurierten Symbols. Aber alleine die DLL-Namen geben ja oft schon Rückschlüsse auf den Verursacher bearbeitet 15. Juli von daabm 1 Zitieren
dataKEKS 11 Geschrieben 26. Juli Autor Melden Geschrieben 26. Juli Also außer der der Spooler mir unverständlicher Weise Verbindungen zu einem unseren Terminalserver hat (auf dem bis zu meiner Anmeldung niemand angemeldet war) habe ich noch keine Erleuchtung finden können :-( Zitieren
zahni 586 Geschrieben Montag um 09:08 Melden Geschrieben Montag um 09:08 (bearbeitet) An dieser Stelle dann auf Properties und dann auf "Threads" klicken. Welcher Thread macht die Auslastung? PS: Und man dem Thread dann mal den Stack anschauen, bearbeitet Montag um 09:10 von zahni Zitieren
dataKEKS 11 Geschrieben Montag um 09:38 Autor Melden Geschrieben Montag um 09:38 Da hatte ich eigentlich nachgesehen und nichts entdeckt, aber da es sicher nicht lange auf sich warten lässt checke ich das die Woche noch einmal sowie der Fehler kommt.... Update folgt Norbert Zitieren
Weingeist 176 Geschrieben Gestern um 12:54 Melden Geschrieben Gestern um 12:54 Die RAM-Auslastung ist für einen Spooler der keine Druckaufträge haben soll, auch sehr hoch. Also irgendwas macht das Teil. Hast wie vorschgeschlagen mal die Firewall-Logs geprüft? Also von dem Terminalserver und diesem Server? Der Server scheint allerhand sonstige Aufgaben zu haben ausser Printserver zu sein. Beim Printserver ist das äusserst unvorteilhaft weil nicht so einfach Tests mit Rollback gemacht werden können. Vielleicht generiert ja eine der Aufgaben ne Menge PDF's, Reports oder ähnliches welche die Spooler Engine benötigt. Am ehesten tippe ich aber auf sehr viel falsche Verbindungen (nicht FQDN) oder grottige Treiber. Malware natürlich auch immer möglich. Zitieren
MurdocX 984 Geschrieben Gestern um 17:03 Melden Geschrieben Gestern um 17:03 Übringens.. Das selbe Thema hatte ich gerade erst gestern. Den Treiber auf "shared" alias "freigegeben" gesetzt und Ruhe war - bisher - im Karton. Zitieren
dataKEKS 11 Geschrieben vor 17 Stunden Autor Melden Geschrieben vor 17 Stunden Das sind die Details vom Spooler.. Habe gerade noch mal nachgesehen bevor ich was falsches Safe - die Treiber sind freigegeben: HP UPD 7.3.0, Xerox GPD PS 1035.2.0 und dann noch Develop 3.1.12.0 - mehr haben wir nicht Zu den angezeigten Details habe ich noch nicht wirklich was passendes gefunden :-( Norbert Zitieren
zahni 586 Geschrieben vor 15 Stunden Melden Geschrieben vor 15 Stunden (bearbeitet) Und jetzt noch Stack und Module bei den einzelnen Threads. PS: Hier wird indirekt empfohlen die HP-Software zu entfernen: https://learn.microsoft.com/en-us/answers/questions/3313816/spooler-subsystem-app-and-high-cpu-usage Ich kenne die aktuelle HP-Software nicht. Erfahrungsgemäß kommt da aber immer irgendwelcher Müll mit, den man tatsächlich nicht braucht. Z.B. irgendwelche App, die den Tonerstand anzeigen, oder so. Sowas fragt dann ständig den Drucker ab und könnte die hohe Last verursachen. Ich würde während des Fehlers auch mal mit netstat prüfen, ob der Server Verbindungen aufbauen will, die nicht mehr antworten (SYN_SENT). bearbeitet vor 15 Stunden von zahni Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.