none
Server 2008 - viele Errors in netstat.exe -e und viel "unzuordenbarer" Traffic RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    ich betreibe einen Server im Housing seit ca. 2 Wochen. Nun ist mir aufgefallen, dass pro Tag unglaublich viel Traffic entsteht. Eine Durchsicht hat keine merkwürdigen Programme ans Tageslicht gefördert.

    Allerdings gibt es eine schier unglaubliche Zahl an Fehlern bei netstat -e. Auf dem Server ist nur Hyper-V aktiv und zwei virtuelle Maschinen, welche die ganze Arbeit machen. Es gibt eine physikalische Netzwerkkarte im System.

    Nun meine Fragen:

    1. Was könnten Ursachen für die vielen Fehler (Faktor 10 zu gesendeten "korrekten" Bytes) in netstat sein und wie krige ich diese in den Griff? Eine defekte Netzwerkkarte?

    Die Verbindung auf den Server erfolgt über Remote Desktop, sonst alles läuft sehr gut. Die "Netzwerksparte" im Ressourcemanager zeigen mir nur eine Verbindung zu einem Host an, der mir nichts sagt (e und gefolgt von einer Zahl), aber dort geht es richtig ab. Der Zielport ist 3386, daher schätze ich das dies meine RDP Traffic ist.

    2. Kann der Traffic durch die vielen Fehler entstehen?

    3. Von meinem Provider habe ich eine Broadcast Adresse erhalten, habe aber leider nicht gefunden, wo ich diese eintragen kann. Daher möchte ich Euch um eine kleiner Hilfestellung hierbei bitten. Vielleicht ist das einer der Gründe für den vielen Traffic?

    Für weitere Infos stehe ich sehr gerne zur Verfügung.

    Viele Grüße aus Frankfurt!

    Freitag, 15. Januar 2010 10:40
    |

Antworten

  • Question
    Anmelden
    0
    Anmelden
    Hallo Andreas,

    habe mit meinem Anbieter noch mal gesprochen und er meinte das sie zur Zeit ein erhebliches Problem mit Broadcasts haben und ich mich nicht wundern muss, wenn da ca. 3-4 GB am Tag auflaufen an Traffic. Sie sind auch gerade daran und bauen die Netzwerkstruktur um. Na ja, er wird es schon wissen und mit der Info brauche ich erst mal keine Sorgen wegen einer Traffic-Überschreitung zu haben.

    Im Auge werde ich das auf jeden Fall behalten und auch den NetMon anwerfen.

    Vielen Dank für Deine Hinweise und die Unterstützung!

    Viele Grüße

    Matthias 
    Dienstag, 19. Januar 2010 21:00
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden
    Hi,

    ohne nährer Infos wird es schwer werden Dein Problem zu analysieren.

    Wo sind die Fehler, auf der Empfangs und/oder Gesendet -Seite ?
    Nur eine NIC mit Hyper ist nicht zu empfehlen.
    Was für eine Broadcastadresse ? Verstehe es nicht ganz ?

    Evtl müsstes Du mal NetMon 3.3 mitlaufen lassen, um die einzelen Pakete analysieren zu können.
    Gruß Ralph Andreas Altermann
    Freitag, 15. Januar 2010 18:58
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Andreas,

    leider hatte ich keinen Zugriff auf den Server. Nun aber:

    Das ist die aktuelle Statistik von eben.

      Received Sent
    Bytes 3258666413 369695624
    Unicast packets 51428880 1650658
    Non-unicast packets 31978831 2349
    Discards 0 0
    Errors 4294947541 4294967295
    Unknown protocols 0  

    Hoffentlich hilft das weiter. Und mein Error/Bytes-Verhältnis ist besser geworden. ;-)

    Den NetMon werde ich installieren und prüfen. Kann ich damit auch den Datenverkehr eines ganzen Tages aufzeichnen oder wird das zuviel? Ich hoffe aus den Aufzeichnunh den Verursacher herauszufinden. Für gestern war plötzlich Triffic wie verrückt zwischen ca. 16:30 und 17:30 Uhr. Zu dieser Zeit weiß ich sicher, das keiner von den Leuten die ich kenne (und die nur zugreifen) zugegriffen hat, zumindest nicht in dem Umfang.

    Zu den Hyper-V Nics: Pro Maschine eine eigene oder können sich zwei Maschinen eine teilen? Oder gar: Eine für alle VM und eine fpr den Master Server?

    Vielen Dank auf jeden Fall für die genaueren Nachfragen und die beiden Hinweise.

    Viele Grüße!

    Samstag, 16. Januar 2010 10:44
    |
  • Question
    Anmelden
    0
    Anmelden
    Guten Morgen,

    also Best Practice ist pro physikalischen Host 2 Nics, eine für Management (Public) ohne Bindung am VM_Bus(Hypervisor) und
    die zweite ausschliesslich nur am VM_Bus. Diese Karte wird dann in die VMs durchgereicht.

    Zu den Errors:
    Die sind schon gewaltig, unter der Annahme das die NIC phys. in Ordnung ist, würde ich mal den Treiberstand überprüfen und
    checken ob an den TCP-Offloads, Spanning oder Jumboframes  gespielt wurde. Des Weiteren beobachte mal für eine gewisse Zeit,
    ob die Errors auch noch so groß sind, wenn alle VMs down sind.

    NetMon3.3
    Vorsicht die Logs können sehr groß werden und eine Auswertung ist nicht ganz easy. Auch hier mal erst 5 Minuten, dann 10 Minuten usw.
    mitloggen. Bei der Menge an Errors solltest Du eigentlich recht schnell etwas finden. Auch sonst während der Messung
    allen unnötigen Transfer vermeiden (VM down). 
    Gruß Ralph Andreas Altermann
    Samstag, 16. Januar 2010 11:50
    |
  • Question
    Anmelden
    0
    Anmelden
    Hallo Andreas,

    super! Danke für die Tpps und Hinweise.

    Eben habe ich den NetMon installiert und mich dabei vom Netz abgehängt, sodass ich zurzeit nicht auf den Rechner komme... ;-)

    Werde am Montag den Colocation Menschen um einen Neustart bitten und die Woche dann mal eine zweite NIC installieren. Wäre ja gelacht, wenn das nicht herauszufinden ist.

    Bei Neuigkeiten melde ich mich wieder.

    Schönes Wochenende und Danke nochmal.

    Matthias
    Samstag, 16. Januar 2010 12:27
    |
  • Question
    Anmelden
    0
    Anmelden
    Hallo Andreas,

    habe mit meinem Anbieter noch mal gesprochen und er meinte das sie zur Zeit ein erhebliches Problem mit Broadcasts haben und ich mich nicht wundern muss, wenn da ca. 3-4 GB am Tag auflaufen an Traffic. Sie sind auch gerade daran und bauen die Netzwerkstruktur um. Na ja, er wird es schon wissen und mit der Info brauche ich erst mal keine Sorgen wegen einer Traffic-Überschreitung zu haben.

    Im Auge werde ich das auf jeden Fall behalten und auch den NetMon anwerfen.

    Vielen Dank für Deine Hinweise und die Unterstützung!

    Viele Grüße

    Matthias 
    Dienstag, 19. Januar 2010 21:00
    |
  • Question
    Anmelden
    0
    Anmelden
    Hi Matthias,

    Danke fürs Feedback.
    Gruß Ralph Andreas Altermann
    Dienstag, 19. Januar 2010 21:38
    |