none
W2k8 R2 Domänen-Controller CPU Auslastung 100 % RRS feed

  • Allgemeine Diskussion

  • Hallo Ihr Admins,

     

    ich habe seit 1 Woche das Problem, das meine beiden Domain Controller (W2k8 R2) auf 100 % CPU Last stehen.

    Der Prozess der die hohe Last verursacht ist "System". Ich habe zum Test auch schon einen dritten Domain Controller installiert und das Problem wandert mit auf den neuen Server.

    Was auffällig ist, ist dass im EventLog "Sicherheit" aller DC's massenhaft Einträge sind. (ID 4634, 4624, 4769).

    Es sind seit 5 Tagen ca. 300.000 neue Einträge vorhanden! Das scheint mir doch sehr viel!

    Hat hier jemand einen Tipp für mich, wie ich den Fehler beheben kann!

    Danke!

     

    Gruß

    Christian

    Mittwoch, 5. Oktober 2011 07:05

Alle Antworten

  • > Der Prozess der die hohe Last verursacht ist "System". Ich habe zum Test
     
    Dann guck doch mal mit Procmon, was genau da in dem Prozess so läuft...
     
    > Es sind seit 5 Tagen ca. 300.000 neue Einträge vorhanden! Das scheint
     
    Das kann schon sein, wenn Du das entsprechende Logging aktiviert hast
    und viele Accounts in der Domäne aktiv sind.
     
    mfg Martin
     

    A bissle "Experience", a bissle GMV...
    Mittwoch, 5. Oktober 2011 08:03
  • Hallo,

    die Event-IDs sind alles irgendwelchen NULL-SID bzw. Anonymous Anfragen.

    Lass doch bitte auch einmal einen Wireshark auf dem DC laufen um herauszufinden,
    welches Gerät bzw. welche Geräte hier dauerhaft anfragen.

     

     


    Mittwoch, 5. Oktober 2011 08:08
  • Hi Christian,

    da das alles Positivmeldungen sind, soweit ok und wurde in letzter Zeit etwas verändert?:
    http://www.msxfaq.de/tools/trackloginevents.htm

    Wie groß ist denn die Umgebung? Kommen die Anfragen von einem bestimmten System?

    Schau wo es her kommt, deaktivier mal das Positiv-Logging und prüf ob die Auslastung runter geht - findest du  auch bei Frank....


    __________________
    Viele Grüße
    Christian

    Mittwoch, 5. Oktober 2011 08:25
  • Hallo und danke für die schnellen Antworten!

    Hier noch ein paar kurze Infos:

    - Umgebung mit ca. 300 User und 400 Clients

    - das Postiv- Logging war nie eingeschalten und jetzt habe ich es deaktiviert --> keine Veränderung der CPU Auslastung

    - die genaue Auslastung kommt von "ntoskrnl.exe" und die Interrupts /s belaufen sich auf maximal 14.111

    - die Anfragen kommen von vielen verschiedenen Usern und Computern

    Das einzige das geändert wurde, war dass auf dem physikalischen Server das neue HP ProLiant Support Pack eingespielt wurde.

    Aber auch nach Deinstallation der Support Packs ist der Fehler vorhanden und ebenso auf beiden virtuellen Servern.

     

    Danke für die Hilfe!

    Viele Grüße

    Christian

     

    Mittwoch, 5. Oktober 2011 11:40
  • Klingt schwer nach nem Treiber oder BIOS/Firmware... Aber welcher? Da
    kann ich leider nicht weiterhelfen.
     
    mfg Martin
     

    A bissle "Experience", a bissle GMV...
    Mittwoch, 5. Oktober 2011 12:09
  • Hast Du zufällig auch Symantec Endpoint Protection drauf?

     

    Scheint dann daran zu liegen:

    http://www.mcseboard.de/windows-server-forum-78/ereignisanzeige-laeuft-voll-id-4634-4624-4672-a-180786.html

     

    Gruß

    -Axel-

     


    Niveau sieht nur von unten aus wie Arroganz
    Freitag, 21. Oktober 2011 08:14
  • Hallo,

    bist Du inzwischen weitergekommen?

    Gruss,
    Raul

    Donnerstag, 27. Oktober 2011 06:51