Diensthost: Lokaler Dienst (Netzwerkeinschränkung) [Windows-Ereignisprotokoll] hoher Stromverbrauch

Alle Antworten

• 

  

  0

  Anmelden

  Wenn du dir im Processexplorer die Commandline einblendest ist u.U. der Dienst erkennbar.
  Auch wenn du die Maus über dem SVCHOST hältst wird dir der oder die Dienste angezeigt.

  In Windows 10 ist das noch etwas einfacher, da hier fast jeder Dienst in einem eigenen Process läuft.
  Vor Windows 10 wurden Dienste über Threads zum großen Teil in einen SVCHOST zusammengefasst.

  Was u.a. auch ein Stromfresser ist, ist die gut gemeinte aber fast nie benötigte 2. Grafikkarte.
  Ich habe die bei mir im Hardwareprofil deaktiviert und keinerlei Einschränkungen dadurch.
  Im Gegensatz zu früher schafft auch die IntelHD inzwischen den HDMI-Ausgang für einen 2. Monitor.
  Allerdingsmerkt man dies nicht durch CPU-Auslastung.

  Mittwoch, 10. April 2019 08:45

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Es scheint mir eher am Kaspersky zu liegen.
  Ich habe dem die Tage mal ziemlich alle Funktionen genommen und es war scheinbar behoben.
  Nach ein paar Neustarts ist es nun wieder aufgetaucht.
  Ich habe nun den "Kaspersky Seamless Update Service" abgeschaltet und es hat sich erneut beruhigt nachdem ein Neustart nach Abschalten des Dienstes durchgeführt wurde, aber irgendwie fürchte ich schon, dass es spätestens Freitag wieder zu dem aufgezeigten Problem kommen wird.

  Sobald es wieder Prozessorlast verursacht gehe ich mal den beschriebenen Weg.

  Eine zweite Grafikkarte ist in den Laptops nicht verbaut, nur die GPU auf dem CPU wird genutzt.

  Mittwoch, 10. April 2019 09:58

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Und es ist wieder da.
  Wie kann es abgeschaltet werden? Den Eventlog Service kann ich nicht einfach gänzlich deaktivieren.
  Sobald das Eventlog abgeschaltet ist läuft der Rechner zwar top, aber das Netzwerkicon im Infobereich verschwindet und es ist nicht mehr möglich WLAN zu nutzen...

  

  Donnerstag, 11. April 2019 06:57

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Dann schau doch mal hier nach:

  https://blog.pcrisk.com/windows/12233-service-host-local-system-network-restricted-taking-too-much-of-your-cpu

  Donnerstag, 11. April 2019 10:30

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Vielen Dank für die Antwort!

  All die im Artikel angesprochenen Vorgehensweisen hatte ich bereits angewendet.

  Nun habe ich den Laptop jedes mal nach Anwendung neugestartet und das Problem war augenscheinlich gelöst, doch jeden weiteren Tag beim frischen Start des Geräts taucht "Diensthost...." wieder auf.
  Ich habe nun mal ohne Änderung einen Neustart durchgeführt und der Dienst meldet sich zwar im Task Manager, jedoch nur mit ~1-2% CPU Last, statt 20-40%.
  Das kann es doch echt nicht sein.
  Kann es vielleicht doch die Ereignisprotokollierung sein?
  Ist es möglich das Eventlog abzuschalten, ohne dass dadurch weitere Funktionen beeinträchtigt werden?

  
  Ich fänd es nun affig den Mitarbeitern zu sagen, dass es da nen Problem gibt und nach dem ersten Start ein Reboot durchgeführt werden soll ...
  

  • Bearbeitet BeatYa Freitag, 12. April 2019 06:01 Ergänzung

  Freitag, 12. April 2019 06:00

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Und sind denn nun Einträge im Eventlog aufgetaucht?
  

  Freitag, 12. April 2019 08:31

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Die Benutzerstruktur wurde von einem anderen Prozess geladen (Registrierungssperre). Prozessname: C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security for Windows\avp.exe, PID: 4388, ProfSvc PID: 1872.

  -> User Profile Service // 1552 (Wiederkehrend auch ohne dem genannten problematischen Prozess)
  

  Durch die Berechtigungseinstellungen für "Anwendungsspezifisch" wird dem Benutzer "NT-AUTORITÄT\Lokaler Dienst" (SID: S-1-5-19) unter der Adresse "LocalHost (unter Verwendung von LRPC)" keine Berechtigung vom Typ "Lokal Aktivierung" für die COM-Serveranwendung mit der CLSID 
  {6B3B8D23-FA8D-40B9-8DBD-B950333E2C52}
   und der APPID 
  {4839DDB7-58C2-48F5-8283-E1D1807D0D7D}
   im Anwendungscontainer "Nicht verfügbar" (SID: Nicht verfügbar) gewährt. Die Sicherheitsberechtigung kann mit dem Verwaltungstool für Komponentendienste geändert werden.

  --> Distributed COM // 10016 (Wiederkehrend auch ohne dem genannten problematischen Prozess)
  

  Das Sicherheitscenter konnte den Aufrufer nicht überprüfen. Der Fehler DC040780 ist aufgetreten.

  --> Security Center // 17

  Der Dienst "MessagingService_6740c" wurde mit folgendem Fehler beendet: 
  Das Gerät ist nicht bereit.

  --> Service Control Manager // 7023 (Wiederkehrend auch ohne dem genannten problematischen Prozess)
  

  Durch die Berechtigungseinstellungen für "Anwendungsspezifisch" wird dem Benutzer "NT-AUTORITÄT\SYSTEM" (SID: S-1-5-18) unter der Adresse "LocalHost (unter Verwendung von LRPC)" keine Berechtigung vom Typ "Lokal Start" für die COM-Serveranwendung mit der CLSID 
  Windows.SecurityCenter.SecurityAppBroker
   und der APPID 
  Nicht verfügbar
   im Anwendungscontainer "Nicht verfügbar" (SID: Nicht verfügbar) gewährt. Die Sicherheitsberechtigung kann mit dem Verwaltungstool für Komponentendienste geändert werden

  --> Distributed COM // 10016

  Freitag, 12. April 2019 11:58

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Da hast du wohl irgendwelche Berechtigungsprobleme!
  Die Programme versuchen es da aber immer wieder.

  Ein großes Problem sind Autostart-Programme über die Aufgabenplanung (Taskmanager) die z.B. auf Netzwerkressourcen zugreifen wollen. Diese stehen standardmäßig nicht zur Verfügung!
  Wenn hier auch per UNC-Pfad ohne korrekte Anmeldung zugegriffen wird, gibts einen Fehler.
  

  Die nächsten Meldung bzgl. Distributed COM (DCOM) gehen in die selbe Richtung.
  D.h., hier wird auf Anwendungsobjekte zugegriffen, für die man nicht berechtigt ist.
  Wenn du eine Task einrichtest, die als Domain-User unbeaufsichtigt auf dem Gerät läuft, hat sie, wie auch bei Netzzugriffen, keine Berechtigung dann lokal sog. COM-Server aufzurufen.
  Dies muss per DCOM-Konfig zugelassen werden.

  https://docs.microsoft.com/en-us/windows/desktop/com/setting-machine-wide-security-using-dcomcnfg

  Möglicherweise kann man dies dann auch per GPO irgendwie festlegen.

  https://www.drwindows.de/windows-10-desktop/142707-ereignis-id-10016-distributedcom-windows-securitycenter-wscbrokermanager.html
  In Eintrag #3 wird dann weiter verwiesen:
  https://www.tenforums.com/general-support/109079-event-id-10016-distributedcom-windows-securitycenter-wscbrokermanager.html#post1359172

  Das Problem ist halt, dass hier die Events eigentlich unkritisch sind, allerdings die Vielzahl der Events zum Performanceengpass wird. Die Eventlogs müssen geschrieben werden, ab einer einstellbaren Größe wird die Logfile gewechselt. Neben der CPU-Last kommt also auch noch unnötige Plattenlast dazu.

  • Als Antwort vorgeschlagen Yavor TanevMicrosoft contingent staff Donnerstag, 9. Mai 2019 08:29
  • Als Antwort markiert Yavor TanevMicrosoft contingent staff Donnerstag, 16. Mai 2019 07:45

  Freitag, 12. April 2019 14:19

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Am 10.04.2019 schrieb BeatYa:

  Ein neu zu evaluierender Laptop im Unternehmen ist trotz starkem Akku und stromsparender Energierichtlinie in spätestens drei Stunden komplett entladen.
  Als OS kommt derzeit Windows 10 - 1809 zum Einsatz.
  Es handelt sich um ein HP Elitebook X360 1030 G3, jedoch weist einer unserer Toshiba Laptops mit gleichem Deployment das selbe Verhalten auf.
  Meines Erachtens hängt dies mit dem Prozess "Diensthost: Lokaler Dienst (Netzwerkeinschränkung)" zusammen, jedoch finde ich derzeit keine Lösung um dieses Problem zu lösen.
  Der Prozess läuft dauerhaft und beansprucht dauerhaft mindestens 20% der CPU Ressourcen.
  Im Taskmanager wird bei Stromverbrauch Sehr hoch angezeigt.

  Um auf den Verursacher zu kommen, ist es hilfreich von 0 anzufangen.
  Ein Gerät mit einer OEM-Installation installiert man zuerst komplett
  neu. Ohne irgendwelche Tools vom Hersteller, Windows 10 drauf, evtl.
  noch Treiber installieren und testen. Falls das unauffällig ist, in
  die Domain aufnehmen, in die OU verschieben und prüfen ob alle GPOs
  übernommen werden. Ausführlich testen. An der Stelle gibt es immer
  noch keine Fremdprogramme! Ganz wichtig!

  Mit dem ProcessExplorer der Sysinternals erhalte ich, so wie auch im Taskmanager, nur einen Verweis auf svchost.
  Auch mit MSConfig habe ich bereits alle Startup Dienste außer den Windows eigenen ausgestellt.
  Der Kaspersky wurde gänzlich auf die Festplattenverschlüsselung reduziert.
  Ereignislog wurde testweise fast komplett ausgestellt, bringt für einen Tag etwas.
  Wenn der Eventlog Dienst ausgeschaltet wird läuft es super, aber es gibt keine Möglichkeit mehr sich mit WLan zu verbinden - das Netzwerksymbol in der Taskleiste verschwindet auch.

  Wenn Du im Taskmanager auf Details klickst bekommst Du eine PID
  angzeigt, welcher Dienst an diese PID? Siehst Du im Reiter Dienste.

  Hast Du das W10 mit dem letzten CU aktualisiert? Habt ihr einen WSUS?
  Geht der Rechner direkt an WU? Gibt es einen Proxy? Anstatt Kaspersky
  würde ich zum Test BITLOCKER verwenden. Ist Kaspersky denn aktuell?
  Das Programm selbst aktualisieren, nicht die Pattern.

  Servus
  Winfried

  ---

  WSUS Package Publisher:
  https://github.com/DCourtel/Wsus_Package_Publisher
  HowTos zum WSUS Package Publisher http://www.wsus.de/wpp
  GPO's: http://www.gruppenrichtlinien.de
  NNTP-Bridge für MS-Foren:
  https://github.com/JochenKalmbach/communitybridge
  GP-PACK - PRIVACY AND TELEMETRIE: http://www.gp-pack.com/

  • Als Antwort vorgeschlagen Yavor TanevMicrosoft contingent staff Donnerstag, 9. Mai 2019 08:29
  • Als Antwort markiert Yavor TanevMicrosoft contingent staff Donnerstag, 16. Mai 2019 07:45

  Samstag, 13. April 2019 09:12

  Antworten

  |

  Zitieren