none
server2008 probleme nach dem booten RRS feed

  • Frage

  • hi,
    Wir haben momentan ein gravierendes Problem mit einem der Server2008 32-bit Enterprise Edition.

    Im abgesicherten modus bootet der server ohne probleme und arbeitet auch ohne probleme.

    Beim normalen boot bleibt er irgendwo hängen. Er bootet normal, man kann auch programme etc. laden, aber z.B. dieser Server-Manager schirm wird zwar angezeigt, aber die felder bleiben leer (daten werden geladen, und das scheinbar ad infinitum). Weitere dienste kann man auch manuell nicht mehr starten, so wird z.b. der dienst für netzwerkverbindungen nicht gestartet (netzwerk tpcip läuft nicht nach normalem boot). Er scheint hier irgendwo beim starten von dienst oder treiber hängen zu bleiben, aber im dienst-dialog werden keine dienste als "werden gestartet" angezeigt. Weitere com componenten kann man auch scheinbar nicht mehr aufrufen.

    Fehlermeldungen im event-log gibt es fast überhaupt keine. Wenn überhaupt höchstens mal:

    "Das Com+ Ereignissystem aht einen ungültigen Rückgabecode während der internen Verarbeitung erkannt. HReSULT war 8007043C von Zeite 45 von d:\vistasp1_gdr\com\complus\src\events\tier1\eventsystemobj.cpp". Allerdings gibt es kein laufwerk D: auf diesem server... scheint aber irgendwie auf com componente hinzuweisen.

    Gibt es irgendein tool, das hier vielleicht zeigen kann, welche componente, treiber, dienst beim laden probleme macht und nicht vernünftig "zurückkehrt" und somit das laden weiterer dienste blockiert??

    Sysinternals hat da auch nicht weitergeholfen....

    Alle virenscanner und hijack und stinger haben keine anormalitäten gefunden. Auf dem server läuft eigentlihc nur sharepoint und Team Foundation Server. Die laufen auch ohne probleme (wenn der server mal läuft), nur das booten klappt einfach nicht mehr...

    Hat irgendjemand eine Idee? Oder ein tool, was man noch ausprobieren könnte, was einen hinweis geben könnte, welche componente/dienste da hängenbleibt???
    danke!!!
     

    Sonntag, 14. Juni 2009 20:20

Antworten

  • Dieser Thread wurde mangels weiterer Beteiligung des Fragestellenden geschlossen.
    Weitere Nachfragen, Zusätze und Antworten bleiben auch weiterhin möglich.
    Freitag, 26. Juni 2009 16:59
    Moderator

Alle Antworten

  • Hi aphth1,

    deaktiviere testweise doch einmal alle "nicht-Microsoft" Dienste: Start --> Ausführen --> "msconfig" --> Services --> Schalter "Hide all Microsoft services". Läuft der Neustart dann im normalen Modus korrekt?

    Falls ja, dann weißt Du, bei welchen Diensten Du suchen mußt.

    Viele Grüße
    Fabian
    http://blogs.technet.com/deds
    Montag, 15. Juni 2009 06:58
  • Hi aphth1,

    Ein Realname wäre netter.

    Bitte auch daran denken, das die Ursache ggf. an der Hardware liegen kann. Defekte Platte im Raidverbund usw.

    Evtl. jeglichen Virenscanner deinstallieren, deaktivieren reicht nicht. (msconfig)

    Gruß Ralph Andreas Altermann
    Montag, 15. Juni 2009 07:39
  • Moin ophth1,

    starte den Server in den erweiterten Startoptionen mit "Startprotokillierung aktivieren". Dann im System nach ntbtlog.txt suchen. Dort sollte die Ursache zu finden sein.

    Gruß,

    Michael
    Montag, 15. Juni 2009 13:47
  • hi,
    erstmal vielen dank für alle euren antworten.

    also:
    1. dienste aktivieren/deaktivieren. haben alle nicht ms dienste deaktiviert. hat nichts gebracht, gleiches verhalten. waren aber auch nur zwei dienste, die dann nicht aktiviert wurden (msconfig). haben dann alle dienste (auch ms) deaktiviert. dann läuft boot normal, aber es werden eben auch die wichtigen dienste nicht gestartet, so dass man auch nicht wirklich arbeiten kann. auch alle autostarts sind deaktiviert
    2. msconfig: startprotokoll aktivieren. haben wir auch schon gemacht. in ntbtlog.txt werden (im vergleich mit anderen server2008 systemen von uns) eigentlich keine abnormitäten angezeigt. zumindest endet der log nicht mit einer fehlermeldung: konnte nicht laden, wie man eigentlich erwarten würde, da nach diesem "hängen" kein einziger dienst, auch nicht manuell mehr gestartet werden kann.
    3. Hardware fehler würde ich ausschliessen. wenn ich die sicherungskopie auf eine andere hardware spiele, haben wir gleiches verhalten.
    4. virenscanner: wir verwenden mcafee enterprise 8.5i. den hatten wir auch erst im verdacht. dagegen spricht, dass der scanner problemfrei auf allen anderen von unseren server2008 läuft (und auch bootet). deaktivieren der dienste und der console (autostart) brachte nichts. deinstallation geht nicht. unter safe modus wird zwar richtig gebootet, aber der installer wird nicht geladen und weigert sich mcafee zu deinstallieren. unter dem vollmodus geht deinstallation nicht, da der installer dienst scheinbar nicht vor dem hänger gestartet wird und danach geht deinstallation nicht mehr. umbennung der jeweiligen verzeichnisse von mcafee (und somit verhindern des zugriffs auf die dateien, treiber etc.), bringt auch nichts.

    no idea..... ????
    Montag, 15. Juni 2009 15:44
  • Hi ophth1,

    jetzt wirds schwer. Ich pers. würde nun wie folgt vorgehen,auch wenn's nervig ist.

    per msconfig weitesgehend alle Dienste deaktivieren bis der Server 'normal' startet und dann sukessiv einen Dienst nach dem anderen
    wieder aktivieren, bis der Fehler wieder da ist.
    Dann sehen wir weiter.
    Gruß Ralph Andreas Altermann
    Montag, 15. Juni 2009 16:05
  • per msconfig weitesgehend alle Dienste deaktivieren bis der Server 'normal' startet und dann sukessiv einen Dienst nach dem anderen
    wieder aktivieren, bis der Fehler wieder da ist.

    ...entweder die Ochsentour oder vielleicht sagt der hier mehr. (fragt sich, was aufwendiger ist)
    Montag, 15. Juni 2009 16:34
  • ok.... :-(
    soll heissen: es gibt wirklich kein tool, was einem einfach zeigt, welcher prozess angestossen wird, aber nicht "zurückgekehrt" ist. wenn wir mal annehmen, dass es sich um eine com+ componente handelt: gibt es da ein tool, welche geladen ist bzw. geladen werden? danke!!
    Montag, 15. Juni 2009 17:03
  • Vielleicht wirst Du hier fündig.

    Montag, 15. Juni 2009 17:06
  • Hi,

    ich würde mich im Moment vielleicht nicht auf den COM-Fehler konzentrieren - der Error Code 8007043C bedeutet "ERROR_NOT_SAFEBOOT_SERVICE". Es kann also sein, daß der Fehler nur beim Starten im safe mode aufgetreten ist.

    Auch wenn die installierte Software auch auf anderen Systemen problemlos läuft, muß das nicht zwangsweise bedeuten, daß es auf jedem System auch funktioniert. Von daher ist der Vorschlag, testweise Gruppen von Diensten zu aktivieren, sicher nicht verkehrt.

    In so einem Fall kann man gut eine 50:50 Methode anwenden: Eine Hälfte der deaktivierten Dienste wieder aktivieren und prüfen, ob es dann zu den Problemen kommt. Je nach ergebnis, hat man nun schon eine Eingrenzung des Dienstes. Dann kann man jeweils wieder zusätzliche 50% der restlichen Dienste entweder aktivieren oder bei Auftreten des Fehlers beim ersten Versuch aus den verwendeten 50% wieder 50% deaktivieren usw.

    Sind noch andere Fehler außer dem COM-Fehler im SYSTEM Eventlog zu finden? Falls nicht, was sagt das Applikations-Eventlog?

    SCOM zu installieren würde ich persönlich ein wenig "oversized" finden... ;-)

    Viele Grüße
    Fabian
    http://blogs.technet.com/deds
    Montag, 15. Juni 2009 17:47
  • hi!
    also, folgendes probiert:
    1. 50% der dienste abgeschaltet (2x), löst das problem nicht. natürlich auch nicht 100% der dienste abgeschaltet (inkl. microsoft dienste). führt zu gleichem verhalten.
    2. sysinternals process explorer gestartet.
    3. folgenden prozess geändert:
    Process PID CPU Description Company Name
    System Idle Process 0 99  
     Interrupts n/a  Hardware Interrupts 
     DPCs n/a  Deferred Procedure Calls 
     System 4   
      smss.exe 412  Windows Session Manager Microsoft Corporation
    csrss.exe 484  Client-Server-Laufzeitprozess Microsoft Corporation
    csrss.exe 528  Client-Server-Laufzeitprozess Microsoft Corporation
    wininit.exe 536  Windows-Startanwendung Microsoft Corporation
     services.exe 612  Anwendung für Dienste und Controller Microsoft Corporation
      svchost.exe 776  Hostprozess für Windows-Dienste Microsoft Corporation
      svchost.exe 836  Hostprozess für Windows-Dienste Microsoft Corporation
      svchost.exe 912  Hostprozess für Windows-Dienste Microsoft Corporation
      svchost.exe 972  Hostprozess für Windows-Dienste Microsoft Corporation
      svchost.exe 992  Hostprozess für Windows-Dienste Microsoft Corporation
       taskeng.exe 1668  Aufgabenplanungsmodul Microsoft Corporation
      SLsvc.exe 1008  Microsoft-Softwarelizenzierungsdienst Microsoft Corporation
      svchost.exe 1052  Hostprozess für Windows-Dienste Microsoft Corporation
      svchost.exe 1108  Hostprozess für Windows-Dienste Microsoft Corporation
       dwm.exe 1704  Desktopfenster-Manager Microsoft Corporation
      svchost.exe 1136  Hostprozess für Windows-Dienste Microsoft Corporation
      svchost.exe 1276  Hostprozess für Windows-Dienste Microsoft Corporation
     lsass.exe 624  Local Security Authority Process Microsoft Corporation
     lsm.exe 632  Lokaler Sitzungs-Manager-Dienst Microsoft Corporation
    winlogon.exe 580  Windows-Anmeldeanwendung Microsoft Corporation
    explorer.exe 1764  Windows-Explorer Microsoft Corporation
     TOTALCMD.EXE 1992  Total Commander 32 bit international version, file manager replacement for Windows C. Ghisler & Co.
      procexp.exe 240 1 Sysinternals Process Explorer Sysinternals
    mmc.exe 1944  Microsoft Management Console Microsoft Corporation

    Process: svchost.exe Pid: 836

    Type Name
    Directory \BaseNamedObjects
    Directory \KnownDlls
    Event \BaseNamedObjects\ScmCreatedEvent
    Event \BaseNamedObjects\BFE_Notify_Event_{e8dfd853-e1de-4416-82fc-55e8dd6aa036}
    File \Device\KsecDD
    File \Device\Afd
    File \Device\Afd
    File \Device\Afd
    File \Device\NamedPipe\Winsock2\CatalogChangeListener-344-0
    File \Device\Afd
    File \Device\Afd
    File \Device\Afd
    File \Device\Afd
    File \Device\Afd
    File \Device\Afd
    File \Device\NamedPipe\epmapper
    File \Device\NamedPipe\epmapper
    File \Device\NamedPipe\epmapper
    File \Device\NamedPipe\lsass
    File C:\Windows\Registration\R00000000000f.clb
    File \Device\NamedPipe\net\NtControlPipe2
    File C:\Windows\System32\de-DE\svchost.exe.mui
    File C:\Windows\System32
    Key HKLM\SOFTWARE\Microsoft\Ole
    Key HKLM\SOFTWARE\Microsoft\Ole
    Key HKLM\SOFTWARE\Policies
    Key HKLM\SOFTWARE\Policies
    Key HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\Protocol_Catalog9
    Key HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\NameSpace_Catalog5
    Key HKLM\SYSTEM\ControlSet001\Control\Session Manager
    Key HKCR
    Key HKLM\SOFTWARE\Microsoft\Ole\Eventlog
    Section \RPC Control\DSEC344
    Section \BaseNamedObjects\__ComCatalogCache__
    Section \BaseNamedObjects\__ComCatalogCache__
    Thread svchost.exe(836): 844
    Thread svchost.exe(836): 860
    Thread svchost.exe(836): 1616
    Thread svchost.exe(836): 864
    Thread svchost.exe(836): 980
    Thread svchost.exe(836): 208
    Thread svchost.exe(836): 316
    Thread svchost.exe(836): 424
    Thread svchost.exe(836): 840
    Thread svchost.exe(836): 844
    Thread svchost.exe(836): 852
    Thread svchost.exe(836): 852
    Token NT-AUTORITÄT\SYSTEM
    Token NT-AUTORITÄT\SYSTEM
    Token NT-AUTORITÄT\SYSTEM
    Token NT-AUTORITÄT\LOKALER DIENST
    Token NT-AUTORITÄT\SYSTEM
    Token NT-AUTORITÄT\NETZWERKDIENST
    Token EYE-RESEARCH\Administrator
    Token NT-AUTORITÄT\NETZWERKDIENST
    Token EYE-RESEARCH\Administrator

    danach zeigt das willkommen fenster wieder die normalen informationen an, die sanduhr mit "daten sammeln" verschwindet.

    trotzdem lassen sich die anderen dienste auch noch nicht manuell starten und unter "dienste" wird nur die standardansicht angezeigt, nicht das register "erweitert".

    hilft das vielleicht trotzdem weiter??
    danke!

    Mittwoch, 17. Juni 2009 15:31
  • Hallo,

    ich kann mir ehrlich gesagt nicht vorstellen, daß der COM-Fehler bei einem fehlerhaften Start wirklich der einzige Fehler im Eventlog ist. Bist Du Dir wirklich sicher, daß es da keine anderen Meldungen gibt?

    Eine Sache ist mir noch eingefallen: Der Fehlercode "8007043C" kann neben "ERROR_NOT_SAFEBOOT_SERVICE" auch den Fehler "SQL_1084_severity_15" identifizieren. Ich halte das zwar für weniger wahscheinlich als den Safe Boot Hinweis, aber Du sprachst davon, daß ein SharePoint auf dem System läuft. Darunter läuft der SQL Server àuch direkt auf der Maschine?

    Falls ja, könntest Du hier einmal prüfen, ob es Probleme mit dem SQL-Server gibt. Aber in diesem Fall würde ich ebenfalls Meldungen im Ereignisprotokoll erwarten.

    Viele Grüße
    Fabian
    http://blogs.technet.com/deds
    Mittwoch, 17. Juni 2009 18:49
  • Dieser Thread wurde mangels weiterer Beteiligung des Fragestellenden geschlossen.
    Weitere Nachfragen, Zusätze und Antworten bleiben auch weiterhin möglich.
    Freitag, 26. Juni 2009 16:59
    Moderator