none
Riavvio automatico Windows Server 2008 R2 RRS feed

  • Domanda

  • Buongiorno e saluti a tutto il forum!

    ho un problema con un server windows 2008 R2 che si riavvia automaticamente in modo improvviso.

    il difetto si è già verificato 4 volte nell'ultima settimana e, a detta del sistemista IBM che segue la parte hardware, il riavvio è dovuto ai troppi "attacchi" verso il server. la sua tesi quindi è che per "proteggersi" il server stesso si riavvia automaticamente.

    a me sembra decisamente strano....

    gli utenti si collegano via RDP da una sede remota tramite VPN software generando molte richieste di connessione, ma comunque la tesi del sistemista IBM non mi convince, mi sembra più un problema hardware.

    che ne pensate ?

    grazie.

    gianpaolo

    venerdì 25 gennaio 2013 09:44

Risposte

  • comunque la tesi del riavvio come protezione dagli attacchi ha un senso ?

    No! Riavviarsi, non è proteggersi ma  interrompere tutti i servizi attivi in quel momento! Resta il fatto, che un qualsiasi tipo di riavvio DEVE  essere segnalato nell'event viewer .

    Anni e anni fa su altri SO windows  era possibile, da remoto, sfruttando un bug,  causare un BSOD che riavviava brutalmente il server (il riavvio era il frutto dell'attacco!), ma quell'era è terminata con i firewall e gli aggiornamenti di siscurezza sistematici.

    ciao

     

    Gastone Canali >http://www.armadillo.it

    Se alcuni post rispondono al tuo quesito (non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili . GRAZIE! Ricorda di dare un occhio anche QUI



    venerdì 25 gennaio 2013 10:47
    Moderatore

Tutte le risposte

  • Ciao,

    hai controllato nei log se c'è qualche informazione utile?

    I driver sono tutti aggiornati?

    Se hai impostato il riavvio in caso di BSOD prova a toglierlo e vedere se dovesse presentarsi la schermata blu, magari trovi la causa del riavvio.

    Ciao


    Andrea Sistarelli
    MCT-MCITP-MCSE-MCTS-CCNA

    venerdì 25 gennaio 2013 09:55
  • ok, grazie

    vedo di acquisire i log e controllo il BSOD.

    comunque la tesi del riavvio come protezione dagli attacchi ha un senso ?

    venerdì 25 gennaio 2013 10:04
  • comunque la tesi del riavvio come protezione dagli attacchi ha un senso ?

    No! Riavviarsi, non è proteggersi ma  interrompere tutti i servizi attivi in quel momento! Resta il fatto, che un qualsiasi tipo di riavvio DEVE  essere segnalato nell'event viewer .

    Anni e anni fa su altri SO windows  era possibile, da remoto, sfruttando un bug,  causare un BSOD che riavviava brutalmente il server (il riavvio era il frutto dell'attacco!), ma quell'era è terminata con i firewall e gli aggiornamenti di siscurezza sistematici.

    ciao

     

    Gastone Canali >http://www.armadillo.it

    Se alcuni post rispondono al tuo quesito (non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili . GRAZIE! Ricorda di dare un occhio anche QUI



    venerdì 25 gennaio 2013 10:47
    Moderatore
  • No! Riavviarsi, non è proteggersi ma  interrompere tutti i servizi attivi in quel momento! Resta il fatto, che un qualsiasi tipo di riavvio DEVE  essere segnalato nell'event viewer .

    Anni e anni fa su altri SO windows  era possibile, da remoto, sfruttando un bug,  causare un BSOD che riavviava brutalmente il server (il riavvio erea il frutto dell'attacco!), ma quell'era è terminata con i firewall e gli aggiornamenti di siscurezza sistematici.

    Quoto...un riavvio causato da un BSOD non è un sistema di protezione, è solo una conseguenza di un errore grave che comunque ha causato l'interruzione di tutti i servizi. E' possibile disabilitare momentaneamente il riavvio automatico in modo da poter eseguire anche una diagnosi dell'errore da console, ma in quel momento va considerato che il server ha già cessato di funzionare quindi il riavvio automatico diciamo che potrebbe avere lo scopo di recuperare la funzionalità del server in meno tempo possibile. Riamane comunque il fatto che se si fosse trattato realmente di un attacco sarebbe andato a buon fine.

    Ti consiglio quindi di esaminare attentamente il registro eventi, io comunque penso che sia maggiormente probabile un problema hardware o di driver.

    venerdì 25 gennaio 2013 11:39
    Moderatore