6
Windows Server 2008 (SP2) Probleme mit unkontrolliertem Traffic
Hallo liebe Administrator.de Community,
und zwar habe ich das Problem das mein Server 2008 mit SP2 (ich habe gestern zirka 100 Updates und anschließend das SP2 installiert) auf dem eigentlich nur
Apache, PHP, MySQL sowie Filemaker drauf läuft das er innerhalb von 10 Stunden einen riesen Traffic (ausgehend) produziert.
Laut Apache MySQL und Filemaker Ports werden in 10 Stunden vielleicht 100 MB transferiert, mehr jedoch nicht, ... wo kommt der zusätzliche ausgehende Traffic her?!
Anbei das Foto:
Ich habe alles versucht. Spybot Search & Destroy (der hat nix gefunden). Antivirus habe ich auch einen installiert (auch dieser hat nix gefunden)
Jetzt die Frage: wie kann ich grundsätzlich auf die Suche gehen, welcher Dienst so einen Datentraffic produziert. Über das Internet kommt der Server nicht mehr hinaus
(es kommen nur mehr die Ports raus, die wirklich sollen). Seit dem wird wenigstens die Internetleitung nicht mehr zugemüllt.
Der Server killt mir nun auch die Firwall wenn er diese Daten produziert (diese blockt den Traffic natürlich ab)...
Mit Smartsniff (der alle Pakete zählt (Anzahl und Datenmenge)) diesen habe ich eine Nach lang laufen gelassen. Jedoch nicht mehr wie insgesamt 100 MB Daten, ...
den http://www.de.paessler.com/prtg habe ich auch eine Nachlang laufen gelassen. Hier sieht man sehr gut wann er über die Intel Netzwerkkarte soviel Traffic transferiert hat,
jedoch nicht wirklich über welche Anwendung oder welchen Port, ... ich verstehe das einfach nicht, ...!
Wie kann ich an dieses Problem gescheit herangehen? Wenn ich Wireshark gestartet lasse, hängt sich das Programm nach 20 Minuten vollständig auf, ....
BItte um Hilfe!
Vielen Dank!
glg Markus
und zwar habe ich das Problem das mein Server 2008 mit SP2 (ich habe gestern zirka 100 Updates und anschließend das SP2 installiert) auf dem eigentlich nur
Apache, PHP, MySQL sowie Filemaker drauf läuft das er innerhalb von 10 Stunden einen riesen Traffic (ausgehend) produziert.
Laut Apache MySQL und Filemaker Ports werden in 10 Stunden vielleicht 100 MB transferiert, mehr jedoch nicht, ... wo kommt der zusätzliche ausgehende Traffic her?!
Anbei das Foto:
Ich habe alles versucht. Spybot Search & Destroy (der hat nix gefunden). Antivirus habe ich auch einen installiert (auch dieser hat nix gefunden)
Jetzt die Frage: wie kann ich grundsätzlich auf die Suche gehen, welcher Dienst so einen Datentraffic produziert. Über das Internet kommt der Server nicht mehr hinaus
(es kommen nur mehr die Ports raus, die wirklich sollen). Seit dem wird wenigstens die Internetleitung nicht mehr zugemüllt.
Der Server killt mir nun auch die Firwall wenn er diese Daten produziert (diese blockt den Traffic natürlich ab)...
Mit Smartsniff (der alle Pakete zählt (Anzahl und Datenmenge)) diesen habe ich eine Nach lang laufen gelassen. Jedoch nicht mehr wie insgesamt 100 MB Daten, ...
den http://www.de.paessler.com/prtg habe ich auch eine Nachlang laufen gelassen. Hier sieht man sehr gut wann er über die Intel Netzwerkkarte soviel Traffic transferiert hat,
jedoch nicht wirklich über welche Anwendung oder welchen Port, ... ich verstehe das einfach nicht, ...!
Wie kann ich an dieses Problem gescheit herangehen? Wenn ich Wireshark gestartet lasse, hängt sich das Programm nach 20 Minuten vollständig auf, ....
BItte um Hilfe!
Vielen Dank!
glg Markus
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 161470
Url: https://administrator.de/contentid/161470
Printed on: April 25, 2024 at 16:04 o'clock
6 Comments
Latest comment
Hallo Markus,
ist Dein Problem noch aktuell ?
Wieviele Server und Clients gibt es bei Dir ?
Wie ist die Netztopologie ?
Kannst Du mal die Graphik vom PRTG posten ?
Was zeichnet der Wireshark auf ?
Welche Version hasst Du im Einsatz ?
Hasst Du nach der Installation den Server gebootet ?
Lässt Du den Wireshark in eine Datei schreiben ?
Gruß
Anton
ist Dein Problem noch aktuell ?
Wieviele Server und Clients gibt es bei Dir ?
Wie ist die Netztopologie ?
Kannst Du mal die Graphik vom PRTG posten ?
Was zeichnet der Wireshark auf ?
Welche Version hasst Du im Einsatz ?
Hasst Du nach der Installation den Server gebootet ?
Lässt Du den Wireshark in eine Datei schreiben ?
Gruß
Anton
Hallo!
Jaein.
Ich habe die Hardware Firewall mit ins spiel genommen, jetzt kann nichts mehr raus.
Wireshark hängt sich nach 10 Minuten auf (da werden über 13 GB Daten generiert), kurz: ich kann auch den WS Dump nicht mehr öffnen! (ja ich lasse WS in eine Datei schreiben, lokal wo zirka 300 GB freier Speicherplatz zur Verfügung steht)
Windows Server 2008 32 Bit aktuellstes Servicepack + Updatepack.
Ja, den Server hab ich nach den Updates + nach der Installation von der Installierte Software neu gestartet.
Ich werde das System mit Windows Server R2 neu aufsetzen.
Vielen Dank trotzdem für die Hilfe!
glg Markus
Jaein.
Ich habe die Hardware Firewall mit ins spiel genommen, jetzt kann nichts mehr raus.
Wireshark hängt sich nach 10 Minuten auf (da werden über 13 GB Daten generiert), kurz: ich kann auch den WS Dump nicht mehr öffnen! (ja ich lasse WS in eine Datei schreiben, lokal wo zirka 300 GB freier Speicherplatz zur Verfügung steht)
Windows Server 2008 32 Bit aktuellstes Servicepack + Updatepack.
Ja, den Server hab ich nach den Updates + nach der Installation von der Installierte Software neu gestartet.
Ich werde das System mit Windows Server R2 neu aufsetzen.
Vielen Dank trotzdem für die Hilfe!
glg Markus
Servus Markus,
nicht gleich verzweifeln.
Das mit dem neu aufsetzen des Servers halte ich nicht für zielführend, wenn Du das Problem nicht identifiziert hast.
Es müsste eigentlich reichen, wenn Du den Wireshark nach ca 20Sekunden anhälst.
Dann lässt sich auch die Datei auswerten.
Gruß
Anton
nicht gleich verzweifeln.
Das mit dem neu aufsetzen des Servers halte ich nicht für zielführend, wenn Du das Problem nicht identifiziert hast.
Es müsste eigentlich reichen, wenn Du den Wireshark nach ca 20Sekunden anhälst.
Dann lässt sich auch die Datei auswerten.
Gruß
Anton
Hallo Markus,
hast Du noch eine Skizze Deines Netzwerkes ?
Es würde helfen, das Problem einzugrenzen.
Welche Switches verwendest Du in Deinem Netzwerk ?
Gruß
Anton
hast Du noch eine Skizze Deines Netzwerkes ?
Es würde helfen, das Problem einzugrenzen.
Welche Switches verwendest Du in Deinem Netzwerk ?
Gruß
Anton
Hallo Anton,
Vielen Dank für deine Unterstützung!
Das Netzwerk sieht eigentlich recht simpel aus (Skizze habe ich leider keine):
VMWARE ESXi
- Windows Server 2008 32 Bit - FiBu (Fehlerfrei) - virtuell am ESXi
- Windows Server 2008 32 Bit - Filemaker (Trafficprobleme) - virtuell am ESXi
Dieser ist via 1 GBit ans Netz angebunden.
Der Switch ist von HP (ProCurve, managed). Auch hier sieht man den Traffic der von der IP vom Filemakerserver rausgeht.
Als Gateway (unmittelbar nachdem Switch) befindet sich eine ZyXEL ZyWALL USG 100. Alle Ports ausgehend (bist auf die benötigen) werden blockiert.
Eingehend werden die unten angeführten Ports auf den Server weitergeleitet (von extern, jede IP ist erlaubt).
Es greifen ~10 Terminal Benutzer via Microsoft Remote Desktop Protokoll auf den Server zu (und eben die restlichen ~50 via PHP und MySQL).
Eine aktuelle MySQL Datenbank (Windows basierend) mit einer aktuellen Version von Apache 2 + die aktuellste PHP Version.
MySQL wird direkt von externen PHP Scripts zugegriffen sowie auch von den lokalen Scripts (sollte so Art mobile Datenerfassung sein).
Eingehende Ports: 80, 3389, 3306 sowie 3009 Port von Filemaker.
Wenn ich einen Packetsniffer laufen lasse, sind insgesamt (von 20 Uhr bis 08:00 Uhr) 200 MB an Daten zusammen gekommen.
Mehr sieht man mit dem Sniffer nicht (auch nicht der Traffic der ungewollt produziert wurde).
In der Netzwerkkartenstatistik (Windows Server 2008 - Filemaker) sieht man das in diesem Zeitraum ~ 150 Gigabyte Daten gesendet wurden, ...
WireShark kann ich starten, jedoch ist das Problem eben sporadisch (oft fängt das Problem erst mal am Abend an, dann hängt sich WS auf).
Ich kann nicht Stunden zuschauen bis er mal anfängt diese Datenmenge mitzuprotokolieren, ... auch wenn ich wollte.
Die PRTG Software verzeichnet den Traffic auch Schnittstellenseitig. Man sieht das für zirka 35 Minuten alles perfekt funktioniert, und dann auf einmal ist die
Netzwerkauslastung wieder komplett oben, kurz: es werden wieder wie verrückt daten gesendet, ...
Ich hoffe das sind genug Infos, damit Du Dir in etwas vorstellen kannst wie's dort aussieht!
Wohl gemerkt muss ich angeben, das die Securityupdates + ServicePacks erst nach einem Jahr installiert wurden (zuvor war ein Antivirenschutz (AVG-Small Business) installiert).
Vielen Dank!
glg Markus
Vielen Dank für deine Unterstützung!
Das Netzwerk sieht eigentlich recht simpel aus (Skizze habe ich leider keine):
VMWARE ESXi
- Windows Server 2008 32 Bit - FiBu (Fehlerfrei) - virtuell am ESXi
- Windows Server 2008 32 Bit - Filemaker (Trafficprobleme) - virtuell am ESXi
Dieser ist via 1 GBit ans Netz angebunden.
Der Switch ist von HP (ProCurve, managed). Auch hier sieht man den Traffic der von der IP vom Filemakerserver rausgeht.
Als Gateway (unmittelbar nachdem Switch) befindet sich eine ZyXEL ZyWALL USG 100. Alle Ports ausgehend (bist auf die benötigen) werden blockiert.
Eingehend werden die unten angeführten Ports auf den Server weitergeleitet (von extern, jede IP ist erlaubt).
Es greifen ~10 Terminal Benutzer via Microsoft Remote Desktop Protokoll auf den Server zu (und eben die restlichen ~50 via PHP und MySQL).
Eine aktuelle MySQL Datenbank (Windows basierend) mit einer aktuellen Version von Apache 2 + die aktuellste PHP Version.
MySQL wird direkt von externen PHP Scripts zugegriffen sowie auch von den lokalen Scripts (sollte so Art mobile Datenerfassung sein).
Eingehende Ports: 80, 3389, 3306 sowie 3009 Port von Filemaker.
Wenn ich einen Packetsniffer laufen lasse, sind insgesamt (von 20 Uhr bis 08:00 Uhr) 200 MB an Daten zusammen gekommen.
Mehr sieht man mit dem Sniffer nicht (auch nicht der Traffic der ungewollt produziert wurde).
In der Netzwerkkartenstatistik (Windows Server 2008 - Filemaker) sieht man das in diesem Zeitraum ~ 150 Gigabyte Daten gesendet wurden, ...
WireShark kann ich starten, jedoch ist das Problem eben sporadisch (oft fängt das Problem erst mal am Abend an, dann hängt sich WS auf).
Ich kann nicht Stunden zuschauen bis er mal anfängt diese Datenmenge mitzuprotokolieren, ... auch wenn ich wollte.
Die PRTG Software verzeichnet den Traffic auch Schnittstellenseitig. Man sieht das für zirka 35 Minuten alles perfekt funktioniert, und dann auf einmal ist die
Netzwerkauslastung wieder komplett oben, kurz: es werden wieder wie verrückt daten gesendet, ...
Ich hoffe das sind genug Infos, damit Du Dir in etwas vorstellen kannst wie's dort aussieht!
Wohl gemerkt muss ich angeben, das die Securityupdates + ServicePacks erst nach einem Jahr installiert wurden (zuvor war ein Antivirenschutz (AVG-Small Business) installiert).
Vielen Dank!
glg Markus
Hallo Markus,
wie stehts mit Deinem Problem ?
Die Aufzeichnung mit WireShark würde ich nicht in eine große Datei schreiben lassem. Man kann den WS so einstellen, dass er viele kleinere Dateien schreibt.
z.B. 100 Dateien an 128 MB.
Diese Dateien kann man dann sehr einfach auswerten.
Gruß
Anton
wie stehts mit Deinem Problem ?
Die Aufzeichnung mit WireShark würde ich nicht in eine große Datei schreiben lassem. Man kann den WS so einstellen, dass er viele kleinere Dateien schreibt.
z.B. 100 Dateien an 128 MB.
Diese Dateien kann man dann sehr einfach auswerten.
Gruß
Anton
