Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Domaincontroller und LSASS.EXE

Frage Microsoft Windows Systemdateien

Mitglied: Auron2k

Auron2k (Level 1) - Jetzt verbinden

17.01.2006, aktualisiert 22.10.2006, 10794 Aufrufe, 16 Kommentare

Ich habe 2 Domaincontroller einmal DC-01 und einmal DC-02.
DC-02 hat aus unerklärlichen gründen seid gestern eine Systemauslastung von 100% die LSASS.EXE hat nen anteil von 70%, dies war früher nicht der fall, das seltsame ist DC-01 scheint wärenddessen nichts zu machen (siehe mrtg statistik bilder)

ich weiß nicht woran es liegt!!

Mit freundlichen Grüßen
Auron2k



<img src='/images/articles/52e0056e5977308265232922affa9e99-DC-01' align='default' hspace='0' vspace='0' border='0'>

<img src='/images/articles/c7f20b6db114b4c0fcc37de260bab8c6-DC-02' align='default' hspace='0' vspace='0' border='0'>
Mitglied: cykes
17.01.2006 um 16:02 Uhr
Hi,

hast Du auf dem/den Server(n) eine Antivirenlösung laufen?
LSASS.EXE könnte ein Zeichen dafür sein, dass Du Dir einen
Sasser Virus eingefangen hast.
Würde ich mal mit eScan und McAffee Stinger durchscannen,
wenn die was finden solltest Du sofort den Server vom LAN trennen
und ihn eventuell mit einer Windows PE (BartPE) CD booten und reinigen.

Gruss

cykes
Bitte warten ..
Mitglied: Auron2k
17.01.2006 um 17:41 Uhr
den scannt hat ich am laufen als ich hier geposted habe, leider hat er nichts gefunden. Scheint an was anderen zu liegen.
Bitte warten ..
Mitglied: cykes
17.01.2006 um 17:49 Uhr
Hast Du mal in die Ereignisanzeige geschaut? Irgendwelche Fehler/Warnungen?
Bitte warten ..
Mitglied: Auron2k
17.01.2006 um 17:55 Uhr
ja, aber glaube auch nicht, das es daran liegt.

fehler: ID 770 AlertManager
ID 257 AlertManager Event Interface

Warnungen: ID 1010 Winlogon
ID 770 AlertManager
ID 257 AlertManager Event Interface


Treten unregelmäßig auf.
Bitte warten ..
Mitglied: cykes
17.01.2006 um 18:01 Uhr
Was steht denn in der Fehlermeldung als Meldungstext (ID 770) drin?

Und in der ID 1010 Winlogon Meldung?
Bitte warten ..
Mitglied: Auron2k
17.01.2006 um 18:03 Uhr
ID 770

Warnungs-Manager konnte Warnmeldung nicht senden.
Gerätetyp: "Network Message"
Gewünschter Empfänger: "\\LocalSystem"
Nachricht: "Der Scanvorgang wurde abgebrochen um 2006 1 17 16:35:18.(von MUE-ILP-DC-02 IP 192.168.10.247 Benutzer administrator Software VirusScan Enter 8.0 Scan Laufwerk C)"


ID 1010

Automatische Registrierung bei der Zertifizierungsstelle ilpcert für ein Zertifikat des Typs DomainController ist fehlgeschlagen. (0x800706ba) Der RPC-Server ist nicht verfügbar.
. Der Vorgang wird bei einer anderen Zertifizierungsstelle versucht.
Bitte warten ..
Mitglied: cykes
17.01.2006 um 18:09 Uhr
Wenn Du die C'T 23/2005 irgendwo zur Hand hast, erstell' Dir mal auf einem garantiert
sauberen System mit Windows XP oder 2k3 mit dem auf der Heft CD befindlichen PEBuilde.
Starte von der erstellten BootCD mal den Server (ohne Netzwerkverbindung)
und scanne mal nach Viren.
Sieht fast so aus, als würde da irgendwas den Scnvorgang des vorhandenen Virenscanners
abbrechen.
Würde immer noch auf den Sasser oder eine Variante tippen.
Bitte warten ..
Mitglied: Auron2k
18.01.2006 um 09:32 Uhr
Also ich weiß 100% das es kein Virus, Wurm bzw. Trojaner ist. Den heute morgen seid hat das problem der DC-01. Die Wechseln sich irgendwie ab. Und wieder ist die LSASS.EXE mit über 70% dabei.

Das sieht also nicht nach virus an.

Nochmal MRTG Bilder von heute morgen (zwischen 22uhr und 3uhr haben die beiden nen abgleich gemacht wie es aussieht)

DC-01
<img src='/images/articles/0e52caee7410d9e0b32bfc87702ef5bc-DC-01-2.png' align='default' hspace='0' vspace='0' border='0'>

DC-02
<img src='/images/articles/0bef9e29fa081ed8b5d85ab167bb71b5-DC-02-2.png' align='default' hspace='0' vspace='0' border='0'>
Bitte warten ..
Mitglied: cykes
18.01.2006 um 09:45 Uhr
Hi,

was mich noch ein bischen stutzig macht, ist die Winlogon Warnung mit ID 1010.
Lies Dir vielleicht mal diesen Thread auf einem anderen Board durch.
Es könnte sein, dass (und daran ist auch der LSASS Prozess beteiligt) die beiden
Domain Controller irgendwie ihre Vertrauensstellung nicht mehr haben bzw.
die Vetrauensstellung auf einem (inzwischen) ungültigen Zertifikat beruht.

-->http://www.experts-exchange.com/Operating_Systems/Win2000/Q_21617027.ht ..."

Gruss

cykes
Bitte warten ..
Mitglied: Auron2k
18.01.2006 um 12:39 Uhr
Kann es sonst noch was außer der Zertifikate sein?



EDIT: Das mit den Zertifikaten passt auch alles!! Muss also was anderes sein.
Bitte warten ..
Mitglied: Sarastro
20.01.2006 um 08:24 Uhr
Das beschriebene Phänomen stelle ich seit etwa fünf Tagen auch auf einem meiner Rechner fest. Es ist ein nicht vernetzter PC, XP Prof, Zone Alarm etc. pp., der nur zum Surfen und Testen genutzt wird. Nach dem Booten läuft alles normal, auch während einer Internetsitzung ist alles problemlos, die Prozessor-Auslastung entspricht den Erwartungen. Erst direkt nach Beendigung der jeweiligen Internet-Sitzung geht die Prozessorauslastung auf 100 Prozent, wobei die Lsass.exe daran je nach dem zwischen 80 und 90 Prozent Anteil hat. Nach einem Neustart ist alles wieder völlig normal.
Die üblichen Massnahmen (Viren und Trojanercheck mit aktuellsten Signaturen, Suche nach Malware jeglicher Art) hat kein Ergebnis gebracht.
Ich vermute mittlerweile dass möglicherweise die auf diesem Rechner installierte Software
T-online 6.0 daran nicht ganz unbeteiligt sein könnte. Es sieht so aus als dort wieder mal eine "Programm-Aktualisierung" vorgenommen wurde, die in diesem Fall automatisch im Hintergrund abläuft. Ein zweiter, baugleicher Rechner mit gleicher Software, abr T-online 5.0 ist davon nicht betroffen, hier läuft alles wie gewohnt.
Ist auf Ihrem System zufällig auch T-Online 6.0 am Werk?
Bitte warten ..
Mitglied: cykes
20.01.2006 um 08:39 Uhr
Kann es sonst noch was außer der
Zertifikate sein?



EDIT: Das mit den Zertifikaten passt auch
alles!! Muss also was anderes sein.

Laut der Fehlermeldung oben (ID 1010) erreicht er aber Euren lokalen Zertifikatserver nicht,
ich vermute mal, dass ilpcert der lokale Zert-Server ist...
Bitte warten ..
Mitglied: Auron2k
20.01.2006 um 12:44 Uhr
ich meine, der fehler wurde beseitigt ;)

jetzt schmeißt er keinen event 1010


@Sarastro

nein diese software ist nicht am werk
Bitte warten ..
Mitglied: Sarastro
20.01.2006 um 14:13 Uhr
Freut mich zu hören dass bei Euch das Problem gelöst ist. Darf ich fragen was Ihr als Ursache/Abhilfe unternommen habt? Vielen Dank für die Mühe!
Bitte warten ..
Mitglied: Auron2k
20.01.2006 um 23:51 Uhr
das problem ist nicht gelöst, ich hab nur gesagt, dass es nichts mit den zertifikaen zu tun hat
Bitte warten ..
Mitglied: fury
22.10.2006 um 11:36 Uhr
hast du eine lösung gefunden?
haben bei uns jetzt das gleiche problem.
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Heiß diskutierte Inhalte
Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...

Exchange Server
DNS Einstellung - zwei feste IPs für Mailserver (15)

Frage von ivan0s zum Thema Exchange Server ...