Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Windows Server 2003 sürzt ab

Frage Microsoft Windows Server

Mitglied: Blu3Scr33n

Blu3Scr33n (Level 1) - Jetzt verbinden

12.04.2011, aktualisiert 12:32 Uhr, 9478 Aufrufe, 43 Kommentare

Hallo liebe Administratoren,

ich habe ein problem mit unserem Server (Windows Small Business Server 2003 SP2). Dieser stürzt in unregelmäßigen Abständen ab.
Im Firmennetzwerk sind insgesamt 12 Rechner angeschlossen und beziehen dynamisch ihre DNS Adresse.
Dann funktionieren weder Mails (intern sowie extern), Internet und Zugriff auf Netzlaufwerke, die auf dem Server liegen, von anderen PCs.
Nach einem Neustart funktioniert das ganze wieder, aber eben nur für einen gewissen Zeitraum (momentan 2-3 Tage).
Das komische: Beim letzten Mal, als das Problem aufgetreten ist, konnten 2 PCs im Netzwerk eine Verbindung mit dem Internet herstellen.

Ich hab mal Hijack This über den Server laufen lassen und folgendes Log ist dabei rausgekommen:

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 10:56:12, on 12.04.2011
Platform: Windows 2003 SP2 (WinNT 5.02.3790)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\certsrv.exe
C:\Programme\Dell\SysMgt\dataeng\bin\dsm_sa_eventmgr32.exe
C:\Programme\Dell\SysMgt\dataeng\bin\dsm_sa_datamgr32.exe
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\System32\dns.exe
C:\WINDOWS\SYSTEM32\DNTUS26.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\Messaging Security Agent\EUQ\EUQMonitor.exe
C:\Programme\FileZilla Server\FileZilla Server.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programme\Dell\SysMgt\sm\mr2kserv.exe
C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\msftesql.exe
C:\Programme\Microsoft SQL Server\MSSQL$SBSMONITORING\Binn\sqlservr.exe
C:\Programme\Microsoft SQL Server\MSSQL$SHAREPOINT\Binn\sqlservr.exe
C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ntfrs.exe
C:\Programme\Trend Micro\Client Server Security Agent\ntrtscan.exe
C:\Programme\Trend Micro\Security Server\PCCSRV\web\service\ofcservice.exe
C:\Programme\Dell\SysMgt\oma\bin\dsm_om_shrsvc32.exe
C:\Programme\Trend Micro\Security Server\PCCSRV\Web\Service\DbServer.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Microsoft SQL Server\MSSQL.2\Reporting Services\ReportServer\bin\ReportingServicesService.exe
C:\Programme\Trend Micro\Messaging Security Agent\svcGenericHost.exe
C:\Programme\Trend Micro\Messaging Security Agent\svcGenericHost.exe
C:\Programme\Trend Micro\Messaging Security Agent\SMEX_Master.exe
C:\Programme\Trend Micro\Messaging Security Agent\SMEX_SystemWatcher.exe
C:\Programme\Dell\SysMgt\iws\bin\win32\dsm_om_connsvc32.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\Programme\Microsoft SQL Server\MSSQL$SBSMONITORING\Binn\sqlagent.EXE
C:\Programme\Microsoft SQL Server\90\Shared\sqlbrowser.exe
C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\SQLAGENT90.EXE
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Trend Micro\Client Server Security Agent\tmlisten.exe
C:\WINDOWS\System32\wins.exe
C:\Programme\Exchsrvr\bin\mad.exe
C:\Programme\Trend Micro\Client Server Security Agent\OfcPfwSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Exchsrvr\bin\exmgmt.exe
C:\Programme\Exchsrvr\bin\store.exe
C:\Programme\Exchsrvr\bin\emsmta.exe
C:\Programme\Microsoft Windows Small Business Server\Networking\POP3\imbservice.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\TEMP\UY2898.EXE
c:\windows\system32\inetsrv\w3wp.exe
c:\windows\system32\inetsrv\w3wp.exe
C:\Programme\Microsoft Windows Small Business Server\UpdateServices\AutoApprove.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\rdpclip.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Broadcom\BACS\BacsTray.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Trend Micro\Client Server Security Agent\pccntmon.exe
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\WINDOWS\system32\mmc.exe
C:\WINDOWS\system32\cmd.exe
C:\scripts\robocopy.exe
c:\windows\system32\inetsrv\w3wp.exe


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = (VON MIR MANUELL GELÖSCHT DA FIRMENDATEN ENTHALTEN)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von (VON MIR MANUELL GELÖSCHT DA FIRMENDATEN ENTHALTEN)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [DWPersistentQueuedReporting] C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\DWTRIG20.EXE -a
O4 - HKLM\..\Run: [bacstray] C:\Programme\Broadcom\BACS\BacsTray.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\Trend Micro\Client Server Security Agent\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [FileZilla Server Interface] "C:\Programme\FileZilla Server\FileZilla Server Interface.exe"
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-2246683517-2546322985-4227444586-1206\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SMX_SRV-SBS')
O4 - HKUS\S-1-5-21-2246683517-2546322985-4227444586-1206\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SMX_SRV-SBS')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O4 - Startup: Serververwaltungskonsole.lnk = ?
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: Service Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O14 - IERESET.INF: START_PAGE_URL=http://companyweb
O15 - ESC Trusted Zone: http://runonce.msn.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client ...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/cl ...
O16 - DPF: {9BBB3919-F518-4D06-8209-299FC243FC30} (Encrypt Class) - https://srv-sbs.eup.local:4343/SMB/console/html/root/AtxEnc.cab
O16 - DPF: {9DCD8EB7-E925-45C9-9321-8CA843FBED40} (Security Server Management-Konsole) - https://srv-sbs.eup.local:4343/SMB/console/html/root/AtxConsole.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = eup.local
O17 - HKLM\Software\..\Telephony: DomainName = eup.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{096DC73C-1E65-4B95-A298-27F63AA949CF}: Domain = EUP.LOCAL
O17 - HKLM\System\CCS\Services\Tcpip\..\{096DC73C-1E65-4B95-A298-27F63AA949CF}: NameServer = 192.168.1.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{ED0AFC6E-0212-4A83-B906-EEA8309905D2}: NameServer = 10.32.68.203
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = eup.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = eup.local
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Apache2.2 - Unknown owner - E:\Dateiserver\xampp\apache\bin\apache.exe (file missing)
O23 - Service: DSM SA Event Manager (dcevt32) - Dell Inc. - C:\Programme\Dell\SysMgt\dataeng\bin\dsm_sa_eventmgr32.exe
O23 - Service: DSM SA Data Manager (dcstor32) - Dell Inc. - C:\Programme\Dell\SysMgt\dataeng\bin\dsm_sa_datamgr32.exe
O23 - Service: DameWare NT Utilities 2.6 (DNTUS26) - DameWare Development LLC - C:\WINDOWS\SYSTEM32\DNTUS26.EXE
O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\WINDOWS\SYSTEM32\DWRCS.EXE
O23 - Service: EUQ_Monitor - Trend Micro Inc. - C:\Programme\Trend Micro\Messaging Security Agent\EUQ\EUQMonitor.exe
O23 - Service: EUQ_Setup - Trend Micro Inc. - C:\Programme\Trend Micro\Messaging Security Agent\EUQ\setupInstExchangeRule.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Programme\FileZilla Server\FileZilla Server.exe
O23 - Service: HP Port Resolver - Unknown owner - C:\WINDOWS\system32\spool\DRIVERS\W32X86\3\HPBPRO.EXE (file missing)
O23 - Service: HP Status Server - Unknown owner - C:\WINDOWS\system32\spool\DRIVERS\W32X86\3\HPBOID.EXE (file missing)
O23 - Service: mr2kserv - LSI Logic Corporation - C:\Programme\Dell\SysMgt\sm\mr2kserv.exe
O23 - Service: Trend Micro Client/Server Security Agent Echtzeitsuche (ntrtscan) - Trend Micro Inc. - C:\Programme\Trend Micro\Client Server Security Agent\ntrtscan.exe
O23 - Service: Trend Micro Client/Server Security Agent Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Programme\Trend Micro\Client Server Security Agent\OfcPfwSvc.exe
O23 - Service: Trend Micro Security Server Master Service (ofcservice) - Trend Micro Inc. - C:\Programme\Trend Micro\Security Server\PCCSRV\web\service\ofcservice.exe
O23 - Service: DSM SA Shared Services (omsad) - Dell Inc. - C:\Programme\Dell\SysMgt\oma\bin\dsm_om_shrsvc32.exe
O23 - Service: Master-Dienst des Trend Micro Messaging Security Agent (ScanMail_Master) - Trend Micro Inc. - C:\Programme\Trend Micro\Messaging Security Agent\svcGenericHost.exe
O23 - Service: Server für die Fernkonfiguration des Trend Micro Messaging Security Agent (ScanMail_RemoteConfig) - Trend Micro Inc. - C:\Programme\Trend Micro\Messaging Security Agent\svcGenericHost.exe
O23 - Service: Trend Micro Messaging Security Agent Systemüberwachung (ScanMail_SystemWatcher) - Trend Micro Inc. - C:\Programme\Trend Micro\Messaging Security Agent\svcGenericHost.exe
O23 - Service: DSM SA Connection Service (Server Administrator) - Unknown owner - C:\Programme\Dell\SysMgt\iws\bin\win32\dsm_om_connsvc32.exe
O23 - Service: Trend Micro Client/Server Security Agent Listener (tmlisten) - Trend Micro Inc. - C:\Programme\Trend Micro\Client Server Security Agent\tmlisten.exe

--
End of file - 10935 bytes

Ich habe noch nie mit HijackThis gearbeitet und kann dementsprechend mit dem Logfile auch nicht viel anfangen.

Weiß irgendjemand Rat oder hat Hinweise wo ich die Ursache meines Problems zu suchen habe?

Vielen Dank schonmal!
Beste Grüße,

Blu3Scr33n
43 Antworten
Mitglied: bnutzinger
12.04.2011 um 12:39 Uhr
Hallo,

was genau heißt denn Abstürzen?
Ist das ganze System weg? Bluescreen? Hängen sich einzelne Prozesse auf? Kann man sich noch an der maschine Anmelden?

Wie sieht so eine Fehlermeldung aus?

Grüße
Bastian
Bitte warten ..
Mitglied: Blu3Scr33n
12.04.2011 um 12:42 Uhr
Das ist es ja.

Der Server (wenn ich ihn über Remotedesktopverknüpfung) aufrufe, dann läuft da alles ganz normal weiter.
Also Server läuft, nur die Benutzer haben keine Möglichkeit mehr ins Internet zu kommen und im Outlook steht auch, dass Outlook vom Exchange Server getrennt ist.
Fehlermeldung auf dem Server gibt es keine.
Bitte warten ..
Mitglied: Pjordorf
12.04.2011 um 12:44 Uhr
Hallo,

Zitat von Blu3Scr33n:
ich habe ein problem mit unserem Server (Windows Small Business Server 2003 SP2). Dieser stürzt in unregelmäßigen
Abständen ab.
Was ist bei dir "Abstürzen"? Blauer Bildschirm mit Stop Fehlermeldung? Wie lautet die Fehlermeldung?

beziehen dynamisch ihre DNS Adresse.
Du meinst bestimmt die IP Adresse. DNS wird nachgeschaut.

Dann funktionieren weder Mails (intern sowie extern), Internet und Zugriff auf Netzlaufwerke, die auf dem Server liegen,
Klar, dein Server ist ja ""abgestürzt".

Das komische: Beim letzten Mal, als das Problem aufgetreten ist, konnten 2 PCs im Netzwerk eine Verbindung mit dem Internet
herstellen.
Wie ist dein SBS 2003 ausgestattet? 2 Netzwerkkarten und dient als Gateway? Oder ist euer Router das Gateway?

Ich hab mal Hijack This über den Server laufen lassen und folgendes Log ist dabei rausgekommen:
Bitte nicht diese endloslisten.

Ich habe noch nie mit HijackThis gearbeitet und kann dementsprechend mit dem Logfile auch nicht viel anfangen.
Da gibt es andere Foren für!

Weiß irgendjemand Rat oder hat Hinweise wo ich die Ursache meines Problems zu suchen habe?
Was steht im (das was du als erstes immer anschauen solltest) Ereignisprotokoll drin?
Wie ist der Stop Fehler?
Seit wann ist dieses problem vorhanden?
Was wurde geändert bevor das Problem auftrat?

Gruß,
Peter
Bitte warten ..
Mitglied: bnutzinger
12.04.2011 um 12:51 Uhr
Bekommen die betroffenen Clients denn noch vom DHCP eine Adresse zugewiesen?
Bitte warten ..
Mitglied: geTuemII
12.04.2011 um 12:56 Uhr
Klingt für mich eher, als würden einzelne Dienste stoppen, was sagen denn die Eventprotokolle?

geTuemII

[Edit: ich sollte die Inhalte vorm antworten nochmal aktualisieren, sorry, Pjordorf.]
Bitte warten ..
Mitglied: Pjordorf
12.04.2011 um 13:00 Uhr
Hallo,


Zitat von geTuemII:
[Edit: ich sollte die Inhalte vorm antworten nochmal aktualisieren, sorry, Pjordorf.]
Ist mir genauso Blöd ergangen. Welches ist denn jetzt der richtige Fred? War/bin auch unschlüssig.


Irgenwie ist mir hier die Falsche Antwort reingerutscht. Sorry.

Gruß,
Peter
Bitte warten ..
Mitglied: Blu3Scr33n
12.04.2011 um 13:07 Uhr

> Zitat von Blu3Scr33n:
> ich habe ein problem mit unserem Server (Windows Small Business Server 2003 SP2). Dieser stürzt in
unregelmäßigen
> Abständen ab.
Was ist bei dir "Abstürzen"? Blauer Bildschirm mit Stop Fehlermeldung? Wie lautet die Fehlermeldung?
Fehlermeldung gibt es vom Server aus keine

> beziehen dynamisch ihre DNS Adresse.
Du meinst bestimmt die IP Adresse. DNS wird nachgeschaut.
Mein ich ja. Kleiner Fehler beim Denken. Danke für die Korrektur!



> Das komische: Beim letzten Mal, als das Problem aufgetreten ist, konnten 2 PCs im Netzwerk eine Verbindung mit dem Internet
> herstellen.
Wie ist dein SBS 2003 ausgestattet? 2 Netzwerkkarten und dient als Gateway? Oder ist euer Router das Gateway?
Wie und wo kann ich das genau nachschauen? (Im Gerätemanager sind 2 Netzwerkadapter angegeben, falls das hilft)

> Ich hab mal Hijack This über den Server laufen lassen und folgendes Log ist dabei rausgekommen:
Bitte nicht diese endloslisten.
Alles klar. Hät ja sein können, dass das wem bei der Analyse hilft.


> Weiß irgendjemand Rat oder hat Hinweise wo ich die Ursache meines Problems zu suchen habe?
Was steht im (das was du als erstes immer anschauen solltest) Ereignisprotokoll drin?
Ich habe grade mal nachgeschaut. Es wird kein Ereignisprotokoll geführt. Ist nicht definiert worden(Zur Entschuldigung: Kommt nicht von mir, sondern habe ich so von meinem Vorgänger übernommen)
Wie ist der Stop Fehler?
Seit wann ist dieses problem vorhanden?
Das Problem tritt seit Letzter Woche Montag auf

Was wurde geändert bevor das Problem auftrat?
Der Router wurde neu konfiguriert, da ein "schlauer" Kollege den Router auf Werkseinstellungen zurückgesetzt hat -.-
Bei der Neukonfiguration war ich allerdings nicht im Büro, da das ein externer IT Spezialist gemacht hat (Der Aktionismus meiner Kollgen ist echt genial -.-)

Gruß,

Blu3Scr33n
Bitte warten ..
Mitglied: geTuemII
12.04.2011 um 13:18 Uhr
@Pjordorf:
Du meintest den Fred mit dem Exchange MX und den DNS einträgen, da habe ich wegen der Konfusion schon ganz rausgehalten

geTuemII
Bitte warten ..
Mitglied: Blu3Scr33n
12.04.2011 um 13:20 Uhr
Und ich auch ich sollte vorm antworten aktualisieren:

Zitat von Blu3Scr33n:
ich habe ein problem mit unserem Server (Windows Small Business Server 2003 SP2). Dieser stürzt in
unregelmäßigen
Abständen ab.
Was ist bei dir "Abstürzen"? Blauer Bildschirm mit Stop Fehlermeldung? Wie lautet die Fehlermeldung?
Fehlermeldung gibt es vom Server aus keine

beziehen dynamisch ihre DNS Adresse.
Du meinst bestimmt die IP Adresse. DNS wird nachgeschaut.
Mein ich ja. Kleiner Fehler beim Denken. Danke für die Korrektur!



Das komische: Beim letzten Mal, als das Problem aufgetreten ist, konnten 2 PCs im Netzwerk eine Verbindung mit dem Internet
herstellen.
Wie ist dein SBS 2003 ausgestattet? 2 Netzwerkkarten und dient als Gateway? Oder ist euer Router das Gateway?
Wie und wo kann ich das genau nachschauen? (Im Gerätemanager sind 2 Netzwerkadapter angegeben, falls das hilft)

Ich hab mal Hijack This über den Server laufen lassen und folgendes Log ist dabei rausgekommen:
Bitte nicht diese endloslisten.
Alles klar. Hät ja sein können, dass das wem bei der Analyse hilft.


Weiß irgendjemand Rat oder hat Hinweise wo ich die Ursache meines Problems zu suchen habe?
Was steht im (das was du als erstes immer anschauen solltest) Ereignisprotokoll drin?
Ich habe grade mal nachgeschaut. Es wird kein Ereignisprotokoll geführt. Ist nicht definiert worden(Zur Entschuldigung: Kommt nicht von mir, sondern habe ich so von meinem Vorgänger übernommen)
Wie ist der Stop Fehler?
Seit wann ist dieses problem vorhanden?
Das Problem tritt seit Letzter Woche Montag auf

Was wurde geändert bevor das Problem auftrat?
Der Router wurde neu konfiguriert, da ein "schlauer" Kollege den Router auf Werkseinstellungen zurückgesetzt hat -.-
Bei der Neukonfiguration war ich allerdings nicht im Büro, da das ein externer IT Spezialist gemacht hat (Der Aktionismus meiner Kollgen ist echt genial -.-)

Gruß,

Blu3Scr33n
Bitte warten ..
Mitglied: Pjordorf
12.04.2011 um 13:24 Uhr
Zitat von Blu3Scr33n:
Fehlermeldung gibt es vom Server aus keine
Also kein Bluesreen, sondern nur gewisse Dienste nicht mehr lauffähig / erreichbar.

Wie und wo kann ich das genau nachschauen? (Im Gerätemanager sind 2 Netzwerkadapter angegeben, falls das hilft)
Mach mal ein Ipconfig /all und poste die Einträge der beiden Karten hier rein.

Ich habe grade mal nachgeschaut. Es wird kein Ereignisprotokoll geführt. Ist nicht definiert worden
Wie schaltet man das aus?

Das Problem tritt seit Letzter Woche Montag auf
Der Router wurde neu konfiguriert, da ein "schlauer" Kollege den Router auf Werkseinstellungen zurückgesetzt hat
Bei der Neukonfiguration war ich allerdings nicht im Büro, da das ein externer IT Spezialist gemacht hat (Der Aktionismus
meiner Kollgen ist echt genial -.-)
Jetzt gilt festzustellen ob dein SBS 2003 als Gateway dient. Mach mal ein IPconfig /all deines PC's und poste den Eintrag der relevanten Netzwerkkarte hier rein.
Läuft der Dienst für die Firewall auf den SBS?
Ist Routing und RAS aktiviert und konfiguriert?
Wurden die Asisstenten am Montag durchlaufen nachdem der Router geändert wurde? %sbsprogramdir%\Support\icwlog.txt oder %sbsprogramdir%\Support\changeiplog.txt
Was hat sich mit den Router geändert?

Gruß,
Peter
Bitte warten ..
Mitglied: Pjordorf
12.04.2011 um 13:26 Uhr
[OT]

Zitat von geTuemII:
Du meintest den Fred mit dem Exchenge MX und den DNS einträgen, da habe ich wegen der Konfusion schon ganz rausgehalten
geTuemII

Ja.
[/OT]

Peter
Bitte warten ..
Mitglied: Blu3Scr33n
12.04.2011 um 13:56 Uhr
ipconfig sagt:

Windows-IP-Konfiguration
Hostname: SRV-SBS
Primäres DNS-Suffix: eup.local
Knotentyp: Unbekannt
IP-Routing aktiviert: Ja
WINS-Proxy aktiviert: Ja
DNS-Sufficsuchliste: eup.local

Ethernet-Adapter LAN-Verbindung des Servers:
Verbindungsspezifisches DNS-Suffix: EUP.LOCAL
Beschreibung: Broadcom BCM5708C NetXtreme II GigE <NDIS VBD Client>
Physikalische Adresse: 00-19-B9-B5-C3-3C
DHCP aktiviert: Nein
IP-Adresse: 192.168.1.2
Subnetzmaske: 255.255.255.0
Standardgateway: 192.168.1.1
DNS-Server: 192.168.1.2
Primärer WINS-Server: 192.168.1.2

Ethernet-Adapter Netzwerverbindung:
Verbindungsspezifisches DNS-Suffix:
Beschreibung: Broadcom BCM5708C NetXtreme II GigE <NDIS VBD Client> #2
Physikalische Adresse: 00-19-B9-B5-C3-3E
DHCP aktiviert: Ja
Autokonfiguration aktiviert: Ja
IP-Adresse(Autom.Konfiguration) : 169.254.168.213
Subnetzmaske: 255.255.255.0
Standardgateway:
DNS-Server: 10.32.68.203
Primärer WINS-Server: 10.32.68.203
Bitte warten ..
Mitglied: Starmanager
12.04.2011 um 14:16 Uhr
So nun schau mal beim zweiten Adapter. Da steht dass er eine DHCP beziehen soll aber Du hast nur eine APIPA Adresse bekommen. Daraus schliesse ich dass da kein DHCP Server am Werk ist und dem Adapter eine Adresse geben kann. Vermutlich sollte die IP Adresse die gleiche wie die DNS Server Adresse und die des Wins sein.

Ich wuerde mal schauen warum Du ueberhaupt 2 Netzwerkkarten verwendest und was da angehaengt ist.

Mit freundlichen Grüßen

Starmanager
Bitte warten ..
Mitglied: Pjordorf
12.04.2011 um 14:16 Uhr
Hallo,

Zitat von Blu3Scr33n:
Ethernet-Adapter LAN-Verbindung des Servers:
DHCP aktiviert: Nein
IP-Adresse: 192.168.1.2
Subnetzmaske: 255.255.255.0
Standardgateway: 192.168.1.1
DNS-Server: 192.168.1.2
Primärer WINS-Server: 192.168.1.2
OK.

Ethernet-Adapter Netzwerverbindung:
Verbindungsspezifisches DNS-Suffix:
Beschreibung: Broadcom BCM5708C NetXtreme II GigE <NDIS VBD Client> #2
Physikalische Adresse: 00-19-B9-B5-C3-3E
DHCP aktiviert: Ja
Autokonfiguration aktiviert: Ja
IP-Adresse(Autom.Konfiguration) : 169.254.168.213
Subnetzmaske: 255.255.255.0
Standardgateway:
DNS-Server: 10.32.68.203
Primärer WINS-Server: 10.32.68.203
Wird diese 2.te Netzwerkkarte verwendet? Was ist daran angeschlossen? Wenn diese nicht verwendet wird, DEAKTIVIEREN

Dein Router hat die IP 192.168.1.1. Ist die auch als Gateway im DHCP eingetragen?

Was ist mit dem Ipconfig /all deines PC's?

Gruß,
Peter
Bitte warten ..
Mitglied: Blu3Scr33n
12.04.2011 um 14:30 Uhr
Mein PC sagt zu ipconfig /all:

Windows-IP-Konfiguration
Hostname: Einstein-PC
Primäres DNS-Suffix: eup.local
Knotentyp: Broadcast
IP-Routing aktiviert: Nein
WINS-Proxy aktiviert: Nein
DNS-Sufficsuchliste: eup.local
Ethernet-Adapter LAN-Verbindung:
Verbindungsspezifisches DNS-Suffix: eup.local
Beschreibung: Realtek PCIe GBE Family Controller
Physikalische Adresse: 00-30-67-87-7F-EB
DHCP aktiviert: Ja
Autokonfiguration aktiviert: Ja
Verbindungslokale IPv6-Adresse: fe80::c9f6:b1fc:72ef34d2%11<Bevorzugte>
IPv4-Adresse: 192.168.1.114<Bevorzugt>
Subnetzmaske: 255.255.255.0
Lease erhalten: Dienstag, 12. April 2011 09:57:39
Lease läuft ab: Mittwoch, 20. April 2011 09:57:44
Standardgateway: 192.168.1.1
DHCP-Server:192.168.1.2
DHCPv6-IAID: 234893415
DHCPv6-Client-DUID: 00-01-00-01-14-92-47-F1-00-30-67-87-7F-EB

DNS-Server: 192.168.1.2
Primärer WINS-Server: 192.168.1.2
NetBIOS über TCP/IP: Aktiviert

Tunneladapter isatap.eup.local:
Medienstatus: Medium getrennt
Verbindungsspezifisches DNS-Suffix: eup.local
Beschreibung: Microsoft-ISATAP-Adapter
Physikalische Adresse: 00-00-00-00-00-00-00-E0
DHCP aktiviert: Nein
Autokonfiguration aktiviert: Ja

Tunneladapter Teredo Tunneling Pseudo-Interface:
Medienstatus: Medium getrennt
Verbindungsspezifisches DNS-Suffix:
Beschreibung: Teredo Tunneling Pseudo-Interface
Physikalische Adresse: 00-00-00-00-00-00-00-E0
DHCP aktiviert: Nein
Autokonfiguration aktiviert: Ja

Wenn ich unter dem Dienst "DHCP" auf dem Server nachgucke, dann steht da als Eintrag unter DHCP: "srv-sbs.eup.local [192.168.1.2]" Das ist die IP unseres SBS Servers.
Die IPs werden über dyndns.com verwaltet. Bzw. Das ist der Proxy, über den wir den Fernzugriff auf Mails und Serverzugriff via FTP gewährtleisten.(Funktioniert logischerweise, wenn der Server "abstürzt"/den Dienst nicht startet oder whatever auch nicht)
Bitte warten ..
Mitglied: geTuemII
12.04.2011 um 14:34 Uhr
Ich wuerde mal schauen warum Du ueberhaupt 2 Netzwerkkarten verwendest und was da angehaengt ist.
Die Config mit zwei Netzwerkkarten gibt MS für den SBS als recommnded an. Das tut aber auch mit einer und Router.

geTuemII
Bitte warten ..
Mitglied: Pjordorf
12.04.2011 um 14:39 Uhr
Hallo,

Zitat von geTuemII:
Die Config mit zwei Netzwerkkarten gibt MS für den SBS als recommnded an. Das tut aber auch mit einer und Router.
Ja, aber nur wenn ich den wie damals (2000 - 2003) MS meinte, den SBS direkt ans INet hänge (und dann noch den ISA 2004 verwende). Heute ist MS davon weit abgerückt, siehe SBS 2008 / 2011.

Gruß,
Peter
Bitte warten ..
Mitglied: Blu3Scr33n
12.04.2011 um 14:42 Uhr
@Starmanger:

Zitat von Starmanager:
So nun schau mal beim zweiten Adapter. Da steht dass er eine DHCP beziehen soll aber Du hast nur eine APIPA Adresse bekommen.
Daraus schliesse ich dass da kein DHCP Server am Werk ist und dem Adapter eine Adresse geben kann. Vermutlich sollte die IP
Adresse die gleiche wie die DNS Server Adresse und die des Wins sein.

Ich wuerde mal schauen warum Du ueberhaupt 2 Netzwerkkarten verwendest und was da angehaengt ist.

Mit freundlichen Grüßen

Starmanager

Zur Klärung für mich (bin noch junger Administrator) was ist eine APIPA und wo kann ich sehen, was von den Netzwerkadaptern gesteuert wird?
Bitte warten ..
Mitglied: Pjordorf
12.04.2011 um 14:49 Uhr
Hallo,

Zitat von Blu3Scr33n:
Ethernet-Adapter LAN-Verbindung:
DHCP aktiviert: Ja
Autokonfiguration aktiviert: Ja
Verbindungslokale IPv6-Adresse: fe80::c9f6:b1fc:72ef34d2%11<Bevorzugte>
IPv4-Adresse: 192.168.1.114<Bevorzugt>
Subnetzmaske: 255.255.255.0
Lease erhalten: Dienstag, 12. April 2011 09:57:39
Lease läuft ab: Mittwoch, 20. April 2011 09:57:44
Standardgateway: 192.168.1.1
DHCP-Server:192.168.1.2
DHCPv6-IAID: 234893415
DHCPv6-Client-DUID: 00-01-00-01-14-92-47-F1-00-30-67-87-7F-EB
DNS-Server: 192.168.1.2
Primärer WINS-Server: 192.168.1.2
NetBIOS über TCP/IP: Aktiviert
OK. Dein SBS dient defintiv nicht als Gateway.

Wenn ich unter dem Dienst "DHCP" auf dem Server nachgucke, dann steht da als Eintrag unter DHCP: "srv-sbs.eup.local
[192.168.1.2]" Das ist die IP unseres SBS Servers.
OK so.

Die IPs werden über dyndns.com verwaltet.
Das glaube ich kaum Deine wechselnde Externe IP wird mittels Dyndns nur einem Namen zugeordnet.

Bzw. Das ist der Proxy,
Dyndns ist auch kein Proxy

über den wir den Fernzugriff auf Mails und
Serverzugriff via FTP gewährtleisten.(Funktioniert logischerweise, wenn der Server "abstürzt"/den Dienst nicht
startet oder whatever auch nicht)

Solange eine Verbindung zu eurem Router gegeben ist, das Gateway sich am PC nicht ändert kommt ihr auch ins Internet wenn irgendein Serverdienst stehen sollte. Ob die namesauflösung (DNS genannt) noch geht, hängt davon ab ob ihr den SBS noch erreichen könnt und der DNS Server noch auf Anfragen antwortet.

Du solltest also auf jeden fall per IP noch auf Webseiten kommen können. Ebendo auf DNS Namen aus deinem lokalen Cache (Ipconfig /displaydns). mach mal ein dauerping (am SBS sowie an deiem PC) mal auf eine Externe IP. Gehen beide dann noch wenn dein Server mal wieder "abgestürzt" ist? Kannst du deinen SBS dann noch anpingen? Kannst du deinen Router dann noch anpingen?

Wenn dein SBS mal wieder "abgestürzt" ist, schau mal nach welche Dienste dann nicht mehr laufen.

Gruß,
Peter
Bitte warten ..
Mitglied: Pjordorf
12.04.2011 um 14:57 Uhr
Hallo,

Zitat von Blu3Scr33n:
Zur Klärung für mich (bin noch junger Administrator) was ist eine APIPA
Nimm doch eine Suchmaschine deiner Wahl und schau mal was du alles dazu findest!

und wo kann ich sehen, was von den Netzwerkadaptern gesteuert wird?
Hmm. Ist ein Patchkabel an der Netzerkkarte angeschlossen? Wo geht das hin? Was hängt da wieder dran?

Ansonsten, welche Dienste laufen auf deinem SBS? Welcher dienste benötigt IP? Welche Dienste nutzen welche IP und warum.....

Was mir noch einfällt. Was ist eigentlich mit deinem täglichen SBS Monitoring Protokollen etc? Und ihr habt die Ereignisprotokolle wirklich ausgeschaltet? (Verwaltung - Ereignissprotokoll).

Gruß,
Peter
Bitte warten ..
Mitglied: Blu3Scr33n
12.04.2011 um 15:09 Uhr
Alles klar. Danke erstmal für die umfangreiche Hilfe und auch die Verbesserung meiner Fehler!!!

Ich gebe euch sobald wie möglich bescheid bezüglich der Ergebnisse des Dauerpings und was mi8t den Diensten los ist. (Hätte nie gedacht, dass ich mal darauf warte, dass der Server abschmiert^^)

Grüße,

Blu3Scr33n
Bitte warten ..
Mitglied: Pjordorf
12.04.2011 um 15:30 Uhr
Hallo,

Zitat von Blu3Scr33n:
(Hätte nie gedacht, dass ich mal darauf warte, dass der Server abschmiert^^)
Hehe. Hier ein MUSS. Bis denne.

Gruß,
Peter
Bitte warten ..
Mitglied: DerWoWusste
12.04.2011 um 22:42 Uhr
Hi.

Prüf in jedem Fall einmal

C:\WINDOWS\TEMP\UY2898.EXE
->Hochladen zu Virustotal.com
Bitte warten ..
Mitglied: Blu3Scr33n
13.04.2011 um 10:35 Uhr
Zitat von DerWoWusste:
Hi.

Prüf in jedem Fall einmal

C:\WINDOWS\TEMP\UY2898.EXE
->Hochladen zu Virustotal.com

Hallo DerWoWusste.

Diese Datei existiert weder auf dem Server, noch auf meinem lokalen Rechner.
Was sollte diese Datei beinhalten? Malware? Trojaner? Oder was?
Bitte warten ..
Mitglied: Blu3Scr33n
13.04.2011 um 10:43 Uhr
So liebe Admins,

es war mal wieder so weit.
Der Server war heute morgen down. Leider hat einer meiner Kollegen den Server neugestartet, ohne mir vorher bescheid zu geben (der Dauerping lief noch)
Allerdings lief der Dauerping auf meinem lokalen PC noch (Wie von Pjordorf vorgeschlagen auf eine externe IP, als Beispiel hatte ich GMX.net genommen)
Die Verbindung war zwischendurch unterbrochen (29 Signale sind verloren gegangen) Jedoch schätze ich, dass das in der Zeit passiert ist, wo der Server neugestartet wurde.
Beim letzten Mal, als der Server down war gab der Server beim anpingen von lokalen Rechnern keinen Antwort.
Hätte euch gerne über die Signale mehr erzählen können, aber wie gesagt wurde der Server in meiner Abwesenheit neu gestartet, womit ich zu dieser Zeit keine Diagnose durchführen konnte (auch nicht, welche Dienste nicht liefen) [Das man auch nicht mal ne halbe Stunde warten kann, bis der IT-ler im Haus ist -.-]

Ich durchforste jetzt mal das Eregnisprotokoll nach auffälligen Dingen.
Falls einer von euch n Tipp oder ne grobe Ahnung hat, nach was ich suchen soll nehme ich gerne Ratschläge an.

Grüße,
Blu3Scr33n
Bitte warten ..
Mitglied: DerWoWusste
13.04.2011 um 11:42 Uhr
Sie war im HijackThis-Log auffällig. Mach ein neues Log und schau, ob weitere .exe unter c:\windows\temp aufgelistet sind, das ist immer verdächtig. Scanne diese bei Virustotal.com
Bitte warten ..
Mitglied: Blu3Scr33n
13.04.2011 um 12:24 Uhr
Also wie gesagt (hab n Scan nochmal laufen lassen und auch selber händisch nachgeschaut) die Datei UY2898.EXE gibts nicht mehr.
Dafür 2 andere .EXE Dateien.
Das eine ist MUB657.EXE (Virus Total gibt an: 1 Treffer: Prevx 3.0 2011.04.13 Medium Risk Malware)
Das anderes UDC1C2.EXE (Bei der genau das gleiche: Prevx 3.0 2011.04.13 Medium Risk Malware)

Ich hab dann beide mal umgehend gelöscht.
Aber das diese beiden Dateien zum Absturz führen? Vor allem so periodisch.
Der Server ist seit letzte Woche Donnerstag periodisch alle 2 Tage abgestürzt.
Bitte warten ..
Mitglied: Pjordorf
13.04.2011 um 12:34 Uhr
Hallo,

Zitat von Blu3Scr33n:
Allerdings lief der Dauerping auf meinem lokalen PC noch (Wie von Pjordorf vorgeschlagen auf eine externe IP, als Beispiel hatte ich GMX.net genommen)
OK so.

Die Verbindung war zwischendurch unterbrochen (29 Signale sind verloren gegangen) Jedoch schätze ich, dass das in der Zeit passiert ist, wo der Server neugestartet wurde.
Sicher das alle 29 verlorene Pings zur gleichen Zeit an einem Block erfolgt sind? Und ein wegfall deines SBS sollte einem Ping von deinem PC zu GMX nicht behindern da eurer Router als Gateway direkt am Netz hängt (Dein SBS macht kein Routing, oder etwa doch???)

Falls einer von euch n Tipp oder ne grobe Ahnung hat, nach was ich suchen soll nehme ich gerne Ratschläge an.
SBS Monitoring sagt dir täglich was läuft oder ob Dienste nicht laufen. Was steht da drin?

Gruß,
Peter

[Nachtrag]
Habe hier eine Batchdatei welche dir evtl. helfen kann.
01.
@echo off & setlocal EnableDelayedExpansion  
02.
 
03.
rem angefangen 22.8.2003 
04.
rem letz. änderung 13.04.2010 
05.
 
06.
 
07.
cls 
08.
 
09.
rem datum und uhrzeit setzen 
10.
set FDatum=%Date:~0,2%.%Date:~3,2%.%Date:~6,4% %Time:~0,8% 
11.
 
12.
set Fehler=Nein 
13.
set /a Zaehler=100001    
14.
 
15.
rem anzahl Pings 
16.
Set /a Pings=2 
17.
 
18.
Set URL1Text=www.gmx.de 
19.
Set URL2Text=ptbtime1.ptb.de 
20.
 
21.
Set URL3=192.168.178.1 
22.
 
23.
 
24.
rem DNS Cache löschen 
25.
ipconfig /flushdns 
26.
 
27.
Rem ist es XP, sonst Win7 
28.
For /F "Tokens=3" %%i in ('Ver') do set OS=%%i 
29.
 
30.
REM Änderung bei Win 7 beachten! 
31.
REM set /a anzTokens=3 XP 
32.
REM set /a anzTokens=6 Win7 
33.
If %OS% == XP ( 
34.
Set varToken=3 
35.
) ELSE ( 
36.
Set varToken=6 
37.
38.
 
39.
 
40.
 
41.
rem URL einmal auflösen 
42.
Set URLText=%URL2Text% 
43.
call :Hole-IP 
44.
Set URL2=%URL% 
45.
 
46.
Set URLText=%URL1Text% 
47.
call :Hole-IP 
48.
Set URL1=%URL% 
49.
 
50.
 
51.
 
52.
echo. 
53.
echo Am %FDatum% mit der Aufzeichnung begonnen. 
54.
echo. 
55.
echo Pruefen ob 3 IP per ICMP Antworten 
56.
echo. 
57.
echo GMX de           = %URL1Text% = %URL1% 
58.
echo PTB Braunschweig = %URL2Text% = %URL2% 
59.
echo Gateway          = %URL3% 
60.
echo. 
61.
echo Zeit zwischen den Pings ca. %Pings% Sekunden 
62.
echo. 
63.
echo . = Ping OK, F = Fehlerhaft 
64.
echo. 
65.
echo Die Endlosschleife verlassen mit 
66.
echo. 
67.
echo        CTRL+C (STRG+C) 
68.
echo. 
69.
echo. 
70.
 
71.
echo ----------------------------------------------------------------->>PingListe.txt 
72.
rem echo.>>PingListe.txt 
73.
echo Start der Protokollierung ab %FDatum%>>PingListe.txt 
74.
echo ----------------------------------------------------------------->>PingListe.txt 
75.
 
76.
 
77.
 
78.
:Schleife 
79.
rem set /p =anpingen von %URL% <NUL 
80.
call :Anpingen 
81.
call :Auswerten 
82.
call :URLSetzen 
83.
call :LeerPing 
84.
 
85.
goto Schleife 
86.
 
87.
 
88.
:Hole-IP 
89.
for /F "Tokens=%varToken%" %%i in ('ping -n 1 %URLText%^|Find /i "%URLText%"') DO Set URL=%%i 
90.
set URL=%URL:~1,-1% 
91.
goto :eof 
92.
 
93.
 
94.
:Anpingen 
95.
set FDatum=%Date:~0,2%.%Date:~3,2%.%Date:~6,4% %Time:~0,8% 
96.
for /F %%i in ('ping -n 1 %%URL%%^|find /i "100%%"') Do ( 
97.
Set Fehler=Ja 
98.
99.
goto :eof 
100.
 
101.
 
102.
:Auswerten 
103.
If %Fehler%==Ja ( 
104.
echo %Zaehler:~-5% Am %Fdatum% keine Antwort von %URL%>>PingListe.txt 
105.
set /a Zaehler=!Zaehler!+1 
106.
set /p =F<nul 
107.
 
108.
) ELSE ( 
109.
 
110.
REM echo %Zaehler:~-5% Am %Fdatum% Antwort von %URL%>>PingListe.txt 
111.
set /p =.<nul 
112.
113.
 
114.
Set Fehler=Nein 
115.
 
116.
goto :eof 
117.
 
118.
 
119.
:URLSetzen 
120.
If %URL%==%URL1% ( 
121.
Set URL=%URL2% 
122.
goto :eof 
123.
124.
 
125.
If %URL%==%URL2% ( 
126.
Set URL=%URL3% 
127.
goto :eof 
128.
129.
 
130.
If %URL%==%URL3% ( 
131.
Set URL=%URL1% 
132.
133.
goto :eof 
134.
 
135.
 
136.
:LeerPing 
137.
ping -n %Pings% 127.0.0.1 >> NUL 
138.
goto :eof 
139.
 
140.
 
141.
:Ende
[/Nachtrag]
Bitte warten ..
Mitglied: Pjordorf
13.04.2011 um 12:36 Uhr
Hallo,

Zitat von Blu3Scr33n:
Also wie gesagt (hab n Scan nochmal laufen lassen und auch selber händisch nachgeschaut) die Datei UY2898.EXE gibts nicht mehr.
Lag ja auch im Ordner TEMP. Lösche den Inhalt mal sofern die Dateien nicht in benutzung sind.

Dafür 2 andere .EXE Dateien.
Das eine ist MUB657.EXE (Virus Total gibt an: 1 Treffer: Prevx 3.0 2011.04.13 Medium Risk Malware)
Das anderes UDC1C2.EXE (Bei der genau das gleiche: Prevx 3.0 2011.04.13 Medium Risk Malware)
Auch im TEMP Ordner?

Gruß,
Peter
Bitte warten ..
Mitglied: Blu3Scr33n
13.04.2011 um 12:58 Uhr
Beide im Temp Ordner ja...

Bin grade dabei die Ereignisprotokolle auf dem Server durchzugucken.
Geb euch gleich mal n kruzen Überblick von kritischen Meldungen
Bitte warten ..
Mitglied: Blu3Scr33n
13.04.2011 um 13:01 Uhr
Ich wollte grade UDC1C2.EXE löschen. Nun erzählt er mir "UDC1C2 kann nicht gelöscht werden: Der Zugriff wurde verweigert"
Die Datei ist nicht schreibgeschützt. Wie kann ich rausfinden, von welchem Programm diese .exe verwendet wird?
Bitte warten ..
Mitglied: Pjordorf
13.04.2011 um 13:08 Uhr
Hallo,

Zitat von Blu3Scr33n:
Ich wollte grade UDC1C2.EXE löschen. Nun erzählt er mir "UDC1C2 kann nicht gelöscht werden: Der Zugriff wurde
verweigert"
Nun, es ist normal das einige Dienste / Programme temporäre Datein im laufenden Betrieb geöffnet haben. Deshalb der ordner Temp.

Die Datei ist nicht schreibgeschützt. Wie kann ich rausfinden, von welchem Programm diese .exe verwendet wird?
Es muss nicht eine EXE DFatei sein. Kann auch eine DLL oder sonstwas sein Der Process Monitor von Sysinternals (MS) kann dir da sicherlich helfen.

Gruß,
Peter
Bitte warten ..
Mitglied: Blu3Scr33n
13.04.2011 um 13:53 Uhr
Hmmm...also für mich war das jetzt leider wenig aufschlussreich. Vielleicht hilft euch das weiter:
Time:13:11:04,7779659 Process Name: UDC1C2.EXE PID: 5036 Operation: Process Profiling Result: SUCCESS Detail: User Time: 4.3750000 seconds, Kernel Time: 13.1406250 seconds, Private Bytes: 1.548.288, Working Set: 684.032

Da fehlt mir die Info, von was das ganze benutzt wird
Bitte warten ..
Mitglied: Blu3Scr33n
13.04.2011 um 14:04 Uhr
Hab da evtl. was im System-Ereignisprotokoll:
Beschreibung:
Die Sicherheitskontenverwaltung konnte die KDC Anforderung unerwarteter Weise nicht durchführen. Der Fehler steht im Datenfeld. Der Kontoname war "BESAdmin@EUP.LOCAL" und Lookuptyp "0x28".
Ereigniskennung: 7
Bitte warten ..
Mitglied: geTuemII
13.04.2011 um 15:32 Uhr
Hallo Jungs,

auf dem System läuft ein TrendMicro, das sieht man auch in HijackLog. Und der erzeugt in Windows\Temp exeDateien mit randomized names. Das ist also völlig normal,daß dort solche Dateien liegen. Ja, ich bin beim ersten Mal auch erstmal ziemlich hektisch geworden...

geTuemII
Bitte warten ..
Mitglied: Blu3Scr33n
13.04.2011 um 15:40 Uhr
Hy geTuemll,

d.h. diese temp exe könnte von Trend Micro stammen? Denn der Process Monitor zeigt mir leider nicht was der Grund ist, dass ich diese Datei nicht löschen kann.
Bitte warten ..
Mitglied: geTuemII
13.04.2011 um 16:30 Uhr
Yep, die Datei stammt sehr wahrscheinlich von TrendMicro. Die Dateien werden beim Start erzeugt und IMHO gelöscht, wenn der Dienst gestoppt wird oder der Rechner heruntergefahren wird. Das erklärt auch, warum du die Datei zunächst nicht löschen kannst (sie wird verwendet) und dann nicht mehr findest.

Anti-Spy.Info soll angeblich richtig auswerfen, daß TrendMicro diese Dateien startet, das habe ich aber selbst noch nicht getestet.

geTuemII
Bitte warten ..
Mitglied: Blu3Scr33n
13.04.2011 um 18:20 Uhr
Auffälligkeiten in den Ereignisprotokollen:
Ereignisprotokoll Anwendungen:
1. Fehler:
Beim Synchronisieren der Aktualisierungsdienste-Computergruppen mit der Gruppenrichtlinie oder beim Verschieben der Gruppe "Nicht zugeordnete Computer" ist ein schwerwiegender Fehler aufgetreten. Wenn Sie ein detailliertes Protokoll anzeigen möchten, erstellen Sie eine Datei mit dem Namen "SyncSecurity.Log" unter "%SBSProgramDir%\Support", und führen Sie "SyncSecurity.exe" erneut aus. Zurückgegebener Fehler: Der Dienst wsusservice wurde nicht auf dem Computer . gefunden.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

2. Warnung:
Die Protokolldatei D:\Exchsrvr\SRV-SBS.log\20101230.log für die Nachrichtenverfolgung wurde gelöscht.

3. Fehler:
Exchange-Informationsspeicher "Erste Speichergruppe\Postfachspeicher (SRV-SBS)": Die logische Größe dieser Datenbank (die logische Größe entspricht der physikalischen Größe der EDB-Datei und der STM-Datei abzüglich dem logischen freien Speicher beider Dateien) beträgt 50 GB. Mit dieser Datenbankgröße wurde die Größenbeschränkung von 50 GB überschritten.

Die Bereitstellung dieser Datenbank wird sofort aufgehoben.

Weitere Informationen finden Sie unter http://www.microsoft.com/contentredirect.asp.

4. Fehler:
Unerwarteter Exchange Postfach-Serverfehler: Server: [SRV-SBS.eup.local] Benutzer: [NAME@Domainname.de] HTTP-Statuscode: [503]. Stellen Sie sicher, dass der Exchange Postfach-Server einwandfrei funktioniert.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

5. Fehler:
Der unerwartete Fehler <<0xc1050000 - Unbekannter Fehler. Fehler bei der Anmeldung am Microsoft Exchange Server-Computer. Microsoft Exchange Server-Informationsspeicher ID no: 80040111-03ee-80040111>> ist aufgetreten.

Weitere Informationen erhalten Sie unter http://www.microsoft.com/contentredirect.asp.

6. Fehler:
Fehler bei der Anmeldung für den Benutzer ''. Der Benutzer ist keiner vertrauenswürdigen SQL Server-Verbindung zugeordnet. [CLIENT: 192.168.1.2]

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

Ereignisprotokoll-System:
1. Fehler:
Die Sicherheitskontenverwaltung konnte die KDC Anforderung unerwarteter Weise nicht durchführen. Der Fehler steht im Datenfeld. Der Kontoname war "BESAdmin@EUP.LOCAL" und Lookuptyp "0x28".

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

2. Fehler:
Protokolldatei "Anwendungs" ist voll.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

3.Warnung:
Die IP-Adresse für die Netzwerkkarte mit der Netzwerkadresse 0019B9B5C33E wurde automatisch durch diesen Computer konfiguriert. Die verwendete IP-Adresse ist 169.254.186.213.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

4.Warnung:
Der DHCP-Dienst wird auf einem Domänencontroller ausgeführt und verfügt über keine Anmeldeinformationen, die für die Verwendung mit dynamischen DNS-Registrierungen, die vom DHCP-Dienst initialisiert sind, konfiguriert sind. Dies ist keine empfohlene Sicherheitskonfiguration. Anmeldeinformationen für dynamische DNS-Registrierungen können an der Befehlszeile mit "netsh dhcp server set dnscredentials" oder mit Hilfe des DHCP-Verwaltungsprogramms konfiguriert werden.

Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp.

Das sind alles Warn- oder Fehlermeldungen bevor der Server "rumgezickt" hat.
Die Windows Hilfe ist da nicht der Renner, wenn man nach Infos sucht. Dort gibt es nur wenig bis garkeine Erklärung (bei den meisten Sachen zumindest)
Bitte warten ..
Mitglied: Blu3Scr33n
13.04.2011 um 18:23 Uhr
@Pjordorf:

Wenn ich die batch Datei durchlaufen lasse, dann gibt er mir am Ende die Meldung
"-1 kann synntaktisch an dieser Stelle nicht verarbeitet werden" oder so ähnlich (die Meldung wird ne Viertelsekunde eingeblendet und danach wird das fenster geschlossen)
Bitte warten ..
Mitglied: Pjordorf
13.04.2011 um 18:46 Uhr
Hallo,

Zitat von Blu3Scr33n:
Wenn ich die batch Datei durchlaufen lasse, dann gibt er mir am Ende die Meldung
"-1 kann synntaktisch an dieser Stelle nicht verarbeitet werden" oder so ähnlich (die Meldung wird ne
Viertelsekunde eingeblendet und danach wird das fenster geschlossen)
CMD fenster starten und dann die Batchdatei. Dann steht es länger...

Mit welchem OS läßt du die Batchdatei laufen? Mach mal bitte ein Ver und poste das Ergebniss.

Gruß,
Peter
(Nachtrag]
Läuft korrekt unter Windows 7 UND Windows XP
 
Windows-IP-Konfiguration 
 
Der DNS-Auflösungscache wurde geleert. 
 
Am 13.04.2011 18:47:05 mit der Aufzeichnung begonnen. 
 
Pruefen ob 3 IP per ICMP Antworten 
 
GMX de           = www.gmx.de = 213.165.64.74 
PTB Braunschweig = ptbtime1.ptb.de = 192.53.103.108 
Gateway          = 192.168.178.1 
 
Zeit zwischen den Pings ca. 2 Sekunden 
 
. = Ping OK, F = Fehlerhaft 
 
Die Endlosschleife verlassen mit 
 
       CTRL+C (STRG+C) 
 
 
..F..F..F.. 
Bitte warten ..
Mitglied: Pjordorf
13.04.2011 um 19:08 Uhr
Hallo,

Zitat von Blu3Scr33n:
Auffälligkeiten in den Ereignisprotokollen:
Also gibt es doch eintragungen

2. Warnung:
Die Protokolldatei D:\Exchsrvr\SRV-SBS.log\20101230.log für die Nachrichtenverfolgung wurde gelöscht.
Kein Fehler, nur eine Info an dich.

3. Fehler:
Größenbeschränkung von 50 GB überschritten.
Da hast du einen DICKEN Fehler. Deine Exchange Datenbank ist gößer als erlaubt (eingestellt bei euch im SBS 50 GB) und knallt weg.
Siehe http://support.microsoft.com/kb/912375 dort unter Manuell beheben nach um die Grösse auf max. 75 Gb ändern zu können. Auch hilfreich http://www.msxfaq.de/notfall/16gb.htm


Die Bereitstellung dieser Datenbank wird sofort aufgehoben.
Klar, siehe Fehler 3

4, 5. Fehler:
Unerwarteter Exchange Postfach-Serverfehler: Server: [SRV-SBS.eup.local] Benutzer: [NAME@Domainname.de] HTTP-Statuscode:
Folge von Fehler 3.

6. Fehler:
Fehler bei der Anmeldung für den Benutzer ''. Der Benutzer ist keiner vertrauenswürdigen SQL Server-Verbindung
zugeordnet. [CLIENT: 192.168.1.2]
SQL Benutzerzugriff nicht per Windows Authentifizierung eingestellt? Für welche SQL Instanz?

Ereignisprotokoll-System:
1. Fehler:
Datenfeld. Der Kontoname war "BESAdmin@EUP.LOCAL" und Lookuptyp "0x28".
Kein Exchange, Kein Blackberry Enterprise Server, oder ist es was anderes?

2. Fehler:
Protokolldatei "Anwendungs" ist voll.
Protokolldatei vergrößern auf 128 oder 256 MB.

3.Warnung:
Die IP-Adresse für die Netzwerkkarte mit der Netzwerkadresse 0019B9B5C33E wurde automatisch durch diesen Computer
konfiguriert. Die verwendete IP-Adresse ist 169.254.186.213.
Wenn diese netzwerkkarte NICHT verwendet wird (kein Patchkabel drin), DEAKTIVIEREN!

4.Warnung:
Befehlszeile mit "netsh dhcp server set dnscredentials" oder mit Hilfe des DHCP-Verwaltungsprogramms konfiguriert
Auch sofort ändern!

Das sind alles Warn- oder Fehlermeldungen bevor der Server "rumgezickt" hat.
Na, das hast du aber einen SBS der fast nicht mehr läuft.

Gruß,
Peter

[Edit]
Domänen Namen geändert
[/Edit]
Bitte warten ..
Mitglied: Blu3Scr33n
13.04.2011 um 20:58 Uhr
Hallo, danke für diese Umfassende "Diagnose"

Zitat von Pjordorf:
Hallo,

> Zitat von Blu3Scr33n:
> Auffälligkeiten in den Ereignisprotokollen:
Also gibt es doch eintragungen
Die Ereignisprotokolle hab ich, als ich diesen Thread eröffnet habe endlich aktiviert. Keine Ahnung, was mein Vorgänger da für n Bockmist gemacht hat.

> 2. Warnung:
> Die Protokolldatei D:\Exchsrvr\SRV-SBS.log\20101230.log für die Nachrichtenverfolgung wurde gelöscht.
Kein Fehler nur eine Info an dich.
alles klar

> 3. Fehler:
> Größenbeschränkung von 50 GB überschritten.
Da hast du einen DICKEN Fehler. Deine Exchange Datenbank ist gößer als erlaubt (eingestellt bei euch im SBS 50 GB)
und knallt weg.
Siehe http://support.microsoft.com/kb/912375 dort unter Manuell beheben nach um die Grösse auf max. 75 Gb ändern zu
können. Auch hilfreich http://www.msxfaq.de/notfall/16gb.htm
danke, schaue ich nach, sobald ich wieder im office sitze und ändere das


> 6. Fehler:
> Fehler bei der Anmeldung für den Benutzer ''. Der Benutzer ist keiner vertrauenswürdigen SQL
Server-Verbindung
> zugeordnet. [CLIENT: 192.168.1.2]
SQL Benutzerzugriff nicht per Windows Authentifizierung eingestellt? Für welche SQL Instanz?
Meinst du mit "Instanz" für welches Programm diese Datenbank ist? Das wäre Cobra CRM (Also ein Customer Relation Management Prog)

> Ereignisprotokoll-System:
> 1. Fehler:
> Datenfeld. Der Kontoname war "BESAdmin@EUP.LOCAL" und Lookuptyp "0x28".
Kein Exchange, Kein Blackberry Enterprise Server, oder ist es was anderes?
Das dürfte der Blackberry Server sein, der bei uns läuft (seperater Server, der nur noch von einem Blackberry angesprochen wird)

> 2. Fehler:
> Protokolldatei "Anwendungs" ist voll.
Protokolldatei vergrößern auf 128 oder 256 MB.
Alles klar, auch das ändere ich, wenn ich wieder im Office bin.

> 3.Warnung:
> Die IP-Adresse für die Netzwerkkarte mit der Netzwerkadresse 0019B9B5C33E wurde automatisch durch diesen Computer
> konfiguriert. Die verwendete IP-Adresse ist 169.254.186.213.
Wenn diese netzwerkkarte NICHT verwendet wird (kein Patchkabel drin), DEAKTIVIEREN!
Geb ich dir auch noch Rückmeldung zu.

> 4.Warnung:
> Befehlszeile mit "netsh dhcp server set dnscredentials" oder mit Hilfe des DHCP-Verwaltungsprogramms konfiguriert
Auch sofort ändern!
Jawoll!

> Das sind alles Warn- oder Fehlermeldungen bevor der Server "rumgezickt" hat.
Na, das hast du aber einen SBS der fast nicht mehr läuft.
"Fast nicht mehr" ist richtig. Wie schon geschrieben stürzt er mittlerweile alle 2 Tage ab,. Heute sogar 2 Mal. Also habe ich spätestens wieder am Freitag das "Vergnügen"
Bitte warten ..
Mitglied: Blu3Scr33n
19.04.2011 um 14:04 Uhr
Hallo Zusammen.

Entschuldigung, dass ich mich so lange nicht zurückgemeldet habe.
Es funktioniert alles wieder. Und es war ein eigtl. recht simpler Fehler. Das Exchangpostfach war zu voll. Wir hatten eine Begrenzung bis 50 GB eingestellt. Diese wurde erreicht, wodurch der Dienst natürlich die weiterarbeit verweigert hat
Zwischenzeitliche Lösung bei uns ist jetzt gewesen -> Exchangepostfach vergrößern auf 70 GB
Die letztendliche Lösung für mich: Meine User schelten und denen schleunigst sagen, dass die doch bitte mal ihre Emailpostfächer leeren.

Ich möchte ganz großen Dank aussprechen an alle, die mir so tatkräftig und mit vielen guten ratschlägen zur Seite gestanden haben.
Besonderes Lob geht an Pjordorf!!!
Danke Peter

Beste Grüße,

Blu3Scr33n
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(1)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Netzwerk
Windows Server 2003 SBS Netzwerk durch neuen Server Ersetzen (9)

Frage von MultiStorm zum Thema Windows Netzwerk ...

Exchange Server
gelöst Microsoft Excange Server 2007 auf Windows Server 2003 Installieren? (9)

Frage von Herbrich19 zum Thema Exchange Server ...

Windows Server
gelöst Suche Windows Server 2003 Enterprise ISO (8)

Frage von Herbrich19 zum Thema Windows Server ...

Server
gelöst Client bei Windows Server 2003 ändern (5)

Frage von Therealcookie zum Thema Server ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...