Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Windows Server 2008 (SP2) Probleme mit unkontrolliertem Traffic

Frage Microsoft Windows Server

Mitglied: iceget

iceget (Level 2) - Jetzt verbinden

24.02.2011, aktualisiert 08:39 Uhr, 5872 Aufrufe, 6 Kommentare

Hallo liebe Administrator.de Community,

und zwar habe ich das Problem das mein Server 2008 mit SP2 (ich habe gestern zirka 100 Updates und anschließend das SP2 installiert) auf dem eigentlich nur
Apache, PHP, MySQL sowie Filemaker drauf läuft das er innerhalb von 10 Stunden einen riesen Traffic (ausgehend) produziert.

Laut Apache MySQL und Filemaker Ports werden in 10 Stunden vielleicht 100 MB transferiert, mehr jedoch nicht, ... wo kommt der zusätzliche ausgehende Traffic her?!

Anbei das Foto:
c9c2646204fdf3b65b8044a5d97878fe - Klicke auf das Bild, um es zu vergrößern


Ich habe alles versucht. Spybot Search & Destroy (der hat nix gefunden). Antivirus habe ich auch einen installiert (auch dieser hat nix gefunden)

Jetzt die Frage: wie kann ich grundsätzlich auf die Suche gehen, welcher Dienst so einen Datentraffic produziert. Über das Internet kommt der Server nicht mehr hinaus
(es kommen nur mehr die Ports raus, die wirklich sollen). Seit dem wird wenigstens die Internetleitung nicht mehr zugemüllt.

Der Server killt mir nun auch die Firwall wenn er diese Daten produziert (diese blockt den Traffic natürlich ab)...

Mit Smartsniff (der alle Pakete zählt (Anzahl und Datenmenge)) diesen habe ich eine Nach lang laufen gelassen. Jedoch nicht mehr wie insgesamt 100 MB Daten, ...

den http://www.de.paessler.com/prtg habe ich auch eine Nachlang laufen gelassen. Hier sieht man sehr gut wann er über die Intel Netzwerkkarte soviel Traffic transferiert hat,
jedoch nicht wirklich über welche Anwendung oder welchen Port, ... ich verstehe das einfach nicht, ...!

Wie kann ich an dieses Problem gescheit herangehen? Wenn ich Wireshark gestartet lasse, hängt sich das Programm nach 20 Minuten vollständig auf, ....

BItte um Hilfe!

Vielen Dank!

glg Markus
Mitglied: Anton28
10.03.2011 um 15:19 Uhr
Hallo Markus,

ist Dein Problem noch aktuell ?

Wieviele Server und Clients gibt es bei Dir ?
Wie ist die Netztopologie ?

Kannst Du mal die Graphik vom PRTG posten ?

Was zeichnet der Wireshark auf ?
Welche Version hasst Du im Einsatz ?
Hasst Du nach der Installation den Server gebootet ?
Lässt Du den Wireshark in eine Datei schreiben ?

Gruß

Anton
Bitte warten ..
Mitglied: iceget
10.03.2011 um 17:05 Uhr
Hallo!

Jaein.

Ich habe die Hardware Firewall mit ins spiel genommen, jetzt kann nichts mehr raus.

Wireshark hängt sich nach 10 Minuten auf (da werden über 13 GB Daten generiert), kurz: ich kann auch den WS Dump nicht mehr öffnen! (ja ich lasse WS in eine Datei schreiben, lokal wo zirka 300 GB freier Speicherplatz zur Verfügung steht)

Windows Server 2008 32 Bit aktuellstes Servicepack + Updatepack.

Ja, den Server hab ich nach den Updates + nach der Installation von der Installierte Software neu gestartet.

Ich werde das System mit Windows Server R2 neu aufsetzen.

Vielen Dank trotzdem für die Hilfe!

glg Markus
Bitte warten ..
Mitglied: Anton28
10.03.2011 um 18:53 Uhr
Servus Markus,

nicht gleich verzweifeln.

Das mit dem neu aufsetzen des Servers halte ich nicht für zielführend, wenn Du das Problem nicht identifiziert hast.

Es müsste eigentlich reichen, wenn Du den Wireshark nach ca 20Sekunden anhälst.

Dann lässt sich auch die Datei auswerten.

Gruß

Anton
Bitte warten ..
Mitglied: Anton28
10.03.2011 um 18:57 Uhr
Hallo Markus,

hast Du noch eine Skizze Deines Netzwerkes ?

Es würde helfen, das Problem einzugrenzen.

Welche Switches verwendest Du in Deinem Netzwerk ?

Gruß

Anton
Bitte warten ..
Mitglied: iceget
10.03.2011 um 19:46 Uhr
Hallo Anton,

Vielen Dank für deine Unterstützung!

Das Netzwerk sieht eigentlich recht simpel aus (Skizze habe ich leider keine):


VMWARE ESXi
- Windows Server 2008 32 Bit - FiBu (Fehlerfrei) - virtuell am ESXi
- Windows Server 2008 32 Bit - Filemaker (Trafficprobleme) - virtuell am ESXi

Dieser ist via 1 GBit ans Netz angebunden.
Der Switch ist von HP (ProCurve, managed). Auch hier sieht man den Traffic der von der IP vom Filemakerserver rausgeht.

Als Gateway (unmittelbar nachdem Switch) befindet sich eine ZyXEL ZyWALL USG 100. Alle Ports ausgehend (bist auf die benötigen) werden blockiert.

Eingehend werden die unten angeführten Ports auf den Server weitergeleitet (von extern, jede IP ist erlaubt).

Es greifen ~10 Terminal Benutzer via Microsoft Remote Desktop Protokoll auf den Server zu (und eben die restlichen ~50 via PHP und MySQL).

Eine aktuelle MySQL Datenbank (Windows basierend) mit einer aktuellen Version von Apache 2 + die aktuellste PHP Version.
MySQL wird direkt von externen PHP Scripts zugegriffen sowie auch von den lokalen Scripts (sollte so Art mobile Datenerfassung sein).

Eingehende Ports: 80, 3389, 3306 sowie 3009 Port von Filemaker.

Wenn ich einen Packetsniffer laufen lasse, sind insgesamt (von 20 Uhr bis 08:00 Uhr) 200 MB an Daten zusammen gekommen.
Mehr sieht man mit dem Sniffer nicht (auch nicht der Traffic der ungewollt produziert wurde).
In der Netzwerkkartenstatistik (Windows Server 2008 - Filemaker) sieht man das in diesem Zeitraum ~ 150 Gigabyte Daten gesendet wurden, ...

WireShark kann ich starten, jedoch ist das Problem eben sporadisch (oft fängt das Problem erst mal am Abend an, dann hängt sich WS auf).
Ich kann nicht Stunden zuschauen bis er mal anfängt diese Datenmenge mitzuprotokolieren, ... auch wenn ich wollte.

Die PRTG Software verzeichnet den Traffic auch Schnittstellenseitig. Man sieht das für zirka 35 Minuten alles perfekt funktioniert, und dann auf einmal ist die
Netzwerkauslastung wieder komplett oben, kurz: es werden wieder wie verrückt daten gesendet, ...

Ich hoffe das sind genug Infos, damit Du Dir in etwas vorstellen kannst wie's dort aussieht!

Wohl gemerkt muss ich angeben, das die Securityupdates + ServicePacks erst nach einem Jahr installiert wurden (zuvor war ein Antivirenschutz (AVG-Small Business) installiert).

Vielen Dank!

glg Markus
Bitte warten ..
Mitglied: Anton28
23.03.2011 um 11:20 Uhr
Hallo Markus,

wie stehts mit Deinem Problem ?

Die Aufzeichnung mit WireShark würde ich nicht in eine große Datei schreiben lassem. Man kann den WS so einstellen, dass er viele kleinere Dateien schreibt.
z.B. 100 Dateien an 128 MB.

Diese Dateien kann man dann sehr einfach auswerten.


Gruß

Anton
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...