meikomeko 10 Geschrieben 15. August 2003 Melden Teilen Geschrieben 15. August 2003 Hallo, ein W2k DC mit Exchange der seit zwei Jahren ohne Probleme lief, und an dem die letzten Wochen keinerlei Änderungen gemacht wurden, spielt plötzlich verrückt. Nach einem Neustart sind im Ereignisprotokoll weder Fehler noch Warnungen zu finden. Nach 5 - 10 Minuten finden sich dann 3 Fehler in Ereignisanzeige/Anwendung, Quelle MSExchangeSA (9099, 9102, 9097): "Der MAD-Überwachungthread konnte den Status des Dienstes nicht lesen, Fehler 0x800706bf". "Der MAD-Überwachungsthread konnte den Status der Clusterressourcen nicht lesen, Fehler 0x800706ba". "Der MAD-Überwachungsdienst konnte keine Verbindung mit WMI herstellen, Fehler 0x800706ba" Der Informationsspeicher steht plötzlich nicht mehr zur Verfügung. Neustarts der Exchange-Dienste enden mit einem Timeout. In der Ereignisanzeige folgt nach Doppelklick oder Rechte Taste auf die Fehler keine Anzeige. Die Eigenschaften von Diensten lassen sich auch nicht mehr anzeigen. Der DHCP-Server, WINS-Server, die auf der Maschine laufen werden nicht mehr gefunden. Eigenschaften von DNS lassen sich nicht mehr anzeigen. Beim Aufruf eines Kontext-Menus (weiß leider nicht mehr welches) erhalte ich den Hinweis, dass der RPC-Server nicht mehr zur Verfügung steht. Die Ereignisanzeige/System ist immer leer. Ich hab nicht die geringste Idee, wo ich ansetzen soll, um die Ursache des Problems zu finden. Hoffe, Euch fällt etwas dazu ein. Grüße, Frank Zitieren Link zu diesem Kommentar
zuschauer 10 Geschrieben 15. August 2003 Melden Teilen Geschrieben 15. August 2003 Hi Frank ! Wenn derzeit irgendeine NT/w2k/XP - Machine meldet, daß der RPC-Server nicht mehr zur Verfügung steht, kommt als erstes die Frage, ob der MS-Patch von 16.7. eingespielt wurde http://www.microsoft.com/downloads/details.aspx?FamilyID=c8b8a846-f541-4c15-8c9f-220354449117&DisplayLang=de (Vor Beginn der Attacke.) Wenn der Patch nicht installiert ist, solltest Du mal die Thread zu LoveSan/w32blast usw. lesen. Da gibt es dann viele Tipps/Links, wie man den wieder los wird. Zitieren Link zu diesem Kommentar
meikomeko 10 Geschrieben 15. August 2003 Autor Melden Teilen Geschrieben 15. August 2003 Hi zuschauer, der Patch war leider nicht eingespielt. Dachte deshalb auch erstmal an den Wurm. Habe 2 Removal Tools laufen lassen, nach entsprechenden Reg-Keys, Dateien und Tasks gesucht,aber nicht die geringste Spur von w32blast gefunden. Im Abgesicherten Modus (und nur dann) tauchte dann auch noch Fehler "7031 Der Dienst RPC wurde unerwartet beendet" in Ereignisanzeige/System als typisches Symptom auf. Kann ein Hardware-Fehler RPC in die Knie zwingen? Grüße, Frank Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.