m.m.g 10 Geschrieben 6. Mai 2008 Melden Teilen Geschrieben 6. Mai 2008 Hallo zusammen! Ich bin einer von 4 Administratoren in einer Firma. Bisher konnte ich meine Probleme immer selber lösen. Jetzt sieht es aber so aus, als würde ich ohne Eure Hilfe nicht weiterkommen. Folgendes ist das Problem: Server1: W2k3 DC, FSMO, Fileserver Server2: W2k3 Member, Exchange2003, WebServer Server3: W2k3 DC, SQL Server IsaServer: ISA-Server face-smile Wenn wir (die Administratoren) uns mit unseren "normalen" Benutzerkonten zu Mitgliedern der Administratorengruppe machen, wird der Zugriff aus Server1 grottenlahm. In unserem Fall, legen wir das gesamte Netz lahm. Der Zugriff von jedem Rechner auf dem Server ist langsam und wird später unmöglich. Reagieren wir nicht, geht es so weit, dass sich das Problem nur durch einen Neustart des Server1 lösen lösst. Witzig ist, dass wir das Problem vor ca. einem Jahr schon einmal hatten und uns Adminss dann die Admin-Rechte entzogen haben. Dann, nach diversen ServicePacks und Updates haben wir irgendwann, vor ein paar Monaten, wieder Admin-Rechte vergeben und bis vor einer Woche lief alles problemlos. Jetzt geht der Sch... wieder los. Das Sicherheitsprotokoll wird, während das Problem besteht für jeden angemeldeten Admin 10x hintereinander mit folgenden 3 Ereignissen (gekürzt, da sonst die Beitragslänge überschritten wird) geflutet, und das alle paar Sekunden: Ich habe die Ereignismeldungen mal in den nächsten Post verfrachtet, da sonst die max. Zeichenzahl überschritten wird. Melden wir (Admins) uns rechtzeitig ab, läuft der Zugriff wieder problemlos. Auffällig ist, dass in dieser Zeit die durchschnittliche Warteschlangenlänge dramatisch ansteigt. Von 1-3 auf 20-30. Wenn der Server dann kolabiert, steigt die Warteschlangenlänge auf bis zu 100. Auch die Zahl der Kontextwechsel schnellt in die Höhe. So langsam bin ich ratlos und hoffe, ihr könnt dazu was sagen. Vielen Dank schonmal im Voraus Marc – Ereignistyp: Erfolgsüberw. Ereignisquelle: Security Ereigniskategorie: Verzeichnisdienstzugriff Ereigniskennung: 565 Datum: 29.04.2008 Zeit: 12:08:29 Benutzer: XXXX\mmg Computer: SERVER1 Beschreibung: Geöffnetes Objekt: Objektserver: Security Account Manager Objekttyp: SAM_DOMAIN Objektname: DC=XXXX,DC=local Handlekennung: 107622776 Vorgangskennung: {0,1061157263} Prozesskennung: 544 Prozessname: C:\WINDOWS\system32\lsass.exe Primärer Benutzername: SERVER1$ Primäre Domäne: XXXX Primäre Anmeldekennung: (0x0,0x3E7) Clientbenutzername: mmg Clientdomäne: XXXX Clientanmeldekennung: (0x0,0x3F3A1FDF) Zugriffe DELETE READ_CONTROL WRITE_DAC WRITE_OWNER Kennwortparameter lesen Andere Parameter lesen Andere Parameter schreiben Benutzer erstellen Globale Gruppe erstellen Lokale Gruppenmitgliedschaft erhalten Konten auflisten Berechtigungen - Eigenschaften: --- domain DELETE READ_CONTROL WRITE_DAC WRITE_OWNER Kennwortparameter lesen Andere Parameter lesen Andere Parameter schreiben Benutzer erstellen Globale Gruppe erstellen Lokale Gruppenmitgliedschaft erhalten Konten auflisten Domain Password & Lockout Policies lockOutObservationWindow lockoutDuration lockoutThreshold maxPwdAge minPwdAge minPwdLength pwdHistoryLength pwdProperties Other Domain Parameters (for use by SAM) serverState serverRole modifiedCount uASCompat forceLogoff domainReplica oEMInformation Domain Administer Server Zugriffsmaske: 0 --------------------------------------------------------------------------------------------------------------------------------------------------------------------------- Zitieren Link zu diesem Kommentar
m.m.g 10 Geschrieben 6. Mai 2008 Autor Melden Teilen Geschrieben 6. Mai 2008 Ereignistyp: Erfolgsüberw. Ereignisquelle: Security Ereigniskategorie: Verzeichnisdienstzugriff Ereigniskennung: 565 Datum: 29.04.2008 Zeit: 12:08:29 Benutzer: XXXX\mmg Computer: SERVER1 Beschreibung: Geöffnetes Objekt: Objektserver: Security Account Manager Objekttyp: SAM_DOMAIN Objektname: CN=Builtin,DC=XXXX,DC=local Handlekennung: 108064360 Vorgangskennung: {0,1061157277} Prozesskennung: 544 Prozessname: C:\WINDOWS\system32\lsass.exe Primärer Benutzername: SERVER1$ Primäre Domäne: XXXX Primäre Anmeldekennung: (0x0,0x3E7) Clientbenutzername: mmg Clientdomäne: XXXX Clientanmeldekennung: (0x0,0x3F3A1FDF) Zugriffe DELETE READ_CONTROL WRITE_DAC WRITE_OWNER Kennwortparameter lesen Andere Parameter lesen Andere Parameter schreiben Benutzer erstellen Globale Gruppe erstellen Lokale Gruppenmitgliedschaft erhalten Konten auflisten Berechtigungen - Eigenschaften: --- domain DELETE READ_CONTROL WRITE_DAC WRITE_OWNER Kennwortparameter lesen Andere Parameter lesen Andere Parameter schreiben Benutzer erstellen Globale Gruppe erstellen Lokale Gruppenmitgliedschaft erhalten Konten auflisten Domain Password & Lockout Policies lockOutObservationWindow lockoutDuration lockoutThreshold maxPwdAge minPwdAge minPwdLength pwdHistoryLength pwdProperties Other Domain Parameters (for use by SAM) serverState serverRole modifiedCount uASCompat forceLogoff domainReplica oEMInformation Domain Administer Server Zugriffsmaske: 0 --------------------------------------------------------------------------------------------------------------------------------------------------------------------------- Ereignistyp: Erfolgsüberw. Ereignisquelle: Security Ereigniskategorie: Verzeichnisdienstzugriff Ereigniskennung: 565 Datum: 29.04.2008 Zeit: 12:08:29 Benutzer: XXXX\mmg Computer: SERVER1 Beschreibung: Geöffnetes Objekt: Objektserver: Security Account Manager Objekttyp: SAM_USER Objektname: S-1-5-21-444805231-3144893250-2464693036-1278 Handlekennung: 108064784 Vorgangskennung: {0,1061157295} Prozesskennung: 544 Prozessname: C:\WINDOWS\system32\lsass.exe Primärer Benutzername: SERVER1$ Primäre Domäne: XXXX Primäre Anmeldekennung: (0x0,0x3E7) Clientbenutzername: mmg Clientdomäne: XXXX Clientanmeldekennung: (0x0,0x3F3A1FDF) Zugriffe DELETE READ_CONTROL WRITE_DAC WRITE_OWNER Allgemeine Informationen lesen Einstellungen lesen Einstellungen schreiben Anmeldung lesen Konto lesen Konto schreiben Kennwort setzen (mit Kenntnis des alten Kennworts) Gruppen auflisten Berechtigungen - Eigenschaften: --- user DELETE READ_CONTROL WRITE_DAC WRITE_OWNER Allgemeine Informationen lesen Einstellungen lesen Einstellungen schreiben Anmeldung lesen Konto lesen Konto schreiben Kennwort setzen (mit Kenntnis des alten Kennworts) Gruppen auflisten General Information codePage countryCode objectSid primaryGroupID sAMAccountName comment displayName Account Restrictions accountExpires pwdLastSet userAccountControl userParameters Logon Information badPwdCount homeDirectory homeDrive lastLogoff lastLogon logonCount logonHours logonWorkstation profilePath scriptPath Public Information description Group Membership memberOf Change Password Reset Password %{7ed84960-ad10-11d0-8a92-00aa006e0529} Zugriffsmaske: 0 Zitieren Link zu diesem Kommentar
m.m.g 10 Geschrieben 9. Mai 2008 Autor Melden Teilen Geschrieben 9. Mai 2008 Tut mir Leid, wenn ich nerve... Das Problem ist aber noch nicht behoben und eine Lösung wird immer wichtiger. Also - nochmal nach oben. Vielen Dank schon mal M. Groth Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 9. Mai 2008 Melden Teilen Geschrieben 9. Mai 2008 Werden die Administratoren exzessiv überwacht (also z.B. auch Objektzugriffsversuche im Dateisystem) ? Laufen die Ereignisanzeigen (Sicherheit) förmlich über, wenn Ihr die User zu Administratoren macht und die dann arbeiten ? Zitieren Link zu diesem Kommentar
m.m.g 10 Geschrieben 10. Mai 2008 Autor Melden Teilen Geschrieben 10. Mai 2008 Hallo IThome, vielen Dank für Deine Antwort. Ja, das Sicherheitsprotokol läuft mächtig voll. Fast ununterbrochen tauchen die oben geposteten 3 Ereignisse für jeden auf eine Freigabe zugreifenden "BenutzerAdmin" auf. Immer ca. 10x hintereinanden und das alle paar Sekunden (das passiert übrigens nicht, wenn ich mich direkt als administrator anmelde). Nur kann ich mit den Ereignissen nichts anfangen. Darum komme ich auch nicht dahinter wo's hängt. Deine Frage zur Überwachung bringt mich auf eine neue Idee. Ich weiß gar nicht genau wie die Überwachung eingestellt ist. Aus der Erinnerung würde ich aber sagen, dass seit der Installation keine strengeren Überwachungen für die Admins definiert wurden. Dennoch ist das ein Punkt wo ich mal ansetzen kann. Clutching at straws :rolleyes: Noch irgend welche Ideen? Vielen Dank und Grüße Marc Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.