AustriaWien 10 Geschrieben 9. September 2010 Melden Teilen Geschrieben 9. September 2010 Hallo, seit einigen Tagen habe ich auf mehreren Rechner in der Domäne verzögerte Anmeldezeiten von 15-45 Minuten. Anscheinend ist ein Hauptdarsteller das SescLU.exe Aber wie bekomme ich das weg? Symantec wie auch Windows sind am aktuellsten Update-Stand. Hat jemand das gleiche Problem? Oder hat jemand nen Tipp zur Behebung? lg D. PS: anbei ein Ausschnitt aus einer userenv.log USERENV(290.4f4) 20:09:28:213 PingComputer: Adapter speed 100000000 bps USERENV(290.4f4) 20:09:28:260 PingComputer: First time: 41 USERENV(290.4f4) 20:09:28:291 PingComputer: Second time: 42 USERENV(290.4f4) 20:09:28:322 PingComputer: First time: 21 USERENV(290.4f4) 20:09:28:369 PingComputer: Second time: 38 USERENV(290.4f4) 20:09:28:385 PingComputer: First time: 21 USERENV(290.4f4) 20:09:28:432 PingComputer: Second time: 38 USERENV(290.4f4) 20:09:28:432 PingComputer: Transfer rate: 2909 Kbps Loop count: 3 USERENV(ebc.ed0) 20:10:24:985 LibMain: Process Name: C:\Programme\Symantec\Symantec Endpoint Protection\SescLU.exe USERENV(944.674) 20:15:54:307 LibMain: Process Name: C:\Programme\Symantec\Symantec Endpoint Protection\SescLU.exe USERENV(b94.300) 20:21:23:401 LibMain: Process Name: C:\Programme\Symantec\Symantec Endpoint Protection\SescLU.exe USERENV(dac.db8) 20:26:52:610 LibMain: Process Name: C:\Programme\Symantec\Symantec Endpoint Protection\SescLU.exe USERENV(290.4f4) 20:28:23:401 MyGetUserName: GetUserNameEx failed with 1727. USERENV(290.4f4) 20:28:23:401 MyGetUserName: Retrying call to GetUserNameEx in 1/2 second. USERENV(f4c.ec8) 20:32:21:653 LibMain: Process Name: C:\Programme\Symantec\Symantec Endpoint Protection\SescLU.exe USERENV(4ac.504) 20:33:03:463 ImpersonateUser: Failed to impersonate user with 5. USERENV(4ac.504) 20:33:03:463 GetUserNameAndDomain Failed to impersonate user USERENV(4ac.504) 20:33:03:478 GetUserDNSDomainName: Domain name is NT Authority. No DNS domain name available. USERENV(f24.804) 20:37:50:852 LibMain: Process Name: C:\Programme\Symantec\Symantec Endpoint Protection\SescLU.exe USERENV(290.4f4) 20:41:00:076 ProcessGPOs: User name is: CN=XX usw...... Zitieren Link zu diesem Kommentar
bulgarian 10 Geschrieben 9. September 2010 Melden Teilen Geschrieben 9. September 2010 Hallo Austria Wien, wie ist das SEP konfiguriert? Machen die PCs beim Start immer den Schnellscan? Was heißt aktuellster Update-Stand, SEP ist derzeit bei 11.0.6 MP1 - bei dir auch? Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 10. September 2010 Melden Teilen Geschrieben 10. September 2010 Hi, aktiviere einmal das CAPI2 Logging in den "neuen" Event Log Channels der Ereignisanzeige. Ich erinnere mich an ein Problem mit der Überprüfung eines Root-Zertifikats durch die Symantec Software. Besteht keine Internetverbindung oder es steht ein Proxy mit Authentifizierungsfunktion davor, gab es Probleme mit den Timeouts. Im CAPI2 Log würdest Du sehen, ob der Abrufversuch scheitert und könntest damit ggf. das Problem eingrenzen. Ansonsten: Versuch wie oben schon geschrieben ein Update der AV-Software Version. Viele Grüße olc Zitieren Link zu diesem Kommentar
AustriaWien 10 Geschrieben 10. September 2010 Autor Melden Teilen Geschrieben 10. September 2010 Hi, aktiviere einmal das CAPI2 Logging in den "neuen" Event Log Channels der Ereignisanzeige. Am SEP-Management-Server aktivieren? Oder auf den Clients? Die Clients sind XP. Gibts da ein eigenes CAPI2 Logging? Oder sind da die Einträge in den Event-Logs dabei? In den Client-Event-Logs gibt es übrigends keine übereinstimmenden Fehler an den betroffenen PCs. lg D Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 10. September 2010 Melden Teilen Geschrieben 10. September 2010 Hi, ok - bei XP / 2003 Systemen gibt es noch keine Eventlog Channels. Dann ggf. einmal mittels Netzwerktrace auf den Clients prüfen, was da auf LDAP und HTTP Verbindungen nach außen auf CRLs oder Root-Zertifikate gehen möchte. Viele Grüße olc Zitieren Link zu diesem Kommentar
AustriaWien 10 Geschrieben 10. September 2010 Autor Melden Teilen Geschrieben 10. September 2010 Hallo Austria Wien,wie ist das SEP konfiguriert? Machen die PCs beim Start immer den Schnellscan? Was heißt aktuellster Update-Stand, SEP ist derzeit bei 11.0.6 MP1 - bei dir auch? Der Schnellscan ist ausgeschaltet. Geplante Scans gibt es nicht. Nur userinitiierte Scans. LiveUpdate-Policy ist auf "Use the default Management Server" eingestellt. (Da ist Scheduling ausgegraut. Und ich hab' nicht gefunden, wann er das macht, mit dieser Einstellung) Derzeitige Packages 11.0.5002.333, die werd ich mal nächste Woche Upgraden. Die LiveUpdate-Policy hab' ich auf "Use Symantec Server" umgestellt und per 12.00 geScheduled. Mal sehen.. lg D. Zitieren Link zu diesem Kommentar
AustriaWien 10 Geschrieben 10. September 2010 Autor Melden Teilen Geschrieben 10. September 2010 Hi, ok - bei XP / 2003 Systemen gibt es noch keine Eventlog Channels. Dann ggf. einmal mittels Netzwerktrace auf den Clients prüfen, was da auf LDAP und HTTP Verbindungen nach außen auf CRLs oder Root-Zertifikate gehen möchte. Viele Grüße olc Hättest du 'nen Tipp für mich, wie ich das Netzwerktrace am besten angehe? (Vorzugsweise mit Verwendung von Boardmittel, und Tools mit wenig bis garkeinem Installationsaufwand) lg D. Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 10. September 2010 Melden Teilen Geschrieben 10. September 2010 Hi, schließe einen Hub (keinen Switch!) an das System an, dazu einen zweiten Rechner an diesen Hub und ebenfalls "Dein Netzwerk". Dann startest Du auf dem zusätzlich angeschlossenen System einen Netzwerkmonitor (etwa Wireshark oder NetMon 3.4) und startest den betroffenen Client neu. Im Netzwerktrace solltest Du dann den Traffic der betroffenen Maschine während des Neustarts sehen. Viele Grüße olc Zitieren Link zu diesem Kommentar
AustriaWien 10 Geschrieben 14. September 2010 Autor Melden Teilen Geschrieben 14. September 2010 Danke für die Info, muß ich unbedingt mal ausprobieren. Allerdings im Moment nicht bei diesen Rechnern, denn 2 Tage nach einspielen der MS Updates trat dieses Verhalten vorerst nicht mehr auf *aufholzklopf*(Allerdings hätt ich als alter Analytiker gern gewüßt was die Ursache war.) lg D. Zitieren Link zu diesem Kommentar
olc 18 Geschrieben 14. September 2010 Melden Teilen Geschrieben 14. September 2010 Hi, ist unter Umständen auch ein Update des "Microsoft Root Certificate Programs" installiert worden...? Viele Grüße olc Zitieren Link zu diesem Kommentar
AustriaWien 10 Geschrieben 15. September 2010 Autor Melden Teilen Geschrieben 15. September 2010 Hi, ist unter Umständen auch ein Update des "Microsoft Root Certificate Programs" installiert worden...? puuuh, das kann ich auf die schnelle garnicht beantworten. bei den betroffenen rechnern sind zwischen 30-60 Updates nachgezogen worden, und derjenige, der nachgezogen hat, hat sich aus zeitgründen nicht angesehen welche das waren :rolleyes: lg D. Zitieren Link zu diesem Kommentar
Sunny61 812 Geschrieben 15. September 2010 Melden Teilen Geschrieben 15. September 2010 puuuh, das kann ich auf die schnelle garnicht beantworten. bei den betroffenen rechnern sind zwischen 30-60 Updates nachgezogen worden, und derjenige, der nachgezogen hat, hat sich aus zeitgründen nicht angesehen welche das waren :rolleyes: Im Log sollte etwas finden sein, alternativ auch im WSUS. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.