symfact 10 Geschrieben 21. Oktober 2010 Melden Geschrieben 21. Oktober 2010 Hallo zusammen, Wir haben ein kleines Firmen-Netz. Seit kurzem ist unsere Zywall 2Plus periodisch überlastet. Im logfile der Zywall steht: 192.168.0.6 exceeds the max. number of session per host! (Repeated: 109) Die Maschine 192.168.0.6 versucht ständig eine Verbindung nach 169.254.x.x aufzubauen. Ich weiss, dass es sich bei der Adress-Range 169.254 um die Zeroconf-range handelt, daher denke ich mir, dass es sich um ein DHCP-Problem handelt. Die Maschine 192.168.0.6 ist ein Windows 2k3-Server, der als DHCP, DNS und DC fungiert. Ich versuchte auch schon das TCP und UDP timeout der Zywall herunter zu setzen und die maximale Anzahl Verbindungen pro Host auf 1024 zu setzten. Dies hilft jedoch auch nicht. Das Problem tritt nur alle paar Stunden auf, ist jedoch periodisch. Im DHCP-Log sehe ich nichts ungewöhnliches (siehe attachment). Auch im Eventlog hat es nichts auffallendes. Kennt jemand dieses Problem? Kann es sein, dass schlicht und einfach die Firewall, welche zugleich als Router fungiert, überlastet ist, da sie für den internen Verkehr sowie als Gateway fürs Internet dient oder kann es am DHCP oder sonst am Server 2k3 liegen? Vielen Dank für die Hilfe. Adrian DhcpSrvLog-Thu.txt Zitieren
r2k 10 Geschrieben 21. Oktober 2010 Melden Geschrieben 21. Oktober 2010 Hallo und ein Grüezi hier im Board. Hat euer W2K3 Server zwei Nics? Was läuft da noch? Zitieren
symfact 10 Geschrieben 22. Oktober 2010 Autor Melden Geschrieben 22. Oktober 2010 Ja, der Server hat 2 Broadcom NetXtreme Gigabit NIC's. Es wird jedoch nur eine gebraucht. Die Aufgaben des Servers: -DHCP -DNS -AD -Exchange Server 2003 nur für interne Mails Ich weiss, dass der Server viele Aufgaben hat. Der Standort ist jedoch mit ca. 10 Personen relativ klein. Braucht ihr sonst noch Infos? Soll ich die zweite NIC deaktivieren oder auch brauchen? Zitieren
r2k 10 Geschrieben 22. Oktober 2010 Melden Geschrieben 22. Oktober 2010 Deaktiviere mal das zweite Nic sofern dies unbenutzt ist. Zitieren
symfact 10 Geschrieben 22. Oktober 2010 Autor Melden Geschrieben 22. Oktober 2010 Die 2. NIC ist deaktiviert -> Problem besteht noch. (Die 2. NIC war schon deaktiviert. Ich kontrollierte beim letzten post auf der falschen Maschine). Andere Ideen? Braucht ihr noch andere Infos zum System? Der Server ist ein W2k3 Enterprise Server mit SP2 auf 32bit. Zitieren
samsam 14 Geschrieben 23. Oktober 2010 Melden Geschrieben 23. Oktober 2010 Prestige 334: Fehlermeldung: 192.168.1.xx exceeds the max. number of session per host! mfg Zitieren
symfact 10 Geschrieben 25. Oktober 2010 Autor Melden Geschrieben 25. Oktober 2010 Mit den ganzen Einstelleungen und Timeouts bei der Zywall habe ich bereit herumgespielt. Es scheint wirklich ein Problem des Servers zu sein, denn das Problem blieb bestehen, egal wie hoch ich die Sessions per host setzte. Folgend ein paar Settings der Zywall. ras> ip nat sess NAT session number per host: 1024 ras> sys tos timeout display TCP connection timeout (s): 270 TCP idle timeout (s): 9000 TCP FIN-wait timeout (s): 270 UDP idle timeout (s): 30 ICMP idle timeout (s): 180 GRE idle timeout (s): 9000 ESP idle timeout (s): 9000 AH idle timeout (s): 180 IGMP idle timeout (s): 180 Other IP idle timeout (s): 180 Wie gesagt, ich denke, das Problem liegt am Server. Laut Kaspersky ist der Server auch sauber. Zitieren
djmaker 95 Geschrieben 25. Oktober 2010 Melden Geschrieben 25. Oktober 2010 Was sagt das Ereignisprotokoll des Servers? Sind die NIC-Treiber aktuell? Welchen Patchstand hat der Server? Seit wann tritt das Problem auf? Wurde etwas am Server verändert? Läuft eine Virtualisierungs-SW auf dem Server? Zitieren
symfact 10 Geschrieben 25. Oktober 2010 Autor Melden Geschrieben 25. Oktober 2010 Im Eventviewer ist nichts ungewöhnliches zu finden. Keine Fehler. Die NIC-Treiber werde ich morgen früh updaten, da eine neuere Version verfügbar ist und danach melden, ob dies Verbesserungen gebracht hat. Patches sind alle kritischen aufgespielt. Auf dem Server läuft das SP 2. Virtualisierungs-Funktionien hat der Server keine. Zitieren
symfact 10 Geschrieben 26. Oktober 2010 Autor Melden Geschrieben 26. Oktober 2010 Ich habe nun gestern Abend die Treiber der Netzkarten auf die neuste Version aktualisiert. Das Problem besteht weiterhin. Ich werde nun versuchen, die Max Sessions per host noch höher einzustellen. Das Maximum der Zywall ist 3000 und momentan ist es auf 1024 eingestellt. Ich werde es mal mit 2000 versuchen. In meinen Augen liegt jedoch das Problem zu 99% sicher beim Server und nicht bei der Firewall / Router. Das Problem tritt wirklich periodisch auf (mindestens 2-3 Mal pro Tag, morgens und abends um ca. 8 und 16 Uhr). Dann schiessen die offenen Sessions auf der Firewall auf das Maximum per host (1024) und das Internet funktioniert zeitweise nicht mehr, da der Server nicht mehr Antwortet. Ich denke dass er die max sessions per host Verbindungen öffnet und dann von der Zywall blockiert wird und somit auch auf andere Anfragen der Computer im Netz nicht mehr Antwortet (kann), da es sich um den domain controller, Exchange Server und Gateway / DHCP / DNS Server handelt. Hat noch jemand eine Idee, was da faul sein könnte? Ich habe gestern nochmals einen kompletten Virenscan und Spyware-Scan durchgeführt. Die Maschine ist soweit komplett sauber. Zitieren
symfact 10 Geschrieben 1. November 2010 Autor Melden Geschrieben 1. November 2010 Hat noch jemand eine Idee? Zitieren
s.k. 11 Geschrieben 2. November 2010 Melden Geschrieben 2. November 2010 Das Problem tritt wirklich periodisch auf (mindestens 2-3 Mal pro Tag, morgens und abends um ca. 8 und 16 Uhr). Dann schiessen die offenen Sessions auf der Firewall auf das Maximum per host (1024) und das Internet funktioniert zeitweise nicht mehr, da der Server nicht mehr Antwortet.Der Internetzugriff dürfte nicht mehr funktionieren, weil die Zywall u.a. die (neuen) DNS-Anfragen des Servers zu den externen DNS-Servern blockt, sobald die maximale Anzahl der Sessions pro Host erreicht sind. Die Zywall tut halt, was sie gemäß Konfig tun soll. Überlastet ist sie nicht.Ich kann Dir leider auch nicht sagen, warum der Server diesen Traffic generiert und wie Du dies unterbinden kannst. Jedoch kannst Du die Symptome kaschieren, indem Du diesen Traffic einfach an der Firewall abweist. Gruß sk Zitieren
blub 115 Geschrieben 2. November 2010 Melden Geschrieben 2. November 2010 deaktivier doch mal den DHCPServerdienst einen Tag, ob wirklich der DHCPServer bzw. DHCPServerdienst der Verursacher ist. Ein DHCP-Server baut eingentlich nicht ungefragt Verbindungen auf, schon gar nicht nach 169.254.x.y Zitieren
symfact 10 Geschrieben 4. November 2010 Autor Melden Geschrieben 4. November 2010 Ich habe den DHCP-Server-Service nun kurz ausgeschaltet. Das Problem besteht weiterhin. Ich werde den Dienst heute Nacht über die ganze Nacht ausschalten und sehen, was morgen im Log steht. Bei dem kurzen Unterbruch von vorhin blieb jedoch das Problem bestehen. Was könnte sonst noch für diesen periodischen Traffic verantwortlich sein? Ich werde noch versuchen, mit Wireshark den Traffic zu sniffen und die Pakete zu analysieren, welche der Server auf die 169.254.x.x Adressen sendet. @s.k.: Das sehe ich genau gleich. Mit der Firewall-Rule kann ich das Problem vorübergehen "lösen". Aber ich möchte wissen, wieso der Server periodisch diese Requests versendet... Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.