Windows 7 Freeze nach Domäenmigration von 2003 auf 2012R2

[natscho 0]

Moin,

 

ich habe ein seltsames Problem auf sämtliche Windows 7 Clients nach einer Migration von einem Domänencontroller SBS2003 auf einem Window Server 2012R2.

Seitdem ich die FSMO Rollen vom SBS auf den 2012R2 DC übertragen habe und ich den SBS dann auch ausgeschaltet habe, bekomme ich auf die Windows 7 Clients folgenden Fehler im Ereignislog:

 

Ereignis 10,WMI

Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.

 

 

Das Hauptproblem besteht darin das die Windows 7 Maschinen, die nicht täglich ausgeschaltet werden sondern durchlaufen, in der Leerlaufzeit sporadisch abstürzen. Das ganze ist ein kompletter Freeze, der Bildschirm ist schwarz und man kann die Maschinen nur noch hart ausschalten.

Das ganze habe ich auch bei 2 virtuelle Windows 7 Maschinen sowie bei Hardware Windows 7 PC's von Benutzern. Die Win 7 PC's sind auf den aktuellsten Stand was Windows Updates betrifft.

Seitdem ich die Energieoptionen angepasst habe kommt der Fehler nicht mehr all zu häufig vor, teilweise aber noch alle 2-3 Tage einmal pro PC, Vorher war es täglich mehrmals.

Ich kann mir den Grund bloß nicht erklären was das mit der Migration auf den neuen DC zu tun hat.

Ich habe einige alte SBS2003 GPO's deaktiviert, die keinen Sinn mehr machten aber daran sollte es eigentlich auch nicht liegen.

 

Ich habe schon einen Microsoft Fix ("MicrosoftFixit50688" installiert der das Problem mit der Ereignis ID 10 beheben soll aber damit hatte ich auch kein Erfolg. Ich weiß auch nicht ob der Freeze Fehler damit zu tun hat.

Ich habe nun soviel Zeit in der Fehlersuche reingesteckt das ich einfach nicht mehr weiter weiß und kurz vor Neu Installation der Windows 7 Maschinen bin sodass alles einmal sauber ist.

 

Vielleicht hat aber noch jemand eine Idee wie man den Fehler eingrenzen könnte.

Das schlimme ist das vor dem Freeze kein Ereignis im Windows Log erzeugt wird. Es ist auch kein Blue Screen oder sonstiges und somit auch kein Dump File vorhanden woran man noch was heraus finden könnte. Einfach nur kurios.

 

Beste Grüße Markus

[Sunny61 806]

Durchsuche die Registry auf einem Testclient nach dem Namen des alten Servers. Evtl. Reste dann löschen, anschließend den Client neu starten.

 

Wird es besser mit dem Freeze, wenn Du den alten SBS für ein paar Stunden wieder einschaltest? Hast Du ihn korrekt per DCPROMO heruntergestuft und anschließend auch aus dem AD gelöscht?

[lefg 276]

Moin,

 

ich denke acu, das Ausschalten des DC2003 ist wohl die Ursache. Ist denn der DC nicht herunterstufbar und danach aus der Domäne entfernbar?

 

Gibt es nicht für die Migration von SBS2003 nach 2008 Standard und grösser ein Howto?

 

Wurde eigentlich eine Domänenmigration durchgeführt oder doch eine Servermigration?

 

Ging die Migration denn eigentlich glatt ohne Haken über die Bühne, keine Fehlermeldungen dabei?

bearbeitet 5. November 2015 von lefg

[willy-goergen 0]

Seitdem ich die FSMO Rollen vom SBS auf den 2012R2 DC übertragen habe und ich den SBS dann auch ausgeschaltet habe, bekomme ich auf die Windows 7 Clients folgenden Fehler im Ereignislog:

 

Ereignis 10,WMI

Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist.

...

Ich habe schon einen Microsoft Fix ("MicrosoftFixit50688" installiert der das Problem mit der Ereignis ID 10 beheben soll aber damit hatte ich auch kein Erfolg. Ich weiß auch nicht ob der Freeze Fehler damit zu tun hat.

Ich habe nun soviel Zeit in der Fehlersuche reingesteckt das ich einfach nicht mehr weiter weiß und kurz vor Neu Installation der Windows 7 Maschinen bin sodass alles einmal sauber ist.

 

Vielleicht hat aber noch jemand eine Idee wie man den Fehler eingrenzen könnte.

...

 

Hallo Markus,

 

ich kann dir wahrscheinlich auch nicht sehr viel helfen. Allerdings habe ich die von dir genannte Fehlermeldung im Eventlog auch bei einigen (wenn nicht allen) Windows 7 Clients bei mir in der Domäne. Wie du schon geschrieben hast, dafür gibt es ein Fixit. Angeblich ist der Fehler ein Überrest der Installation des SP1 für Windows 7.

 

https://social.msdn.microsoft.com/Forums/de-DE/9cc000e6-a555-4519-b9bf-60595bb074a4/windows-7-wmiereignis-id-10?forum=windows7de

 

und

 

https://support.microsoft.com/de-de/kb/2545227

 

Der Fehler ist glaub ich nicht kritisch.

 

Testweise hab ich das Fixit mal auf einem Client ausprobiert. Seitdem ist bei dem die Meldung im Eventlog weg. War damals auch auf der Suche nach einem Fehler und bin auf die Meldung im Eventlog gestoßen. Wollte Netzlaufwerke per GPO mappen. Die wurden beim Testen öfters nicht eingebunden. Bin dann drauf gekommen, dass das Problem die Netzwerkverbindung war, die nach dem Hochfahren eines Clients nicht gleich stand.

 

Kurze Rede, langer Sinn: Ich würde stark vermuten, dass du das Problem wo an einer anderen Stelle suchen musst. Bei mir stürzen die Clients nicht ab, auch wenn dort der o.g. Fehler im Eventlog auftaucht.

 

 

Grüße

 

willy

bearbeitet 5. November 2015 von willy-goergen

[natscho 0]

Hallo und danke für die vielen Antworten schon mal.

 

also der alte Server wurde korrekt mit dcpromo heruntergestuft und auf dem neuen DC wurde dann zusätzlich alle Einträge vom alten DC entfernt, die noch über blieben an den verschiedensten Stellen wie in der DNS Verwaltung.

 

Zum Thema Server/Domänenmigration: Es wurde ein neuer virtueller Server mit Win 2012R2 installiert und als DC in der bestehenden Domäne hinzugefügt, Dann wurden die FSMO Rollen korrekt übertragen und zu guter letzt dcpromo auf dem SBS ausgeführt. Das verlief auch ohne Probleme alles. 

Das war natürlich der ganz grobe Verlauf, ich hatte für die Migration mehrere Howto's verwendet u,a, von Franky's Web weil ich die mit am besten finde.

Unter anderem habe ich auch den Exchange 2003 vom SBS auf einem separaten Exchange 2013 mit 2012R2 als BS migriert. Das verlief mit Zwischenschritt über Exchange 2010 auch alles sehr gut.

 

 

Ok danke willy für den Hinweis dann werde ich das mit der Registry Durchsuchung mal machen.

[natscho 0]

Update:

 

Ich habe bei 2 betroffene Windows 7 PC's die gesamte Registry nach Einträge vom alten DC durchsucht, jeweils nach der Ip und nach dem Hostnamen.

Dort habe ich wirklich nichts gefunden.
Anschließend habe ich das ganze auf dem neuen 2012R2 DC gemacht und folgenden Eintrag gefunden:

 

Ich habe nach dem Eintrag gegoogelt und das weist alles darauf hin das der alte DC nicht vollständig entfernt wurde beim herunter stufen.

Nun bin ich gerade auf der Suche wie ich das behebe ohne das AD dabei zu beschädigen.

Man findet sehr viel dazu im Internet, ich muss mich da erstmal durchwuseln. Wer dazu schon Erfahrungen hat kann mir die bitte mitteilen. 

[lefg 276]

Moin,

 

dcdiag war mit schon öfters eine gute Hilfe.

[Sunny61 806]

Ich habe nach dem Eintrag gegoogelt und das weist alles darauf hin das der alte DC nicht vollständig entfernt wurde beim herunter stufen.

Nun bin ich gerade auf der Suche wie ich das behebe ohne das AD dabei zu beschädigen.

Man findet sehr viel dazu im Internet, ich muss mich da erstmal durchwuseln. Wer dazu schon Erfahrungen hat kann mir die bitte mitteilen.

Vorher auf jeden Fall eine saubere Sicherung erstellen!

 

In https://support.microsoft.com/de-de/kb/216498wird es beschrieben, in der Zusammenfassung steht du sollst den Eintrag in AD Benutzer und Computer entfernen. Ist er dort evtl. noch vorhanden? Schau auch in AD Standorte und Dienste. Alles ganz langsam und vorsichtig durchklicken.

 

Yusuf hat alle Möglichkeiten in einem Artikel beschrieben: http://blog.dikmenoglu.de/2008/08/die-metadaten-des-active-directory-unter-windows-server-2008-bereinigen/

[natscho 0]

Also dcdiag spuckt folgendes aus:

 

Verzeichnisserverdiagnose

 

Anfangssetup wird ausgeführt:

   Der Homeserver wird gesucht...

   Homeserver = DC01

   * Identifizierte AD-Gesamtstruktur.

   Sammeln der Ausgangsinformationen abgeschlossen.

 

Erforderliche Anfangstests werden ausgeführt.

 

   Server wird getestet: Standardname-des-ersten-Standorts\DC01

      Starting test: Connectivity

         ......................... DC01 hat den Test Connectivity bestanden.

 

Primärtests werden ausgeführt.

 

   Server wird getestet: Standardname-des-ersten-Standorts\DC01

      Starting test: Advertising

         ......................... DC01 hat den Test Advertising bestanden.

      Starting test: FrsEvent

         ......................... DC01 hat den Test FrsEvent bestanden.

      Starting test: DFSREvent

         ......................... DC01 hat den Test DFSREvent bestanden.

      Starting test: SysVolCheck

         ......................... DC01 hat den Test SysVolCheck bestanden.

      Starting test: KccEvent

         ......................... DC01 hat den Test KccEvent bestanden.

      Starting test: KnowsOfRoleHolders

         ......................... DC01 hat den Test KnowsOfRoleHolders

         bestanden.

      Starting test: MachineAccount

         ......................... DC01 hat den Test MachineAccount bestanden.

      Starting test: NCSecDesc

         ......................... DC01 hat den Test NCSecDesc bestanden.

      Starting test: NetLogons

         ......................... DC01 hat den Test NetLogons bestanden.

      Starting test: ObjectsReplicated

         ......................... DC01 hat den Test ObjectsReplicated

         bestanden.

      Starting test: Replications

         ......................... DC01 hat den Test Replications bestanden.

      Starting test: RidManager

         ......................... DC01 hat den Test RidManager bestanden.

      Starting test: Services

         Die Remote-IPC für [DC01] konnte nicht geöffnet werden:

         Fehler 0x3b "Unerwarteter Netzwerkfehler."

         ......................... Der Test Services für DC01 ist

         fehlgeschlagen.

      Starting test: SystemLog

         ......................... DC01 hat den Test SystemLog bestanden.

      Starting test: VerifyReferences

         ......................... DC01 hat den Test VerifyReferences

         bestanden.

 

 

   Partitionstests werden ausgeführt auf: ForestDnsZones

      Starting test: CheckSDRefDom

         ......................... ForestDnsZones hat den Test CheckSDRefDom

         bestanden.

      Starting test: CrossRefValidation

         ......................... ForestDnsZones hat den Test

         CrossRefValidation bestanden.

 

   Partitionstests werden ausgeführt auf: DomainDnsZones

      Starting test: CheckSDRefDom

         ......................... DomainDnsZones hat den Test CheckSDRefDom

         bestanden.

      Starting test: CrossRefValidation

         ......................... DomainDnsZones hat den Test

         CrossRefValidation bestanden.

 

   Partitionstests werden ausgeführt auf: Schema

      Starting test: CheckSDRefDom

         ......................... Schema hat den Test CheckSDRefDom bestanden.

      Starting test: CrossRefValidation

         ......................... Schema hat den Test CrossRefValidation

         bestanden.

 

   Partitionstests werden ausgeführt auf: Configuration

      Starting test: CheckSDRefDom

         ......................... Configuration hat den Test CheckSDRefDom

         bestanden.

      Starting test: CrossRefValidation

         ......................... Configuration hat den Test

         CrossRefValidation bestanden.

 

   Partitionstests werden ausgeführt auf: hh

      Starting test: CheckSDRefDom

         ......................... hh hat den Test CheckSDRefDom bestanden.

      Starting test: CrossRefValidation

         ......................... hh hat den Test CrossRefValidation

         bestanden.

 

   Unternehmenstests werden ausgeführt auf: 

      Starting test: LocatorCheck

         ......................... ***** hat den Test LocatorCheck

         bestanden.

      Starting test: Intersite

         ......................... **** hat den Test Intersite

         bestanden.

 

 

Ich denke das sieht soweit ganz gut aus bis auf den IPC Fehler, den ich aber erstmal nicht als gravierend einstufe.

 

Im AD war der alte DC bereits entfernt und nur noch als Member Server unter Computer aufgelistet.

Wo ich doch noch Einträge gefunden habe ist in der DNS Verwaltung. Da waren noch in verschachtelten Unterstrukturen einige Einträge des alten Domänencontrollers vorhanden. Ich habe nun endgültig dort alle entfernt.

 

Nach wie vor suche ich noch nach einer Lösung wie ich in der Registry die NTDS Parameter korrigieren kann. So recht werde ich da nicht fündig.

Bei den AD Standorten un Dienste sieht alles gut aus soweit.

 

Ich habe den Workaround von Yusuf soeben abgearbeitet. Bei der Stelle:

 

Die SRV- sowie CNAME-Einträge aus den beiden Forward Lookup Zonen <Domäne> und <_msdcs.Root-Domäne>,
sind ebenfalls noch zu löschen. Deise können manuell oder einfacher mitNLTEST entfernt werden. Der Befehl
dazu lautet: nltest /DSDEREGDNS:DomCon01.Domäne.TLD. Zum entfernen der DC-GUID Einträge im DNS
helfen die Parameter /DOMGUID sowie /DSAGUID

 

 

bin ich mir nicht sicher ob ich bei 

nltest /DSDEREGDNS:DomCon01.Domäne.TLD 

 

 den alten oder den neuen DC eingeben muss? Es ist ja in dem Sinne eine Registrierung also muss ich nach meinem Verständnis dort den neuen DC angeben? Da ich aber was entfernen möchte, wäre auch logisch dort den alten anzugeben?

[lefg 276]

OT, an dcdiag gibt es unter anderen einen Schalter, mit dem werden nur die Fehler ausgegben, dann stellt man kein ellenlanges Listing hier ein.

[daabm 1.335]

Bei /DSDEREGDNS muss der ALTE DC angegeben werden.

Der Eventlog-Eintrag im ersten Post tatsächlich ein Überrest von W7SP1 und kann mit dem Hotfix bereinigt werden. Der war mit Sicherheit auch vorher schon da.

Bauchgefühl: Mit der DC-Migration hat das nichts zu tun.

 

Was mir fehlt: Eventlogs _intensiv_ geprüft? Vor allem "nach dem Freeze" - taucht da in irgendeinem Log noch irgendein Event auf? Lassen sich die Computer noch anpingen? Klappt ein Remote-Zugriff auf administrative Freigaben?

 

Anders formuliert: Hängt nur die Oberfläche (Explorer) oder das OS?

[natscho 0]

Moin,

 

so ich habe nun weitere Maßnahmen getroffen.

Ich habe den Windows Defender via GPO überall deaktiviert und andere Windows Task die nur im Leerlauf passieren ebenfalls, wie z.B. Win Defrag.

Der Kunde hat mir bestätigt das dieser Fehler nur im Leerlauf des PC's auftritt, Das kann auch schon nach wenigen Minuten passieren wenn dieser nicht am PC arbeitet.

Während des Betriebes passiert der Fehler nie.

Die Energieverwaltung habe ich schon soweit via GPO angepasst. Die PC's werden nicht in den Ruhezustand oder Standbymodus versetzt. Die Festplatte und alle anderen Einstellungen habe ich auf "Nie" gesetzt, CPU min und max immer bei 100% Leistung.

 

Ich habe aber noch neuen Zusammenhang gefunden. Zeitgleich mit der DC Migration habe ich Eset AV v6.2.xxx und einen Eset Remote Administrator Server installiert.

Vorher war Symantec AV auf allen Server und Win 7 PCs im Einsatz. Das habe ich mit dem Eset Remote Administrator sauber entfernen lassen und dort sind auch keine Einträge mehr in der Registry zu finden.

 

Heute Morgen um 05:26 Uhr meldete mein Monitoring Tool das ein virtueller Windows 7 wieder nicht erreichbar war.

Ich konnte diesen dann auch nicht anpingen, keine RDP Verbindung herstellen oder auf administrative Freigaben zurückgreifen auf diesem PC.

In der vSphere 6 Console war der Bildschirm komplett schwarz,die VMWare Tools liefen auch nicht mehr, ich musste ihn wieder administrativ ausschalten weil die "Gast Neustarten" Funktion auch nicht mehr funktionierte, wie immer.

 

Nach dem Neustart habe ich die Ereignislogs geprüft:

Absturz war ca. 05:26 Uhr

Neustart war um 08:16 Uhr 

 

 

 

Vor dem Crash und nach dem Crash sind keine besonderen Events meiner Meinung zu sehen.

Das einzige was mich jetzt stutzig macht ist der ESET RA Eintrag bei der MS SI Überprüfung kurz vor dem Absturz.

Der Eset Remote Administrator könnte damit eine Rolle spielen. Ich werde dazu mal den Eset Support ausquetschen da Eset v.6 auch ziemlich neu ist.

 

Ein wichtige Info habe ich noch die mir schwer auf dem Magen liegt dazu.

Ich habe einen Windows 7 PC aufgesetzt und die Domäne gepackt, Eset Agent und Eset Av dort installiert, Office 2013 und einen Mitarbeiter dort dran arbeiten lassen.

Dieser PC ist nun ebenfalls von diesem Absturz Problem betroffen.

Der PC ist komplett Neuware mit frisch installiertem Win 7.

Das heißt für mich um Umkehrschluss das ich  den Fehler auch nicht weg bekomme wenn ich die PC's neu aufsetze. Ich hoffe jetzt nur noch das es an Eset liegt  :(

 

[lefg 276]

Moin,

 

und wie ist es an einem neu installierten PC ohne ESET?

bearbeitet 13. November 2015 von lefg

[mba 133]

Zum Thema ESET

http://support.eset.com/kb2567/?viewlocale=de_DE&utm_source=Vertriebspartner&utm_campaign=d85051abd4-Partner_Newsletter_Oktober3&utm_medium=email&utm_term=0_e9dcfeeecd-d85051abd4-68388181

[natscho 0]

Ich werde Eset einmal komplett entfernen auf einem PC, samt Agent und Registry Bereinigung.

Und dann mal schauen

Zum Thema ESET

http://support.eset.com/kb2567/?viewlocale=de_DE&utm_source=Vertriebspartner&utm_campaign=d85051abd4-Partner_Newsletter_Oktober3&utm_medium=email&utm_term=0_e9dcfeeecd-d85051abd4-68388181

Danke dafür,

 

ich werde den Hotfix direkt ausrollen und schauen ob dieser Abhilfe schafft. Ich habe zwar kein Eset NOD32 im Einsatz sondern Eset Endpoint Antivirus aber schaden kann der Hotfix eigentlich auch nicht soweit ich das sehen kann.

Ein Blue Screen habe ich auch nicht :-/

bearbeitet 13. November 2015 von natscho