Aktaion 10 Geschrieben 2. September 2006 Melden Teilen Geschrieben 2. September 2006 Am Freitag sind in unserem Netzwerk (ca. 20 Server) schlagartig 3 Server(HP Server ML und BL) nicht mehr erreichbar gewesen. Ein Neustart der Server führt lediglich zu einem grauen Bildschirm ohne Anmeldemaske. (Abgesichert und Last Known Good gleiches Resultat). Wenn man nun eine Reperaturinstallation macht, erscheint zwar beim ersten Booten ein Loginscreen an dem man sich aber nicht anmelden kann. Folgende Fehlermeldung erscheint: "es ist kein Handle verfügar" und nach ca. 2min wird das System von lsass.exe heruntergefahren. Die folgenden Neustarts enden im bekannten grauen Bildschirm... Klingt übel nach Virus oder? Virenscanner sind aber aktuell und installiert - CA ... Bin grad etwas am Ende des Latein - da ich net wirklich gut an die Eventlogs der Server komme... Hilft wohl nur noch Platten ausbauen und in ein anderes System hängen oder? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 2. September 2006 Melden Teilen Geschrieben 2. September 2006 Ist der Server anpingbar, wenn der graue Bildschirm zu sehen ist (mach mal ein ping -t auf dei Adresse des/der Server). Hört sich für mich auch irgendwie nach Virus an, vielleicht auch nach einem fehlerhaften, automatischen Update ... Zitieren Link zu diesem Kommentar
WSUSPraxis 48 Geschrieben 2. September 2006 Melden Teilen Geschrieben 2. September 2006 Also hört sich auch sehr stark nach Virus oder Update Problem am ? ---- Habt ihr das ausgetestet ? Habt ihr neue Treiber installiert ? Zitieren Link zu diesem Kommentar
Aktaion 10 Geschrieben 2. September 2006 Autor Melden Teilen Geschrieben 2. September 2006 Laut Aussage der betreuenden IT wurde an dem Rechner nix verändert, anpingen lässt sich der Server, nur alle darüberliegenden Netzwerkdienste RPC usw. sind nicht erreichbar. Mich wundert, dass die anderen zum Teil identischen Server (selber WSUS Server selbe Hardware) nicht betroffen sind... Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 2. September 2006 Melden Teilen Geschrieben 2. September 2006 ...Bin grad etwas am Ende des Latein - da ich net wirklich gut an die Eventlogs der Server komme... Hallo, Wenn du eine BootCD (winPE, Knoppix, Bart) hast, kannst du die *.evt Dateien (Default: z.b. C:\WINDOWS\system32\config\AppEvent.Evt) wegsichern und auf einem anderen System anschauen. Ebenso kannst du z.b. mit BartPE einen Virenscan durchführen. Die orginal Bartseite findest du hier: Bart's Preinstalled Environment (BartPE) bootable live windows CD/DVD , aber googlen bringt auch eine Menge deutscher Anleitungen dazu. Bart gehört in jedes Survivalpack :) cu blub Zitieren Link zu diesem Kommentar
Aktaion 10 Geschrieben 2. September 2006 Autor Melden Teilen Geschrieben 2. September 2006 Danke werde das dann ma testen - ich hoffe die Ereignislogs helfen mit weiter... Hoffe mal das die Ereignisprotokollierung in dem Stadium schon läuft .) Zitieren Link zu diesem Kommentar
Aktaion 10 Geschrieben 3. September 2006 Autor Melden Teilen Geschrieben 3. September 2006 Update: Hab einen Hinweis bekommen, dass ein fehlerhaftes Sigupdate(1.9.2006) von CA dazu führt, dass die LSASS.exe fälschlicherweise in Quarantäne gestellt wird. Werde das mal morgen verifizieren. Zitieren Link zu diesem Kommentar
Shandurai 10 Geschrieben 4. September 2006 Melden Teilen Geschrieben 4. September 2006 moin ich vermute dass einer unserer kunden ein ähnliches problem hat. dazu: SupportConnect wir haben im abgesicherten modus die ca und etrust dienste deaktiviert. dann neu gestartet und sobald wir manuell den etrust rpc server starten, knallt die kiste weg. schnell shutdown -a damit er gestartet bleibt, aber trotzdem ist kein netzwerkzugriff möglich. ich ruf mal unseren ca support an... grüße andre Zitieren Link zu diesem Kommentar
Aktaion 10 Geschrieben 4. September 2006 Autor Melden Teilen Geschrieben 4. September 2006 Also es war definitiv der Virenscanner. Nach dem deaktivieren seiner Dienste und erneutes kopieren der LSASS.exe funktionierten die Geräte wieder tadellos. Danke für eure Anregungen! Zitieren Link zu diesem Kommentar
Shandurai 10 Geschrieben 4. September 2006 Melden Teilen Geschrieben 4. September 2006 so ich bin nun auch wieder vom kunden zurück: in der anleitung fehlen für meinen geschmack 2 dinge... unter punkt 3: kopieren von der original cd oder einem anderen möglichst identischem sbs system unter punkt 5: \computerassociates\etrustantivirus\currentversion\... viel spass :) Zitieren Link zu diesem Kommentar
Nimda3000 10 Geschrieben 7. September 2006 Melden Teilen Geschrieben 7. September 2006 Wir haben folgendes Problem auch festgestellt. Von wo kann man die LSASS.exe kopieren? Zitieren Link zu diesem Kommentar
Rudman 10 Geschrieben 7. September 2006 Melden Teilen Geschrieben 7. September 2006 am besten von der original cd... Zitieren Link zu diesem Kommentar
Nimda3000 10 Geschrieben 7. September 2006 Melden Teilen Geschrieben 7. September 2006 Habe soeben alles CD's durchsucht, die Datei aber nicht gefunden. Ich denke die ist irgendwo in einem Installpack drin. Kann ich diese Datei auch von einem noch laufenden Server kopieren und dann auf den defekten reincopieren? Ich nehme an, dass es sich dabei einfach um den gleichen Release handeln muss, oder? Zitieren Link zu diesem Kommentar
Rudman 10 Geschrieben 7. September 2006 Melden Teilen Geschrieben 7. September 2006 So wie vorher beschrieben sollte das klappen, es sollte aber wirklich eine identiche version sein. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.