Regelmäßige Serverabstürze bei Win Server 2008

[mschrak]

Hallo zusammen,
wir haben hier noch einen alten Windows Server 2008 am Laufen, den wir aber leider für eine bestimmte alte Software noch brauchen.
Nun haben wir seit geraumer Zeit relativ regelmäßig Abstürze in der Form, dass der Server sich "aufhängt", also komplett eingaberesistent wird und nur noch durch harten Reset neu gestartet werden kann. Danach funktioniert er immer erst einmal wieder etwa eine Woche (wird an 4 Arbeitsplätzen genutzt).
Mich wurmt das aber, da die HW an sich nicht schlapp ist und auch nichts Neues dazugekommen ist. Der Server macht Minimalaufgaben, also Fileserver und eine SQL-Anwendung, sonst nichts.
Nun habe ich heute mal bei ersten Anzeichen für ein "Langsamerwerden" in den Taskmanager geschaut und dabei gesehen, dass dort die Prozesse "conhost.exe" und "powershell.exe" liefen. Aber nicht jeweils einer sondern von jedem etwa 200 bis 300 Prozesse. Das System ist quasi damit geflutet.
Ist das normal?
Worauf deutet das hin?
Hat irgendwer eine Idee?
Herzlichen Dank,
Martin

 

[Fujiyama]

Wie habt ihr den festgestellt das die HW nicht schlapp macht?
Was habt ihr generell schon überprüft und probiert?

 

[derlorenz]

Wird nicht normal sein. Aber dann musst du prüfen, wo bzw wie die Prozesse getriggert werden. Eventuell ein Script per Task?
Ansonsten hoffe ich, das Teil hängt nicht am Internet.
Ggf. Könnt ihr die Kiste ja virtualisieren?

 

[Mojo1987]

Der Server sollte getauscht bzw zumindest isoliert werden.

Mein erster Gedanke bei der Anzahl an Prozessen ist Schadsoftware.

Vermutlich wird es aber nur irgend eine dort vorhandene Software sein die womöglich auch wegen des Alters und damit nicht vollständiger Kompatibilität ihren Vorgang nicht vollständig abschließt. Typisch wären z.B. Prozesse wie das Backup.

Du musst rausbekommen wer oder was die Powershell spawned.

 

[User007]

Hi...

Schau mal im Ressourcenmonitor mittels des Befehls perfmon /res nach - auch anhand der PIDs sollte sich eine Zuordnung zu un-/berechtigt lfd. Diensten/Anwendungen filtern lassen.​

 

[mschrak]

Doch, der hängt am Internet. Ich hatte zuerst Avast in Verdacht, da das die einzige Anwendung ist, die in irgendeiner Weise aktuell gehalten wird.
Da sollte dann aber doch auch eine Schadsoftware eher unwahrscheinlich sein?

 

[madmax2010]

und was steht dazuin den logs?

 

[Darkblade08]

Mutig das Ding am Internet hängen zu haben. Welche spezielle Software läuft denn da? Du redest nur von SQL und Fileserver. Das ist jetzt nichts was Server 2008 "locked" ist.

Am Ende ist das ziemlich fahrlässig, und Schadsoftware ist hier nicht auszuschließen.

 

[CoMo]

Da sollte dann aber doch auch eine Schadsoftware eher unwahrscheinlich sein?

Ohne FRST-Log werden wir das wohl nie erfahren.

 

[Redundanz]

das deutet darauf hin dass commandline bzw. powershell-sessions nicht ordentlich beendet werden.
ob das jetzt automatisierte skripte sind oder von benutzern angestoßene workflows sei dahingestellt.
hat diese spezielle sql- (???) anwendung denn einen namen, oder ist das homebrew zeugs?

 

[sikarr]

So einen ähnlichen fall gabs hier doch schonmal wo am ende das Monitoring des Systemhauses schuld war weil sie irgendwas ausgerollt hatten ohne Bescheid zu sagen.

 

[Backfisch]

Bitte dringend darauf hinwirken, dass die offensichtlich unfähige IT zügig gefeuert bzw. der Dienstleister ersetzt wird. Windows Server 2008 im Jahr 2023, dazu auch noch am Netz. Heilige Kuh

 

[eYc]

Wie regelmäßig sind denn diese Abstürze, und was sagt die Ereignisanzeige dazu?
Und die Hardware? Da gibt's ja auch sicherlich Logs bzgl. der Stabilität und einzelner Komponenten (RAM, CPU, HDDs, ...), und BIOS-Updates, sowie Updates für die Firmware integrierter Controller und PCI(e)-Erweiterungskarten.

 

[sikarr]

Bitte dringend darauf hinwirken, dass die offensichtlich unfähige IT zügig gefeuert bzw. der Dienstleister ersetzt wird.

So ein Blödsinn, zu oft ist die GF bzw. die MA die Bremse, sei es durch fehlende Investitionen oder Bequemlichkeit. Die IT bzw. ein Dienstleister der Unfähigkeit zu beschuldigen ist anmaßend.
Die IT hätte das System garantiert schon lange ausrangiert wenn das so einfach wäre.

 

[User007]

Hi...

[...] zu oft ist die GF bzw. die MA die Bremse, sei es durch fehlende Investitionen oder Bequemlichkeit.

Nicht nur das, sondern oft ist (grad') in Einzel- & Klein(st)betrieben die GF oder eigtl. für andere Aufgaben zuständige MA "die IT", weil sich aus wirtschaftlichen Gründen auch kein Dienstleister geleistet werden kann oder aber im schlimmeren Fall einfach weder Verständnis noch resultierendes Bewußtsein für die Bedeutung der IT vorhanden ist - die ist halt nur "leidiges" Mittel zum Zweck und solang's läuft...
Leider im "deutschen IT-Entwicklungsland" kein Einzelfall. 🤷‍♂️
​

Der Server macht Minimalaufgaben, also Fileserver und eine SQL-Anwendung, sonst nichts.

Huuuh,... also läuft da nichtmal 'n vollwertiger (M$)SQL-Server, oder?

Hab' selbst grad' zu Beginn der Corona-Phase so 'nen (wahrscheinlich ähnlich gelagerten) Fall mit einem Autohaus in der Region erlebt - Kleinunternehmen mit bis zu 10 MA, Chef gebürtig aus den 40ern (konnte grad mal mit Müh' und Not das ISDN-Telefon bedienen), wo i-wann mal ein "Dienstleister" einen WS2k8 (noch nichtmal R2) nur als File- u. Faxserver sowie für gewisse Kfz-Brancheneigene Applikationen (tlw. auch mit SQL-Abfrage) in Betrieb genommen hatte.
M. Mg. n. völlige Verschwendung, aber i-wann war der dann nicht mehr verfügbar und ein (befreundeter) dort zum Kfz-Kfm. Ausgebildeter wurde, weil er von allen Angestellten doch noch der "Jüngste" war, zum IT-"Beauftragten" bestimmt. Das lief jahrelang so - eben einfach, weil's lief.
Erst als eines Tages Probleme auftraten, weil Hardware ihren Dienst quittierte, wurde der Kontakt zu mir als (regional tätig und bekannten) ITK-Betreuer gesucht.
Ich hab' da dann erstmal 'ne Menge an Systemstruktur auch durch simple Rationalisierung migriert - bspw. konnte auch das W2k8 einfach gegen eine auf einem als "Server" laufende W10-Workstation-Version gewechselt werden.
Mglw. ist das ja sogar auch hier eine kostengünstige Alternativmöglichkeit, sofern eh keine Domänen-Benutzerverwaltung oder Virtualisierung benötigt wird.

Btw.:
Hinweise auf die Dringlichkeit auch den Bereich um Sicherheit von Geschäftsdaten (in zweierlei Hinsicht) als zukunftsbeförderndes Unternehmens-Investment zuzuordnen sind sicherlich angebracht, allerdings seh' ich hier denunziationsartiges Aufrufen zum "zügigen feuern" absolut unpassend. 🤨​

 

[Backfisch]

zu oft ist die GF bzw. die MA die Bremse, sei es durch fehlende Investitionen oder Bequemlichkeit.

Dann liegt es an der IT Verantwortung zu übernehmen und dem Saftladen den Rücken zu kehren. Muss man echt nicht haben.

 

[User007]

Dann liegt es an der IT Verantwortung zu übernehmen [...]

Ist ziemlich eindimensional pauschal und manche Unternehmen haben überhaupt gar keine IT(Abteilung) - was dann?​

 

[sikarr]

Dann liegt es an der IT Verantwortung zu übernehmen und dem Saftladen den Rücken zu kehren.

Das ist ziemlich kurzsichtig gedacht, wir kennen die Konstellation des Unternehmens und die ganzen Hintergründe doch gar nicht.
Wenn ich jedes Mal wegen eines Problems kündigen müsste wäre ich nirgends länger als ne Woche angestellt.
Abgesehen davon hilft auch das niemanden wenn Verwahrlosung eintritt. Lieber ein altes betreutes System als ein Unbetreutes.