Archiv Server-Windows 15.877 Themen, 54.317 Beiträge

Verfolgung starten Optionen

Server schaltet sich aus - Dringend Hilfe

asserin / 14 Antworten / Baumansicht Nickles

Wundersame Ereignisse:

Netzwerk, Windows Server smal Businesss 2003, 4 Arbeitsplatze, 2 x VPN,

Dienstag: Server geht ständig aus, mal fährt er wieder hoch, mal nicht, dann geht gar nichts mehr.
Donnerstag: Firma kommt: Server hat defekt auf der Platine, neuer Server muss her, soll ja schnell gehen. Reparieren-Ersatzteil besorgen dauert zu lange
Freitag: neuer Server da, Installation übers Wochenende, Datenübertragung
Montag: neuer Server läuft nicht stabil, während Ferndiagnose wird der Server abgeschalten - offensichtlich von aussen! Firma sagt: Es erfolgt Angriff von aussen, weil ja unser Port offen ist wegen VPN, hätte er ja schon immer gesagt. Es laufen daraufhin 3 Virenprogramme, nichts gefunden. Verdacht: Virus war auf altem Server, ist nun auf neuen übertragen worden.
Dienstag (gestern): alle Ports geschlossen, kein VPN Arbeiten mehr möglich.
Mittwoch (heute) Server schaltet sich wieder aus.

Zwischenzeitlich wurde ein Switch ausgetauscht, 2 Kabel erneuert.

Hat wer eine Idee? Wohl eher ein Softwareproblem?

Aragorn75 asserin „Server schaltet sich aus - Dringend Hilfe“
Optionen
Wohl eher ein Softwareproblem?
Naja, wenn es aber ein neuer Server ist, der frisch installiert wurde, sollte es eigentlich kein Softwarefehler sein, zumindestens nicht vom BS her.
Was sagt denn die Ereignissanzeige des Servers???
(rechtsclick auf Arbeitsplatz->Verwalten->Ereignissanzeige)

Vielleicht findest du dort einen Hinweis auf die mögliche Ursache.
Habt ihr schonmal den Stromkreis gewechselt? Evtl. die USV ausgeschleift?
asserin Aragorn75 „ Naja, wenn es aber ein neuer Server ist, der frisch installiert wurde, sollte...“
Optionen

Windows wurde natürlich neu installiert, aber die Einstellungen, Dienste ect. wurden 1:1 übernommen

Arbeitsplatz->Verwalten->Ereignissanzeige

1008 perflib
1005 dsrestor
1023 pop3
1035 pop3
7001 pop3
7001 VSS

1005 DCOM
7002 NTFRS
7022 NTFRS

Was meinst Du mit USV (ja haben wir) ausgeschleift?

Aragorn75 asserin „Windows wurde natürlich neu installiert, aber die Einstellungen, Dienste ect....“
Optionen
Was meinst Du mit USV (ja haben wir) ausgeschleift?
Halt entweder den Server mal direkt an eine Steckdose anschliessen oder eben die USV in den Bypass-Mode schalten, dann ist diese ausgeschleift bzw. überbrückt.

Schau die mal die Ereignisse genauer an. Evtl. ein Warning oder Error dabei?
Bzw. gib mal ein paar mehr Details daraus bekannt.

asserin Aragorn75 „ Halt entweder den Server mal direkt an eine Steckdose anschliessen oder eben...“
Optionen

Alle Ereignisse die ich oben aufgeführt habe waren Error.

shrek3 asserin „Windows wurde natürlich neu installiert, aber die Einstellungen, Dienste ect....“
Optionen
aber die Einstellungen, Dienste ect. wurden 1:1 übernommen

Wie muss man sich das Übernehmen der Einstellungen vorstellen?
Über eine Sicherung, die vom alten Server angelegt und auf den neuen Server eingespielt wurde?

Falls ja, handelt es sich um eine Sicherung, die vor Eintritt der Probleme angelegt wurde oder datiert sie aus der Problemzeit?

Gruß
Shrek3
asserin shrek3 „ Wie muss man sich das Übernehmen der Einstellungen vorstellen? Über eine...“
Optionen

Die Sicherung ist aus der Problemzeit.

shrek3 asserin „Die Sicherung ist aus der Problemzeit.“
Optionen

Das ist natürlich gar nicht gut.

Gibt es denn keine ältere Sicherung, die ihr zurückspielen könnt (die reinen Daten und Emails natürlich zuvor anderweitig sicherstellen, falls sie Bestandteil der Sicherung waren)?

Ebenfalls (sicherheitshalber) nachgefragt:
Ihr habt doch nicht die Festplatte des alten Servers für die erneute Installation des SBS im neuen Server übernommen?

Gruß
Shrek3

asserin Aragorn75 „ Naja, wenn es aber ein neuer Server ist, der frisch installiert wurde, sollte...“
Optionen

Wir haben nun über Ostern den USV mal rausgednommen und werden sehen, was passiert - oder auch nicht. Ich gebe wieder Bescheid.

asserin Nachtrag zu: „Wir haben nun über Ostern den USV mal rausgednommen und werden sehen, was...“
Optionen

Stand der Dinge ist nun, dass der neue Server immer wieder abstürzt, USV ist rausgenommen, Server wurde auch an anderen Stromkreis angeschlossen, dto.

Nun der Verdacht es würde sich ein Virus auf dem Server oder auf einer der Arbeitsstationen befinden. Wenn aber auf dem alten Server/ oder Betriebssystem einer war, dann wurde er auf dem neuen mit rüber genommen. Den Datentransfer übernahm eine Profifirma. Ist die nicht verpflichtet vorher nach Viren zu schauen?

Hat noch wer eine Idee?

shrek3 asserin „Stand der Dinge ist nun, dass der neue Server immer wieder abstürzt, USV ist...“
Optionen

Da ihr ja zwei Server haben müsstet, sollte es doch möglich sein, den im Moment ausrangierten Server plattzumachen und neu aufzusetzen.

Dann eine Sicherung aufspielen, die aus einer Zeit stammt, als die Probleme noch nicht bestanden.

Den Datentransfer übernahm eine Profifirma. Ist die nicht verpflichtet vorher nach Viren zu schauen?

Sie sollte zumindest die Ursache klar ermitteln und ihr weiteres Vorgehen davon abhängig machen.

Dem scheint nicht entsprochen worden zu sein - eine ausreichende Ferndiagnose ist aber naturgemäß von hier aus sehr schwer zu treffen.

Hinzu kommt eine unzureichende Faktenlage deinerseits.
Du beschreibst leider nicht, was exakt ausgetauscht wurde und meine Frage, ob ihr alte Festplatte(n) übernommen habt, blieb unbeantwortet.

Auch fehlen Angaben, was unmittelbar vor Eintritt der Problematik evtl. am alten Server verändert wurde.

Gruß
Shrek3

asserin shrek3 „Da ihr ja zwei Server haben müsstet, sollte es doch möglich sein, den im...“
Optionen

Den alten Server wollte ich erst platt machen, wenn ich es schriftlich von einem unabhängigem (Sach)verständigen habe, dass er einen Platinenschaden hat und wir einen neuen haben mußten

Eine Sicherung aus einer Zeit, als die Probleme noch nicht bestanden, haben wir schon noch, aber die muss mehr als 3 Wochen alt sein.

Ich bin der Meinung, dass die Firma verpflichtet ist, vorher nach Viren zu schauen!? Oder nicht?

Ergänzung zu Deiner Frage: Es wurde uns ein komplett neuer Server um 1900 EUR verkauft, also alle Teile neu. Die Daten des alten wurden komplett übernommen. (Viren also auch).

Vor Eintritt der Problematik am alten Server wurde nichts verändert, das System lief stabil. Einziges Teil was vor ca 6-8 Wochen ausgetauscht wurde, war ein Switch, an dem Tastatur, Bildschirm und Maus vom Server hängt.

Ich habe kein Vertrauen mehr zu der Firma, da immer andere Fehlerdiagnosen präsentiert werden und dann möglichst mit einem Hardwareverkauf verbunden. ich fasse nochmals zusammen, um mehr Informationen zu geben:

Vor 6-8 Wochen: Austausch des oben besagten Switches

Dann bei Beginn der Server-Poblematik:
Netzwerk Hub ausgetauscht
3 Lankabel ausgetauscht
USV ausgetauscht
Server komplett ausgetauscht
1 Arbeitsplatz mitgenommen-Virusbefall festgestellt, aber keine Aussage welcher (bisher jedenfalls, war erst heute). ich muss sagen wir haben 2 gekaufte und 1 Freeware laufen, die laufend updates haben.


shrek3 asserin „Den alten Server wollte ich erst platt machen, wenn ich es schriftlich von einem...“
Optionen

Lade dir hier eine oder mehrere dieser drei Boot-CDs herunter, mit der du den Server von CD aus nach Viren scannen kannst:

AntiVir Rescue System:
http://www.gdata.de/support/downloads/tools.html

F-Secure Rescue CD 3.01 released (am Ende dieses Abschnitts auf das blau untergestrichene "here" klicken):
http://www.f-secure.com/linux-weblog/

GData Boot CD:
http://www.gdata.de/support/downloads/tools.html

Der Server muss heruntergefahren und von der CD gebootet werden.

Gruß
Shrek3

asserin shrek3 „Lade dir hier eine oder mehrere dieser drei Boot-CDs herunter, mit der du den...“
Optionen

Sorry für die lange Antwort, Rückfrage: warum sollen wir von einer Bootdiskette starten? Was soll dies in diesem Fall bringen?

Inzwischen vorgestern wieder Ausfall.- Inzwischen ist alles clean (Viren), wir denken inzwischen aus versch. Gründen an Sabotage um uns zu ärgern. Aber wie könnte man das anstellen?

Noch eine Idee: Kann z.B. ein defektes ser. Druckerkabel, ein defekter Drucker, eine defekte Netzwerkkarte so etwas auslösen?

shrek3 asserin „Sorry für die lange Antwort, Rückfrage: warum sollen wir von einer...“
Optionen
warum sollen wir von einer Bootdiskette starten? Was soll dies in diesem Fall bringen?

Diese Gegenfrage verstehe ich ehrlich gesagt, überhaupt nicht.

Du hast doch in nahezu all den vorangegangenen Postings Vireninfektionen ins Spiel gebracht und die Firma, den den Servertausch durchgeführt hat, für die Nicht-Überprüfung auf Viren verantwortlich gemacht.

Mit Boot-Cds lässt sich ein evtl. infizierter Rechner sehr viel zuverlässiger auf Schädlinge untersuchen, weil die Schädlinge vollkommen passiv auf der Festplatte liegen (sie entfalten ihre Aktivitäten nur, wenn das Server-Betriebssystem gestartet ist).

Im laufenden System einen Virenscan durchzuführen bedeutet immer, dass (je nach Art des Schädlings) diese Gegenmaßnahmen durchführen können, um eine Entdeckung zu verhindern.

Bei einer Boot-CD ist das dem Schädling unmöglich.

Inzwischen ist alles clean (Viren)
Das liest sich so, als ob Schädlinge auf dem System waren.
Wenn dem so ist, führt eine manuelle Entfernung nicht zwangsläufig zu einem "cleanen" Zustand.

Kann z.B. ein defektes ser. Druckerkabel, ein defekter Drucker, eine defekte Netzwerkkarte so etwas auslösen
Möglich ist so etwas immer.
Doch verstehe ich nicht, weshalb du auf eine defekte Netzwerkkarte kommst, da doch der Server komplett ausgetauscht wurde.

wir denken inzwischen aus versch. Gründen an Sabotage um uns zu ärgern
Seid ihr über eine statische IP von außerhalb des Betriebs erreichbar - z.B. per VPN oder über eine Homepage, die vom Server aus gehostet wird?
Dann ist ein externer Angriff natürlich möglich.
Betreffs VPN würde ich die Zugangsdaten ändern.

Vorstellbar wäre natürlich auch ein interner Angriff.

Gruß
Shrek3