Supportnet / Forum / Windows2000

Hallo! Betreue seit Feber ein kleines Netzwerk, bestehend aus Win 2000 SP4 Server, geht über WLAN in ein übergeordnetes Netzwerk (WAN). Am Server hängen 4 Clients (alle Win 2000), werden über WinGate (LAN) mit dem Server verbunden. Alle Benutzerprofile sind auf diesem gespeichert. Seit 4 Wochen macht mir der Server aber unlösbare Probleme. Ich habe allerdings KEINE Änderungen an Hard- oder Software vorgenommen. -) Beim Starten ist alles ganz normal, nur beginnt er 2 Min. später wild zu laden. Die Clients sind aber abgeschaltet. -) Nach ca. 7 Minuten werden alle Netzwerkverbindungen gesperrt, d.h. die Clients erhalten kein DHCP, werden vom Server getrennt, Internet ist tot und die Netzlaufwerke am Server auch. WinGate lässt sich nicht mehr schließen. Laut SysTray sind die beiden Netzwerkverbindungen aber noch AKTIV und laufen ohne Probleme... -) Programme werden mit dem Fehler "Nicht genügend Quoten verfügbar, um diesen Befehl auszuführen" am starten gehindert (obwohl 320 MB) -) Manchmal wird nach ca. 10 min. der Server unerträglich langsam, weil laut Taskmnrgr das "SYSTEM" 99% Ressourcen verbraucht und die CPU mit 100 % ausgelastet ist. Im Zuge meiner Recherchen stieß ich auf einige Seiten, die das Sasser - Virus als mögliche Ursache angaben. Die Stinger - SW findet ihn aber nicht (und auch sonst keinen Wurm). Auch finde ich im Taskmnrgr keine entsprechenden Dateien. Ich weiß nicht, ob nach dem SP4 noch Programmupdates von Win vorgenommen wurden. Ein Antiviren - Programm hat sich NICHT auf dem server befunden, habe aber inzwischen eine Demo von antiVir Server installiert. Diese fand im Winnt ordner aber keinen Virus. Leider kann das Programm nur 10 min. suchen, weil es dann vom server abgewürgt wird. Was mich eben wundert ist, was nach 7 Minuten den Datenfluss zerstören kann... Ich schreibe hier mal rein, was so im Ereignisprotokoll steht: Vielleicht können kundige menschliche Wesen den Fehler ja herauslesen, wobei das aufgrund der hohen anzahl der fehler schwer fallen dürfte. ANWENDUNGSPROTOKOLL: DIENST / FEHLER # / BESCHREIBUNG Antivir Service / 1063 / - USERENV / 1000 / "Der Domänencontroller f. d. Netzwerk konnte nicht ermittelt werden. Zurückgegebener Wert: 39" [wird alle 5 min. protokolliert] Licence Service / 202 / "Für d. Prozedur "Winserver" stehen keine Lizenzen z. Verfügung" Winlogon / 1012 sowie 1608 & 1009 (ähnlicher Wortlaut) / Das Untersystem f. d. automatische Zertifikatserkennung konnte nicht (...) Registrierung zugreifen WARNUNG: BINSLVC / 1050 / Beim Verbinden m. d. Verz.- Dienst ist im BINC - D. ein Fehler aufgetreten. SICHERHEITSPROTOKOLL Srv / 2019 / Der Server konnte keinen nicht ausgelagerten Poolspeicher reservieren, da Pool leer war [wird alle 10 min. protokolliert] DHCP Server / 1051 / Der DHCP Dienst ist nicht autorisiert, d. Dienst f. Clients in d. Netzwerk (...) auszuführen. Warnung: Netlogon / 5782 / D. dyn. Reg. od. d. Aufhebung der registrierten (...) DNS - Dienste ist fehlgeschlagen. Fehler: das TCP/IP - Protokoll ist nicht verfügbar. DIRECTORY - SERVICE NTDS General / 1655 / Mit d. Globalen Katalog (...) konnten keine Daten ausgetauscht w. Für diesen Vorgang ist nicht gen. Speicher verfügbar. NTDS General / 1126 / Die Verb. m. d. globalen Kat. (...) konnte n. hergestellt werden. NTDS Inter-Site / 1369;1465 / Der Meldungsdienst hat keine LDAP Suche ausgeführt. Fehlgeschlagen: Der Server kann d. Vorg. nicht ausführen. NTDS Inter-Site / 1380 / Eines an das system angeschlossene Gerät funkt. nicht. DNS - SERVER DNS / 4000 & 4015 / der DNS - Service konnte aktive Dir. nicht öffnen. DNS / 9999 / Der DNS - S. ist auf mehrere Laufzeitereignisse gestoßen. Empfang fehlerhafter & unerwarteter Pakete & Replikationsakt... DNS / 4004 / Der DNS-S. kann die Zählung der Verzeichnisdienste n. durchführen. Der DNS - Dienst braucht diese => kann sonst nicht laden. DATEIREPLIKATIONSDIENST NTFRS / 13562 u. 13516 / Es konnte keine Verb. mit der Domänenstruktur(???) hergestellt werden.

Ach ja: Vielen Dank für eure Hilfe.

Es liegt mir viel daran, das Netzwerk in seiner jetzigen Form beizubehalten, es sind immerhin von 60 Personen Daten auf dem Server...

Hallo Hifi,


Cope with event ID 2020 errors
Serdar Yegulalp
08 May 2002
Rating: --- (out of 5)
Servers that run under extremely heavy loads -- meaning they have a lot of services running and a lot of open file handles -- may start logging a great many errors of Event ID 2020. The error information reads:
"Event ID 2020 - The server was unable to allocate from the system paged pool because the pool was empty."
This happens if Windows 2000´s memory manager can´t de-allocate paged pool memory fast enough to keep up with demand. Paged pool memory is system or kernel code that can be swapped out to disk when there´s little physical RAM left. De-allocating paged pool memory is the actual swapping process. Normally this swapping starts happening when 80% of the total paged pool is used by system operations, but it may need to happen a lot sooner if the server starts experiencing heavy loads. To do this, you´ll need to edit the Registry. (Make sure you´ve backed it up, and can restore it in the event you do something untoward.) Run REGEDT32 and open the key:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\Memory Management

Add a REG_DWORD value named PoolUsageMaximum (assuming there isn´t one already), and set the value of the key to 40 (decimal). This indicates that the memory manager should begin trimming down allocated paged pool memory when 40% of the total paged pool is in use.

Set the PagedPoolSize REG_DWORD key to 0xFFFFFFFF (hex), which allows the largest possible paged pool permitted. Close down REGEDT32 and reboot.
ZUSATZ:schau mal ob im Ereignisprotokoll der Fehler mit der id 2020
(Der Server konnte keinen ausgelagerten Poolspeicher reservieren, da der Pool leer war. ) drin is. wenn ja hilft:
http://searchwinsystems.techtarget....1039883,00.html
weiter !achtung registry vorher sichern! , und beim Wert den du beim 2ten Schlüssel eingeben musst, darfst nicht 0xFFFFFFFF sondern nur FFFFFFFF eingeben)
QUELLE: http://64.233.183.104/search?q=cache:4_zmyHOLPEkJ:www.overclockers....

Wie Du bei digitalfernsehen geschrieben hast, funktioniert es im abgesicherten Modus besser.
Das Problem ist, zu erkennen welche der ganzen Fehlermeldungen nur Folgefehler sind.
Mach Dir mal eine Liste der Dienste die automatisch gestartet werden und setze alle nicht absolut benötigten erstmal auf manuell (nur Dienste starten die der S. für sich braucht, Netzwerk ist erstmal uninteressant!), dann Server neu starten und beobachten.
Dan die Dienst einzeln, von Hand starten.
Ggf. können wir den Fehler so nach und nach eingrenzen.
Wingate würde ich auch erstmal deaktivieren, zu Testzwecken reicht es doch wenn die Clients direkt über den Router rausgehen.

Teilen sich 60 Personen 4 Rechner?
Ich würde auf einem Server der so wichtig ist, nicht unbedingt auch noch einen Proxy laufen lassen. Diesen würde ich an Deiner Stelle auf einen eigenen (Firewall-)Rechner auslagern.
Gruss
Micha

Habe hier mal die Log - Datei des Programms Hijack! This gepostet!

Vielleicht bringt das ja was

Logfile of HijackThis v1.99.1
Scan saved at 18:19:43, on 27.04.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\termsrv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\msdtc.exe
C:\Programme\AVNetNT\avguard.exe
C:\WINNT\System32\tcpsvcs.exe
C:\Programme\PCD32\client32.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\grovel.exe
C:\WINNT\System32\ismserv.exe
C:\WINNT\System32\llssrv.exe
C:\WINNT\system32\ntfrs.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\System32\locator.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\tftpd.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\dns.exe
C:\Programme\WinGate\WinGate.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\internat.exe
C:\Programme\MA311 PCI Adapter Configuration Utility\wlanutil.exe
C:\Programme\WinGate\wgengmon.exe
C:\Programme\WinGate\wgvpnmon.exe
C:\Dokumente und Einstellungen\Trainer\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://sv0/h$
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 172.19.8.254:3128
O1 - Hosts file is located at: C:\WINNT\nsdb\hosts
O1 - Hosts: 82.179.166.192 new-search.net
O1 - Hosts: 82.179.166.190 x-google.net
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: WHttpHelper Class - {9896231A-C487-43A5-8369-6EC9B0A96CC0} - C:\WINNT\system32\WStart.dll (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [PC-Duo System Snapshot] c:\PROGRA~1\PCD32\CLBOOT32.EXE
O4 - HKLM\..\Run: [OtbStart] \\Fss01\daten\OTB\OtbStart.EXE
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Configuration Utility.lnk = C:\Programme\MA311 PCI Adapter Configuration Utility\wlanutil.exe
O4 - Global Startup: WinGate Engine Monitor.lnk = C:\Programme\WinGate\wgengmon.exe
O4 - Global Startup: WinGate VPN Monitor.lnk = C:\Programme\WinGate\wgvpnmon.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra ´Tools´ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = XXX
O17 - HKLM\System\CCS\Services\Tcpip\..\{0DDF8515-3201-45B2-9897-B43A743F1B18}: NameServer = 192.168.0.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{4EA7CA99-58D9-4B97-B237-9C3AAE0FA5CE}: NameServer = 172.19.X.XXX
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = XXX
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = XXX
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = XXX
O18 - Filter: text/html - {4F7681E5-6CAF-478D-9CB8-4CA593BEE7FB} - C:\WINNT\system32\xplugin.dll
O23 - Service: AntiVir Downloader (AntiVirDownloader) - H+BEDV Datentechnik GmbH - C:\Programme\AVNetNT\dwldsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVNetNT\avguard.exe
O23 - Service: Client32 - Productive Computer Insight Ltd - C:\Programme\PCD32\client32.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Qbik WinGate Engine (WinGateEngine) - Qbik Software NZ Ltd - C:\Programme\WinGate\WinGate.exe




Der Fehler "2020" wird übrigens nicht angezeigt, aber 2019 mit demselben Wortlaut.

Seit ich das Ding vor 4 Tagen neu gebootet habe, scheint der Fehler aber NICHT MEHR auf. Es erscheint aber weiterhin die NetLogon - Warnung: 5782

in der auswertung solltest du folgendes prüfen

172.19.8.254:3128
Eventuell Böse Diese Seite könnte böse sein! Wenn Sie die Seite ´172.19.8.254:3128´ nicht kennen, sollte der Eintrag entfernt werden. O1 - Hosts file is located at: C:\WINNT\nsdb\hosts
Böse Dieser Eintrag muss sofort gefixt werden. Muss gefixt werden! O1 - Hosts: 82.179.166.192 new-search.net
Böse Dieser Eintrag muss sofort gefixt werden. Muss gefixt werden! O1 - Hosts: 82.179.166.190 x-google.net
Böse Dieser Eintrag muss sofort gefixt werden. Muss gefixt werden! O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - [internat.exe] internat. nicht, fixen. O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = XXX
Eventuell Böse Wenn die hier angegebene Domäne nicht zum ISP, bzw. des Firmen-Netzwerks ist, sollte dieser Eintrag mit HijackThis gefixt werden. Das Gleiche gilt für die ´SearchList´-Einträge (Suchlisten-Einträge). Kennen Sie die IP oder die Domäne ´XXX´ nicht, fixen. O18 - Filter: text/html - {4F7681E5-6CAF-478D-9CB8-4CA593BEE7FB} - C:\WINNT\system32\xplugin.dll
Böse Nur wenige Hijacker werden hier angezeigt. Die bekannten sind ´cn´ (CommonName) , ´ayb´ (Lop.com) und ´relatedlinks´ (Huntbar) . Diese sollten mit HijackThis gefixt werden. Sollte gefixt werden! O23 - Service: AntiVir Downloader (AntiVirDownloader) - H+BEDV Datentechnik GmbH - C:\Programme\AVNetNT\dwldsvc.exe
Unbekannt Diese Einträge zeigen alle, nicht von Microsoft stammenden, Systemdienste. Malware startet oft als Systemdienst und man erkennt sie schwerer. Unbekannte Einträge sollten genauer überprüft werden. Unbekannter Dienst. (dwldsvc.exe) O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - CUnbekannter Dienst. (WinGate.exe)


vadder

Das ist kein Virus sondern das Resultat eines der letzten Microsoft patches. Ich habe selbst 3 server mit diesem Problem. All zum selben Zeitpunkt angefangen, nach einspielen der patches.
Es gibt ein Hotfix fon MS was aber bei mir nicht geholfen hat.
Ansonsten wird das Problem geleugnet.

Ich habe das selbe Problem auch nach dem letztem MS-patch. Wo findet man denn den Hotfix von MS?

• laptop kappt wlan
• Hilfe bei deinstallation von win 2000
• win 2003 server für FTP ?
• Paßwort für Win 2000 Server
• Was ist ein Citrix Client ?