[2003] Server reset uit zichzelf - Serversoftware en clouddiensten

donderdag 20 juli 2006 16:18

Acties:

Verwijderd

Topicstarter

Op een of andere (voor mij) onverklaarbare manier herstart een van onze servers elke nacht rond de klok van half 2. In het logboek van de servers is enkel rond 1 uur een drietal logs gemaakt met daarin de melding:
Master merge has completed on c:\system volume information\catalog.wci.

Uit een zoekopdracht via Goole kon ik enkel opmaken dat dit een informeel bericht betreft en normaal is. Echter is dit wel het laatste wat er steeds vermeld staat in het logboek.

Hebben jullie misschien tips waar ik kan kijken dit probleem te vehelpen??

De server bestaat uit een P4 CPU, een raid controller met 2 schijfjes die op de raid draaien, Windows 2003 en het Plesk pakket.

Alvast bedankt voor jullie reacties.

donderdag 20 juli 2006 16:25

Acties:

wizzzzzz

Fijn veel info,........

Zijn het reguliere herstarts of crashes. Unexpected shutdown of niet (in de eventlog)

donderdag 20 juli 2006 16:29

Acties:

Verwijderd

Topicstarter

Helaas, maar voor de reset is dit de laatste log:

Event Type: Information
Event Source: Ci
Event Category: CI Service
Event ID: 4137
Date: 7/20/2006
Time: 1:46:37 AM
User: N/A
Computer: HOSTING3
Description:
CI has started for catalog c:\system volume information\catalog.wci.

For more information, see Help and Support Center at http://go.microsoft.com/fwlink/events.asp.

donderdag 20 juli 2006 16:32

Acties:

leon1e

Zet *reboot on bsod* eens uit, dan kun je de andere morgen waarschijnlijk wel zien waar hij echt op vastliep.

donderdag 20 juli 2006 16:33

Acties:

Verwijderd

Topicstarter

leon1e schreef op donderdag 20 juli 2006 @ 16:32:
Zet *reboot on bsod* eens uit, dan kun je de andere morgen waarschijnlijk wel zien waar hij echt op vastliep.

Wat bedoel je met reboot on bsod??

donderdag 20 juli 2006 16:34

Acties:

Verwijderd

duh, je bent een beheerder en kan nog niet eens even kijken naar de "eventlog" meldingen.

hierin staat of het een unexpected boot is of dat het een gewone boot is geweest en kan je de precieze tijd van de boot bepalen. als het dagelijks om dezelfde tijd is, zal het wel een geschedulede boot zijn...

donderdag 20 juli 2006 16:36

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op donderdag 20 juli 2006 @ 16:34:
duh, je bent een beheerder en kan nog niet eens even kijken naar de "eventlog" meldingen.

hierin staat of het een unexpected boot is of dat het een gewone boot is geweest en kan je de precieze tijd van de boot bepalen. als het dagelijks om dezelfde tijd is, zal het wel een geschedulede boot zijn...

Er is serieus waar helemaal niets over een boot opgenomen in de logs...... De reboot staat niet bij de scheduled task.

donderdag 20 juli 2006 16:36

Acties:

Verwijderd

leon1e schreef op donderdag 20 juli 2006 @ 16:32:
Zet *reboot on bsod* eens uit, dan kun je de andere morgen waarschijnlijk wel zien waar hij echt op vastliep.

je kan beter het vinkje log in eventviewer aanzetten en/of minidump aanzetten. dan draait je server tenminste 's ochtends weer

donderdag 20 juli 2006 16:39

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op donderdag 20 juli 2006 @ 16:36:
[...]

je kan beter het vinkje log in eventviewer aanzetten en/of minidump aanzetten. dan draait je server tenminste 's ochtends weer

Staat allemaal aan.... Events worden verder ook allemaal gelogd maar niets over de reset.

donderdag 20 juli 2006 16:42

Acties:

leon1e

Verwijderd schreef op donderdag 20 juli 2006 @ 16:36:
[...]

je kan beter het vinkje log in eventviewer aanzetten en/of minidump aanzetten. dan draait je server tenminste 's ochtends weer

Maar er wordt niks gelogd dus dan moet je toch maar uitwijken naar optie2, en dan gewoon om 2 uur 's nachts naar de console van je server

. Automatisch opnieuw opstarten het (voor de ts).

donderdag 20 juli 2006 16:47

Acties:

sh4d0wman

Attack | Exploit | Pwn

Verwijderd schreef op donderdag 20 juli 2006 @ 16:36:
[...]
Er is serieus waar helemaal niets over een boot opgenomen in de logs...... De reboot staat niet bij de scheduled task.

Wat is dan de eerste melding na CI has started for catalog c:\system volume information\catalog.wci.
? Aan welke melding zie jij dat je server om half twee reboot?

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

donderdag 20 juli 2006 16:49

Acties:

Verwijderd

Topicstarter

Hier de logs van de tijden waarbij de reset plaatsvind:

Application Log:

7/20/2006 1:39:45 AM EventSystem Information None 4625 N/A HOSTING3 The EventSystem sub system is suppressing duplicate event log entries for a duration of 86400 seconds. The suppression timeout can be controlled by a REG_DWORD value named SuppressDuplicateDuration under the following registry key: HKLM\Software\Microsoft\EventSystem\EventLog.
7/20/2006 1:39:44 AM MSDTC Information TM 4193 N/A HOSTING3 MS DTC started with the following settings (OFF = 0 and ON = 1):

Security Configuration:
Network Administration of Transactions = 0,
Network Clients = 0,
Inbound Distributed Transactions using Native MSDTC Protocol = 0,
Outbound Distributed Transactions using Native MSDTC Protocol = 0,
Transaction Internet Protocol (TIP) = 0,
XA Transactions = 1
Filtering Duplicate events = 1
7/20/2006 1:37:13 AM MSSQLSERVER Information (2) 17055 N/A HOSTING3 "17147 :
SQL Server terminating because of system shutdown.
"
7/20/2006 1:08:56 AM Ci Information CI Service 4103 N/A HOSTING3 Master merge has completed on d:\fpse_search\catalog.wci.
7/20/2006 1:07:27 AM Ci Information CI Service 4103 N/A HOSTING3 Master merge has completed on c:\inetpub\catalog.wci.
7/20/2006 1:01:52 AM Ci Information CI Service 4103 N/A HOSTING3 Master merge has completed on c:\system volume information\catalog.wci.
7/20/2006 12:00:49 AM MSSQLSERVER Information (2) 17177 N/A HOSTING3 This instance of SQL Server has been using a process id of 700 since 7/19/2006 9:50:38 AM (local) 7/19/2006 7:50:38 AM (UTC).

donderdag 20 juli 2006 16:52

Acties:

wizzzzzz

Maar staat er niets in de systemlog over een reboot/crash, source=eventlog??

donderdag 20 juli 2006 17:02

Acties:

Verwijderd

Topicstarter

Hier de systemlog.... Die vindt ik er iets minder prettig uit zien....

Voor zover ik zie gaat IIS onderuit en daarna wordt de boel gereset. Na het bekijken van de monitoring server zie ik tevens ook dat de server wel te pingen is rond deze tijd maar geen websites toont..... Dan is de ping ook even weg en dan werkt plots alles weer.. :-s

7/20/2006 1:39:37 AM EventLog Information None 6005 N/A HOSTING3 The Event log service was started.
7/20/2006 1:39:37 AM EventLog Information None 6009 N/A HOSTING3 Microsoft (R) Windows (R) 5.02. 3790 Service Pack 1 Multiprocessor Free.
7/20/2006 1:37:25 AM EventLog Information None 6006 N/A HOSTING3 The Event log service was stopped.
7/20/2006 1:37:09 AM USER32 Information None 1074 NT AUTHORITY\SYSTEM HOSTING3 "The process svchost.exe has initiated the restart of computer HOSTING3 on behalf of user NT AUTHORITY\SYSTEM for the following reason: No title for this reason could be found
Reason Code: 0x80070020
Shutdown Type: restart
Comment: "
7/20/2006 1:35:35 AM Service Control Manager Information None 7036 N/A HOSTING3 The World Wide Web Publishing Service service entered the running state.
7/20/2006 1:35:35 AM Service Control Manager Information None 7035 HOSTING3\Administrator HOSTING3 The World Wide Web Publishing Service service was successfully sent a start control.
7/20/2006 1:35:32 AM Service Control Manager Information None 7036 N/A HOSTING3 The World Wide Web Publishing Service service entered the stopped state.
7/20/2006 1:35:30 AM W3SVC Warning None 1013 N/A HOSTING3 A process serving application pool 'Naam(client)(pool)' exceeded time limits during shut down. The process id was '6012'.
7/20/2006 1:35:30 AM W3SVC Warning None 1013 N/A HOSTING3 A process serving application pool 'plesk(default)(pool)' exceeded time limits during shut down. The process id was '5244'.
7/20/2006 1:35:30 AM W3SVC Warning None 1013 N/A HOSTING3 A process serving application pool 'plesk(default)(2.0)(pool)' exceeded time limits during shut down. The process id was '5764'.
7/20/2006 1:34:00 AM Service Control Manager Information None 7035 HOSTING3\Administrator HOSTING3 The World Wide Web Publishing Service service was successfully sent a stop control.
7/20/2006 1:34:00 AM W3SVC Warning None 1010 N/A HOSTING3 A process serving application pool 'DefaultAppPool' failed to respond to a ping. The process id was '1768'.
7/20/2006 1:32:22 AM W3SVC Warning None 1010 N/A HOSTING3 A process serving application pool 'plesk(default)(pool)' failed to respond to a ping. The process id was '3920'.
7/20/2006 1:30:59 AM W3SVC Warning None 1010 N/A HOSTING3 A process serving application pool 'DefaultAppPool' failed to respond to a ping. The process id was '5992'.
7/20/2006 1:27:22 AM W3SVC Warning None 1010 N/A HOSTING3 A process serving application pool 'plesk(default)(pool)' failed to respond to a ping. The process id was '3608'.
7/20/2006 1:26:59 AM W3SVC Warning None 1010 N/A HOSTING3 A process serving application pool 'DefaultAppPool' failed to respond to a ping. The process id was '2436'.
7/20/2006 1:24:51 AM W3SVC Warning None 1010 N/A HOSTING3 A process serving application pool 'plesk(default)(pool)' failed to respond to a ping. The process id was '3780'.
7/20/2006 1:22:59 AM W3SVC Warning None 1010 N/A HOSTING3 A process serving application pool 'DefaultAppPool' failed to respond to a ping. The process id was '5424'.
7/20/2006 1:19:29 AM W3SVC Warning None 1010 N/A HOSTING3 A process serving application pool 'DefaultAppPool' failed to respond to a ping. The process id was '4476'.
7/20/2006 1:19:20 AM W3SVC Warning None 1010 N/A HOSTING3 A process serving application pool 'plesk(default)(pool)' failed to respond to a ping. The process id was '4896'.
7/20/2006 1:16:59 AM W3SVC Warning None 1010 N/A HOSTING3 A process serving application pool 'DefaultAppPool' failed to respond to a ping. The process id was '2100'.
7/20/2006 1:13:50 AM W3SVC Warning None 1010 N/A HOSTING3 A process serving application pool 'plesk(default)(pool)' failed to respond to a ping. The process id was '3128'.

[ Voor 5% gewijzigd door Verwijderd op 20-07-2006 17:04 ]

donderdag 20 juli 2006 17:04

Acties:

elevator

Officieel moto fan :)

Zo te zien initieert er een programma een reboot - weet je zeker dat je in je Plesk config geen taak hebt staan om je server automatisch te herstarten bv?

donderdag 20 juli 2006 17:05

Acties:

RaZ

Funky Cold Medina

Verwijderd schreef op donderdag 20 juli 2006 @ 17:02:
7/20/2006 1:37:09 AM USER32 Information None 1074 NT AUTHORITY\SYSTEM HOSTING3 "The process svchost.exe has initiated the restart of computer HOSTING3 on behalf of user NT AUTHORITY\SYSTEM for the following reason: No title for this reason could be found
Reason Code: 0x80070020
Shutdown Type: restart
Comment: "

Dat ding wordt de van afstand gereboot, of een service die dat ding herstart. Is dat ding wel uptodate? Security patches, Serivce pack(s)?
Blaster-variant wellicht?

[ Voor 6% gewijzigd door RaZ op 20-07-2006 17:08 ]

Ey!! Macarena \o/

donderdag 20 juli 2006 17:08

Acties:

Verwijderd

Topicstarter

Alles is up to date..... Maar als ik alles goed bekijk is de webserver plots niet meer benaderbaar en gaat de server na een poosje resetten.... Het kan komen dat hij door de server monitor wordt aangestuurt te resetten omdat de webpagina's niet op te roepen zijn.

Waardoor kan die webserver plots niet meer bereikbaar zijn en zichzelf plat gooien??

[ Voor 16% gewijzigd door Verwijderd op 20-07-2006 17:10 ]

donderdag 20 juli 2006 17:10

Acties:

RaZ

Funky Cold Medina

Als ik op google zoek op de reason-code, krijg ik retour dat er een bestand niet toegankelijk is, omdat het door een ander programma gebruikt wordt. Toevallig een active virus-scanner draaien, of een back-up cyclus die dan start?

Ey!! Macarena \o/

donderdag 20 juli 2006 17:14

Acties:

PcDealer

HP ftw \o/

Verwijderd schreef op donderdag 20 juli 2006 @ 17:02:
[...]
Voor zover ik zie gaat IIS onderuit en daarna wordt de boel gereset.

Hoe kom je daar bij? ->

[...]
7/20/2006 1:37:09 AM USER32 Information None 1074 NT AUTHORITY\SYSTEM HOSTING3 "The process svchost.exe has initiated the restart of computer HOSTING3 on behalf of user NT AUTHORITY\SYSTEM for the following reason: No title for this reason could be found
Reason Code: 0x80070020
Shutdown Type: restart
[...]

Kan het zijn dat wanneer er niet gepingd kan worden de server automatisch reset?

Al eens gezocht wat de reason code kan zijn? Er zijn meerdere problemen mogelijk, maar voor zover ik kan zien is dit common:

The process cannot access the file because it is being used by another process.

LinkedIn WoT Cash Converter

donderdag 20 juli 2006 17:18

Acties:

RaZ

Funky Cold Medina

Om wat duidelijker te zijn, en PCDealer's en mijn post samen te vatten.
Een process herstart die bak, omdat deze een file niet mag openen omdat deze al in gebruik is. Check je virus-scanners, back-ups of misschien wel een defragmentatie programma als Diskeeper oid.

Ey!! Macarena \o/

vrijdag 21 juli 2006 09:22

Acties:

Verwijderd

Mijn windows 2003 SBS Machine rebootte ook spontaan, maar ik heb toen de proc koeler veranderd en hij stopte ermee. Kijk eens of je temperaturen anzienlijk hoog zijn

vrijdag 21 juli 2006 10:35

Acties:

PcDealer

HP ftw \o/

Verwijderd schreef op vrijdag 21 juli 2006 @ 09:22:
Mijn windows 2003 SBS Machine rebootte ook spontaan, maar ik heb toen de proc koeler veranderd en hij stopte ermee. Kijk eens of je temperaturen anzienlijk hoog zijn

Ja, kan zijn. Was het echter ook altijd op hetzelfde tijdstip? Lijkt me sterk.

LinkedIn WoT Cash Converter

vrijdag 21 juli 2006 10:38

Acties:

Verwijderd

voor windows is dit een normale boot, dus ik denk toch dat de applicatie een restart command geeft. Dit lijkt echter wel door een foutsituatie getriggered te worden.

vrijdag 21 juli 2006 11:32

Acties:

Verwijderd

volgens mij staat ingesteld op je server,
dat als IIS niet kan starten hij de server reboot.(bij Services)