Windows Server 2012 R2 Terminalserver, Unbrauchbar nach Kaspersky Application Error

[Zargan2]

Moin und Hallo,

wir haben seit einiger Zeit das Problem, dass unsere Terminalserver (virtuell, wie physisch) ohne ersichtliche Regelmäßigkeit und zu keiner bestimmten Uhrzeit einfach in die Knie gehen.
Dadurch sind keine Anmeldungen/Abmeldungen mehr am Terminalserver möglich und die User hängen dort einfach fest. RDP Anmeldungen sind entweder gar nicht möglich oder dauern bis zu einer halben Stunde, da sich ab ca. diesem Zeitpunkt die Server wieder beruhigen und auch andere An-/Abmeldungen wieder gehen.

So viel Zeit ist allerdings meist nicht vorhanden, weil die User in der ganzen Zeit nicht arbeiten können. Daher muss der Server meist hart ausgeschaltet werden.
Problem ist, dass wir keinerlei Möglichkeit haben während der Dauer des Problems zu schauen, was mit dem Server nicht stimmt. Kommen ja selbst nicht drauf.

Nachdem nun über Wochen hinweg alle Möglichkeiten ausgeschöpft wurden, haben wir dann doch Kaspersky verdächtigt und sind im Event Log auf folgenden Fehler gestoßen, nachdem immer wieder Winlogon Warnungen auftauchen, die auf die langen Anmeldezeiten hinweisen.

Installiert auf den Servern ist Kaspersky Security for Windows 10.

Protokollname: Application
Quelle: Application Error
Datum: 27.01.2017 10:33:41
Ereignis-ID: 1000
Aufgabenkategorie100)
Ebene: Fehler
Schlüsselwörter:Klassisch
Benutzer: Nicht zutreffend
Computer: servername.domäne.intern
Beschreibung:
Name der fehlerhaften Anwendung: kavfswp.exe, Version: 10.0.0.486, Zeitstempel: 0x56e04e62
Name des fehlerhaften Moduls: scandll.dll, Version: 10.0.0.486, Zeitstempel: 0x56e04df3
Ausnahmecode: 0xc0000409
Fehleroffset: 0x0000d51f
ID des fehlerhaften Prozesses: 0x718
Startzeit der fehlerhaften Anwendung: 0x01d27841ba39bf21
Pfad der fehlerhaften Anwendung: C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security 10 for Windows Server\kavfswp.exe
Pfad des fehlerhaften Moduls: C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security 10 for Windows Server\scandll.dll
Berichtskennung: afdd3d2a-e473-11e6-8174-00215e62f3a8
Vollständiger Name des fehlerhaften Pakets:
Anwendungs-ID, die relativ zum fehlerhaften Paket ist:
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event;>"
<System>
<Provider Name="Application Error" />
<EventID Qualifiers="0">1000</EventID>
<Level>2</Level>
<Task>100</Task>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2017-01-27T09:33:41.000000000Z" />
<EventRecordID>171168</EventRecordID>
<Channel>Application</Channel>
<Computer>servername.domäne.intern</Computer>
<Security />
</System>
<EventData>
<Data>kavfswp.exe</Data>
<Data>10.0.0.486</Data>
<Data>56e04e62</Data>
<Data>scandll.dll</Data>
<Data>10.0.0.486</Data>
<Data>56e04df3</Data>
<Data>c0000409</Data>
<Data>0000d51f</Data>
<Data>718</Data>
<Data>01d27841ba39bf21</Data>
<Data>C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security 10 for Windows Server\kavfswp.exe</Data>
<Data>C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security 10 for Windows Server\scandll.dll</Data>
<Data>afdd3d2a-e473-11e6-8174-00215e62f3a8</Data>
<Data>
</Data>
<Data>
</Data>
</EventData>
</Event>


Ist dieses Verhalten schon jemandem aufgefallen oder hat es schonmal gehört?

Besten Dank im Voraus für hilfreiche Rückmeldungen.

LG,
Flo

 

[Weby]

Supportticket bei Microsoft und Kaspersky geöffnet? Habt doch bestimmt eine Subscription bei der Lizenz enthalten.

 

[Zargan2]

Macht natürlich Sinn. =) Wir haben unsere Lizenzen allerdings wieder über einen externen Dienstleister bezogen und bevor wir das Fass auf machen und uns nun über mehrere Wege zum Ziel boxen, kann man ja erstmal in der Community nachfragen. ;-)

 

[leipziger1979]

Würde mich diesbzgl. auch erstmal an Kaspersky wenden.
Werden eure Server überwacht von zb. SCOM oder ähnlichem ? Da könnte man aus den Leistungsdaten erste Rückschlüsse ziehen, zb. hohe CPU Auslastung, RAM Auslastung, etc.

 

[shoa66]

Haben ne ähnliches Problem, hat allerdings nichts mit Kaspersky zu tun.
Welchen Host habt ihr ? Dell?

 

[Zargan2]

Wenn's doch nur so einfach wäre. ^^ Die betroffenen Server werden momentan mit Nagios und PRTG überwacht. Leider kommt da nichts Auffälliges ans Tageslicht.

 

[shoa66]

Wenn es unregelmäßig ist, evtl schauen ob es ein Lastenproblem ist. Welche Hardware habt ihr?

 

[Zargan2]

Wenn es unregelmäßig ist, evtl schauen ob es ein Lastenproblem ist. Welche Hardware habt ihr?

Sorry shoa66, hab dich da oben nu irgendwie übersehen. =)
Wie schon gesagt, haben wir bereits die Lasten dauerhaft unter Kontrolle und da ist nichts Auffälliges.

Das hätte ich aber natürlich dazu sagen können. xD

Wir haben aktuell ne Mischung aus IBM und Dell Servern, da wir langsam von IBM/Lenovo weg wollen.
Diese Server sind als Hyper-V Hosts eingesetzt und dementsprechend handelt es sich um virtuelle Maschinen. Macht aber keinen Unterschied, da wir ebenfalls IBM Bladeserver haben, welche als Terminalserver genutzt werden und ebenfalls das Problem bekommen können.

Spielt also leider keine Rolle, ob nun virtuell oder physisch. =)

 

[raekaos]

Wir hatten ein sehr ähnliches Problem mit unserer Branchenlösung in Verbindung mit TS auf 2012R2. Da stürzte irgendwann die Software ab und ab diesem Punkt funktionierten die TS-Sitzungen nicht mehr, bis zum Neustart.
Die einzige Lösung, die wir gefunden haben, war die Software vom APP-Server auf den TS umzuziehen, damit die TS-Sitzungen auf lokale Resourcen zugreifen und nicht auf UNC-Pfade. Wir haben uns damals mit umfangreichen Anwendungsprotokollen an MS gewendet, die haben nur gesagt das Problem sei bekannt, aber tritt nur extrem selten auf - Lösung negativ.

 

[wayne_757]

Ganz ehrlich?
Ein Virenscanner hat auf einem Produktivsystem auch nichts verloren:
http://www.golem.de/news/antivirensoftware-die-schlangenoel-branche-1612-125148.amp.html

 

[updater14]

Ganz ehrlich?
Ein Virenscanner hat auf einem Produktivsystem auch nichts verloren:
http://www.golem.de/news/antivirensoftware-die-schlangenoel-branche-1612-125148.amp.html

Genau, macht natürlich gar keinen Sinn einen AntiVirus auf einem System laufen zu lassen, welches von Usern bevölkert wird, die E-Mailanhänge öffnen, im WWW surfen und sich Dinge herunterladen.
Natürlich kann man vieles sperren, kontrollieren und filtern - idR aber für gerade kleinere Unternehmen keine Option.

@Topic
Da das Problem auf diversen Terminalservern vorzukommen scheint, müssen diese eine Gemeinsamkeit haben.
Der AntiVirus ist da schon mal ein guter Ansatz, auch da die Fehlermeldung darauf hindeutet.
An ausgewählten Testmaschinen den Kaspersky gegen eine andere Lösung tauschen (bspw. G DATA), die grob
konfiguriert und für einige Wochen im Testeinsatz nutzen.
Dann weiß man mehr.
Oder aber bei Kaspersky mal gefragt ob das Problem bekannt ist.

 

[wayne_757]

Genau, macht natürlich gar keinen Sinn einen AntiVirus auf einem System laufen zu lassen, welches von Usern bevölkert wird, die E-Mailanhänge öffnen, im WWW surfen und sich Dinge herunterladen.
Natürlich kann man vieles sperren, kontrollieren und filtern - idR aber für gerade kleinere Unternehmen keine Option.

Virenscanner erkennen in der Regel fast nur false positives. Echte Viren hingegen werden klaglos durchgelassen. Das ist leider Normalzustand.

 

[hrafnagaldr]

Hat der Kaspersky neben dem Echtzeitscan auch eine Verhaltensüberwachung? Ich kenne das von der Sophos Endpoint Protection. Mit aktivierter HIPS ist man bei den vielen laufenden Prozessen an einem TS schnell am CPU-Limit (selbst bei 16x 3.0GHz Core) und der TS ist quasi nicht mehr nutzbar. Verhaltesüberwachung aus und nur Echtzeitscan und alles ist wieder gut.

Virenscanner erkennen in der Regel fast nur false positives. Echte Viren hingegen werden klaglos durchgelassen.

Solche Aussagen sind idR bullshit. Dennoch ist es sinnvoller, bereits ein ordentliches Mailgateway zu benutzen. Ansonsten haben Virenscanner auch so sinnvolle Sachen wie Device Control, äußerst nützlich bei vielen Clients im Unternehmen, am Termianlserver brauchst das natürlich nicht.

 

[Zargan2]

Virenscanner erkennen in der Regel fast nur false positives. Echte Viren hingegen werden klaglos durchgelassen. Das ist leider Normalzustand.

Ich bin mal so frei und tue mir selbst den Gefallen, nicht darauf einzugehen, damit das hier nicht ausartet. ;-)

Hat der Kaspersky neben dem Echtzeitscan auch eine Verhaltensüberwachung? Ich kenne das von der Sophos Endpoint Protection. Mit aktivierter HIPS ist man bei den vielen laufenden Prozessen an einem TS schnell am CPU-Limit (selbst bei 16x 3.0GHz Core) und der TS ist quasi nicht mehr nutzbar. Verhaltesüberwachung aus und nur Echtzeitscan und alles ist wieder gut.

Nen guter Hinweis. Wird aber leider bei uns nicht zutreffen.
Wir fangen jetzt an auf fast allen Terminalservern den Client zu deinstallieren. Um die Sache ein wenig einzugrenzen, belassen wir diesen allerdings absichtlich auf 1-2 Servern. Mal schauen was dabei rum kommt.

Danke für die vielen sinnvollen Beiträge. ^^

Für weitere Ideen bin ich natürlich offen.

LG,
Flo

 

[t-6]

Terminalserver =/= Produktivsystem. Ein Terminalserver ist ein aufgemotztes Client-System, wo natürlich um Gottes willen eine Art Benutzerschutz eingesetzt werden sollte wenn Lieschen Müller alle PDFs anklickt die nicht bei 3 auf den Bäumen sind.
"Vernünftiges" Mailgateway gut und schön. Kann aufgrund noch nicht aktualisierter Virendefinitionen ganz am Anfang einer Kampange aber trotzdem zunächst durch das Gateway rutschen und im Postfach landen. Spätestens hier würde dann ein entsprechender Scanner mit hoffentlich dann aktuellen Definitionen den Schädling in der User-Session finden.

 

[hrafnagaldr]

"Vernünftiges" Mailgateway gut und schön. Kann aufgrund noch nicht aktualisierter Virendefinitionen ganz am Anfang einer Kampange aber trotzdem zunächst durch das Gateway rutschen und im Postfach landen.

Nö, weil ein ordentliches Gateway nicht nur aus nem Virenschutz besteht. Und wenn ein Admin alle potentiell gefährlichen Anhänge erstmal in die Quarantäne schickt passiert wenig bis nix.

 

[Simon]

Terminalserver =/= Produktivsystem. Ein Terminalserver ist ein aufgemotztes Client-System, wo natürlich um Gottes willen eine Art Benutzerschutz eingesetzt werden sollte wenn Lieschen Müller alle PDFs anklickt die nicht bei 3 auf den Bäumen sind.

Wer das unter einem Terminal-Server versteht, hat es am Ende auch nicht anders verdient.

Normalerweise sollte ein TS soweit über GPOs dicht gemacht werden, dass auch wirklich nur die Applikationen gestartet werden können, wir wirklich gebraucht werden. Darunter fällt übrigens eher selten auch ein Browser mit vollem Internet-Zugang. Eigentlich besteht auch kaum ein Grund, warum die TS überhaupt einen Internetzugriff haben sollten. OS & Softwareupdates werden über WSUS / Management abgebildet.

Eine Schutzsoftware ist dennoch Pflicht aber die wichtigen Maßnahmen greifen schon vorher.

 

[TheCadillacMan]

Ich hab unsere Server vor einiger Zeit von KES auf auf KAV 8 WSEE umgestellt, weil KES auf Servern immer wieder mal komische Probleme hervorgerufen hat (DNS-Probleme, Schutz vor Netzwerkangriffen spricht falsch an und anderes). Seit dem sind diese Probleme weg.
Aktuell teste ich gerade den Nachfolger von WSEE "Kaspersky Security 10 für Windows Server". Es wird sich zeigen wie gut sich das schlägt.

Darunter fällt übrigens eher selten auch ein Browser mit vollem Internet-Zugang. Eigentlich besteht auch kaum ein Grund, warum die TS überhaupt einen Internetzugriff haben sollten.

Dann installier mal Thin Clients und erklär den Benutzern, dass sie im Jahre 2017 keinen Internet-Zugang an ihrem Arbeitsplatz haben.

 

[Simon]

Viele Thin Clients haben in ihrem Embedded OS auch einen Browser integriert.

Klassische Terminalserver sind für die Sitzungsbasierte Applikationsbereitstellung gedacht, nicht zum wilden surfen im Internet.

VDI in Verbindung mit Zero Clients wäre ein anderes Thema, ist aber nicht Ausgangsthema.

Davon abgesehen, nutzen viele auch ihr privates Smartphone, um auf der Arbeit im Internet zu fädeln...

 

[crashbandicot]

Viele Thin Clients haben in ihrem Embedded OS auch einen Browser integriert.

Und wenn die Webapplikationen Daten von oder ins Dateisystem laden muss? Nicht immer von 12 Uhr bis Mittags denken.