Neulich an einem Freitag Abend bekam ich einen Anruf von einem Ex-Kunden, der meine Nummer aus XING rausgekramt hat. Er kämpfte schon seit über zwei Stunden mit seinem Exchange-Server; dessen Festplatte (Laufwerk C:) füllte sich rasant. Er hatte zwar schon alles Mögliche gelöscht, aber nach kurzer Zeit war auch dieser Platz wieder aufgebraucht.
Als Erstes tippte ich auf eine SPAM-Attacke und dadurch erzeugte Transaktionsprotokolle. Die Transaktionsprotokolle lagen aber auf einer anderen Partition, so daß dieser Grund ausgeschlossen werden konnte. Das Problem war also: wie stelle ich fest was gerade meine Platte vollschreibt?
Ich bin in solchen Momenten immer wieder erstaunt dass es immer noch Admins gibt, die die Sysinternals-Tools nicht kennen. Ich habe ihn angewiesen, das Tool ProcMon auf dem Rechner zu starten. Zur Erinnerung: ProcMon zeigt in Echtzeit u.a. Festplattenaktivitäten, Registryzugriffe und Netzwerkverkehr an. Per Telefon habe ich ihm dann erklärt, wie man das Logging soweit einschränkt dass nur noch Festplattenaktivitäten angezeigt werden.
Der Erfolg stellte sich sofort ein: zwei Prozesse waren für fast alel Zugriffe verantwortlich. Der eine Prozess war offensichtlich ein Tool für die Überwachung des MegaRAID-Kontrollers und der zweite Prozess war Javaw.exe. Über den Taskmanager beendete er Javaw.exe und sofort war Ruhe. Scheinbar war das Logging des MegaRAID-Tools etwas ausser Kontrolle geraten.
Dank eines Sysinternals-Tools konnten wir den Fehler in weniger als 15 Minuten diagnostizieren und beheben.
PS: Nach langer Wartezeit ist auch endlich das Buch zu den Tools auf dem Markt. „Windows Sysinternals Administrator’s Reference“ von Mark Russinovich und Aaron Margosis. Über O‘ Reilly kann man das eBook schon beziehen; die Printausgabe verzögert sich noch etwas.
]]>