extrem hohe Netzwerklast durch BITS

Hallo WinTotal-Gemeinde,
ich habe gleich zwei Fragen!

Wir haben ein ungemanagedes (schreibt man das so?) VLAN-Segment, in dem ca. 100 XP-Clients stehen. Kein AD, kein DC, kein Server. Nur Proxy und Bluecoat. Das Problem: Da auf allen Rechnern BITS und Windows Update eingeschaltet war, ging die gesamte Bandbreite, die für http (Port 80) zur Verfügung stand (mehr als 6MBit) für diesen Service drauf. Der Rest der http-Anfragen gerät heftig ins Stocken. Das passiert aber nicht einmalig und kurz, sondern ständig und gleichbleibend hoch.

Nachdem wir nun manuell auf allen Clients Windows-Update deaktiviert haben (auch Java-Updates, proxycfg -u, nicht aber den BITS-Dienst), besteht das Problem immer noch. Die Last geht nicht runter.

1. Frage: Was läuft da falsch?
2. Frage: Kann ich in einem solchen ungeman. Netzwerk einen WSUS-Server betreiben oder bin ich dann auch gewzungen, AD und DC zu verwenden?

Bin dankbar für jeden Tipp!
mfg
mikebirth

IIRC mag BITS keine Proxies. Hinweise darauf lassen sich auch in http://support.microsoft.com/kb/836941 finden.

Bye,
Freudi

Hi,
erstmal danke für den ersten Tipp.
Generell funktioniert das Verfahren so, wie es konfiguriert ist, d.h. die Updates kommen (sehr langsam) und keine der beteiligten Komponenten spuckt Fehlermeldungen aus, auch nicht die aus dem MS-Dokument, welches Du verlinkt hast. Das Problem behindert aber die Arbeitsabläufe bei uns, weil http Reaktionszeiten jenseits von Gut und Böse hat.

Kleine Konkretisierung: Das VLAN-Segment selbst besteht schon mehr als ein Jahr, das Lastproblem trat aber erstmals in der Nacht vom 26. zum 27. Februar, ca. 3 Uhr früh, auf. Seitdem versuchen wir verschiedene Lösungen.
Oben hat sich noch ein kleiner Fehler eingeschlichen: Statt Bluecoat muss es heißen: Finjan Firewall.

Den Folgeartikel http://support.microsoft.com/kb/900935 hast Du sicher auch schon gelesen.
Anyway, für mich steht bislang überhaupt nicht fest, dass es ein Problem mit Windows Update bzw. den zugehörigen Diensten ist. Um das zu errurieren, könnte man auf diversen Clients testweise den Dienst Automatische Updates deaktivieren. Zeigt das auf diesen Clients Besserung, ist es tatsächlich Windows Update.

Falls nicht, würde ich mich an Deiner Stelle eher an das WindowsXP-Forum hier oder die Newsgroup microsoft.public.de.german.windowsxp.networking wenden. Insebesondere dann, wenn das vollständige Deaktivieren der Personal Firewall S*a*ftware auf den Clients und stattdessen das Aktivieren der Windows Firewall keine Abhilfe schafft.

Bye,
Freudi

Hi Freudi,
die Analyse der Pakete hat ergeben, es werden zu 90 % BITS Pakete übertragen. Auf der anderen Seite der Leitung stehen AKAMAI-Server. Eigentlich hat aber BITS nix zu tun, weil überall schon Windows-Update deaktiviert ist. Oder bin ich da auf dem Holzweg, was das Zusammenspiel zwischen diesen beiden Diensten betrifft?

Das Dok 900935 hatte leider auch keine Hinweise, die wir nicht schon ausprobiert haben. Ich habe auch auf allen Kisten proxycfg -d laufen lassen.

Das Deaktivieren von WindowsUpdate ist flächendeckend geschehen, eine positive Wirkung hat das aber nicht gezeigt. Dein Vorschlag, den Dienst nur testweise zu deaktivieren, läßt sich nicht korrekt umsetzen, weil wir den Erfolg am Client nicht überprüfen können. Wir haben kein Tool gefunden, dass zuordnen könnte, welcher Client welche BITS-Pakete angefordert hat. Kennst Du ein solches Tool???

mfg
mikebirth

mikebirth schrieb:

die Analyse der Pakete hat ergeben, es werden zu 90 % BITS Pakete übertragen. Auf der anderen Seite der Leitung stehen AKAMAI-Server. Eigentlich hat aber BITS nix zu tun, weil überall schon Windows-Update deaktiviert ist. Oder bin ich da auf dem Holzweg, was das Zusammenspiel zwischen diesen beiden Diensten betrifft?

Zum Vergrößern anklicken....

BITS wird nicht nur von Windows/Auto Update genutzt. Womöglich sind es auch z.B. AutoUpdate-Mechanismen der installierten Software. Was genau wurde denn unmittelbar vor dem Auftreten des Problems installiert, deinstalliert, aktualisiert und/oder neu konfiguriert? Schreib bitte nicht nichts

Das Deaktivieren von WindowsUpdate ist flächendeckend geschehen, eine positive Wirkung hat das aber nicht gezeigt. Dein Vorschlag, den Dienst nur testweise zu deaktivieren, läßt sich nicht korrekt umsetzen, weil wir den Erfolg am Client nicht überprüfen können.

Zum Vergrößern anklicken....

Huh? Dann deaktviert es halt auf allen Clients (vorübergehend) , z.B. via net stop ......
Ansonsten verweise ich auf mein Vorposting bzgl Personal Firewall S*a*ftware.

Bye,
Freudi

jo, also: die bestehenden ca. 98 clients wurden natürlich nicht angefasst, weil es dazu keine notwendigkeit gab. am tag zuvor haben wir zwei neue, exakt gleich konfigurierte XP-clients ins netz gestellt. daran kann es eigentlich nicht liegen, weil die betankung und konfiguration bei uns automatisch erfolgt.
Ich persönlich vermute nun, dass genau in der Nacht ein Patch gekommen ist, welches in den BITS- oder Win-Update-Dienst eingegriffen hat. Da die Clients damals noch auf Auto-Update standen, könnten sich in jener Nacht einige den Fehler gezogen haben. Theoretisch jedenfalls.

Diesbezüglich habe ich schon nach Infos gesucht, aber nix gefunden. Ich hatte gehofft, dass dieses Forum darüber mehr weiß ...

na gut, werde den Thread noch ein paar tage offen lassen.
vielleicht erinnert sich ja jemand, mit einem ähnlichen problem schon mal gekämpft zu haben.

mfg
mikebirth

PS: gut möglich, dass wir ab freitag einen externen consultant suchen, der sich der sache annimmt. bei interesse bitte melden.

mikebirth schrieb:

Ich persönlich vermute nun, dass genau in der Nacht ein Patch gekommen ist, welches in den BITS- oder Win-Update-Dienst eingegriffen hat.

Zum Vergrößern anklicken....

Im fraglichen Zeitraum gibt es kein von MS für Windows XP releasetes Update - mit Ausnahme eines optionalen Stammzertifikate-Updates, siehe auch http://patch-info.de/artikel/2007/02/27/337
Anyway, Du solltest dann Hinweise in der windowsupdate.log im Windows-Ordner finden können, zusätzlich evtl. eine weitere LOG-Datei für das vermutete Update.

Bye,
Freudi

ok, problem ist immer noch da.
trotzdem vielen Dank an alle, die mitgegrübelt haben, besonders natürlich @Freudi.
mfg
mikebirth

mikebirth schrieb:

ok, problem ist immer noch da.

Zum Vergrößern anklicken....

Was hast Du denn konkret unternommen? Was ist mit der Firewall, dem AutoUpdate-Dienst und was mit dem Stammzertifikatsupdate?

Mein ja nur,
FreuMan sieht die Rechenknechte von hier aus so schlecht di

hi freudi,
wir haben schon ne ganze menge unternommen. bei uns grübelt ein ganzes team über diesem problem, inkl. 2 netzwerkmanagern und 4 secondlevel-freaks.
das 1. problem bei jeder möglichen lösung besteht u.a. darin, dass wir jede änderung manuell auf allen 100 clients durchziehen müssen. es gibt WIRKLICH keine möglichkeit, die dinger über fernwartung zu managen. jede remotesitzung muss auf der gegenseite beglaubigt werden, etc. (Revisionsanforderung). lokale adminrechte hat kein user.
tagsüber können wir keine experimente machen, weil z.t. produktive systeme dahinter stecken. nachts sind die user aber nicht da. also: sneakers an!
2. problem: wir können den erfolg jeder maßnahme erst sehen, wenn alle clients nacheinander besucht worden sind. WEIL: mit Sensoren läßt sich zwar erkennen, was und warum im netz umherfliegt, aber den verursacher-client, der die bits-pakete angefordert hat, den sieht man nicht.

die personal firewall können wir natürlich nicht abschalten. auch mcafee-update nicht. das ist uns zu riskant auf einigen clients. außerdem hausintern untersagt. mit dem stammzertifikat hat unser problem ziemlich sicher nichts zu tun.

du siehst, das problem ist ziemlich komplex, auch wenn dir einiges davon jetzt nicht logisch erscheint.

wir bauen jetzt gerade einen wsus-server zusammen. mal sehen, was dann passiert.

mfg
mikebirth

mikebirth schrieb:

die personal firewall können wir natürlich nicht abschalten.

Zum Vergrößern anklicken....

Warum nicht? Die Windows XP eigene reicht zum zuverlässigen Absichern eines Systems gegen unerwünschte Zugriffe von außen vollkommen.

auch mcafee-update nicht. das ist uns zu riskant auf einigen clients.

Zum Vergrößern anklicken....

Verstehe ich nicht wirklich.

mit dem stammzertifikat hat unser problem ziemlich sicher nichts zu tun.

Zum Vergrößern anklicken....

Verifiziert, ob es es überhaupt installiert ist?

Anyway, ich sehe nicht wirklich einen Zusammenhang zwischen dem Problem und Windows Update - und frage mich besser nicht, wieso man so ein Netz überhaupt erst aufbaut.

Bye,
Freudi