Hallo,

habe hier mal wieder ein völlig kurioses Problem. Für Google ist das Fehlerbild zu allgemein, da kommen dann nur Ergebnisse a la die 100 besten Tuning-Tipps.

Kleine Firma eines Bekannten. Drei Rechner. 2x Haswell i3 mit 8GB (2x4) RAM und 120GB Intel SSD, 1x Skylake i3 mit 8GB (2x4) RAM und Samsung 850 PRO 256 GB SSD. Jeweils Windows 10 Pro 1803 und Office 2016.

Jetzt heißt es, dass diese Rechner seit einigen Wochen morgens nach dem Kaltstart über 10-12 Minuten nicht zu benutzen sind. Der Desktop erscheint und dann lässt sich kein Programm starten. Outlook z.B. öffnet, bleibt aber bei "Profil laden" stehen.

Die Rechner sind weiter weg und ich komme nur per Fernwartung drauf. Wenn das geht, egal zu welcher Tages- und Nachtzeit, funktioniert alles einwandfrei. Ich kann das Problem in keiner Weise rekonstruieren. Das Outlook z.B. ist dann nach 2-3 Sekunden offen.

- Ereignisanzeige zeigt keine Fehler oder Warnungen an
- Es gibt keine Fehlermeldungen
- sfc /scannow und dism mit restorehealth ohne Fehler
- Temperaturen in Ordnung
- SMART-Daten der SSDs in Ordnung
- Treiber aktuell
- alle über Windows Update angebotenen Updates installiert
- Windows Defender als Virenscanner
- keine Tuning-Software
- keine verdächtigen Prozesse im Sysinternals Process Explorer
- keine verdächtigen Autostarts in Sysinternals Autoruns
- beim Systemstart wird eigentlich gar kein Ballast gestartet
- neues Benutzerprofil ohne Wirkung
- auf den SSDs ist genug Platz (mindestens 40 GB)

Ich bin da völlig ratlos. Keine Ahnung, wo ich auch nur ansetzen könnte.

Falls jemand Ideen oder auch nur Spekulationen zu bieten hat... immer her damit. :)

Danke

Hi, vielleicht gibt der Ressourcenmanager (resmon.exe) mehr Informationen preis. Versuch's mal damit. Neustart und gleich resmon.exe starten.

Warten die Rechner evtl. auf eine Netzwerkressource die es nicht (mehr) gibt?



Hatte vor Jahren einen ähnlichen Fall, da lag der Fehler am Netzwerk bzw. einer falschen Netzwerkeinstellung. Ich weiß nicht mehr was genau, aber jeder Rechner hat erst einmal einen Timeout abgewartet.



Im Taskmanager sieht man auch welcher Autostart wie viel Zeit in Anspruch nimmt, vielleicht hilft dir das.

Mit Resmon sieht man die Prozesse und Auslastungen, die man nach einem Systemstart erwarten kann. Allerdings ist das in dem Fall nur bedingt aussagekräftig. Wenn ich selber einen Neustart auslöse, kann ich das Problem nicht provozieren. Es gibt in dem Moment daher vermutlich auch nichts zu sehen. In dem Moment, in dem die Rechner hängen, komme ich weder per Teamviewer noch per Remotedesktop (VPN zum entfernten Router) drauf. Ich kann nur mal versuchen, Resmon auf den Desktop zu legen und das als Aufgabe zu stellen. Dann mit Handy abfilmen.

Im Autostart steht nur Windows Security Notification vom Windows Defender und OneDrive-Setup. Letzteres ist deaktiviert. Auf einem der Rechner startet noch die icloud-Software. Deaktivieren hat aber nichts verändert. Die Rechner sind allgemein recht sauber, nur das Nötigste und nichts Exotisches. Die Benutzer melden sich im Normalfall nur mit Benutzerrechten an. Anmelden als Admin ändert aber lt. Aussage auch nichts.

Dass die Rechner irgendetwas im Netzwerk versuchen, wäre eine gute Erklärung. Irgendwelche Timeouts, die abgewartet werden... aber das Netzwerk ist völlig simpel. P2P, 1 älterer Server mit der eigentlichen Lexware Software und einem gemeinsamen Ordner und ein Router, der gleichzeitig Switch ist. Der Server mit Windows 2008 R2 macht beim Starten/Anmelden übrigens keine Probleme.

Warten die Rechner evtl. auf eine Netzwerkressource die es nicht (mehr) gibt?

Hatte vor Jahren einen ähnlichen Fall, da lag der Fehler am Netzwerk bzw. einer falschen Netzwerkeinstellung. Ich weiß nicht mehr was genau, aber jeder Rechner hat erst einmal einen Timeout abgewartet.Beim Netzwerk würde ich auch ansetzten wenn verschiedene Rechner das selbe Problem haben.

MfG
Rooter

Am Wochenende habe ich als Test statische IP vergeben anstatt DHCP, zusätzlich den Server in die hosts Datei per Hand eingetragen und das automatisch verbundene Laufwerk auf einem Rechner testweise getrennt. Problembehandlung Netzwerk durchlaufen lassen. Alle den Netzwerkverbindungen zugeordneten nicht benutzen Protokolle deaktiviert.

Gebracht hat das nichts.

Allerdings hat sich die Fehlerbeschreibung mittlerweile geändert/erweitert, so dass es für mich noch weniger Sinn macht.

Rechner werden morgens gestartet, Desktop erscheint und irgendein Programm wird gestartet. Jetzt friert der Rechner ein und soll sich nur noch durch Stecker ziehen neu starten lassen. Nach dem folgenden Boot funktioniert alles für den Rest des Tages. Neustarts mit und ohne Abschalten können das Problem nicht provozieren.

Bei einem einzelnen Rechner würde ich ja sagen, ist der Wurm drin, ist halt so. Aber mehrere Rechner und einer auch noch neuer mit anderer Plattform...

Was steht den in der Ereignisanzeige? Also von den normalen Meldungen.

Kannst du auf einem der Rechner Windows komplett zurücksetzen?

evtl. mal ohne Netzwerk booten? Also Kabel raus? Evtl. ein defekter Switch?

@Lokadamus
Etwas Bestimmtes im Ereignisprotokoll? Ich kann einen Screenshot machen, wobei man dabei die Details natürlich nicht sieht. Ansonsten bekomme ich das hier glaube nicht sinnvoll reinkopiert. Der erste Eintrag ist jeweils die Startzeit, dann die Kernel-Boot Infos, Infos zu den Volumes, das keine Fehler vorliegen, Meldung der Energieverwaltungsfunktionen des Prozessors, das Laden diverser Dateisystemfilter und zum Ende Windows-Update, was meist im Laden von Definitionen für Windows-Defender mündet. Das Anwendungsprotokoll ist noch langweiliger, nur diverse Dienststarts. Die Reihenfolge ist nicht immer 100% gleich, daraus lässt sich meines Erachtens vermutlich auch nichts ableiten. Der nächste Eintrag nach dem Stecker ziehen ist dann erwartungsgemäß, dass das System vorher nicht ordnungsgemäß heruntergefahren wurde.

Es gibt jeweils als reine Information EhStorClass konnte nicht geladen werden. Habe ich zu Hause auch. Lt. Internet kann man die Meldung verhindern, indem man den Starttyp ändert. Ist für den Bootvorgang aber nicht notwendig. Hat etwas mit USB3 zu tun. Im laufenden Betrieb später diverse DCOM 10016 Fehlermeldungen, die man lt. Microsoft ignorieren soll und auf jedem Rechner vorkommen. Habe die Rechte auf einem der Rechner trotzdem testweise angepasst. Dort sind diese Fehlermeldungen dann weg, ändert aber nichts.

Vor Ort hat man erfolglos den ältesten Wiederherstellungspunkt genutzt. Rechner zurückgesetzt habe ich bisher nicht. Aber wenn die Tage die 1809 wieder offiziell erscheint, kann ich das verbinden.

@user77
Ich werde den Nutzern vor Ort es mal als Hausaufgabe stellen, den Rechner ohne Netzwerkkabel zu starten. Das ist eine gute Idee. Kann ich nur aus der Ferne nicht selber machen. Der Switch ist identisch mit dem Router (Lancom 1781VA). Alle Geräte hängen direkt daran und der Server macht keine Probleme. Aber testen kann man einen anderen Switch am jetzigen Port des Servers natürlich trotzdem. Wenn was spinnt, wer weiß, wie es sich äußert.

@Lokadamus
Etwas Bestimmtes im Ereignisprotokoll?Die Uhrzeiten wären interessant, um zu sehen, ob irgendwas erst später als gestartet wird.

Die Uhrzeiten wären interessant, um zu sehen, ob irgendwas erst später als gestartet wird.

Im Anhang ein Export aus der Ereignisanzeige des Systemprotokolls von einem Morgen, bevor ich angefangen habe, daran zu basteln.

Im ZIP-Archiv ist ausschließlich eine .evtx Datei. Vertrauenswürdiger kann ich das leider nicht gestalten. :)

Das Log gucke ich mir gerade unter XP mit einer alternativen Software an. Ich hoffe, sie funktioniert richtig.

Demnach wurde die Kiste um 08:10 gestartet (das sind die ersten Ereignisse), bis es um 08:14 erst weitergeht. Selbst dann scheint die Kiste noch nicht fertig zu sein.

Das größte Problem ist, dass sämtliche Meldungen nur den folgenden Satz beinhalten:
The description for Event ID ( xxx ) in Source ( xxx ) could not be found.
Either the component that raises this event is not installed on the computer or the installation is corrupted.You can install or repair the component or try to change Description Server.

The following information was included with the event (insertion strings):

Was MS dazu als Lösung vorschlägt, erschließt sich mir nicht ganz.
https://support.microsoft.com/en-us/help/166902/howto-troubleshooting-the-event-message-not-found-message

Hmm, denke mal, das liegt an XP oder dem Viewer?

Wenn ich den Export bei mir mit der Ereignisanzeige öffne, erscheint das nicht. Alles reguläre Meldungen.

Die erste Meldung zum Systemstart ist von 8:10:04, die letzte vom ersten Start 08:10:12. Dann scheint er Rechner sich aufgehängt zu haben. Um 8:14:37 beginnt der zweite Start und der scheint dann erfolgreich zu sein.

Der letzte Eintrag des ersten Starts ist der Bezug der Uhrzeit vom Zeitserver des Lancom.

Das ist jetzt total Banane und bei den jüngeren Einträgen ist das auch nicht immer der letzte Stand. Aber der Zeitabgleich geschieht über das Netzwerk, betrifft also alle Rechner. Das Internet sagt zwar, das würde per Standard alle 7 Tage geschehen, aber der Wert in der Registry sagt alle 9,1 Stunden. Das würde bedeuten, dass es durch das Abschalten tatsächlich morgens beim ersten Boot zu einem Zeitabgleich kommt, bei allen folgenden am selben Tag jedoch nicht mehr, höchstens während des Betriebs. Ich habe zwar noch nie gehört, das NTP den Rechner einfriert, aber Google kennt ein paar Einzelfälle. Mal schauen, was passiert, wenn man auf einem Rechner den Zeitdienst deaktiviert.

Man muss ja bei so was immer vorsichtig sein. Nur weil ein Problem nicht mehr auftritt, bedeutet das ja nicht, dass es nicht zwei Tage später wieder da ist...

Dennoch haben die Rechner heute lt. Auskunft normal gebootet.

These/Lösung:

Der Windows-Zeitgeber, also w32time, synchronisiert die Uhrzeit mit dem lokalen Router Lancom 1781VA. Nichts Besonderes bis hier, außer dass es eine Netzwerkressource ist, an die ich vorher gar nicht gedacht habe. Der Zeitabgleich scheint bei laufendem System auch normal zu funktionieren, nicht aber beim Bootvorgang. Der eingestellte Intervall zum Abgleich sorgt zudem dafür, dass beim morgendlichen Boot quasi immer eine Synchronisierung erfolgt. Einer der letzten Einträge, keine Fehlermeldung, vor dem Einfrieren war immer besagter Zeitabgleich. Die Reihenfolge der Einträge ist jedoch nicht immer identisch, was vermutlich erklärt, warum man teilweise noch dazu gekommen ist, ein Programm zu starten, bevor der Freeze kam. Aber warum sollte nun ein Zeitabgleich den Rechner freezen lassen? Windows 10 besteht wohl auf "sichere" Zeitserver. Das Netzwerk weist aber eine Besonderheit auf. Es verwendet einen IP-Bereich, der nicht standardkonform ist. Keine Ahnung warum, ist seit immer so. Vermutlich sorgt das dafür, dass der Zeitserver des Lancom "unsicher" wird. Woanders geht es, liegt also nicht grundsätzlich am Lancom. Im Gegensatz zum laufenden Betrieb scheint der Abgleich beim Boot einen Stopp von allem anderen zu verursachen. Warum nur da, ist nicht klar.

Ich habe jetzt w32time zwecks Rücksetzen deregistriert und wieder registriert. Den Dienst auf verzögerten Start gesetzt und als Zeitquelle den Windows-Standard gesetzt. Ergebnis wie gesagt, dass alle drei Rechner heute normal gebootet haben.

Danke auf jeden Fall für die Antworten. Sollte es die Lösung gewesen sein, wäre ich da ohne das Ideenpingpong sicher nicht drauf gekommen.

Wenn du versuchst den Fehler nachzustellen, verwendest du dann den gleichen Windows-Benutzer wie der Anwender der das Problem meldet?

Wenn du versuchst den Fehler nachzustellen, verwendest du dann den gleichen Windows-Benutzer wie der Anwender der das Problem meldet?

Sowohl als auch. Benutzerkonto, Adminkonto und neu angelegtes Konto. Ich konnte das nie reproduzieren.

Man könnte auch einen öffentlichen Zeitserver nutzen. Muss nicht unbedingt der vom Lancom-Router sein.

Man könnte auch einen öffentlichen Zeitserver nutzen. Muss nicht unbedingt der vom Lancom-Router sein.

Der Lancom holt von ptbtime. Um diesbezüglich wirklich alles auszuschließen, habe ich den Standard time.windows.com belassen. Aber ptbtime oder was anderes könnte man natürlich in der Tat auch dort eintragen, sollte es jetzt funktionieren.