Hallo Community,
zuerst eine wichtige Information zu einem Tipp der hier zu finden ist:
Das Löschen (Umbenennen) des WMI-Repositories kann dazu führen dass ein System nicht mehr korrekt startet.
Im TechNet Performance Team Blog
https://blogs.technet.microsoft.com/askperf/2009/04/13/wmi-rebuilding-the-wmi-repository/ ) ist dazu folgendes zu finden:
If you suspect WMI or repository corruption, rebuilding repository is the last thing you should do. Deleting and rebuilding the repository can cause damage to the system or to installed applications.
Nun zum eigentlichen Thema des Thread Erstellers - "Performanceprobleme unter Windows Server 2008 R2 im Zusammenhang mit Viwas/McAfee"
Performanceprobleme im Zusammenhang mit dem Windows-Verwaltungsinstrumentationsdienst und Windows Server 2008 (mit und ohne R2) sind Systembedingt und seit längerer Zeit existent. Das Problem kann durch viele Programme /Tools hervorgerufen werden. Bekannt sind hier u. a. der Microsoft eigene Windows System Ressource Manager (WSRM), eine installierte Ask-Toolbar, der Citrix Profile Manager (CPM) oder auch Antivirensoftware wie McAfee oder Avast.
Wie macht sich der Fehler bemerkbar?
Der Prozess wmiprvse.exe verursacht eine hohe CPU oder Arbeitsspeicher Auslastung auf meinem Windows 2008 Server (auch R2 und TerminalServer).
Ursache:
Wenn man genauer analysiert, ist in den meisten Fällen die tzres.dll als Verursacher zu finden. Die Datei tzres.dll (Time Zones Resource DLL) ist eine geteilte Bibliothek, die unabdinglich für das Funktionieren vieler Applikationen ist. Deshalb erscheint das gleiche Fehlerbild beim Einsatz diverser Programme und Tools. Besonders häufig auf virtualisierten Systemen, da hier bei jedem Start einer virtuellen Maschine ein Zeitabgleich zwischen Virtualisierern und Hostsystemen stattfindet und der Windows-Verwaltungsinstrumentationsdienst somit bereits beim Systemstart genutzt wird.
Warum tritt das Problem erst seit dem letzten Viwas/McAfee-Update auf?
Mit der ScanEngine 5800 hat McAfee die Funktion des Zugriffsscanners geändert um gefährdete Dateien besser zu überwachen. Speziell Dateien welche in der Vergangenheit missbraucht wurden um Schadsoftware zu installieren. Hierzu gehört u. a. die tzres.dll.
Was passiert?
Vereinfacht beschrieben wurde die tzres.dll bisher nur einmal geprüft und dann im Cache des Virenscanners gehalten. Damit konnten Angreifer die DLL später nutzen um Schadsoftware einzuschleusen. Jetzt wird jede Aktivität der tzres.dll überwacht.
Im Fall des Performanceproblems bleibt die tzres.dll im Speicher "hängen" und arbeitet permanent. Diese Aktivität wird durch den McAfee Mcshield.exe ebenso dauerhaft überwacht und verursacht nun die hohe CPU-Auslastung.
Abhilfe:
Anhalten und Fortsetzen des Windows-Verwaltungsinstrumentationsdienstes.
Dadurch wird die Aktivität der tzres.dll beendet und somit auch die Überwachung durch die McAfee "McShield.exe".
Da Seitens Microsoft hier kein Fix mehr zu erwarten ist, empfehlen wir als Workaround bei virtualisierten Systemen einen Task in der Aufgabenplanung zu hinterlegen und täglich den Dienst kurz anzuhalten und fortzusetzen.
Z. B. mit Hilfe eines PowershellSkriptes mit folgenden Inhalt:
#------Code Anfang---------------------------------------------------
Get-Service -DisplayName Windows-Verwaltungsinstrumentation
Suspend-Service -DisplayName Windows-Verwaltungsinstrumentation
# kurz warten
$svc = Get-Service -DisplayName Windows-Verwaltungsinstrumentation
while($svc.Status -ne "Paused")
{
Start-Sleep -Seconds 5
}
Get-Service -DisplayName Windows-Verwaltungsinstrumentation
Resume-Service -DisplayName Windows-Verwaltungsinstrumentation
Get-Service -DisplayName Windows-Verwaltungsinstrumentation
#------Code Ende----------------------------------------------------------
Die Funktion kann geprüft werden in dem die Datei lokal als Administrator ausgeführt wird. Im Systemlog der Windows - Ereignisanzeige müssen dann 2 Einträge stehen:
Event ID: 7036
Dienst "Windows-Verwaltungsinstrumentation" befindet sich jetzt im Status "Angehalten".
Event ID: 7036
Dienst "Windows-Verwaltungsinstrumentation" befindet sich jetzt im Status "Ausgeführt".
Nach unserem derzeitigen Kenntnisstand tritt das Verhalten nur auf virtualisierten Windows Server 2008R2 Systemen auf.
Zum Thema Pingfiletest:
Selbstverständlich hat der Virenscanner Einfluss auf das Ergebnis mit dem Pingfiletest.
In diesem Beitrag wurde auf das Dokument 0908365 verwiesen, hier steht unter Punkt 13:
„Die Antivirenprogramme selbst ermöglichen eine Steuerung der Performance durch die Festlegung von Ausschlusslisten oder der Auslastungsstufe."
Pingfile ist nicht zu einer richtigen Performancemessung geeignet. Es kann bei korrekter Nutzung aber Anhaltspunkte liefern.
Echte Performancemessungen müssen, um Aussagekräftig zu sein, immer unterschiedliche Konstellationen berücksichtigen und mit geeigneten Tools durchgeführt werden.
Es müssen definierte Basiszustände geschaffen werden. Ein System muss vor einer Messung erst „eingependelt" sein, d. h. nach dem Systemstart muss ein Zeitraum definiert werden (bis alle Startvorgänge und Prozesse im Leerlauf sind) der abgewartet wird, bevor eine Messung erfolgen kann.
Die Cachegröße aller Hardwarekomponenten (CPU/Harddisk/Raid) muss bekannt sein, damit die zu messenden Datenmengen bestimmt werden können. Hierbei müssen Messungen mit Datenmengen erfolgen die in den Cache passen und welche, die die Cachegröße überschreiten. Messungen mit und ohne aktiven Virenscanner müssen erfolgen.
Die Konfiguration der Auslagerungsdateien in Windows muss berücksichtigt werden, etc. etc.
Die so ermittelten unterschiedlichen Messwerte müssen gegenübergestellt und analysiert werden.
Deshalb wird im Dokument auch darauf hingewiesen, dass DATEV Ihnen anbietet Ihre Systeme im Rahmen des IT-Dienstleistungsangebots per Fernbetreuung online zu analysieren.
Mit freundlichem Gruß
Usman Irshad
VIWAS Service
DATEV eG
