Нарастающая нагрузка на процессор в windows server 2008 r2

1. Sergey16041992 21.12.20 11:41 Сейчас в теме
Здравствуйте. С недавних пор после создания регламентных заданий в 1с связанных с выгрузкой базы на сайт, начались сильные нагрузки на процессор.
Система на Windows server 2008 r2, Конфигурация: Управление торговлей 10.2, 1c v8.2.
Система используется как терминальный сервер 1с.
Нагрузка процессора варьируется от 50 до 100%, при чем скачками. Высокая нагрузка происходит даже когда отсутствуют пользователи. Регламентные задачи выполняются от пользователя администратора.
Так же в журнале событий системы windows наблюдается большое количество аудитов отказа, и создается какой то скрипт "usrlogon", возможно это связано с регламентным заданием.
Фоновые регламентные задания были отключены но нагрузка не спала, такое ощущение как будто она накопила какие то ошибки и не может их разгрузить.
Иногда вход в систему как будто выполняется чуть ли не каждую секунду.
Чуть ниже прикрепил файлы изображений с аудитами отказа
Прикрепленные файлы:
Ответы
В избранное Подписаться на ответы Сортировка: Древо развёрнутое
Свернуть все
2. Torin 741 21.12.20 11:48 Сейчас в теме
(1)
Так же в журнале событий системы windows наблюдается большое количество аудитов отказа, и создается какой то скрипт "usrlogon"

usrlogon.cmd - скрипт авторизации сервера терминалов!
4. ASSuk 21.12.20 13:02 Сейчас в теме
(1) имя учетной записи - ADM2 меняется или на всех отказах одинковое ?
6. Sergey16041992 21.12.20 13:18 Сейчас в теме
7. Torin 741 21.12.20 13:21 Сейчас в теме
(6)ИМХО- сервер терминалов наружу торчит и его брутфорсят
nomad_irk; +1 Ответить
9. ASSuk 21.12.20 13:29 Сейчас в теме
(7) дак я к этому и подвожу)
11. Sergey16041992 21.12.20 13:40 Сейчас в теме
(7)Тоже склонялся к этой теме, но нагрузка продолжается даже когда перекрываю доступ к глобалке.
8. ASSuk 21.12.20 13:28 Сейчас в теме
(6) порт rdp измените, и настройте проброс портов по-новой. Вас ломают...
16. ASSuk 21.12.20 14:07 Сейчас в теме
(1)В ночное время попыток входа больше чем днем или одинаково?
18. Vitaly1C8 21.12.20 16:11 Сейчас в теме
(1) проверьте ЖурналРегистрации рабочей базы - не разросся ли он до огромных размеров ?!
на старой платформе у меня жутко все тормозило из-за него (если есть возможность - отключите ЖР)
27. Sergey16041992 22.12.20 20:58 Сейчас в теме
(18)по поводу журнала. Журнал разросся и я его отключил. А нужно ли его чистить? Или что лучше с ним сделать?
29. Vitaly1C8 23.12.20 10:15 Сейчас в теме
(27) Можно ужимать
https://forum.infostart.ru/forum83/topic144282/
но я занимался этим только когда использовалась старая* платформа;
Начиная с (8.3.12.1685) журнал разростается уже не так дико; Раз в год переношу в другое место.
3. ASSuk 21.12.20 12:58 Сейчас в теме
(1) подробности нажмите. ip и порт покажите...
5. Sergey16041992 21.12.20 13:18 Сейчас в теме
(3) ip в подробностях нет
10. ASSuk 21.12.20 13:33 Сейчас в теме
(5) порт 3389 по-умолчанию измените на свой и все должно прекратиться
12. Sergey16041992 21.12.20 13:42 Сейчас в теме
(10)порт у нас не стандартный, но попробую его поменять. Но меня сущает что нагрузка на процессор продолжается даже без использования внешней сети
13. ASSuk 21.12.20 13:44 Сейчас в теме
(12) вот по этому и хотел узнать ip-источник... ломать то могут и из локалки... вообще от сети его отрубите и посмотрите результат.
14. Sergey16041992 21.12.20 14:01 Сейчас в теме
(13)От сети полностью отрубал, нагрузка все равно идет. Я думаю еще может лог этих ошибок почистить?
15. ASSuk 21.12.20 14:03 Сейчас в теме
(14) Да, хотел написать, что у вас скорее всего не ошибки накопились, а ответы о неудачных входах... сети нет, а сервер все отвечает и отвечает
17. Torin 741 21.12.20 14:09 Сейчас в теме
(14) 1.Разбираем журнал Windows 2.Проверяем все процессы ( кто чего делает) 3.Не исключаем что на сервере терминалов есть "левые файлы" /скрипты/adware и так далее.
21. HAMAZ 7 22.12.20 15:05 Сейчас в теме
так отрубите регламентные и посмотрите
19. Sergey16041992 22.12.20 11:30 Сейчас в теме
(17) Все проверил. Никто из пользователей не запускает ничего что могло бы нагружать процессор. Есть процесс svchost*32 который делает нагрузку, я его убираю он снова появляется. Что запускает данный процесс так и не понял, всеми программами пытался его просмотреть так и не получилось до него добраться. В мониторе ресурсов тоже ничего не отображается.
22. XAKEP 22.12.20 19:33 Сейчас в теме
Описание: svchost.exe - это общее название главного процесса, связанного с системными функциями Windows, которые запускаются из динамически подключаемых библиотек.

При запуске svchost.exe проверяет реестр функций, чтобы загрузить и запустить их. Для них нормально, если одновременно запущены несколько из них. Каждая из них представляет собой группу основных функций, работающих на ПК. Не следует путать с scvhost.exe.

svchost.exe часто вызывает проблемы и необходим для Windows. Svchost.exe находится в папке C:\Windows\System32.


Некоторые вредоносные программы маскируют себя как svchost.exe, особенно, если они расположены не в каталоге C:\Windows\System32

-------------------------------

но если вы спрашивали, что и для чего svchost*32
интересный уровень знаний тогда для виндовс сервера
23. XAKEP 22.12.20 19:37 Сейчас в теме
встречал такую инфо
(языком оригинала )

рдп опубликованный наружу даже на нестандартном порту всегда будут брутить.
поэтому нужен fail2ban, который будет банить айпишнеги за пяток неудачных попыток, не помешает и rds-gateway на сертификате.
а оптимально - настроить нормальный vpn, например на тех же сертификатах и радоваццо.
25. XAKEP 22.12.20 20:25 Сейчас в теме
24. XAKEP 22.12.20 19:38 Сейчас в теме
26. Sergey16041992 22.12.20 20:55 Сейчас в теме
(24)с брутом разобрался. В 1с сделал так же реиндексацию нагрузка спала до 50%. Дело было и в бруте и в 1с с бесконечным циклом регламентных задач. Видимо их было так много что он повис. Плюс реестр с dhcp мозги компосировал. Буду еще искать проблемы что бы побольше снизить нагрузку.
28. XAKEP 22.12.20 21:13 Сейчас в теме
(26)
а задания кто создавал и согласовал между обслуживающими систему ?
или просто сказали - надо - сделали
30. Sergey16041992 24.12.20 13:28 Сейчас в теме
(28)Сказали и сделали.
Нагрузка в целом опять нарастать начала. Но замечал что он переносил выполнение регламентных заданий на дневное время. Видимо слишком много нагрузки, и заданий. Есть ли вообще способ остановить этот процесс? А то регламентные задания мы остановили а нагрузка все еще идет.
31. XAKEP 24.12.20 15:22 Сейчас в теме
(30)
у вас сервер базы данных sql есть или ....?
обычные формы...много пользователей ?
32. Sergey16041992 24.12.20 17:58 Сейчас в теме
(31)на сервере есть sql 2005. Но у нас 1с файловый
33. XAKEP 24.12.20 18:16 Сейчас в теме
(32)
если вам хватает ресурсов ( память и диск - не объем,а скорость ввода/вывода )
и не обновляли сам сервер виндовс ( совпадение с регламентными заданиями )

-------------------

можете в реальном времени показать (скрин) , что грузит процессор
и как дела с дисковой системой и памятью во время загрузки проца ?
Оставьте свое сообщение
Вакансии
1С аналитик
Москва
зарплата от 210 000 руб.
Полный день

Руководитель направления 1С
Москва
зарплата от 350 000 руб.
Полный день

1С Программист
Москва
зарплата от 180 000 руб.
Полный день

Программист 1С
Москва
зарплата от 180 000 руб. до 220 000 руб.
Полный день

Аналитик 1С / Бизнес-аналитик
Нижний Новгород
зарплата от 100 000 руб. до 250 000 руб.
Временный (на проект)