win2000server重启后访问速度极慢的解决方案

挖客admin于2008-7-21 16:20:35提交分享...　来源：挖经验

一、问题描述:
服务器在机房里,2***server系统,平时网站访问速度超快,有时自动重启.无论自动重启还是远程重启，重启后访问速度超极慢,网站打不开，远程连接连不上，等于崩溃。必须等到23点以后或第二天早晨才能正常访问，正常之后，只要不重启，正常得没的说。iis重新装了不济于事，杀毒软件是瑞星。在机房里启动后，观察cpu和内存非常低，只占到5%左右，还有一奇怪现象是，开机后，在服务器上访问别的网页也是很慢，访问服务器上的站点还很正常。

二、问题分析:
1、最近在服务器上配置了什么？
   加了一个"在线统计"系统和一个"bbs",停掉它试试，问题目依旧。
2、网站访问慢是iis的问题还是asp的问题？还是MDAC的问题？
   访问静态+动态，速度都明显很慢，基本排除不是Asp的解释问题。
   重装IIS，问题依旧
   下载最新的mdac版本，问题依旧
3、日志是分析系统最关键的部分，日志有什么明显的变化？

   服务重启后报错
1）Kerberos Key Distribution Center 服务因下列错误而停止:
安全帐户管理器(SAM)或本地安全颁发机构(LSA)服务器处于运行安全操作的错误状态。查看事件查看器如下：
事件类型:错误
事件来源:Service Control Manager
事件种类:无
事件 ID:7*23
日期:2**6-7-12
事件:1*:29:*5
用户:N/A
计算机:TSFT-2*379*4DE1
描述:
Kerberos Key Distribution Center 服务因下列错误而停止:
安全帐户管理器(SAM)或本地安全颁发机构(LSA)服务器处于运行安全操作的错误状态。

[这个是微软的解决方案：http://support.microsoft.com/?kbid=837513]

但是我没有配置域服务器，而且那个方案复杂。看我是如何处理这个错误提示的：

计算机管理--服务--Kerberos Key Distribution Center 服务（由“自动”改为“禁止”）

此问题解决，但重启变慢问题依旧。

2）网站运行过程中，在事件查看器里有时报错：
事件类型:错误
事件来源:Active Server Pages
事件种类:无
事件 ID:5
日期:2**6-6-26
事件:*:*1:23
用户:N/A
计算机:TSFT-2*379*4DE1
描述:
错误: 文件/inc/Dv_ClsMain.asp 行125 内存不足. 无法分配所需的内存。。
若要获取关于此消息的更多的信息，请访问 Microsoft 联机支持站点: http://www.microsoft.com/contentredirect.asp 。

事件类型:错误
事件来源:Active Server Pages
事件种类:无
事件 ID:5
日期:2**6-7-19
事件:11:38:56
用户:N/A
计算机:TSFT-2*379*4DE1
描述:
错误: Script Engine 异常. 一个 ScriptEngine 超出了预期’C******5’ 在’IActiveScript::SetScriptState()’，来自’CActiveScriptEngine::ResetToUninitialized()’ 。。
若要获取关于此消息的更多的信息，请访问 Microsoft 联机支持站点: http://www.microsoft.com/contentredirect.asp 。

这两个错误很可疑，是占用内存过多导致系统崩溃了，这是我最直接的判断。查看了网络后，新装了vbscript.dll、去微软下载最新的ScriptEn.exe也装了，都不济于事。

4、数据库出了问题？

查看sql server 数据库日志，没有太多的导常，系统是最新补本，数据库是sp4补丁。

三、还有其它线索吗？解决方案：

所有可能的情况都想到了，但问题依然不能解决，郁闷。还有什么日志可查呢，看看瑞星的漏洞攻击日志吧，在系统启动后的一段时间里，我注意到“瑞星提示MS-4*11漏洞攻击”，可不可能在计算机刚刚重启和“瑞星提示MS-4*11漏洞攻击”有关而导致访问缓慢呢？震荡波？很是疑惑，一开机就不行，过几个小时就好，怪了。经过网友的提醒，发个netstat -n的列表看看，一看，TIME_WAIT、FIN_WAIT_1、CLOSING的未成功连接1433端口的很多，难到是攻击，这么多也不像，但肯定有问题。
对这个现象查看，查到一个关于震荡波引起类似问题的案例。先看一下互联网对震荡波的一段介绍
“5月1日惊现互联网的“震荡波 (Worm.Sasser)”病毒来势汹汹，该病毒是通过微软的最新高危漏洞 —LSASS 漏洞(微软MS*4-*11 公告)进行传播的，危害性极大，目前 WINDOWS 2***/XP/Server 2**3 等操作系统的用户都存在该漏洞，这些操作系统的用户只要一上网，就有可能受到该病毒的攻击，然后出现系统反复重启、机器运行缓慢，出现系统异常的出错框等现象"
大家注意一下“Kerberos Key Distribution Center 服务因下列错误而停止:
安全帐户管理器(SAM)或本地安全颁发机构(LSA)服务器处于运行安全操作的错误状态。”这个错误中的LSA瑞星的MSMS-4*11的攻击提示，一下让我怀疑问题肯定出在这。下载该漏洞补丁Windows2***-KB835732-x86-CHS.EXE，问题终于解决，我重启了三次服务器，超快。

总结
1、日志是查看问题最的帮手（瑞星、数据库、iis、事件查看器）
2、netstat -an 命令非常用用，能够发现是否有恶意攻击，不一定是ddos攻击，有利判断问题所在
3、因为存在漏洞，该病毒的特点是“导致系统资源耗尽"而重启并不能正常提供服务
4、不能过度相信微软的"最新补本包"和自动更新程序，*5年和病毒漏洞照样可以危及*6年的计算机
5、多了解一些常见重大病毒的破坏原理、症状，有助于分析重了何种病毒
6、向论坛和朋友求助，讨论会收到一种意想不到的效果
7、打上微软的Windows2***-KB835732-x86-CHS.EXE补丁,问题迎刃而解。