Samstagmorgen erhielt ich von der Systemüberwachung die alle 2 Stunden läuft, eine Mail, dass die System-Platte vollläuft:

2016-04-02 06:11:09 : [ERR#1] DriveCheck[C] 6976MB < 7000MB

Zuerst habe ich noch gar nicht an ein Drama gedacht, aber als die Meldung alle 2h wiederkam und der freie Platz dramatisch abnahm wurde ich doch nervös:

2016-04-02 08:11:05 : [ERR#1] DriveCheck[C] 6735MB < 7000MB
2016-04-02 10:11:05 : [ERR#1] DriveCheck[C] 6291MB < 7000MB
2016-04-02 12:15:18 : [ERR#1] DriveCheck[C] 5933MB < 7000MB
2016-04-02 14:11:07 : [ERR#1] DriveCheck[C] 5676MB < 7000MB
2016-04-02 16:11:07 : [ERR#1] DriveCheck[C] 5436MB < 7000MB
2016-04-02 18:11:08 : [ERR#1] DriveCheck[C] 5187MB < 7000MB
2016-04-02 20:11:07 : [ERR#1] DriveCheck[C] 4947MB < 7000MB
2016-04-02 22:12:55 : [ERR#1] DriveCheck[C] 4166MB < 7000MB
2016-04-03 00:11:10 : [ERR#1] DriveCheck[C] 3701MB < 7000MB
2016-04-03 02:11:08 : [ERR#1] DriveCheck[C] 3464MB < 7000MB
2016-04-03 04:11:04 : [ERR#1] DriveCheck[C] 3227MB < 7000MB

 

Eine Ursachenforschung ergab eine riesige Anzahl von cab_????_? Dateien im Ordner C:\Windows\Temp
Nun stellte sich die spannende Frage: wo kommen die her bzw. wer erzeugt diese.

Laut dem Zeitstempel der Datei werden diese ca. alle 40-60 Minuten angelegt.

Im ersten Schritt habe ich mal all diese Dateien gelöscht um dem Server den notwendigen Platz zum „Weiterleben“ zu verschaffen.

Dann mit einem Dateiüberwachungs­werkzeug den Ordner C:\Windows\Temp überwacht, um zu sehen, wer diese Dateien erzeugt. Nach einer kleinen Wartezeit war der verursachende Prozess gefunden: die Datei makecab.exe legte diese Dateien an. (makecab.exe ist ein Programm, das intern zum Packen von Dateien von Windows verwendet wird).
Aber wer oder was will hier packen – und vor allem warum?

Also die Überwachung wieder gestartet und diesmal den Filter auf die makecab.exe gesetzt. Dies sollte zeigen, wer den Prozess des Packens „antritt“. Nach einer kurzen Wartezeit war der Schuldige gefunden: der Windows-Prozess „TrustedInstaller“, den das Betriebssystem vor allem zum Installieren von Treibern und Updates verwendet war schuld.
Da aber keine Updates zum Installieren anstanden und diesbezüglich alles „grün“ war, musste ich wohl an einer anderen Stelle weitersuchen.

Es folgte ein dritter Überwachungslauf mit Filter auf alles, was mit dem genannten Installer zu tun hat… wieder die obligatorische Wartezeit… und interessanter­weise konnte ich beobachten, dass zeitgleich mit dem Erzeugen der cab_-Dateien die Datei C:\Windows\logs\CBS\CBS.log geschrieben wurde.

Da dämmerte es mir: diese Datei wird in regelmäßigem Abständen vom „Windows Resource Checker“ generiert. Damit diese nicht zu groß wird, wird sie in zyklischen Abständen in ein Cabinet gepackt und neu angelegt; die alten Cabinets werden dann bereinigt.
Offensichtlich war die CBS-log Datei zu groß geworden, so dass der Server beim Versuch diese zu packen ins Straucheln geriet. Also nahm das Drama seinen Lauf: Er versuchte den Packvorgang immer wieder und hinterließ – da er nicht fertig wurde – im Temp-Ordner die oben genannten Dateien, die er aber nicht aufräumen konnte, da das Packen ja nicht fertig wurde.

Nachdem das klar war, war die Lösung ganz einfach.
Stoppen des „TrustedIstaller“-Dienstes
Manuelles Löschen der Dateien C:\Windows\Temp\cab*
Manuelles Löschen der Dateien C:\Windows\logs\CBS\*.cab und *.log

… und schon war wieder alles gut.

 

Oder mit folgendem Script:

dir c:\
net stop TrustedInstaller
del C:\Windows\Temp\cab*
del C:\Windows\logs\CBS\*.cab
del C:\Windows\logs\CBS\*.log
net start TrustedInstaller
dir c:\
pause

Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.