Samstagmorgen erhielt ich von der Systemüberwachung die alle 2 Stunden läuft, eine Mail, dass die System-Platte vollläuft:

2016-04-02 06:11:09 : [ERR#1] DriveCheck[C] 6976MB < 7000MB

Zuerst habe ich noch gar nicht an ein Drama gedacht, aber als die Meldung alle 2h wiederkam und der freie Platz dramatisch abnahm wurde ich doch nervös:

2016-04-02 08:11:05 : [ERR#1] DriveCheck[C] 6735MB < 7000MB
2016-04-02 10:11:05 : [ERR#1] DriveCheck[C] 6291MB < 7000MB
2016-04-02 12:15:18 : [ERR#1] DriveCheck[C] 5933MB < 7000MB
2016-04-02 14:11:07 : [ERR#1] DriveCheck[C] 5676MB < 7000MB
2016-04-02 16:11:07 : [ERR#1] DriveCheck[C] 5436MB < 7000MB
2016-04-02 18:11:08 : [ERR#1] DriveCheck[C] 5187MB < 7000MB
2016-04-02 20:11:07 : [ERR#1] DriveCheck[C] 4947MB < 7000MB
2016-04-02 22:12:55 : [ERR#1] DriveCheck[C] 4166MB < 7000MB
2016-04-03 00:11:10 : [ERR#1] DriveCheck[C] 3701MB < 7000MB
2016-04-03 02:11:08 : [ERR#1] DriveCheck[C] 3464MB < 7000MB
2016-04-03 04:11:04 : [ERR#1] DriveCheck[C] 3227MB < 7000MB

 

Eine Ursachenforschung ergab eine riesige Anzahl von cab_????_? Dateien im Ordner C:\Windows\Temp
Nun stellte sich die spannende Frage: wo kommen die her bzw. wer erzeugt diese.

Laut dem Zeitstempel der Datei werden diese ca. alle 40-60 Minuten angelegt.

Im ersten Schritt habe ich mal all diese Dateien gelöscht um dem Server den notwendigen Platz zum „Weiterleben“ zu verschaffen.

Dann mit einem Dateiüberwachungs­werkzeug den Ordner C:\Windows\Temp überwacht, um zu sehen, wer diese Dateien erzeugt. Nach einer kleinen Wartezeit war der verursachende Prozess gefunden: die Datei makecab.exe legte diese Dateien an. (makecab.exe ist ein Programm, das intern zum Packen von Dateien von Windows verwendet wird).
Aber wer oder was will hier packen – und vor allem warum?

Also die Überwachung wieder gestartet und diesmal den Filter auf die makecab.exe gesetzt. Dies sollte zeigen, wer den Prozess des Packens „antritt“. Nach einer kurzen Wartezeit war der Schuldige gefunden: der Windows-Prozess „TrustedInstaller“, den das Betriebssystem vor allem zum Installieren von Treibern und Updates verwendet war schuld.
Da aber keine Updates zum Installieren anstanden und diesbezüglich alles „grün“ war, musste ich wohl an einer anderen Stelle weitersuchen.

Es folgte ein dritter Überwachungslauf mit Filter auf alles, was mit dem genannten Installer zu tun hat… wieder die obligatorische Wartezeit… und interessanter­weise konnte ich beobachten, dass zeitgleich mit dem Erzeugen der cab_-Dateien die Datei C:\Windows\logs\CBS\CBS.log geschrieben wurde.

Da dämmerte es mir: diese Datei wird in regelmäßigem Abständen vom „Windows Resource Checker“ generiert. Damit diese nicht zu groß wird, wird sie in zyklischen Abständen in ein Cabinet gepackt und neu angelegt; die alten Cabinets werden dann bereinigt.
Offensichtlich war die CBS-log Datei zu groß geworden, so dass der Server beim Versuch diese zu packen ins Straucheln geriet. Also nahm das Drama seinen Lauf: Er versuchte den Packvorgang immer wieder und hinterließ – da er nicht fertig wurde – im Temp-Ordner die oben genannten Dateien, die er aber nicht aufräumen konnte, da das Packen ja nicht fertig wurde.

Nachdem das klar war, war die Lösung ganz einfach.
Stoppen des „TrustedIstaller“-Dienstes
Manuelles Löschen der Dateien C:\Windows\Temp\cab*
Manuelles Löschen der Dateien C:\Windows\logs\CBS\*.cab und *.log

… und schon war wieder alles gut.

 

Oder mit folgendem Script:

dir c:\
net stop TrustedInstaller
del C:\Windows\Temp\cab*
del C:\Windows\logs\CBS\*.cab
del C:\Windows\logs\CBS\*.log
net start TrustedInstaller
dir c:\
pause

Cookies erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden.