Der Fall der „unerklärlichen“ Netzwerklast

Hallo zusammen,

ich möchte euch ganz kurz von einem Phänomen erzählen, dass mir in letzter Zeit öfter begegnet ist. Angefangen hat alles damit, dass ich eine Datei auf einem Netzlaufwerk umwandeln wollte, mit der Windows Explorer jedoch die Fehlermeldung zurückgab, die Datei sei bereits in „Windows Explorer“ geöffnet.
Auf diese Meldung konnte ich mir erstmal keinen Reim machen, da es für mich völlig logisch ist, wenn ich den Windows Explorer benutze um Dateien anzuzeigen, dass diese Dateien natürlich auch im Windows Explorer geöffnet sind. Das Anzeigen im Windows Explorer alleine kann aber nicht die Ursache für die Fehlermeldung sein, da wir sonst überhaupt keine Dateien im Windows Explorer umbenennen könnten.
Anfangs war das für mich kein großes Problem, denn die Dateien, die ich umbenennen wollte, konnte ich auch über den SSH-Zugang des Systems auf der Dateisystemebene (Linux) umbenennen. Dennoch hat dieses Verhalten meine Neugier geweckt.
Ausgestattet mit den Sysinternals Tools und dem Taskmanager machte ich mich auf die Fehlersuche.
Zunächst konnte ich im Taskmanager feststellen, dass die Netzwerkauslastung permanent zwischen 20 und 30 % betrug, was von vornherein sehr ungewöhnlich war, da keine Kopiervorgänge oder Netzwerk intensive Anwendungen aktiv waren. Nach einem Blick auf den Ressourcen Monitor (Abschnitt im Taskmanager) war der Schuldige auch schnell gefunden. Es war tatsächlich der Windows Explorer.
Was jedoch veranlasste den Explorer zu solch einem Verhalten? Um dies herauszufinden, startete ich zunächst den Process Monitor (procmon), und stellte auch hier fest, dass der Explorer die betreffende Datei permanent im Zugriff hatte. 88.000 von einer halben Million Events (12 %) beschäftigten sich mit der betreffenden Datei, und wurden vom Explorer bzw. der Explorer.exe ausgelöst.
Dies bestätigte mir also noch einmal, was mir die Fehlermeldung am Anfang des Beitrags bereits prophezeite: durch die ständigen Lesezugriffe des Windows Explorers war es unmöglich, die Datei umzubenennen, zu verschieben oder zu löschen.
Was genau den Explorer zu diesen Aktionen bewegte, ließ sich mit dem Prozess Monitor jedoch nicht herausfinden. Gerade für solche Fälle wird in der Sysinternals Suite ein Programm namens Prozess Explorer mitgeliefert. Den Prozess Explorer kann man sich als erweiterten Taskmanager vorstellen. Er liefert detaillierte Informationen zu jedem laufenden Prozess, den geladenen DLLs, den gestarteten Threads und seinen Handles.
Ein Klick auf die Details des Explorers ließ erkennen, dass ein Thread der msmpeg2vdec.dll aktiv war und bearbeitet wurde. Auch das war wiederum nicht sehr abwegig, da sich bei der betreffenden Datei mein Video handelte. Durch Recherchen bei Microsoft konnte ich feststellen, dass diese DLL auch verwendet wird, um Vorschaubilder von Videos im Explorer zu laden. Durch Test weiß abstellen der Vorschaubilder reduzierte sich die Netzwerklast schlagartig wieder auf einige wenige Prozent, die völlig im Rahmen meiner Internetanbindung lagen. Auch die Fehlermeldung, die Datei sei bereits im Windows Explorer geöffnet, trat seither nicht wieder auf.
Ich hoffe der Beitrag erspart dem ein oder anderen die Fehlersuche,
und verbleibe mit den besten Grüßen,

Hannes

Dieser Eintrag wurde veröffentlicht in IT. Lesezeichen auf den Permanentlink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*