▩ 증상
MS Exchange Server 2010 SP1 업그레이드 후 아웃룩 웹 액세스 서비스의 비정상 동작이 보고되어, 확인 결과 CPU 과점유 이슈가 발견되었음.
<-- SP1 업그레이드 후 버전 변화
▩ 원인 및 분석결과
1. CPU 점유율이 가장 높은 프로세스: MsFTEFD.exe
2. CPU점유율이 높은 시점에는 해당 프로세스의 동작중 초당 2000회 ~ 4000 회 정도 아래의 레지스트리 Open을 시도하는 경우가 자주 발생함.
☞HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ContentIndex\Language\Korean_Default
3. 레지스트리 접근시 커널단의 AhnRghNt.sys드라이버에 의해 Check 됨으로써 CPU 점유율 증가함.
☞AhnRghNt.sys드라이버 load 기능: 스파이웨어검사, V3자체보호
4. MBX 서버에서 위의 기능 OFF한 결과
☞바이러스검사On, 스파이웨어 및 V3자체보호 OFF 한 결과 CPU 과점유 현상 발생안됨
☞스파이웨어검사 또는 V3자체보호 2개 중에 1개 기능만 On 하여도 CPU 과점유 현상 발생
5. 결론
☞ MsFTEFD.exe 프로세스에서 초당 2000회~4000회 정도 레지스트리 Open시 커널단에 AhnRghNT.sys 드라이버에 의해 Check 됨으로써 커널단의 CPU가 과점유 됨.
▩ 조치 방안
MBX 서버에 바이러스검사 On, 스파이웨어검사 OFF, V3자체보호 OFF 적용
☞ 스파이웨어검사 OFF시 영향도: 일반적으로 스파이웨어의 경우 인터넷을 통해 감염 되기 때문에, 서버상에서 인터넷을 사용하지만 않으시면 안전함.
☞ V3자체보호OFF시 영향도: Anti Virus 동작을 방해하는 바이러스에 감염될 경우 자체 보호(V3관련 레지스트리,파일,프로세스 접근제어)가 불가능
'Exchange & Outlook > Trouble Shooting' 카테고리의 다른 글
| DAG관련 일정간격으로 이벤트오류 1069, 1588 발생 (0) | 2012.01.18 |
|---|---|
| Exchange 2010 과 OCS 2007 R2 통합 실패 (0) | 2012.01.16 |
| MAPI 연결 실패가 일어나는 조건 (0) | 2011.03.03 |
| Outlook RPC Connection Status: 0x1C00001A nca_s_fault_context_mismatch (0) | 2011.02.28 |
| Exchange의 Safe HTML (0) | 2011.02.22 |
