EventID 1542 „ctxcpuutilmgmt“

EventID 1542 „ctxcpuutilmgmt“

Das im Citrix PresentationServer und XenApp eingesetzte CPU-Management dient zur fairen Vergabe von CPU-Zeiten an die entsprechenden, durch die User oder das System, genutzten Prozesse.
Näheres dazu hier: FAQ: The CPU Utilization Management Feature and the CPU Rebalancer Services
Gerade dies mögen die eingesetzten Antivirenlösungen nicht gerne, ist doch der Versuch die CPU-Zeit der entsprechenden AV-Prozesse zu beschneiden ein probates Mittel seites Schadsoftware den AV zu manipulieren.
Versucht der CPU-Manager auf einen AV-Prozess zuzugreifen wird dies daher durch den AV unterbunden.
Im Eventlog findet man dazu Einträge mit folgendem Inhalt:
Event ID: 1542
Source: CTXCPUUtilMgmt
Desc: CPU Utilization Management cannot manage process xxxx.
Windows system message: 0x5.

Ich habe dazu in meiner Umgebung allen Prozessen die entsprechenden Programmen des McAfee entlockt und diese wie von Citrix im KB CTX113486 empfohlen als Ausnahme in der Überwachung hinzugefügt.
Da im KB CTX113486 leider nur Symantec behandelt wird ergänze ich hier die entsprechende Liste für AV-Lösungen von McAfee.
Unter HKEY_LOCAL_MACHINESOFTWARECitrixCTXCPU „rechts-klick“ und anlegen eines neuen Werts vom Typ „Zeichenfolge“ mit dem Namen: ProcessesToExclude. Anschließend wird dieser befült mit diesen Einträgen:
C:ProgrammeMcAfeeCommonFrameworkFrameworkService.exe
C:ProgrammeMcAfeeCommonFrameworknsPrdMgr.exe
C:ProgrammeMcAfeeVirusScan EnterpriseVsTskMgr.exe
C:ProgrammeMcAfeeVirusScan Enterprisemfeann.exe
C:ProgrammeMcAfeeVirusScan Enterpriseshstate.exe
C:ProgrammeGemeinsame DateienMcAfeeSystemCoremfeann.exe
C:ProgrammeGemeinsame DateienMcAfeeSystemCoremcshield.exe
C:ProgrammeMcAfeeCommonFrameworkUdaterUI.exe
C:ProgrammeMcAfeeCommonFrameworkMcTray.exe

Die entsprechenden Dateien können ggfs, bei unterschiedlichen McAfee-Versionen variieren. (Wobei ich bei allen über den Zeitraum eingesetzten Versionen keine Änderungen gesehen habe).
Logischerweise ändern sich die Programmpfade bei Serverversionen höher W2k8R2 oder nicht-deutschsprachigen Installationen.

Kommentar verfassen

%d Bloggern gefällt das: