none
Windows 2008 R2 蓝屏 - 能看到PROCESS_NAME为syste,无法显示具体的信息 RRS feed

  • 问题

  • windwos 服务器自动重启蓝屏了,检查系统日志无异常,尝试分析DUMP文件如下:

    能否帮忙引导找到根本原因的方法,在STACK_TEXT中如何检查根本原因

    Loading User Symbols

    Loading unloaded module list
    ...................................
    *******************************************************************************
    *                                                                             *
    *                        Bugcheck Analysis                                    *
    *                                                                             *
    *******************************************************************************

    Use !analyze -v to get detailed debugging information.

    BugCheck 1E, {ffffffffc0000005, fffffa805f42f574, 1, 0}

    Probably caused by : ntkrnlmp.exe ( nt! ?? ::FNODOBFM::`string'+40e5d )

    Followup: MachineOwner
    ---------

    0: kd> !analyze -v
    *******************************************************************************
    *                                                                             *
    *                        Bugcheck Analysis                                    *
    *                                                                             *
    *******************************************************************************

    KMODE_EXCEPTION_NOT_HANDLED (1e)
    This is a very common bugcheck.  Usually the exception address pinpoints
    the driver/function that caused the problem.  Always note this address
    as well as the link date of the driver/image that contains this address.
    Arguments:
    Arg1: ffffffffc0000005, The exception code that was not handled
    Arg2: fffffa805f42f574, The address that the exception occurred at
    Arg3: 0000000000000001, Parameter 0 of the exception
    Arg4: 0000000000000000, Parameter 1 of the exception

    Debugging Details:
    ------------------


    EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - 0x%08lx

    FAULTING_IP:
    +3037306631636535
    fffffa80`5f42f574 0000            add     byte ptr [rax],al

    EXCEPTION_PARAMETER1:  0000000000000001

    EXCEPTION_PARAMETER2:  0000000000000000

    WRITE_ADDRESS:  0000000000000000

    ERROR_CODE: (NTSTATUS) 0xc0000005 - 0x%08lx

    BUGCHECK_STR:  0x1E_c0000005

    DEFAULT_BUCKET_ID:  VISTA_DRIVER_FAULT

    PROCESS_NAME:  System

    CURRENT_IRQL:  0

    TRAP_FRAME:  fffff88008cee6c0 -- (.trap 0xfffff88008cee6c0)
    NOTE: The trap frame does not contain all registers.
    Some register values may be zeroed or incorrect.
    rax=0000000000000000 rbx=0000000000000000 rcx=fffffa805c75b010
    rdx=fffffa805f447c00 rsi=0000000000000000 rdi=0000000000000000
    rip=fffffa805f42f574 rsp=fffff88008cee850 rbp=fffffa805224e000
     r8=fffffa805224e000  r9=fffff8a018c010a8 r10=00000000fffffffc
    r11=fffff8a018c0111c r12=0000000000000000 r13=0000000000000000
    r14=0000000000000000 r15=0000000000000000
    iopl=0         nv up ei pl zr na po nc
    fffffa80`5f42f574 0000            add     byte ptr [rax],al ds:2c50:0000=??
    Resetting default scope

    LAST_CONTROL_TRANSFER:  from fffff80002904752 to fffff80002883440

    STACK_TEXT:  
    fffff880`08cede38 fffff800`02904752 : 00000000`0000001e ffffffff`c0000005 fffffa80`5f42f574 00000000`00000001 : nt!KeBugCheckEx
    fffff880`08cede40 fffff800`02882ac2 : fffff880`08cee618 00000000`00029c00 fffff880`08cee6c0 fffffa80`5f447c00 : nt! ?? ::FNODOBFM::`string'+0x40e5d
    fffff880`08cee4e0 fffff800`0288163a : 00000000`00000001 00000000`00000000 fffff880`08cee900 00000000`00029c00 : nt!KiExceptionDispatch+0xc2
    fffff880`08cee6c0 fffffa80`5f42f574 : fffffa80`5f430167 fffffa80`5224e17a 00000000`00000000 fffffa80`48c0e0b0 : nt!KiPageFault+0x23a
    fffff880`08cee850 fffffa80`5f430167 : fffffa80`5224e17a 00000000`00000000 fffffa80`48c0e0b0 fffff880`050d7d20 : 0xfffffa80`5f42f574
    fffff880`08cee858 fffffa80`5224e17a : 00000000`00000000 fffffa80`48c0e0b0 fffff880`050d7d20 fffff880`08cee968 : 0xfffffa80`5f430167
    fffff880`08cee860 00000000`00000000 : fffffa80`48c0e0b0 fffff880`050d7d20 fffff880`08cee968 fffff8a0`00000000 : 0xfffffa80`5224e17a


    STACK_COMMAND:  kb

    FOLLOWUP_IP:
    nt! ?? ::FNODOBFM::`string'+40e5d
    fffff800`02904752 cc              int     3

    SYMBOL_STACK_INDEX:  1

    SYMBOL_NAME:  nt! ?? ::FNODOBFM::`string'+40e5d

    FOLLOWUP_NAME:  MachineOwner

    MODULE_NAME: nt

    IMAGE_NAME:  ntkrnlmp.exe

    DEBUG_FLR_IMAGE_TIMESTAMP:  57ee7d5a

    FAILURE_BUCKET_ID:  X64_0x1E_c0000005_nt!_??_::FNODOBFM::_string_+40e5d

    BUCKET_ID:  X64_0x1E_c0000005_nt!_??_::FNODOBFM::_string_+40e5d

    Followup: MachineOwner
    ---------

    0: kd> lmvm ntkrnlmp.exe
    start             end                 module name
    0: kd> !process
    PROCESS fffffa8049194b10
        SessionId: none  Cid: 0004    Peb: 00000000  ParentCid: 0000
        DirBase: 00180000  ObjectTable: fffff8a0000019e0  HandleCount: 10298.
        Image: System
        VadRoot fffffa8057042260 Vads 80 Clone 0 Private 75. Modified 42463759. Locked 0.
        DeviceMap fffff8a0000060c0
        Token                             fffff8a000004040
        ElapsedTime                       79 Days 09:47:16.718
        UserTime                          00:00:00.000
        KernelTime                        05:02:51.682
        QuotaPoolUsage[PagedPool]         0
        QuotaPoolUsage[NonPagedPool]      0
        Working Set Sizes (now,min,max)  (1326, 0, 0) (5304KB, 0KB, 0KB)
        PeakWorkingSetSize                4300
        VirtualSize                       16 Mb
        PeakVirtualSize                   34 Mb
        PageFaultCount                    2913749162
        MemoryPriority                    BACKGROUND
        BasePriority                      8
        CommitCharge                      97

    2018年7月4日 5:24

答案

  • 你好, 

    ntoskrnl.exe是Windows操作系统的内核。它受安全功能和Windows系统文件检查器的保护。

    在大多数情况下,ntoskrnl.exe被指向Bsod的原因是驱动程序(通常是第三方驱动程序)损坏了ntoskrnl.exe认为是自己的内存空间。发生这种情况时,ntoskrnl.exe通常会在其内存空间中找到未知数据(来自第三方驱动程序)。此时操作系统发生蓝屏以防止损坏系统。
    还有可能由以下原因造成的:

    不稳定的硬件设备、设备驱动过期、三方程序干扰、系统异常。

    在发生蓝屏的时间段内,是否有做过什么特殊的操作?比如说安装了某些驱动,更新了某些补丁/安装了某些软件。建议可以一步步的撤销之前的更改。

    首先排除是由于驱动或者是补丁/应用程序导致的蓝屏。

    若在此期间并没有做过什么特殊的操作,并且排错之后还是依旧会出现蓝屏的现象。那么就要考虑系统问题了。您的服务器的系统镜像是否是微软官方正版系统?
    另外,由于分析dump文件超出了论坛的支持范围,如果以上的常规排错没有解决问题同时问题比较紧急的话,建议您选用微软电话技术支持服务:800-820-3800。

    请注意:由于论坛是公共开放的,任何人都可以看到您分享的信息,为了防止隐私信息被泄露,建议您把dump文件删除。

    如果回复对您有所帮助的话,请您把回复标记为答复。

    感谢您的理解和支持。
    Best Regards,

    Frank

    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2018年7月5日 6:18
    版主

全部回复

  • 你好, 

    ntoskrnl.exe是Windows操作系统的内核。它受安全功能和Windows系统文件检查器的保护。

    在大多数情况下,ntoskrnl.exe被指向Bsod的原因是驱动程序(通常是第三方驱动程序)损坏了ntoskrnl.exe认为是自己的内存空间。发生这种情况时,ntoskrnl.exe通常会在其内存空间中找到未知数据(来自第三方驱动程序)。此时操作系统发生蓝屏以防止损坏系统。
    还有可能由以下原因造成的:

    不稳定的硬件设备、设备驱动过期、三方程序干扰、系统异常。

    在发生蓝屏的时间段内,是否有做过什么特殊的操作?比如说安装了某些驱动,更新了某些补丁/安装了某些软件。建议可以一步步的撤销之前的更改。

    首先排除是由于驱动或者是补丁/应用程序导致的蓝屏。

    若在此期间并没有做过什么特殊的操作,并且排错之后还是依旧会出现蓝屏的现象。那么就要考虑系统问题了。您的服务器的系统镜像是否是微软官方正版系统?
    另外,由于分析dump文件超出了论坛的支持范围,如果以上的常规排错没有解决问题同时问题比较紧急的话,建议您选用微软电话技术支持服务:800-820-3800。

    请注意:由于论坛是公共开放的,任何人都可以看到您分享的信息,为了防止隐私信息被泄露,建议您把dump文件删除。

    如果回复对您有所帮助的话,请您把回复标记为答复。

    感谢您的理解和支持。
    Best Regards,

    Frank

    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2018年7月5日 6:18
    版主
  • 你好,

    请问回复的信息对你有用么?如果你需要进一步的帮助,请告诉我们。

    Best Regards,

    Frank


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2018年7月9日 10:02
    版主
  • 你好,

    请问您的问题解决了吗? 如果您使用我们的方案解决问题,请“将其标记为答案”,以帮助其他社区成员快速找到有用的回复。 如果您使用自己的方案解决问题,请在此处分享您的经验和解决方案。 对于有类似问题的其他社区成员也是非常有帮助的。 如果没有,请回复并告诉我们目前的情况,以提供进一步的帮助。

    Best Regards,

    Frank


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2018年7月10日 9:16
    版主