none
Crash Dump RRS feed

  • Domanda

  • Salve, da qualche tempo il nostro server DELL tende a riavviarsi senza motivo. Esiste un antivirus Kaspersky, una rete di quattro porte raggruppata su unico IP e il server effettua di notte una copia dei dati e la loro compattazione. Si è verificata l'integrità dell'hardware con IDRAC e non risulta nulla di anomalo, si è effettuato anche l'aggiornamento del firmware e dei driver di Windows 2012 R2 senza però avere risultati di nota. Il riavvio non avviene con periodicità, ma solo saltuariamente e in orari leggermente diversi. Crediamo si tratti della scheda di rete, sebbene funzioni, in quanto un paio di volte il driver coinvolto è stato kls1.sys Ma non sempre. Nelle ultime due settimane capita che abbia due riavvii e questo è preoccupante. L'assistenza DELL ci ha riferito che è tutto a posto e dipende dall'OS, da una verifica tecnica e da un test-stress il server ha funzionato correttamente e non sono risultati problemi; in più il suo gemello effettua le stesse operazioni e non ha nessun problema. Allego qui sotto il DUMP nel caso qualcuno intraveda qualcosa e possa fornirci qualche idea che a noi è sfuggita o abbia vissuto il medesimo problema.

    Grazie per qualsiasi consiglio.

    Loading Dump File [C:\Windows\MEMORY.DMP]
    Kernel Bitmap Dump File: Kernel address space is available, User address space may not be available.

    Symbol search path is: srv*
    Executable search path is:
    Windows 8.1 Kernel Version 9600 MP (16 procs) Free x64
    Product: Server, suite: TerminalServer SingleUserTS
    Built by: 9600.18821.amd64fre.winblue_ltsb.170914-0600
    Machine Name:
    Kernel base = 0xfffff801`32415000 PsLoadedModuleList = 0xfffff801`326e7650
    Debug session time: Fri Dec  1 03:16:39.292 2017 (UTC + 1:00)
    System Uptime: 0 days 0:01:31.059
    Loading Kernel Symbols
    ...............................................................
    .....................................................Page 119d64 not present in the dump file. Type ".hh dbgerr004" for details
    ...........
    ........
    Loading User Symbols
    PEB is paged out (Peb.Ldr = 00000000`feb5f018).  Type ".hh dbgerr001" for details
    Loading unloaded module list
    ......
    *******************************************************************************
    *                                                                             *
    *                        Bugcheck Analysis                                    *
    *                                                                             *
    *******************************************************************************

    Use !analyze -v to get detailed debugging information.

    BugCheck C5, {ffffe000445a6660, 2, 0, fffff801326b24dc}

    *** ERROR: Symbol file could not be found.  Defaulted to export symbols for VerifierExt.sys -
    Probably caused by : ntkrnlmp.exe ( nt!ExAllocatePoolWithTag+5fc )

    Followup:     MachineOwner
    ---------

    10: kd> !analyze -v
    *******************************************************************************
    *                                                                             *
    *                        Bugcheck Analysis                                    *
    *                                                                             *
    *******************************************************************************

    DRIVER_CORRUPTED_EXPOOL (c5)
    An attempt was made to access a pageable (or completely invalid) address at an
    interrupt request level (IRQL) that is too high.  This is
    caused by drivers that have corrupted the system pool.  Run the driver
    verifier against any new (or suspect) drivers, and if that doesn't turn up
    the culprit, then use gflags to enable special pool.
    Arguments:
    Arg1: ffffe000445a6660, memory referenced
    Arg2: 0000000000000002, IRQL
    Arg3: 0000000000000000, value 0 = read operation, 1 = write operation
    Arg4: fffff801326b24dc, address which referenced memory

    Debugging Details:
    ------------------


    DUMP_CLASS: 1

    DUMP_QUALIFIER: 401

    BUILD_VERSION_STRING:  9600.18821.amd64fre.winblue_ltsb.170914-0600

    DUMP_TYPE:  1

    BUGCHECK_P1: ffffe000445a6660

    BUGCHECK_P2: 2

    BUGCHECK_P3: 0

    BUGCHECK_P4: fffff801326b24dc

    BUGCHECK_STR:  0xC5_2

    CURRENT_IRQL:  2

    FAULTING_IP:
    nt!ExAllocatePoolWithTag+5fc
    fffff801`326b24dc 498b00          mov     rax,qword ptr [r8]

    CPU_COUNT: 10

    CPU_MHZ: 834

    CPU_VENDOR:  GenuineIntel

    CPU_FAMILY: 6

    CPU_MODEL: 4f

    CPU_STEPPING: 1

    CPU_MICROCODE: 6,4f,1,0 (F,M,S,R)  SIG: B00001F'00000000 (cache) B00001F'00000000 (init)

    DEFAULT_BUCKET_ID:  WIN8_DRIVER_FAULT

    PROCESS_NAME:  klnagent.exe

    ANALYSIS_SESSION_HOST:  UDSRVFDE3034

    ANALYSIS_SESSION_TIME:  12-01-2017 07:29:51.0574

    ANALYSIS_VERSION: 10.0.15063.468 amd64fre

    TRAP_FRAME:  ffffd000f89b4ba0 -- (.trap 0xffffd000f89b4ba0)
    NOTE: The trap frame does not contain all registers.
    Some register values may be zeroed or incorrect.
    rax=0000000000000000 rbx=0000000000000000 rcx=0000007fffffffff
    rdx=0000000000000000 rsi=0000000000000000 rdi=0000000000000000
    rip=fffff801326b24dc rsp=ffffd000f89b4d30 rbp=0000000000000280
     r8=ffffe000445a6660  r9=7ffffffffffffffc r10=0000000000000001
    r11=000000006966744e r12=0000000000000000 r13=0000000000000000
    r14=0000000000000000 r15=0000000000000000
    iopl=0         nv up ei ng nz na po cy
    nt!ExAllocatePoolWithTag+0x5fc:
    fffff801`326b24dc 498b00          mov     rax,qword ptr [r8] ds:ffffe000`445a6660=????????????????
    Resetting default scope

    LAST_CONTROL_TRANSFER:  from fffff8013256e6e9 to fffff80132562ba0

    STACK_TEXT: 
    ffffd000`f89b4a58 fffff801`3256e6e9 : 00000000`0000000a ffffe000`445a6660 00000000`00000002 00000000`00000000 : nt!KeBugCheckEx
    ffffd000`f89b4a60 fffff801`3256cf3a : 00000000`00000000 fffff801`326faea0 00001f80`00100000 0053002b`002b0010 : nt!KiBugCheckDispatch+0x69
    ffffd000`f89b4ba0 fffff801`326b24dc : 00000000`00000000 00000000`00000000 00340036`00300036 00390044`00360030 : nt!KiPageFault+0x23a
    ffffd000`f89b4d30 fffff801`324e116a : 00000000`00000000 00000000`00000001 00000000`00000000 00000000`00000000 : nt!ExAllocatePoolWithTag+0x5fc
    ffffd000`f89b4e00 fffff801`32a86d0a : 00000000`00000218 00000000`00000020 00000000`00000000 fffff801`324dc288 : nt!ExAllocatePoolWithTagPriority+0x6a
    ffffd000`f89b4e90 fffff800`d966ba17 : 00000000`00000280 00000000`00000218 ffffd000`6966744e 00000000`6966744e : nt!VeAllocatePoolWithTagPriority+0x1d6
    ffffd000`f89b4f00 fffff801`32a8709a : ffffd000`f89b5020 ffffe000`48fbd540 ffffe000`47ff5520 00000000`00000020 : VerifierExt!XdvHibernationNotification+0x79ff
    ffffd000`f89b4f40 fffff800`da6a6a11 : 00000000`00000000 00000000`00000060 00000000`00000001 fffff800`da6a7a10 : nt!VerifierExAllocatePoolEx+0x2a
    ffffd000`f89b4f80 fffff800`da758f3e : 00000000`0000000a ffffe000`48381001 00000000`00000000 ffffe000`48381030 : Ntfs!NtfsInitializeIrpContext+0x24d
    ffffd000`f89b4fe0 fffff801`32a855f8 : ffffe000`48381030 ffffe000`47ff5520 00000000`00000000 00000000`00000000 : Ntfs!NtfsFsdCreate+0xae
    ffffd000`f89b51d0 fffff800`d9669989 : ffffe000`47ff5520 fffff800`da57db1e fffff801`32533a2c 00000000`00000030 : nt!IovCallDriver+0xb4
    ffffd000`f89b5220 fffff800`da57db1e : ffffe000`4c5a7c00 ffffd000`f89b52a0 00000000`00000000 00000000`00000000 : VerifierExt!XdvHibernationNotification+0x5971
    ffffd000`f89b5260 fffff800`da5a6349 : ffffd000`f89b5340 ffffe000`4c5a7c00 ffffe000`47ff5520 ffffe000`4837f8a0 : fltmgr!FltpLegacyProcessingAfterPreCallbacksCompleted+0x2ce
    ffffd000`f89b5300 fffff801`32a855f8 : 00000000`00000000 ffffe000`47ff5520 00000000`00000000 fffff801`32449ab5 : fltmgr!FltpCreate+0x339
    ffffd000`f89b53b0 fffff801`327ad329 : 00000000`00000045 ffffd000`f89b56e1 00000000`00000000 ffffd000`00000040 : nt!IovCallDriver+0xb4
    ffffd000`f89b5400 fffff801`328b203e : 00000000`00000000 00000000`00000000 ffffc001`498bfa20 ffffe000`494228b0 : nt!IopParseDevice+0x6c9
    ffffd000`f89b55f0 fffff801`327b1403 : 00000000`00000000 ffffd000`f89b57a8 ffffa080`00000040 ffffe000`47d17b00 : nt!ObpLookupObjectName+0x7be
    ffffd000`f89b5730 fffff801`3287a151 : 00000000`00000001 00000000`0120e2d8 00000000`0120fdb0 00000000`0120eb70 : nt!ObOpenObjectByName+0x1e3
    ffffd000`f89b5860 fffff801`3256e3b3 : 00000000`00000001 00000000`000007f8 ffffe000`47e41080 00000000`0221ba64 : nt!NtQueryAttributesFile+0x141
    ffffd000`f89b5b00 00007ffe`27200aaa : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiSystemServiceCopyEnd+0x13
    00000000`0120e298 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : 0x00007ffe`27200aaa


    STACK_COMMAND:  kb

    THREAD_SHA1_HASH_MOD_FUNC:  da6b1950e225be123b63aef949a8f7712d845682

    THREAD_SHA1_HASH_MOD_FUNC_OFFSET:  9ce923859b791b60e23f44fbeb0b728b7477a6c7

    THREAD_SHA1_HASH_MOD:  c76901d83069fe7356e94f9072c5923e2e7322e5

    FOLLOWUP_IP:
    nt!ExAllocatePoolWithTag+5fc
    fffff801`326b24dc 498b00          mov     rax,qword ptr [r8]

    FAULT_INSTR_CODE:  4c008b49

    SYMBOL_STACK_INDEX:  3

    SYMBOL_NAME:  nt!ExAllocatePoolWithTag+5fc

    FOLLOWUP_NAME:  MachineOwner

    MODULE_NAME: nt

    IMAGE_NAME:  ntkrnlmp.exe

    DEBUG_FLR_IMAGE_TIMESTAMP:  59ba8548

    BUCKET_ID_FUNC_OFFSET:  5fc

    FAILURE_BUCKET_ID:  0xC5_2_VRF_nt!ExAllocatePoolWithTag

    BUCKET_ID:  0xC5_2_VRF_nt!ExAllocatePoolWithTag

    PRIMARY_PROBLEM_CLASS:  0xC5_2_VRF_nt!ExAllocatePoolWithTag

    TARGET_TIME:  2017-12-01T02:16:39.000Z

    OSBUILD:  9600

    OSSERVICEPACK:  0

    SERVICEPACK_NUMBER: 0

    OS_REVISION: 0

    SUITE_MASK:  272

    PRODUCT_TYPE:  3

    OSPLATFORM_TYPE:  x64

    OSNAME:  Windows 8.1

    OSEDITION:  Windows 8.1 Server TerminalServer SingleUserTS

    OS_LOCALE: 

    USER_LCID:  0

    OSBUILD_TIMESTAMP:  2017-09-14 15:34:00

    BUILDDATESTAMP_STR:  170914-0600

    BUILDLAB_STR:  winblue_ltsb

    BUILDOSVER_STR:  6.3.9600.18821.amd64fre.winblue_ltsb.170914-0600

    ANALYSIS_SESSION_ELAPSED_TIME:  80e

    ANALYSIS_SOURCE:  KM

    FAILURE_ID_HASH_STRING:  km:0xc5_2_vrf_nt!exallocatepoolwithtag

    FAILURE_ID_HASH:  {08daf78e-64c7-27e0-07ba-3a96b59c398d}

    Followup:     MachineOwner
    ---------


    venerdì 1 dicembre 2017 06:52

Risposte

Tutte le risposte

  • ciao Paolo,

    tieni in considerazione che spesse volte questo comportamento puo' essere causato dagli antivirus /spec. Kaspersky, Symantec, Trend Micro.../

    un saluto.

    venerdì 1 dicembre 2017 08:42
  • Ciao Paolo, potrebbe essere un problema legato al Kasp. Te lo dico da Silver Partner. Dovresti fare una prova iniziale togliendo l'AV. Se così non si verifica più il problema poi vai a vedere se esistono aggiornamenti, ma la prova va fatta. Che cosa usi su questo server come suite? una Select solo fileserver o hai proprio l'av completo + le features aggiuntive? 

    Ciao.

    A.

    venerdì 1 dicembre 2017 08:43
    Moderatore
  • Grazie per le risposte. Una prova senza antivirus l'abbiamo fatta sebbene non abbiamo aspettato molto tempo. Il dubbio che sia Kaspersky è positivo, ma abbiamo e dobbiamo ufficialmente usarlo come antivirus in quanto è su WAN nazionale. La versione è KES10 SP1 MR2 ver. 10.2.5.3201 ed è l'ultima versione aggiornata disponibile. Ciò che da fastidio è che sul suo gemello tutto funziona senza problemi. Abbiamo pensato di sciogliere il gruppo rete e verificare una ad una le schede di rete per riscontrare se una è mal funzionante, eventualmente poi riprovare nuovamente ad installare W2K12. Mi piacerebbe sapere se queste operazioni possono essere utili (visto che il tempo è sempre poco). Grazie.
    martedì 5 dicembre 2017 06:40
  • Grazie per la risposta. Non è confortante, ma tu cosa usi come AV?
    martedì 5 dicembre 2017 06:41