none
Analisi Blue Screen

    Domanda

  • Ho un server Windows 2008 R2 virtuale aggiornato con le ultime patch disponibili che ha iniziato ad andare in Bluescreen ... parte solo in modalità provvisoria ... non escludo che gli utenti abbiano installato qualche cosa trattandosi di un terminal server ma vorrei capire cosa manda in Hang il sistema ... analizzando il file Minidump con "WhoCrashed" di "Resplendence" mi viene detto:

    On Tue 16/05/2017 15:56:13 your computer crashed
    crash dump file: C:\Windows\Minidump\051617-25203-01.dmp
    uptime: 00:00:57
    This was probably caused by the following module: ntkrnlmp.exe (nt!KeBugCheckEx+0x0)
    Bugcheck code: 0x19 (0x3, 0xFFFFF8A001967BF0, 0xFFFFF8A001967BF0, 0xFFFFFFFFFFFFFFFF)
    Error: BAD_POOL_HEADER
    Bug check description: This indicates that a pool header is corrupt.
    This appears to be a typical software driver bug and is not likely to be caused by a hardware problem. This might be a case of memory corruption. More often memory corruption happens because of software errors in buggy drivers, not because of faulty RAM modules. This problem might also be caused because of overheating (thermal issue).
    The crash took place in the Windows kernel. Possibly this problem is caused by another driver that cannot be identified at this time. 

    come faccio a capire quale Driver o SW manda in Hang il kernel di questa "macchina"?

    grazie e buona giornata

    Oscar Maffi

    Digi Unit srl

     
    mercoledì 17 maggio 2017 09:11

Tutte le risposte

  • Ciao Oscar.

    Lo Stop 0x00000019 (BAD_POOL_HEADER) indica una corruzione di un header di un pool.
    La prima operazione da eseguire è utilizzare il Driver Verifier tool con l'opzione Special Pool per eseguire un'analis più approfondita e capire esattamente cosa stia causando la corruzione dell'header.
    Potremmo anche provare ad eseguire un'analisi più approfondita del file .DMP prodotto da Windows al momento del bug check: carica il file sul tuo OneDrive, rendilo pubblicamente accessibile e scrivi l'URL in un nuovo post di questo thread.

    Ciao.


    Luigi Bruno
    MCP, MCTS, MOS, MTA

    mercoledì 17 maggio 2017 11:21
  • Ciao Luigi,

    premesso che non ho fretta di risolvere (ho già ricreato un nuovo terminal server per non fermare gli utenti) ma vorrei cercare di capire cosa è successo ti aggiorno su quanto ho fatto:

     - dalla modalità provvisoria (unica modalità in cui la macchina parte) ho lanciato il comando verifier selezionando l'opzione "Special Pool" e chiedendo di analizzare tutti i driver caricati ... mi è stato chiesto di riavviare il server

    - ho riavviato la macchina in modalità normale e, facendo login, è andata, come sempre, in Blue screen (con un altro codice di errore)

    - ho riavviato in provvisoria ... ho lanciato il verifier chiedendo di visualizzare i dati analizzati ma non ha segnalato nessuna informazione

    - ho analizzato il nuovo file dump e, questa volta, mi restituisce il seguente messaggio:

    On Wed 26/04/2017 08:59:25 your computer crashed
    crash dump file: C:\Windows\memory.dmp
    uptime: 00:00:54
    This was probably caused by the following module: ntkrnlmp.exe (nt!KeBugCheckEx+0x0)
    Bugcheck code: 0x50 (0xFFFFFFFFFFFFFFFC, 0x0, 0xFFFFF8000220A6AD, 0x0)
    Error: PAGE_FAULT_IN_NONPAGED_AREA
    Bug check description: This indicates that invalid system memory has been referenced.
    This appears to be a typical software driver bug and is not likely to be caused by a hardware problem.
    The crash took place in the Windows kernel. Possibly this problem is caused by another driver that cannot be identified at this time. 

    ho sbagliato qualche cosa io o c'e' altro da fare per capire cosa manda in hang la macchina?

    grazie

    Oscar

    mercoledì 17 maggio 2017 14:19
  • Ciao Luigi,

    premesso che non ho fretta di risolvere (ho già ricreato un nuovo terminal server per non fermare gli utenti) ma vorrei cercare di capire cosa è successo ti aggiorno su quanto ho fatto:

     - dalla modalità provvisoria (unica modalità in cui la macchina parte) ho lanciato il comando verifier selezionando l'opzione "Special Pool" e chiedendo di analizzare tutti i driver caricati ... mi è stato chiesto di riavviare il server

    - ho riavviato la macchina in modalità normale e, facendo login, è andata, come sempre, in Blue screen (con un altro codice di errore)

    - ho riavviato in provvisoria ... ho lanciato il verifier chiedendo di visualizzare i dati analizzati ma non ha segnalato nessuna informazione

    - ho analizzato il nuovo file dump e, questa volta, mi restituisce il seguente messaggio:

    On Wed 26/04/2017 08:59:25 your computer crashed
    crash dump file: C:\Windows\memory.dmp
    uptime: 00:00:54
    This was probably caused by the following module: ntkrnlmp.exe (nt!KeBugCheckEx+0x0)
    Bugcheck code: 0x50 (0xFFFFFFFFFFFFFFFC, 0x0, 0xFFFFF8000220A6AD, 0x0)
    Error: PAGE_FAULT_IN_NONPAGED_AREA
    Bug check description: This indicates that invalid system memory has been referenced.
    This appears to be a typical software driver bug and is not likely to be caused by a hardware problem.
    The crash took place in the Windows kernel. Possibly this problem is caused by another driver that cannot be identified at this time. 

    ho sbagliato qualche cosa io o c'e' altro da fare per capire cosa manda in hang la macchina?

    grazie

    Oscar

    Non credo che tu abbia fatto qualcosa di sbagliato: in questo caso, l'errore è dovuto ad un tentativo di referenziare una zona di memoria non valida.
    Sarebbe utile avere a disposizione il file DMP per eseguirne un'analisi: caricalo sul tuo OneDrive, condividilo e scrivi qui l'URL, in modo che possiamo esaminarlo più approfonditamente e cercare di capire cosa sta succedendo.

    Ciao.


    Luigi Bruno
    MCP, MCTS, MOS, MTA

    venerdì 19 maggio 2017 17:06
  • Ciao Luigi,

    ecco il link per scaricare un file zip contenente i 2 file DMP generati dal sistema ed i file xml che Windows dice di analizzare per identificare la causa del problema ...

    https://digiunit-my.sharepoint.com/personal/maffi_digiunit_it/_layouts/15/guestaccess.aspx?docid=1c688eae9a2f9456d8f76c7b3fe28afa4&authkey=AaMamkE7Ct09b07vq2G7w9k&e=4%3A81d58d2446eb45649887306dbec3efbb

    martedì 23 maggio 2017 14:52