locked
Win2008のサーバーにて[STOP:0x000000C5]が発生する RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    こんにちわ、ts18と申します。

    win2008サーバー起動時にSTOPエラーが発生し対処法について知りたいです。

    -------------------------------------------------------------------

    ■OS:Microsoft Windows Server 2008 Standard

    ■バージョン:Service Pack 2 ビルド 6002

    ■ハードウェア:IBM System x3200 M3

    ■備考

     ・障害発生前、業務用システムの更新がありベンダが設定をおこないました。設定内容については不明です。

    ■障害状況

     ・発生頻度2回

      STOP: 0x000000C5 (0x01CF7EC4 , 0x00000002 , 0x00000001 , 0x818FE8B3 )
      collecting data for crash dump ...
      Initializing disk for crash dump ...
      Beginning dump of physical memory.
      Dumping physical memory to disk : 100
      Physical memory dump complete.
      Contact your system admin or technical support group for further assistance.

     2回のエラーで共通している部分は 0x000000C5 で()の内容は異なります。
    -------------------------------------------------------------------

    ■確認したこと

    ・ドライバのエラーはありませんでした。

    ・Microsoftサポート 文書番号291810
    エラーメッセージ:STOP 0x000000C5 DRIVER_CORRUPTED_EXPOOL
    2000 Serverの記事でした。

    ・ハードウェアメーカーへメーカー提供ツールから出力したログの解析を依頼したところ
    [ハード面でのエラーはない][ソフト面で調査をお願いします]と回答がありました。

    上記現象にお心当たりがございましたら対処方法をご教授いただけないでしょうか。
    よろしくお願い申し上げます。

    2014年1月8日 2:12

回答

  • Question
    サインインして投票
    0
    サインインして投票

    0x000000C5 DRIVER_CORRUPTED_EXPOOL は、何らかのドライバの不正動作 ( 高い IRQL からの不正な Pool 領域へのアクセス ) が原因です。

    Bug Check 0xC5: DRIVER_CORRUPTED_EXPOOL
    http://msdn.microsoft.com/en-us/library/windows/hardware/ff560192(v=vs.85).aspx

    現時点で Memory Dump ( Kernel Dump または完全ダンプ ) が採取されていれば、Pool 領域へアクセスしたドライバ ( スタックから確認可能 ) や Pool の状況 ( カーネルデバッガの !pool や、dd コマンドで確認可能 ) 、例えば Pool 領域への Over Run などが発生していないかどうか確認してみましょう。

    Driver Verifier を使用する方法も有効な調査手段です
    ( より直接原因に近い処理で Stop エラーが発生します。どのみち Dump 解析が必要です )

    システムの構成によっては、既知の障害があるかもしれませんが。

    http://www.symantec.com/business/support/index?page=content&id=TECH123956&locale=ja_JP

    http://www.symantec.com/business/support/index?page=content&id=TECH111055&locale=en_US

    [ハード面でのエラーはない][ソフト面で調査をお願いします]
    についてはその通りです。( 直接的な原因はドライバーです。最も、よくよく調査すると Memroy の bit 化けなどが根本原因、という結論はあり得ますが。)

    • 回答の候補に設定 佐伯玲 2014年1月14日 2:15
    • 回答としてマーク ts18 2014年1月15日 8:41
    2014年1月13日 14:29

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    0x000000C5 が発生していることから、直前に行った変更が影響していることが考えられます。
    直前に行った変更(デバイス ドライバのインストール、ドライバを含むソフトウェアのインストールまたはパッチの適用)をご確認いただいたほうがよいと思います。

    ハードウェアのデバイス ドライバの問題の可能性は否定できませんが、私もハードウェアの故障の可能性は低いのではないかと思います。
    どうぞ、よろしくお願いいたします。

    • 回答の候補に設定 佐伯玲 2014年1月9日 0:42
    2014年1月8日 8:15
  • Question
    サインインして投票
    0
    サインインして投票

    QSE様 ご回答ありがとうございます。

    やはりハードの可能性は低いのですね。

    直前に行った変更ですが直接作業したものはなく、ベンダ側でどういったことを行ったのか聞いてみるしかなさそうです。

    いま候補にあがっているのがDriver VerifierというツールでWindowsドライバをトラブルシューティングすることです。

    もう少し色々調べてから使うか決めたいと思います。

    2014年1月10日 5:56
  • Question
    サインインして投票
    0
    サインインして投票

    0x000000C5 DRIVER_CORRUPTED_EXPOOL は、何らかのドライバの不正動作 ( 高い IRQL からの不正な Pool 領域へのアクセス ) が原因です。

    Bug Check 0xC5: DRIVER_CORRUPTED_EXPOOL
    http://msdn.microsoft.com/en-us/library/windows/hardware/ff560192(v=vs.85).aspx

    現時点で Memory Dump ( Kernel Dump または完全ダンプ ) が採取されていれば、Pool 領域へアクセスしたドライバ ( スタックから確認可能 ) や Pool の状況 ( カーネルデバッガの !pool や、dd コマンドで確認可能 ) 、例えば Pool 領域への Over Run などが発生していないかどうか確認してみましょう。

    Driver Verifier を使用する方法も有効な調査手段です
    ( より直接原因に近い処理で Stop エラーが発生します。どのみち Dump 解析が必要です )

    システムの構成によっては、既知の障害があるかもしれませんが。

    http://www.symantec.com/business/support/index?page=content&id=TECH123956&locale=ja_JP

    http://www.symantec.com/business/support/index?page=content&id=TECH111055&locale=en_US

    [ハード面でのエラーはない][ソフト面で調査をお願いします]
    についてはその通りです。( 直接的な原因はドライバーです。最も、よくよく調査すると Memroy の bit 化けなどが根本原因、という結論はあり得ますが。)

    • 回答の候補に設定 佐伯玲 2014年1月14日 2:15
    • 回答としてマーク ts18 2014年1月15日 8:41
    2014年1月13日 14:29
  • Question
    サインインして投票
    0
    サインインして投票

    中年やっちゅうねん様 有益な情報ありがとうございました。
    Memory Dump(Kernel Dump)を採取し解析しました。以下が気になった箇所です。

    ======================================

    FAULTING_IP
    nt!ExDeferredFreePool+29c
    818fe8b3 894604 mov dword ptr [esi+4],eax
    DEFAULT_BUCKET_ID: VISTA_DRIVER_FAULT
    PROCESS_NAME:spoolsv.exe

    ======================================

    追加情報になるのですがエラーの前日大量の印刷ジョブを流してしまい途中でキャンセルしたことが分かりました。
    なのでこのときの印刷ジョブが関係しているのではないかと推測しています。

    >システムの構成によっては、既知の障害があるかもしれませんが。

    →pcAnywhere 12.5がインストールされていたのでリンク先の回避方法を実行しました。

    これで様子をみてみます。お二方においてはお力添えいただき誠に有難うございました。
    本件はこれにて完了させていただきます。

    2014年1月15日 9:28