none
Windows 2003 원격 터미널 접속시 블루스크린 발생 RRS feed

  • 질문

  • Windows 2003 원격 터미널로 접속을 했는데 블루스크린이 발생했습니다.

    이벤트뷰어에서 시스템 로그는 아래와 같은 메시지가 발생했습니다.

    이벤트 형식: 오류
    이벤트 원본: System Error
    이벤트 범주: (102)
    이벤트 ID: 1003
    날짜:  2009-11-11
    시간:  오전 7:54:10
    사용자:  N/A
    컴퓨터: xxxx
    설명:
    오류 코드 1000007f, 매개 변수1 00000008, 매개 변수2 f772ffe0, 매개 변수3 00000000, 매개 변수4 00000000.

    자세한 정보는 http://go.microsoft.com/fwlink/events.asp에 있는 도움말 및 지원 센터를 참조하십시오.
    데이터:
    0000: 53 79 73 74 65 6d 20 45   System E
    0008: 72 72 6f 72 20 20 45 72   rror  Er
    0010: 72 6f 72 20 63 6f 64 65   ror code
    0018: 20 31 30 30 30 30 30 37    1000007
    0020: 66 20 20 50 61 72 61 6d   f  Param
    0028: 65 74 65 72 73 20 30 30   eters 00
    0030: 30 30 30 30 30 38 2c 20   000008,
    0038: 66 37 37 32 66 66 65 30   f772ffe0
    0040: 2c 20 30 30 30 30 30 30   , 000000
    0048: 30 30 2c 20 30 30 30 30   00, 0000
    0050: 30 30 30 30               0000   

    ****************************************************************************
    이벤트 형식: 경고
    이벤트 원본: USER32
    이벤트 범주: 없음
    이벤트 ID: 1076
    날짜:  2009-11-11
    시간:  오전 7:53:56
    사용자:  administrator
    컴퓨터: xxxxx
    설명:
    이 컴퓨터의 최근 예상치 못한 종료에 대해 Administrator 사용자가 제공한 이유는 다음과 같습니다:시스템 오류: 중지 오류
     이유 코드: 0x805000f
     버그 ID:
     버그 점검 문자열: 0x0000007f (0x00000008, 0xf772ffe0, 0x00000000, 0x00000000)
     설명: 0x0000007f (0x00000008, 0xf772ffe0, 0x00000000, 0x00000000)

    자세한 정보는 http://go.microsoft.com/fwlink/events.asp에 있는 도움말 및 지원 센터를 참조하십시오.
    데이터:
    0000: 0f 00 05 08               ....   
    ****************************************************************************

    메모리덤프 파일이 생성은 되었는데 내용은 잘모르겠습니다.

    분석 가능하시다면 덤프파일 보내드릴수 있습니다.

    전문가분들의 도움 부탁드립니다.


    윤성용
    2009년 11월 10일 화요일 오후 11:24

모든 응답

  • 안녕하세요.

    문제 해결에 도움은 드리지 못하지만 추가적으로 필요한 내용에 대해서 말씀드릴게요.

    우선 덤프 파일을 Windbg라는 분석 툴로 열으셔서 analyze -v 한 내용을 올려주셔야 답변이 편할 것 같아요.

    덤프 파을은 용량의 압박이ㅠㅠ

    원격 연결시 블루스크린이 발생하는 경우가 있었는데요.

    백업 솔류션의 문제였습니다.

    해당 솔루션을 version up 하고 증상은 해결되었습니다.

    참고하세요.

    2009년 11월 11일 수요일 오전 1:45
  • Winddbg 결과 올립니다.

    백업은 ntbackup을 사용하고 있습니다.

    추가 사항이 있으면 답변부탁드리겠습니다.


    Microsoft (R) Windows Debugger  Version 6.5.0003.7
    Copyright (c) Microsoft Corporation. All rights reserved.


    Loading Dump File [D:\MEMORY.DMP]
    Kernel Summary Dump File: Only kernel address space is available

    Symbol search path is: srv*<C:\symvols>*http://msdl.microsoft.com/download/symbols
    Executable search path is:
    Windows Server 2003 Kernel Version 3790 (Service Pack 1) MP (8 procs) Free x86 compatible
    Product: Server, suite: TerminalServer SingleUserTS
    Built by: 3790.srv03_sp1_gdr.090319-1204
    Kernel base = 0x80800000 PsLoadedModuleList = 0x808a6ea8
    Debug session time: Wed Nov 11 07:14:27.885 2009 (GMT+9)
    System Uptime: 75 days 22:32:15.746
    WARNING: Process directory table base CFF86060 doesn't match CR3 0063F000
    WARNING: Process directory table base CFF86060 doesn't match CR3 0063F000
    Loading Kernel Symbols
    ......................................................................................................................
    Loading unloaded module list
    ..................................................
    Loading User Symbols
    PEB is paged out (Peb.Ldr = 7ffd600c).  Type ".hh dbgerr001" for details
    *******************************************************************************
    *                                                                             *
    *                        Bugcheck Analysis                                    *
    *                                                                             *
    *******************************************************************************

    Use !analyze -v to get detailed debugging information.

    BugCheck 7F, {8, f772ffe0, 0, 0}

    Probably caused by : Unknown_Image ( hal!HalpDispatchInterrupt+91 )

    Followup: MachineOwner
    ---------

    1: kd> !analyze -v
    *******************************************************************************
    *                                                                             *
    *                        Bugcheck Analysis                                    *
    *                                                                             *
    *******************************************************************************

    UNEXPECTED_KERNEL_MODE_TRAP (7f)
    This means a trap occurred in kernel mode, and it's a trap of a kind
    that the kernel isn't allowed to have/catch (bound trap) or that
    is always instant death (double fault).  The first number in the
    bugcheck params is the number of the trap (8 = double fault, etc)
    Consult an Intel x86 family manual to learn more about what these
    traps are. Here is a *portion* of those codes:
    If kv shows a taskGate
            use .tss on the part before the colon, then kv.
    Else if kv shows a trapframe
            use .trap on that value
    Else
            .trap on the appropriate frame will show where the trap was taken
            (on x86, this will be the ebp that goes with the procedure KiTrap)
    Endif
    kb will then show the corrected stack.
    Arguments:
    Arg1: 00000008, EXCEPTION_DOUBLE_FAULT
    Arg2: f772ffe0
    Arg3: 00000000
    Arg4: 00000000

    Debugging Details:
    ------------------


    BUGCHECK_STR:  0x7f_8

    TSS:  00000028 -- (.tss 28)
    eax=0000003d ebx=b81c5074 ecx=8b0e2250 edx=80010031 esi=80a57bcc edi=80a57be3
    eip=80a58445 esp=b81c4fd8 ebp=b81c4fd8 iopl=0         nv up di pl zr na po nc
    cs=0008  ss=0010  ds=0023  es=0023  fs=0030  gs=0000             efl=00010046
    hal!HalpDispatchInterrupt+0x91:
    80a58445 89550c           mov     [ebp+0xc],edx     ss:0010:b81c4fe4=????????
    Resetting default scope

    DEFAULT_BUCKET_ID:  DRIVER_FAULT

    CURRENT_IRQL:  1

    LAST_CONTROL_TRANSFER:  from 00000000 to 80a58445

    STACK_TEXT: 
    b81c4fd8 00000000 00000000 00000000 00000000 hal!HalpDispatchInterrupt+0x91


    FOLLOWUP_IP:
    hal!HalpDispatchInterrupt+91
    80a58445 89550c           mov     [ebp+0xc],edx

    FOLLOWUP_NAME:  MachineOwner

    SYMBOL_NAME:  hal!HalpDispatchInterrupt+91

    IMAGE_NAME:  Unknown_Image

    DEBUG_FLR_IMAGE_TIMESTAMP:  0

    STACK_COMMAND:  .tss 28 ; kb

    BUCKET_ID:  ZEROED_STACK

    MODULE_NAME:  Unknown_Module

    Followup: MachineOwner
    ---------


    윤성용
    2009년 11월 11일 수요일 오전 2:47
  • 덤프를 좀 더 확인해 봐야 답을 알것 같네요 간단히 보면 ebp 의 값이 접근할 수 없는 메모리로 되어 있습니다.
    아래 명령 실행한 후 결과 화면 보내주셔야 할 것같습니다.
    .tss 28 ; kb ; !thread -1

    2009년 11월 11일 수요일 오후 11:00
  • 결과 보내드립니다. 감사합니다~

    1: kd> .tss 28 ; kb ; !thread -1
    eax=0000003d ebx=b81c5074 ecx=8b0e2250 edx=80010031 esi=80a57bcc edi=80a57be3
    eip=80a58445 esp=b81c4fd8 ebp=b81c4fd8 iopl=0         nv up di pl zr na po nc
    cs=0008  ss=0010  ds=0023  es=0023  fs=0030  gs=0000             efl=00010046
    hal!HalpDispatchInterrupt+0x91:
    80a58445 89550c           mov     [ebp+0xc],edx     ss:0010:b81c4fe4=????????
      *** Stack trace for last set context - .thread/.cxr resets it
    ChildEBP RetAddr  Args to Child             
    b81c4fd8 00000000 00000000 00000000 00000000 hal!HalpDispatchInterrupt+0x91
    THREAD 8b0e2250  Cid 0300.0370  Teb: 7ffde000 Win32Thread: e3353140 RUNNING on processor 1
    IRP List:
        88385e28: (0006,01d8) Flags: 00000884  Mdl: 00000000
        83d905c8: (0006,01d8) Flags: 00000884  Mdl: 00000000
    Not impersonating
    DeviceMap                 e10028b0
    Owning Process            8b010228       Image:         csrss.exe
    Wait Start TickCount      419912687      Ticks: 0
    Context Switch Count      13019250                 LargeStack
    UserTime                  00:00:29.0781
    KernelTime                00:09:45.0296
    Start Address 0x75927d13
    Stack Init b81c8000 Current b81c5030 Base b81c8000 Limit b81c5000 Call 0
    Priority 15 BasePriority 15 PriorityDecrement 0
    ChildEBP RetAddr  Args to Child             
    00000000 80a58445 00000000 00000000 00000000 nt!KiTrap08+0x75 (FPO: TaskGate 28:0)
    b81c4fd8 00000000 00000000 00000000 00000000 hal!HalpDispatchInterrupt+0x91 (FPO: [0,2] TrapFrame-EDITED @ f772ffe0)

     


    윤성용
    2009년 11월 12일 목요일 오전 12:47