none
如何排除DC上NtFC內存泄漏? RRS feed

  • 問題

  •  

    Dear ALL:

           我有四台DC﹐OS均為Server 2003﹐其中兩台DC不定期的出現運行奇慢(一台為DL360G5主機﹐一台為台式機)﹐DameWare無法遠端連線﹐用戶無法登錄。事件日志中出現許多Srv 2019錯誤﹐如下﹕

    事件類型: 錯誤
    事件來源: Srv
    事件類別目錄: 無
    事件識別碼: 2019
    日期:  2008/2/24
    時間:  下午 03:24:37
    使用者:  N/A
    電腦: DPBG-DC01
    描述:
    伺服器無法透過系統未分頁共用區來進行配置,因為共用區目前是空的。

    請在 http://go.microsoft.com/fwlink/events.asp 查看說明及支援中心,以取得其他資訊。
    資料:
    0000: 00 00 04 00 01 00 54 00   ......T.
    0008: 00 00 00 00 e3 07 00 c0   ....a..A
    0010: 00 00 00 00 9a 00 00 c0   ....?..A
    0018: 00 00 00 00 00 00 00 00   ........
    0020: 00 00 00 00 00 00 00 00   ........
    0028: 21 00 00 00               !...   
    此時重啟主機便正常﹐通過查閱相關資料獲知可能是內核內存泄漏﹐使用Poolmon進行監控﹐發現當主機剛重啟時﹐Nonpaged使用情況如下﹕

    Memory: 1047864K Avail:  483232K  PageFlts:   112   InRam Krnl: 3184K P:23528K

     Commit: 499616K Limit:2532744K Peak: 500156K            Pool N:86504K P:24232K

     System pool information

     Tag  Type     Allocs            Frees            Diff   Bytes       Per Alloc

     

     ObSt Nonp     515511 (  61)    515511 (  61)        0       0 (     0)      0

     SavE Nonp     298110 (   0)    297539 (   0)      571 52759728 (     0)  92398

     Irp  Nonp      99933 (  82)     99105 (  91)      828  302288 ( -3432)    365

     Io   Nonp      87422 (  52)     87262 (  52)      160  118664 (     0)    741

     IoOp Nonp      67837 (  38)     67837 (  38)        0       0 (     0)      0

     File Nonp      61178 (  40)     56357 (  45)     4821  739160 (  -760)    153

     SePa Nonp      38807 ( 675)     38749 ( 675)       58    7640 (     0)    131

     SeTd Nonp      24476 (  18)     24277 (  20)      199   12736 (  -128)     64

     Even Nonp      22656 (  25)     18801 (  30)     3855  188096 (  -240)     48

     Wait Nonp      19698 (   5)     19657 (   5)       41   14136 (     0)    344

     NpFr Nonp      18405 (  40)     18337 (  40)       68    2720 (     0)     40

     Vad  Nonp      17279 (   3)     13990 (   3)     3289  157872 (     0)     48

     NpFR Nonp      16325 (  40)     16325 (  40)        0       0 (     0)      0

     MmCa Nonp      13420 (   3)     11821 (   3)     1599  174352 (     0)    109

     VadS Nonp      12678 (  54)     10746 (  55)     1932   61824 (   -32)     32

     RxIr Nonp      12252 (   0)     12245 (   0)        7    6328 (     0)    904

     Vadl Nonp       8887 (  24)      7728 (  25)     1159   74176 (   -64)     64

     NtFs Nonp       8335 (   0)      6391 (   0)     1944   78976 (     0)     40

     NDwi Nonp       6847 (  20)      6847 (  20)        0       0 (     0)      0

     IoEa Nonp       6796 (   7)      6796 (   7)        0       0 (     0)      0

     TCiN Nonp       6794 (  20)      6794 (  20)        0       0 (     0)      0

     CcSc Nonp       6181 (   1)      5923 (   1)      258   82560 (     0)    320

     CcBc Nonp       5581 (   1)      5538 (   7)       43    5848 (  -816)    136

     Mdl  Nonp       5569 (   3)      3019 (   9)     2550  338640 (  -768)    132

     NtFA Nonp       5368 (   0)      5368 (   0)        0       0 (     0)      0

     RxCd Nonp       5179 (   0)      5179 (   0)        0       0 (     0)      0

     AfdP Nonp       4850 (   6)      4841 (   6)        9    1432 (     0)    159

     TCPc Nonp       4486 (   4)      2648 (   7)     1838   88224 (  -144)     48

     NtFv Nonp       4171 (   0)      4170 (   0)        1      96 (     0)     96

     SmSS Nonp       3911 (   0)      3911 (   0)        0       0 (     0)      0

     Ntfr Nonp       3720 (   0)       183 (   0)     3537  227336 (     0)     64

     Ntf9 Nonp       3214 (   5)      3214 (   5)        0       0 (     0)      0

     Ntfi Nonp       2985 (   0)      2735 (   0)      250   68000 (     0)    272

     AfdC Nonp       2897 (   1)      1317 (   3)     1580  252800 (  -320)    160

     TCiA Nonp       2755 (   8)      2730 (  11)       25    2200 (  -264)     88

     Thre Nonp       2679 (   2)      1782 (   3)      897  559728 (  -624)    624

     MmIn Nonp       2519 (   0)      2503 (   0)       16    2560 (     0)    160

     Ntfn Nonp       2393 (   0)       456 (   0)     1937   78072 (     0)     40

     NtfI Nonp       2304 (   0)      2300 (   0)        4     160 (     0)     40

     Psap Nonp       2272 (   5)      2272 (   5)        0       0 (     0)      0

     NtFC Nonp       2257 (   0)      2222 (   0)       35    4760 (     0)    136

    運行几天后情況如下﹕

    Memory: 1047864K Avail:  403552K  PageFlts:  2327   InRam Krnl: 3436K P:31908K

     Commit: 498596K Limit:2532744K Peak: 509964K            Pool N:98012K P:32604K

     System pool information

     Tag  Type     Allocs            Frees            Diff   Bytes       Per Alloc

     

     SavE Nonp    2917191 (   0)   2916620 (   0)      571 52759728 (     0)  92398

     MmCm Nonp      10471 (   0)      9382 (   0)     1089 12474160 (     0)  11454

     NtFC Nonp     310115 ( 144)    225274 ( 102)    84841 11538376 (  5712)    136

     R100 Nonp         41 (   0)         2 (   0)       39 9683040 (     0) 248283

     LSwi Nonp          1 (   0)         0 (   0)        1 2576384 (     0) 2576384

     TCPt Nonp      69992 (   0)     69963 (   0)       29 1422912 (     0)  49065

     File Nonp    1494077 ( 461)   1490022 ( 435)     4055  618888 (  3952)    152

     Thre Nonp      25636 (   0)     24768 (   0)      868  541632 (     0)    624

    經過對比不難發現﹐其中Tag為NtFC的Diff值不斷增大﹐同時Nonpaged也不斷增大﹐到一定程度后主機無響應﹐必須Reboot。

    但我無法查得是什么驅動或是什么程式引起Tag NtFC出現內存泄漏。NtFC對應什么驅動?

    任何回復都讓我感謝﹗

     

     

     

    2008年5月20日 上午 07:29

解答

  • Dear david.lee,
     
    您可以使用poolmon /g或findstr來查看是哪一個驅動程式使用NtFC,詳細步驟請看此KB。如果您發現,並不是第三方驅動程式造成,而是系統內建的ntfs.sys的話,就有可能與Symantec Antivirus Corporate Edition相關。9.5版後新增了一項與Auto-Protect相關的功能,造成上述的副作用。所以建議您按照下列步驟排解:
     
    (Provided by Symantec):
    1) Put SAVRTICFG.exe in the Symantec AntiVirus directory (the same directory as the
    file savrt.dat)
    2) Open a command prompt
    3) Change to the Symantec AntiVirus directory
    4) Run the command:

     
    Code Snippet
    SAVRTICFG.exe ICFG:OpenScanningMode 0

     

     


    5) Reboot the machine
    若您發現是與Sis.sys相關,且您有安裝RIS(Remote Installation Service)的話,則請參考此KB,下載修正檔。
    2008年5月20日 上午 08:29

所有回覆

  • 不知道你的狀況跟這篇討論有沒有類似

    2008年5月20日 上午 08:15
    版主
  • Dear david.lee,
     
    您可以使用poolmon /g或findstr來查看是哪一個驅動程式使用NtFC,詳細步驟請看此KB。如果您發現,並不是第三方驅動程式造成,而是系統內建的ntfs.sys的話,就有可能與Symantec Antivirus Corporate Edition相關。9.5版後新增了一項與Auto-Protect相關的功能,造成上述的副作用。所以建議您按照下列步驟排解:
     
    (Provided by Symantec):
    1) Put SAVRTICFG.exe in the Symantec AntiVirus directory (the same directory as the
    file savrt.dat)
    2) Open a command prompt
    3) Change to the Symantec AntiVirus directory
    4) Run the command:

     
    Code Snippet
    SAVRTICFG.exe ICFG:OpenScanningMode 0

     

     


    5) Reboot the machine
    若您發現是與Sis.sys相關,且您有安裝RIS(Remote Installation Service)的話,則請參考此KB,下載修正檔。
    2008年5月20日 上午 08:29
  •  

    Dear ASKA&Jimmy:

           首先感謝兩位的回復﹗

           我使用findstr命令得到如下結果﹕

    C:\WINDOWS\system32\drivers>findstr /m /l NtFC *.sys
    ntfs.sys

    照Jimmy您給出的提示應該為Symantec相關故障﹐但請問Jimmy﹐除了找Symantec corp以外我應該從哪里才能找到SAVRTICFG.exe 這個文件呢?

    謝謝﹗

     

    2008年5月21日 上午 01:13
  • Dear jimmy:

           我查看了兩台DC上安裝的Symantec為10.0.1.1000﹐我曾經嘗試過重新安裝它﹐但沒能解決問題。今天我分別將兩台DC上Symantec升級為10.0.1.1001和10.1.6.6000﹐然后用Poolmon來監控內核內存使用﹐發現NtFC Nonp的Diff值不在增大﹐Nonpaged值也不在增大﹐說明現在這兩個版本都已解決了這個問題。三個月來的噩夢終于可以結束了﹗

           在這里再次感謝Jimmy和ASKA兩位指點﹗

     

    2008年5月21日 上午 06:06