florian.rhomberg
Goto Top

Windows Server 2008 monatlicher Bluescreen

Hallo liebe Community,
ich habe einen HP ProLiant DL320e Gen8 mit Windows 2008R2 der ziemlich exakt an jedem Monatsende mit einem Bluescreen abstürzt und neu startet.
Zur Vorgeschichte:
Der Server wurde letztes Jahr im Sommer gekauft und zunächst als interner Repository Server genutzt. Im Februar habe ich ihn neu als Anwendungsserver aufgesetzt, den Arbeitsspeicher um einen 8GB original HP-Ram erweitert und nachdem alle Einstellungen vorgenommen wurde, wurde er in bei unseren Hoster im Rechenzentrum installiert.

Nun habe ich aber das Problem, dass am 31.03.2.2014 um 06:11 der Server zum ersten mal abgestürzt ist. Eine Analyse des Minidumps ergab damals 0x50:PAGE_FAULT_IN_NONPAGED_AREA Fehler. Ich habe daraufhin den Arbeitsspeicher über die HP-SMH überprüft und er wurde als fehlerfrei angezeigt. Habe daraufhin auch einen Memtest gemacht, auch ohne Ergebnis. Daraufhin habe ich mich entschlossen den Server weiter zu beobachten und es tauchten keine weiteren Probleme auf. Heute kam es erneut zu einem Absturz genau mit der selben Fehlermeldung, Datum/Uhrzeit: 29.04.2014 06:48.

Jetzt bin ich ein wenig ratlos, zu dem angegebenen Zeitpunkt werden keine zusätzlichen Aufgaben vom Server ausgeführt, alle scheduled Tasks werden am Server zwischen 23 Uhr und 2 Uhr ausgeführt. Nachdem der Server nicht unmittelbar in der Firma steht sondern in einem Rechenzentrum zu dem ich nur mit einem Mitarbeiter zukomme, möchte ich euch um Ratschläge bitten, was ich noch testen soll, ehe ich neue RAMs bestelle und die Alten austausche.

Hier die Ausgabe des WinDbg:
Microsoft (R) Windows Debugger  Version 6.4.0007.2
Copyright (c) Microsoft Corporation. All rights reserved.


Loading Dump File [C:\Windows\Minidump\042914-32573-01.dmp]
Mini Kernel Dump File: Only registers and stack trace are available

Symbol search path is: C:\Symbols
Executable search path is: 
Windows Longhorn Kernel Version 7601 (Service Pack 1) MP (4 procs) Free x64
Product: LanManNt, suite: TerminalServer SingleUserTS
Built by: 7601.18247.amd64fre.win7sp1_gdr.130828-1532
Kernel base = 0xfffff800`01666000 PsLoadedModuleList = 0xfffff800`018a96d0
Debug session time: Tue Apr 29 06:43:27.436 2014 (GMT+2)
System Uptime: 9 days 4:04:50.267
Loading Kernel Symbols
...............................................................................................................................................
Loading unloaded module list
..................................................
Loading User Symbols
*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************

Use !analyze -v to get detailed debugging information.

BugCheck 50, {fffff96000155f95, 8, fffff96000155f95, 7}

Unable to load image \SystemRoot\System32\win32k.sys, Win32 error 2
*** WARNING: Unable to verify timestamp for win32k.sys
*** ERROR: Module load completed but symbols could not be loaded for win32k.sys
Unable to load image \SystemRoot\System32\drivers\Dxapi.sys, Win32 error 2
*** WARNING: Unable to verify timestamp for Dxapi.sys
*** ERROR: Module load completed but symbols could not be loaded for Dxapi.sys

Could not read faulting driver name
Unable to load image \SystemRoot\system32\DRIVERS\monitor.sys, Win32 error 2
*** WARNING: Unable to verify timestamp for monitor.sys
*** ERROR: Module load completed but symbols could not be loaded for monitor.sys
*** ERROR: Symbol file could not be found.  Defaulted to export symbols for kdcom.dll - 
Probably caused by : win32k.sys ( win32k+d5f95 )

Followup: MachineOwner
---------

1: kd> !analyze -v
*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************

PAGE_FAULT_IN_NONPAGED_AREA (50)
Invalid system memory was referenced.  This cannot be protected by try-except,
it must be protected by a Probe.  Typically the address is just plain bad or it
is pointing at freed memory.
Arguments:
Arg1: fffff96000155f95, memory referenced.
Arg2: 0000000000000008, value 0 = read operation, 1 = write operation.
Arg3: fffff96000155f95, If non-zero, the instruction address which referenced the bad memory
	address.
Arg4: 0000000000000007, (reserved)

Debugging Details:
------------------


Could not read faulting driver name

WRITE_ADDRESS: unable to get MiSystemVaType - probably bad symbols
 fffff96000155f95 

FAULTING_IP: 
win32k+d5f95
fffff960`00155f95 c6050cf2200001 mov byte ptr [win32k+0x2e51a8 (fffff960003651a8)],0x1

MM_INTERNAL_CODE:  7

CUSTOMER_CRASH_COUNT:  1

DEFAULT_BUCKET_ID:  DRIVER_FAULT_SERVER_MINIDUMP

BUGCHECK_STR:  0x50

CURRENT_IRQL:  0

LAST_CONTROL_TRANSFER:  from fffff8000175853b to fffff800016dbbc0

STACK_TEXT:  
fffff880`0995f7b8 fffff800`0175853b : 00000000`00000050 fffff960`00155f95 00000000`00000008 fffff880`0995f920 : nt!KeBugCheckEx
fffff880`0995f7c0 fffff800`016d9cee : 00000000`00000008 fffff960`00155f95 fffff880`0995fa00 00000000`000404ff : nt! ?? ::FNODOBFM::`string'+0x43781
fffff880`0995f920 fffff960`00155f95 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiPageFault+0x16e
fffff880`0995fab0 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000020 : win32k+0xd5f95
fffff880`0995fab8 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000020 fffff800`016dae53 : 0x0
fffff880`0995fac0 00000000`00000000 : 00000000`00000000 00000000`00000020 fffff800`016dae53 fffffa80`0a548230 : 0x0
fffff880`0995fac8 00000000`00000000 : 00000000`00000020 fffff800`016dae53 fffffa80`0a548230 00000000`015862c0 : 0x0
fffff880`0995fad0 00000000`00000020 : fffff800`016dae53 fffffa80`0a548230 00000000`015862c0 fffff880`00000000 : 0x0
fffff880`0995fad8 fffff800`016dae53 : fffffa80`0a548230 00000000`015862c0 fffff880`00000000 fffffa80`0e5b5d40 : 0x20
fffff880`0995fae0 00000000`778ca5da : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiSystemServiceCopyEnd+0x13
00000000`001ff758 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : 0x778ca5da


FOLLOWUP_IP: 
win32k+d5f95
fffff960`00155f95 c6050cf2200001 mov byte ptr [win32k+0x2e51a8 (fffff960003651a8)],0x1

SYMBOL_STACK_INDEX:  3

FOLLOWUP_NAME:  MachineOwner

SYMBOL_NAME:  win32k+d5f95

MODULE_NAME:  win32k

IMAGE_NAME:  win32k.sys

DEBUG_FLR_IMAGE_TIMESTAMP:  52f4357b

STACK_COMMAND:  kb

FAILURE_BUCKET_ID:  X64_0x50_W_win32k+d5f95

BUCKET_ID:  X64_0x50_W_win32k+d5f95

Followup: MachineOwner
---------

Vielen Dank für eure Hilfe, liebe Grüße,
Florian

Content-ID: 236726

Url: https://administrator.de/forum/windows-server-2008-monatlicher-bluescreen-236726.html

Ausgedruckt am: 22.12.2024 um 09:12 Uhr

Lochkartenstanzer
Lochkartenstanzer 29.04.2014 um 09:10:48 Uhr
Goto Top
Zitat von @florian.rhomberg:

Nun habe ich aber das Problem, dass am 31.03.2.2014 um 06:11 der Server zum ersten mal abgestürzt ist. ...
Heute kam es erneut zu einem Absturz genau mit der selben Fehlermeldung, Datum/Uhrzeit: 29.04.2014 06:48.

Moin, zweimal ist keinmal. Auch wenn es dem Momnatsende zugeht ist das höchsten eine Koinzidenz, aber keine Rregelmäigkeit. man kann da erst dann vermutungen anstellen, wenn das mindestens viermal auftaucht.

Aber ansonsten würde ich mal alle Treiber prüfen, ggf noch ein sfc/scannnow dazupacken.

Ansonsten: Wenn das ein "wichtiger" server ist, an dem Geld dranhängt, würde ich den einfach gegen einen anderen austauschen udn den dann lokal unter Bepbachtung stellen.

Wenn der beim Hoster u.U. mit dem nackten Arsch im internet hängt, könnten auch diverse Hackversuche für einen BSOD verantwortlich sein.

Aber das ist alles nur Kristallkugelleserei. Falls Du einen Supportvertrag jmti HP hast, könntest Du natürlich auch einfach den HP-Support anrufen.

lks
florian.rhomberg
florian.rhomberg 29.04.2014 um 09:36:52 Uhr
Goto Top
Danke für die schnelle Antwort. Das mit dem Servertausch ist so ein Sache, bis Februar hatten wir einen dedicated Root Server eines großen deutschen Anbieters, nachdem aber dort nach dem Ausfall eines noname Raidcontrollers, obwohl etwas anderes ausgemacht war, der Server für eine Woche nicht verfügbar war und komplett neu aufgesetzt werden musste, haben wir dort gekündigt und uns eben für diese Lösung entschieden. Im September ist ohnehin ein zweiter Server vorbudgetiert und die Umwandlung in einen Cluster geplant, nur kann ich darauf nicht vorgreifen, daher muss ich bis September mit dem einen Server auskommen.

Angriffe kann ich mehr oder weniger ausschließen, unser Hoster hat einen Barracuda Firewall vorgeschaltet der nichts aufgezeichnet hat und ich überwache zusätzlich noch alle Ports am Windows Server.

sfc /SCANNOW hat keine Fehler gefunden, werde trotzdem heute Abend nochmals einen Memtest durchlaufen lassen.

Die Idee mit HP ist gut, wir haben einen Supportvertrag, vielleicht werde ich das in Anspruch nehmen.

Danke für die Hilfe,
liebe Grüße,
Florian