Home » Windows » Microsoft Security » WinDbg
- Anzeige -
Software Asset Management beim Fachmann

Systemabstürze mit WinDbg untersuchen

Wenn Server ohne Vorwarnung einfach abstürzen, ist das mehr als ärgerlich. Meist findet man im Ereignisprotokoll höchstens einen Eintrag wie:

Protokollname: System
Quelle: Microsoft-Windows-WER-SystemErrorReporting
Datum: 30.01.2014 07:52:02
Ereignis-ID: 1001
Aufgabenkategorie:Keine
Ebene: Fehler
Schlüsselwörter:Klassisch
Benutzer: Nicht zutreffend
Computer: CTXAPP6
Beschreibung:
Der Computer wurde nach einem schwerwiegenden Fehler neu gestartet. Der Fehlercode war: Ein volles Abbild wurde gespeichert in: C:\Windows\MEMORY.DMP. Berichts-ID: 013014-15880-01.

Googlen nach dem Fehlercode kann ein bisschen was bringen. Was aber wenn nicht?

Unter Umständen hilft die memory.dmp-Datei weiter.

Zur Analyse braucht es ein passendes Analyseprogramm. Leider bietet Microsoft die Software nicht mehr einzeln an, sondern nur in einem riesigen Entwickler-Paket.

Freundlicherweise hat der Blog "Just do IT" den Standalone Debugger unter standalone windbg v6.12.0002.633 zur Verfügung gestellt. Jetzt also erst einmal die passende Version herunterladen.

WinDbg kann notfalls auch auf einem anderen Rechner ausgeführt werden.

Die x64 Version muss installiert werden, bei der x86 Version kann man die WinDbg.exe direkt aus dem entpackten ZIP-Archiv starten.

Für das Debuggen braucht es Symbol-Dateien, die man aber auch aus dem Internet beziehen kann.

Legen Sie z.B. einen Pfad an c:\localsymbols*

Wählen Sie in WinDbg

Geben Sie ein

SRV*c:\localsymbols*http://msdl.microsoft.com/download/symbols;.sympath

und bestätigen Sie mit OK

Öffnen Sie jetzt den Crashdump mit

WinDbg beginnt eine schnelle Analyse

Abstürze mit windbg analysieren

Der mögliche Fehler ist in der Zeile "Probably caused by" angegeben. Wenn Sie Glück haben, sehen Sie hier schon den Dateinamen des Bösewichtes.

Geben Sie jetzt

!analyze -v 

für eine ausführlichere Analyse ein (sie können auch einfach auf den Link klicken).

Sie finden nun weitere Hinweise. Keine Angst, die wenigsten werden das im Detail genau interpretieren können. Aber Sie erhalten mit Sicherheit Hinweise für die weitere Recherche, z.B.:

APC_INDEX_MISMATCH (1)
This is a kernel internal error. The most common reason to see this
bugcheck is when a filesystem or a driver has a mismatched number of
calls to disable and re-enable APCs. The key data item is the
Thread->KernelApcDisable field. A negative value indicates that a driver
has disabled APC calls without re-enabling them. A positive value indicates
that the reverse is true. This check is made on exit from a system call.

Viel Erfolg!

 



War der Artikel hilfreich? Ich freue mich sehr über Likes, Shares oder Links von Deiner Website darauf. Danke Dir.

it-zeugs.de ist auch auf Facebook...

Schreibe einen Kommentar - aber kein SPAM - der wird zuverlässig gefiltert!

  • Erforderliche Felder sind markiert mit *.

If you have trouble reading the code, click on the code itself to generate a new random code.