Systemabstürze mit WinDbg untersuchen

Wenn Server ohne Vorwarnung einfach abstürzen, ist das mehr als ärgerlich.
Meist findet man im Ereignisprotokoll höchstens einen Eintrag wie:

Protokollname: System
Quelle: Microsoft-Windows-WER-SystemErrorReporting
Datum: 30.01.2014 07:52:02
Ereignis-ID: 1001
Aufgabenkategorie:Keine
Ebene: Fehler
Schlüsselwörter:Klassisch
Benutzer: Nicht zutreffend
Computer: CTXAPP6
Beschreibung:
Der Computer wurde nach einem schwerwiegenden Fehler neu gestartet. Der Fehlercode war: Ein volles Abbild wurde gespeichert in: C:WindowsMEMORY.DMP. Berichts-ID: 013014-15880-01.

Googlen nach dem Fehlercode kann ein bisschen was bringen. Was aber wenn
nicht?

Unter Umständen hilft die memory.dmp-Datei weiter.

Zur Analyse braucht es ein passendes Analyseprogramm. Leider bietet Microsoft
die Software nicht mehr einzeln an, sondern nur in einem riesigen
Entwickler-Paket.

Freundlicherweise hat der Blog "Just do IT" den Standalone Debugger unter

standalone windbg v6.12.0002.633
zur
Verfügung gestellt. Jetzt also erst einmal die passende Version herunterladen.

WinDbg kann notfalls auch auf einem anderen Rechner ausgeführt werden.

Die x64 Version muss installiert werden, bei der x86 Version kann man die
WinDbg.exe direkt aus dem entpackten ZIP-Archiv starten.

Für das Debuggen braucht es Symbol-Dateien, die man aber auch aus dem
Internet beziehen kann.

Legen Sie z.B. einen Pfad an
c:localsymbols*

Wählen Sie in WinDbg

  • File
  • Symbol File Path

Geben Sie ein

SRV*c:localsymbols*http://msdl.microsoft.com/download/symbols;.sympath

und bestätigen Sie mit OK

Öffnen Sie jetzt den Crashdump mit

  • File
  • Open Crash Dump

WinDbg beginnt eine schnelle Analyse

Abstürze mit windbg analysieren

Der mögliche Fehler ist in der Zeile "Probably caused by" angegeben. Wenn Sie
Glück haben, sehen Sie hier schon den Dateinamen des Bösewichtes.

Geben Sie jetzt

!analyze -v 

für eine ausführlichere Analyse ein (sie können auch einfach auf den Link
klicken).

Sie finden nun weitere Hinweise. Keine Angst, die wenigsten werden das im
Detail genau interpretieren können. Aber Sie erhalten mit Sicherheit Hinweise
für die weitere Recherche, z.B.:

APC_INDEX_MISMATCH (1)
This is a kernel internal error. The most common reason to see this
bugcheck is when a filesystem or a driver has a mismatched number of
calls to disable and re-enable APCs. The key data item is the
Thread->KernelApcDisable field. A negative value indicates that a driver
has disabled APC calls without re-enabling them. A positive value indicates
that the reverse is true. This check is made on exit from a system call.

Viel Erfolg!

 

Achtung!

Dieser Artikel wurde automatisiert vom alten CMS übernommen. Dort war er zuletzt am 16.04.2016 geändert worden. Bei der Konvertierung können sich Fehler eingeschlichen haben, wie zum Beispiel falsche Zeilenumbrüche, fehlende Bilder oder fehlende Zeichen. Wenn du einen solchen Fehler entdeckst, dann schreibe doch bitte einen Kommentar, damit ich das beheben kann.

Vielen Dank für deine Mühe.


Hat dir der Artikel gefallen? Dann freue ich mich, wenn du ein Like hinterlässt und ihn teilst.
Herzlichen Dank.

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.