Systemabstürze mit WinDbg untersuchen

Zuletzt aktualisiert am 18. Mai 2021 von Lars

Wenn Server ohne Vorwarnung einfach abstürzen, ist das mehr als ärgerlich. Meist findet man im Ereignisprotokoll höchstens einen Eintrag wie:

Protokollname: System
Quelle: Microsoft-Windows-WER-SystemErrorReporting
Datum: 30.01.2014 07:52:02
Ereignis-ID: 1001
Aufgabenkategorie:Keine
Ebene: Fehler
Schlüsselwörter:Klassisch
Benutzer: Nicht zutreffend
Computer: CTXAPP6
Beschreibung:
Der Computer wurde nach einem schwerwiegenden Fehler neu gestartet. Der Fehlercode war: Ein volles Abbild wurde gespeichert in: C:WindowsMEMORY.DMP. Berichts-ID: 013014-15880-01.

Googlen nach dem Fehlercode kann ein bisschen was bringen. Was aber wennnicht?

Unter Umständen hilft die memory.dmp-Datei weiter.

Zur Analyse braucht es ein passendes Analyseprogramm. Leider bietet Microsoft die Software nicht mehr einzeln an, sondern nur in einem riesigenEntwickler-Paket.

Freundlicherweise hat der Blog "Just do IT" den Standalone Debugger unter standalone windbg v6.12.0002.633 zur Verfügung gestellt. Jetzt also erst einmal die passende Version herunterladen.

WinDbg kann notfalls auch auf einem anderen Rechner ausgeführt werden.

Die x64 Version muss installiert werden, bei der x86 Version kann man die WinDbg.exe direkt aus dem entpackten ZIP-Archiv starten.

Für das Debuggen braucht es Symbol-Dateien, die man aber auch aus demInternet beziehen kann.

Legen Sie z.B. einen Pfad an

c:\localsymbols*

Wählen Sie in WinDbg

  • File
  • Symbol File Path

Geben Sie ein

SRV*c:\localsymbols*http://msdl.microsoft.com/download/symbols;.sympath

und bestätigen Sie mit OK

Öffnen Sie jetzt den Crashdump mit

  • File
  • Open Crash Dump

WinDbg beginnt eine schnelle Analyse

Abstürze mit windbg analysieren

Der mögliche Fehler ist in der Zeile "Probably caused by" angegeben. Wenn Sie
Glück haben, sehen Sie hier schon den Dateinamen des Bösewichtes.

Geben Sie jetzt

!analyze -v

für eine ausführlichere Analyse ein (sie können auch einfach auf den Link
klicken).

Sie finden nun weitere Hinweise. Keine Angst, die wenigsten werden das im
Detail genau interpretieren können. Aber Sie erhalten mit Sicherheit Hinweise
für die weitere Recherche, z.B.:

APC_INDEX_MISMATCH (1)
This is a kernel internal error. The most common reason to see this
bugcheck is when a filesystem or a driver has a mismatched number of
calls to disable and re-enable APCs. The key data item is the
Thread->KernelApcDisable field. A negative value indicates that a driver
has disabled APC calls without re-enabling them. A positive value indicates
that the reverse is true. This check is made on exit from a system call.

Viel Erfolg!

 

Du willst meine Arbeit unterstützen? Dann freue ich mich über eine kleine Spende!

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert