Toon posts:

[2008] Random reboots. "The previous system shutdown at"

Pagina: 1
Acties:

donderdag 15 oktober 2009 15:42

Acties:
  • Farrell
  • Registratie: Januari 2004
  • Laatst online: 07:26

Farrell

Topicstarter
Sinds 30 september heeft onze server last van "reboots". Hoe dit veroorzaakt wordt is mij een compleet raadsel.

Server: Dell PowerEdge 2950
OS: Windows Server 2008 Standard x86

De eventlog ziet er als volgt uit:
The previous system shutdown at 14:48:44 on 15-10-2009
The previous system shutdown at 2:25:44 on 13-10-2009
The previous system shutdown at 14:58:38 on 11-10-2009
The previous system shutdown at 21:49:09 on 7-10-2009
The previous system shutdown at 20:16:35 on 5-10-2009
The previous system shutdown at 12:21:11 on 5-10-2009
The previous system shutdown at 16:04:20 on 1-10-2009
The previous system shutdown at 14:33:00 on 30-9-2009

Nu komt er bij elke keer dat het systeem weer herstart is een bugcheck event:
The computer has rebooted from a bugcheck.
The bugcheck was: 0x0000007e (0xc0000005, 0xffd00d5f, 0x9d4d7c00, 0x9d4d78fc).
The bugcheck was: 0x0000007e (0xc0000005, 0xffd00d5f, 0x9a479c00, 0x9a4798fc).
The bugcheck was: 0x0000007e (0xc0000005, 0xffd00d5f, 0x9b7c9c00, 0x9b7c98fc).
The bugcheck was: 0x0000007e (0xc0000005, 0xffd00d5f, 0x9a03cc00, 0x9a03c8fc).
The bugcheck was: 0x0000007e (0xc0000005, 0xffd00d5f, 0x9bcdbc00, 0x9bcdb8fc).
The bugcheck was: 0x0000007e (0xc0000005, 0xffd00d5f, 0x9a0e1c00, 0x9a0e18fc).
The bugcheck was: 0x0000007e (0xc0000005, 0xffd00d5f, 0x9ba9ac00, 0x9ba9a8fc).
The bugcheck was: 0x0000007e (0xc0000005, 0xffd00d5f, 0x9b60fc00, 0x9b60f8fc).

De server heb ik even twee uur 'offline' gezet, om te testen. Nu heb ik de diagnostic tool van DELL gedraaid. Zowel de extended, de basic en de custom test zijn met succes voltooit. De hardware is dus één keer getest met de diagnostic tool.

Als ik zoek op 0x0000007e + 0xc0000005 krijg ik zoveel uiteenlopende oorzaken, wat niet van toepassing is bij onze server. De server wordt alleen gebruikt om een remote desktop omgeving te creeren die enkel één programma opstart (start the following program at logon).

Iemand enig idee wat te doen?

- Farrell

donderdag 15 oktober 2009 15:47

Acties:
  • TheRookie
  • Registratie: December 2001
  • Niet online

TheRookie

Nu met R1200RT

Is er op 30 september (of vlak ervoor) misschien een (Windows) update geïnstalleerd, of is er op de 30e gereboot waardoor een eerder geïnstalleerde update 'actief' geworden is ?

donderdag 15 oktober 2009 15:50

Acties:

Verwijderd

Ja check je windows updates vanaf die dag...kijk in je eventlogs of je iets vreemds ziet rond die datum...
Hij moet ook ergens een dumpfile wegschrijven die je weer uitkunt lezen met een progje wat je vanaf MS site kunt downloaden.
Als je die dump uitleest zie je waarom ie reboot of wat er fout is iig....
dan weet je de oorzaak

donderdag 15 oktober 2009 15:51

Acties:

Verwijderd

Als ik zoek op 0x0000007e + 0xc0000005 krijg ik zoveel uiteenlopende oorzaken, wat niet van toepassing is bij onze server
Hoe weet je dat zo zeker?
De beste manier om dit te troubleshooten is om de debugging tools op je memory.dmp file los te laten.

donderdag 15 oktober 2009 16:11

Acties:
  • Farrell
  • Registratie: Januari 2004
  • Laatst online: 07:26

Farrell

Topicstarter
TheRookie schreef op donderdag 15 oktober 2009 @ 15:47:
Is er op 30 september (of vlak ervoor) misschien een (Windows) update geïnstalleerd, of is er op de 30e gereboot waardoor een eerder geïnstalleerde update 'actief' geworden is ?
Laatst geinstalleerde windows update is van 31-8-2009.
Security Update for Microsoft .NET Framework 2.0 Service Pack 2 (KB972594)
Update to .NET Framework 3.5 Service Pack 1 for the .NET Framework Assistant 1.0 x86 (KB963707)
Update for Windows Server 2008 (KB957388)

Ik weet alleen niet wanneer dat ie daarna is herstart is, dus wanneer dat de updates actief zijn geworden.
Verwijderd schreef op donderdag 15 oktober 2009 @ 15:50:
kijk in je eventlogs of je iets vreemds ziet rond die datum...
Hij moet ook ergens een dumpfile wegschrijven die je weer uitkunt lezen met een progje wat je vanaf MS site kunt downloaden.
Als je die dump uitleest zie je waarom ie reboot of wat er fout is iig....
dan weet je de oorzaak
Ik heb in de eventlogs gekeken en kan verders niks vreemds zien rond die datum. Ook geen terugkomend patroon. Soms is er zelfs een "gat" met logs rond de rebootdatum, dus dat er ff geen eventlogs zijn.
Ik ga dat progje even downloaden vanaf de MS site en kijken wat daaruit komt.

Bedankt in ieder geval alvast :)

vrijdag 16 oktober 2009 16:08

Acties:

Verwijderd

Ok, raar, ook al geschecked op spyware oid???
laat maar weten wat de uitkomst is van het uitlezen van je dumpfile

vrijdag 16 oktober 2009 16:12

Acties:
  • FireDrunk
  • Registratie: November 2002
  • Laatst online: 18:55

FireDrunk

Welke (exacte) moederbord en processor combinatie zit er in? Er zijn bugs bekend met intel borden en intel processoren die niet helemaal compatible zijn onder 2008...

(Er is ergens een experts-exchange topic)

Even niets...

vrijdag 16 oktober 2009 16:13

Acties:

Verwijderd

Verwijderd schreef op vrijdag 16 oktober 2009 @ 16:08:
Ok, raar, ook al geschecked op spyware oid???
laat maar weten wat de uitkomst is van het uitlezen van je dumpfile
spyware op een server? Ik mag toch hopen van niet.

zaterdag 17 oktober 2009 14:15

Acties:
  • flashback1989
  • Registratie: Augustus 2005
  • Laatst online: 01-02 23:27

flashback1989

Onderstaand progamma analyseert automatisch je dump

http://www.resplendence.com/whocrashed

zaterdag 17 oktober 2009 19:41

Acties:
  • Zwelgje
  • Registratie: November 2000
  • Laatst online: 20-01 19:37

Zwelgje

Verwijderd schreef op vrijdag 16 oktober 2009 @ 16:13:
[...]

spyware op een server? Ik mag toch hopen van niet.
De server wordt alleen gebruikt om een remote desktop omgeving te creeren die enkel één programma opstart (start the following program at logon).

zou me niks verbazen :)

@ts: mischien is dit iets :? After the Terminal Services mirror driver is disconnected from a Windows Server 2008-based or Windows Vista-based remote computer, you receive a Stop error on the remote computer: "Stop 0x0000007E SYSTEM_THREAD_EXCEPTION_NOT_HANDLED"
en
Stop error message on a computer that is running Windows Vista or Windows Server 2008: "STOP: 0x0000007F"

dat laatste artikel is van 25 september....

[ Voor 44% gewijzigd door Zwelgje op 17-10-2009 19:52 ]

A wise man's life is based around fuck you

maandag 19 oktober 2009 17:05

Acties:
  • Farrell
  • Registratie: Januari 2004
  • Laatst online: 07:26

Farrell

Topicstarter
thijs_cramer schreef op vrijdag 16 oktober 2009 @ 16:12:
Welke (exacte) moederbord en processor combinatie zit er in? Er zijn bugs bekend met intel borden en intel processoren die niet helemaal compatible zijn onder 2008...

(Er is ergens een experts-exchange topic)
Moederbord
Dell Inc.
Model: 0H603H A00
Chipset: Intel 5000x rev. 12
Southbridge: Intel 6321ESB

CPU
Intel Xeon E5420
Family 6 Model 7Stepping 6
Ext. Family 6 Ext. Model 17Revision C0
Powershell schreef op zaterdag 17 oktober 2009 @ 19:41:
[...]
De server wordt alleen gebruikt om een remote desktop omgeving te creeren die enkel één programma opstart (start the following program at logon).

zou me niks verbazen :)
Programma wat wordt opgestart is een programma, welke geen toegang verleent met het internet. Spyware lijkt me dan ook uitgesloten, omdat het een eigen applicatie is zonder browser mogelijkheden en of email mogelijkheden.

Verder probeer ik morgen de dumpfile uit te lezen, maar krijg vooralsnog alleen meldingen dat de symbols niet herkent worden. Al zijn deze wel geïnstalleerd en toegewezen volgens dit artikel. Ik post de uitkomst van de filedump zodra ik die heb.

Ook ga ik service pack 2 nog installeren, of is dit nu niet aan te raden?

Weer bedankt allemaal voor de reacties d:)b

maandag 19 oktober 2009 17:10

Acties:

Verwijderd

je kan beter gewoon de Microsoft symbol server gebruiken ipv de symbols te downloaden. Meer info hier:
http://www.microsoft.com/...bugging/debugstart.mspx#a

dinsdag 20 oktober 2009 11:18

Acties:
  • Farrell
  • Registratie: Januari 2004
  • Laatst online: 07:26

Farrell

Topicstarter
Verwijderd schreef op maandag 19 oktober 2009 @ 17:10:
je kan beter gewoon de Microsoft symbol server gebruiken ipv de symbols te downloaden. Meer info hier:
http://www.microsoft.com/...bugging/debugstart.mspx#a
Thanks :)

Zie hieronder de uitkomst:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13

*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************

Use !analyze -v to get detailed debugging information.

BugCheck 7E, {c0000005, ffd00d5f, 9d4d7c00, 9d4d78fc}

Probably caused by : srv2.sys ( srv2!SrvConsumeDataAndComplete2+35e )

Followup: MachineOwner


En de gedetailleerde uitkomst:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100

*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************

SYSTEM_THREAD_EXCEPTION_NOT_HANDLED (7e)
This is a very common bugcheck.  Usually the exception address pinpoints
the driver/function that caused the problem.  Always note this address
as well as the link date of the driver/image that contains this address.
Arguments:
Arg1: c0000005, The exception code that was not handled
Arg2: ffd00d5f, The address that the exception occurred at
Arg3: 9d4d7c00, Exception Record Address
Arg4: 9d4d78fc, Context Record Address

Debugging Details:
------------------


EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - De instructie op 0x%08lx verwijst naar geheugen op 0x%08lx. Een lees- of schrijfbewerking op het geheugen is mislukt: %s.

FAULTING_IP: 
+16
ffd00d5f 00900d100028    add     byte ptr [eax+2800100Dh],dl

EXCEPTION_RECORD:  9d4d7c00 -- (.exr 0xffffffff9d4d7c00)
ExceptionAddress: ffd00d5f
   ExceptionCode: c0000005 (Access violation)
  ExceptionFlags: 00000000
NumberParameters: 2
   Parameter[0]: 00000001
   Parameter[1]: 27d01d16
Attempt to write to address 27d01d16

CONTEXT:  9d4d78fc -- (.cxr 0xffffffff9d4d78fc)
eax=ffd00d09 ebx=00000000 ecx=00000000 edx=000185e8 esi=88832268 edi=00000000
eip=ffd00d5f esp=9d4d7cc8 ebp=9d4d7ce8 iopl=0         nv up ei pl nz na pe nc
cs=0008  ss=0010  ds=0023  es=0023  fs=0030  gs=0000             efl=00010206
ffd00d5f 00900d100028    add     byte ptr [eax+2800100Dh],dl ds:0023:27d01d16=??
Resetting default scope

DEFAULT_BUCKET_ID:  VISTA_DRIVER_FAULT

PROCESS_NAME:  System

CURRENT_IRQL:  0

ERROR_CODE: (NTSTATUS) 0xc0000005 - De instructie op 0x%08lx verwijst naar geheugen op 0x%08lx. Een lees- of schrijfbewerking op het geheugen is mislukt: %s.

EXCEPTION_PARAMETER1:  00000001

EXCEPTION_PARAMETER2:  27d01d16

WRITE_ADDRESS:  27d01d16 

FOLLOWUP_IP: 
srv2!SrvConsumeDataAndComplete2+35e
9cd3996f 5f              pop     edi

FAILED_INSTRUCTION_ADDRESS: 
+61b8952f0373ddb8
ffd00d5f 00900d100028    add     byte ptr [eax+2800100Dh],dl

BUGCHECK_STR:  0x7E

LAST_CONTROL_TRANSFER:  from 9cd3996f to ffd00d5f

STACK_TEXT:  
WARNING: Frame IP not in any known module. Following frames may be wrong.
9d4d7ce8 9cd3996f 88832268 00000000 00000001 0xffd00d5f
9d4d7d10 9cd39997 3fffffb4 9d4d7d34 9cd38ae2 srv2!SrvConsumeDataAndComplete2+0x35e
9d4d7d1c 9cd38ae2 88832268 88832268 9cd36601 srv2!SrvConsumeDataAndComplete+0x1c
9d4d7d34 9cd38ab4 88832268 00000000 9cd36601 srv2!SrvProcCompleteRequest+0x23
9d4d7d50 9cd3719f 88aca008 00000000 878ee818 srv2!SrvProcessPacket+0x88
9d4d7d7c 81e18b18 00000000 27ae3778 00000000 srv2!SrvProcWorkerThread+0x19a
9d4d7dc0 81c71a2e 9cd37005 878f1ee0 00000000 nt!PspSystemThreadStartup+0x9d
00000000 00000000 00000000 00000000 00000000 nt!KiThreadStartup+0x16


SYMBOL_STACK_INDEX:  1

SYMBOL_NAME:  srv2!SrvConsumeDataAndComplete2+35e

FOLLOWUP_NAME:  MachineOwner

MODULE_NAME: srv2

IMAGE_NAME:  srv2.sys

DEBUG_FLR_IMAGE_TIMESTAMP:  47918aaa

STACK_COMMAND:  .cxr 0xffffffff9d4d78fc ; kb

FAILURE_BUCKET_ID:  0x7E_BAD_IP_srv2!SrvConsumeDataAndComplete2+35e

BUCKET_ID:  0x7E_BAD_IP_srv2!SrvConsumeDataAndComplete2+35e

Followup: MachineOwner
---------


Het geheugen of de geheugenbank is dus stuk?

maandag 2 november 2009 12:26

Acties:
  • Farrell
  • Registratie: Januari 2004
  • Laatst online: 07:26

Farrell

Topicstarter
Het is alweer een tijdje geleden dat de server zichzelf rebootte, maar het afgelopen weekend is het weer twee keer voorgekomen. De volgende info komt uit het WhoCrashed report, na het analyseren van een MEMORY.dmp

This was likely caused by the following module: srv2.sys
Bugcheck code: 0x7E (0xC0000005, 0xFFD00D5F, 0x9A17DC00, 0x9A17D8FC)
Error: SYSTEM_THREAD_EXCEPTION_NOT_HANDLED
file path: C:\Windows\system32\drivers\srv2.sys
product: Microsoft® Windows® Operating System
company: Microsoft Corporation
description: Smb 2.0 Server driver
The crash took place in a standard Microsoft module. Likely the culprit is another driver on your system which cannot be identified.

This was likely caused by the following module: ntkrnlpa.exe
Bugcheck code: 0x9F (0x3, 0x84266030, 0x85B32030, 0x85953510)
Error: DRIVER_POWER_STATE_FAILURE
file path: C:\Windows\system32\ntkrnlpa.exe
product: Microsoft® Windows® Operating System
company: Microsoft Corporation
description: NT Kernel & System
The crash took place in a standard Microsoft module. Likely the culprit is another driver on your system which cannot be identified.

En dit zegt de WinDbg tool van microsoft:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116

*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************

Use !analyze -v to get detailed debugging information.

BugCheck 7E, {c0000005, ffd00d5f, 9a17dc00, 9a17d8fc}

Probably caused by : srv2.sys ( srv2!SrvConsumeDataAndComplete2+35e )

Followup: MachineOwner
---------

2: kd> !analyze -v
*******************************************************************************
*                                                                             *
*                        Bugcheck Analysis                                    *
*                                                                             *
*******************************************************************************

SYSTEM_THREAD_EXCEPTION_NOT_HANDLED (7e)
This is a very common bugcheck.  Usually the exception address pinpoints
the driver/function that caused the problem.  Always note this address
as well as the link date of the driver/image that contains this address.
Arguments:
Arg1: c0000005, The exception code that was not handled
Arg2: ffd00d5f, The address that the exception occurred at
Arg3: 9a17dc00, Exception Record Address
Arg4: 9a17d8fc, Context Record Address

Debugging Details:
------------------


EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - De instructie op 0x%08lx verwijst naar geheugen op 0x%08lx. Een lees- of schrijfbewerking op het geheugen is mislukt: %s.

FAULTING_IP: 
+16
ffd00d5f 00900d100028    add     byte ptr [eax+2800100Dh],dl

EXCEPTION_RECORD:  9a17dc00 -- (.exr 0xffffffff9a17dc00)
ExceptionAddress: ffd00d5f
   ExceptionCode: c0000005 (Access violation)
  ExceptionFlags: 00000000
NumberParameters: 2
   Parameter[0]: 00000001
   Parameter[1]: 27d01d16
Attempt to write to address 27d01d16

CONTEXT:  9a17d8fc -- (.cxr 0xffffffff9a17d8fc)
eax=ffd00d09 ebx=00000000 ecx=00000000 edx=00019c6b esi=8aa9f168 edi=00000000
eip=ffd00d5f esp=9a17dcc8 ebp=9a17dce8 iopl=0         nv up ei pl nz na po nc
cs=0008  ss=0010  ds=0023  es=0023  fs=0030  gs=0000             efl=00010202
ffd00d5f 00900d100028    add     byte ptr [eax+2800100Dh],dl ds:0023:27d01d16=??
Resetting default scope

DEFAULT_BUCKET_ID:  VISTA_DRIVER_FAULT

PROCESS_NAME:  System

CURRENT_IRQL:  0

ERROR_CODE: (NTSTATUS) 0xc0000005 - De instructie op 0x%08lx verwijst naar geheugen op 0x%08lx. Een lees- of schrijfbewerking op het geheugen is mislukt: %s.

EXCEPTION_PARAMETER1:  00000001

EXCEPTION_PARAMETER2:  27d01d16

WRITE_ADDRESS:  27d01d16 

FOLLOWUP_IP: 
srv2!SrvConsumeDataAndComplete2+35e
9cf3996f 5f              pop     edi

FAILED_INSTRUCTION_ADDRESS: 
+6429952f032edc2c
ffd00d5f 00900d100028    add     byte ptr [eax+2800100Dh],dl

BUGCHECK_STR:  0x7E

LAST_CONTROL_TRANSFER:  from 9cf3996f to ffd00d5f

STACK_TEXT:  
WARNING: Frame IP not in any known module. Following frames may be wrong.
9a17dce8 9cf3996f 8aa9f168 00000000 00000001 0xffd00d5f
9a17dd10 9cf39997 3fffffb4 9a17dd34 9cf38ae2 srv2!SrvConsumeDataAndComplete2+0x35e
9a17dd1c 9cf38ae2 8aa9f168 8aa9f168 9cf36601 srv2!SrvConsumeDataAndComplete+0x1c
9a17dd34 9cf38ab4 8aa9f168 00000000 9cf36601 srv2!SrvProcCompleteRequest+0x23
9a17dd50 9cf3719f 8aa5e960 00000000 878f8570 srv2!SrvProcessPacket+0x88
9a17dd7c 81e0eb18 00000000 eb4260ed 00000000 srv2!SrvProcWorkerThread+0x19a
9a17ddc0 81c67a2e 9cf37005 878eeba0 00000000 nt!PspSystemThreadStartup+0x9d
00000000 00000000 00000000 00000000 00000000 nt!KiThreadStartup+0x16


SYMBOL_STACK_INDEX:  1

SYMBOL_NAME:  srv2!SrvConsumeDataAndComplete2+35e

FOLLOWUP_NAME:  MachineOwner

MODULE_NAME: srv2

IMAGE_NAME:  srv2.sys

DEBUG_FLR_IMAGE_TIMESTAMP:  47918aaa

STACK_COMMAND:  .cxr 0xffffffff9a17d8fc ; kb

FAILURE_BUCKET_ID:  0x7E_BAD_IP_srv2!SrvConsumeDataAndComplete2+35e

BUCKET_ID:  0x7E_BAD_IP_srv2!SrvConsumeDataAndComplete2+35e

Followup: MachineOwner
---------


Wat zou er mis kunnen zijn?

[ Voor 64% gewijzigd door Farrell op 02-11-2009 12:29 ]

maandag 2 november 2009 13:16

Acties:
  • eRRoR.InSiDe
  • Registratie: September 2001
  • Laatst online: 23-01 09:21

eRRoR.InSiDe

http://community.norton.c..._feedback&thread.id=72032

Lijkt er wel erg op...
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq