处理过程
从事件日志来看,机器近期有一次蓝屏行为(2021/9/12 8:34),7月也有一次,比较旧了,也为0x50。但由于c盘下没有足够大的剩余空间,pagefile配置没有成功,只有一个minidump,信息较少。
====dump 分析====
// bugcheck 为0x50,意为访问到一个无效内存地址,callstck解析信息量很少,看到有一个三方安全驱动nxup_ext_a有相关动作,且该驱动版本也比较旧了,建议做升级操作。另外一份dump是7月份的,比较旧了,callstack与此类似,也没有太多信息,涉及到的三方驱动为fltsrv,版本为2017年,建议先对这两个驱动进行升级,再做进一步观察。
dump info
============================================
dump name: 091221-57890-01.dmp
windows 8.1 kernel version 9600 mp (64 procs) free x64
product: server, suite: terminalserver singleuserts
built by: 9600.19678.amd64fre.winblue_ltsb_escrow.200330-1737
kernel base = 0xfffff801`e6c78000 psloadedmodulelist = 0xfffff801`e6f3d5f0
debug session time: sun sep 12 08:27:04.004 2021 (utc + 8:00)
system uptime: 53 days 23:47:30.527
。。。。。。。。。。
。。。。。
。。。
。。
。
硬件日志详细分析如下:(收集到带外日志的2台均一致)
1.sel日志中记录到9月22日有系统未知原因复位,复位前无硬件异常告警:
2.fdm日志为空,排除硬件存在uce等引发系统复位可能性:
3.操作日志无相关记录,排除对设备进行复位等操作引发系统复位可能性:
4.硬件日志未发现异常,微软反馈的nxup的驱动是多路径的,建议找存储的看看。fltsrv这个也不是华为硬件提供的驱动,建议找对应驱动厂家看看。
根据微软反馈的分析结论,可能与以下驱动模块相关,其中nxup_ext_a.sys这个驱动是华为多路径的,建议可以让存储那边看看。
fltsrv.sys这个驱动也不是服务器这边提供的,建议客户找到对应的驱动厂家看看。
建议:
1.升级驱动nxup_ext_a.sys和fltsrv.sys 后,进一步观察。
2.由于minidump信息量过少,请参考如下步骤配置kernel dump(pagefile 为20g),等待下次蓝屏发生:
以管理员身份打开命令提示符依次运行如下命令:
reg add hklm/system/currentcontrolset/control/session manager/memory management /v pagingfiles /t reg_multi_sz /d c:/pagefile.sys 20480 20480 /f
reg add hklm/system/currentcontrolset/control/crashcontrol /v dumpfile /t reg_expand_sz /d c:/windows/memory.dmp /f
reg add hklm/system/currentcontrolset/control/crashcontrol /v crashdumpenabled /t reg_dword /d 2 /f
reg add hklm/system/currentcontrolset/control/crashcontrol /v autoreboot /t reg_dword /d 1 /f
重启服务器配置生效。
注:确保c盘剩余空间大于2倍pagingfile大小。
解决方案
硬件日志未发现异常,微软反馈的nxup的驱动是多路径的,建议找存储的看看。fltsrv这个也不是华为硬件提供的驱动,建议找对应驱动厂家看看。
根据微软反馈的分析结论,可能与以下驱动模块相关,其中nxup_ext_a.sys这个驱动是华为多路径的,建议可以让存储那边看看。
fltsrv.sys这个驱动也不是服务器这边提供的,建议客户找到对应的驱动厂家看看。
建议:
1.升级驱动nxup_ext_a.sys和fltsrv.sys 后,进一步观察。
2.由于minidump信息量过少,请参考如下步骤配置kernel dump(pagefile 为20g),等待下次蓝屏发生:
以管理员身份打开命令提示符依次运行如下命令:
reg add hklm/system/currentcontrolset/control/session manager/memory management /v pagingfiles /t reg_multi_sz /d c:/pagefile.sys 20480 20480 /f
reg add hklm/system/currentcontrolset/control/crashcontrol /v dumpfile /t reg_expand_sz /d c:/windows/memory.dmp /f
reg add hklm/system/currentcontrolset/control/crashcontrol /v crashdumpenabled /t reg_dword /d 2 /f
reg add hklm/system/currentcontrolset/control/crashcontrol /v autoreboot /t reg_dword /d 1 /f
重启服务器配置生效。
注:确保c盘剩余空间大于2倍pagingfile大小。