- PR -

Windows2003 CoreDump解析(KeWaitForSingleObject)

1
投稿者投稿内容
shigure
会議室デビュー日: 2008/04/29
投稿数: 2
投稿日時: 2008-04-29 22:20
お世話になります。
下記サーバにて再起動が発生し、CoreDumpしました。
------------------------
OS:WindowsServer2003 SE SP1
Server:HP ML350G5
CPU:Xeon 5130 DC 2.00GHz
Memory:4GB
------------------------

IMLをみたところASRが発生し再起動したようです。
dumpファイルをデバッグしたところ(デバッグログは下方にあります。)
ntkrnlmp.exeが原因(?)のようです。

ntkrnlmp.exe がマルチプロセッサ用カーネルだというのはわかりましたが、
KeWaitForSingleObject が何なのかまだ調べ切れておらず、
私もWindowsのデバッグが初めてなのでWindowsカーネルには精通しておらず、ちょっと困っています。
#土曜に再起動したのでblue screenの画面見れていません。
なお、再起動後、デバイスマネージャー上の全デバイスは正常に認識されています。


KeWaitForSingleObjectが何であるのかご存知の方、過去に遭遇したことのある方、
原因等わかりましたら教えてください。


■以下、analyze -v の結果です。

2: kd> !analyze -v
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

IRQL_NOT_LESS_OR_EQUAL (a)
An attempt was made to access a pageable (or completely invalid) address at an
interrupt request level (IRQL) that is too high. This is usually
caused by drivers using improper addresses.
If a kernel debugger is available get the stack backtrace.
Arguments:
Arg1: 00000000, memory referenced
Arg2: 0000001b, IRQL
Arg3: 00000001, bitfield :
bit 0 : value 0 = read operation, 1 = write operation
bit 3 : value 0 = not an execute operation, 1 = execute operation (only on chips which support this level of status)
Arg4: 8083f112, address which referenced memory

Debugging Details:
------------------


WRITE_ADDRESS: 00000000

CURRENT_IRQL: 1b

FAULTING_IP:
nt!KeWaitForSingleObject+24f
8083f112 8919 mov dword ptr [ecx],ebx

DEFAULT_BUCKET_ID: DRIVER_FAULT

BUGCHECK_STR: 0xA

PROCESS_NAME: System

TRAP_FRAME: b7c36b30 -- (.trap 0xffffffffb7c36b30)
ErrCode = 00000002
eax=86000108 ebx=86bc9e58 ecx=00000000 edx=86000100 esi=86bc9db0 edi=86bc9e28
eip=8083f112 esp=b7c36ba4 ebp=b7c36be4 iopl=0 nv up ei ng nz na pe cy
cs=0008 ss=0010 ds=0023 es=0023 fs=0030 gs=0000 efl=00010287
nt!KeWaitForSingleObject+0x24f:
8083f112 8919 mov dword ptr [ecx],ebx ds:0023:00000000=????????
Resetting default scope

LAST_CONTROL_TRANSFER: from 8083f112 to 80837ed5

STACK_TEXT:
b7c36b30 8083f112 badb0d00 86000100 8083f78d nt!KiTrap0E+0x2a7
b7c36be4 808412ab 86000100 0000001b 00000000 nt!KeWaitForSingleObject+0x24f
b7c36c1c 80841266 00000000 efb9d9a8 852ff570 nt!ExpWaitForResource+0x30
b7c36c3c f721b438 8642ab08 852ff501 b7c36c70 nt!ExAcquireResourceExclusiveLite+0x8d
b7c36c4c f724d3dc 852ff570 efb9d9a8 852ff501 Ntfs!NtfsAcquireResourceExclusive+0x20
b7c36c70 f72474b7 852ff501 efb9d9a8 00000000 Ntfs!NtfsAcquireExclusiveFcb+0x42
b7c36cec f7249f67 852ff570 efb9da70 efb9d9a8 Ntfs!NtfsCommonClose+0x8a
b7c36d80 8083f72e 00000000 00000000 86bc9db0 Ntfs!NtfsFspClose+0xe2
b7c36dac 8092ccff 00000000 00000000 00000000 nt!ExpWorkerThread+0xeb
b7c36ddc 80841a96 8083f671 80000000 00000000 nt!PspSystemThreadStartup+0x2e
00000000 00000000 00000000 00000000 00000000 nt!KiThreadStartup+0x16


STACK_COMMAND: kb

FOLLOWUP_IP:
nt!KeWaitForSingleObject+24f
8083f112 8919 mov dword ptr [ecx],ebx

SYMBOL_STACK_INDEX: 1

SYMBOL_NAME: nt!KeWaitForSingleObject+24f

FOLLOWUP_NAME: MachineOwner

MODULE_NAME: nt

IMAGE_NAME: ntkrnlmp.exe

DEBUG_FLR_IMAGE_TIMESTAMP: 42435e60

FAILURE_BUCKET_ID: 0xA_W_nt!KeWaitForSingleObject+24f

BUCKET_ID: 0xA_W_nt!KeWaitForSingleObject+24f

Followup: MachineOwner
---------

■以下、Windowsのイベントログです。

このコンピュータはバグチェック後、再起動されました。バグチェック: 0x0000000a (0x00000000, 0x0000001b, 0x00000001, 0x8083f112) ダンプが保存されました: C:\WINDOWS\MEMORY.DMP
unibon
ぬし
会議室デビュー日: 2002/08/22
投稿数: 1532
お住まい・勤務地: 美人谷        良回答(20pt)
投稿日時: 2008-04-29 22:58
引用:

shigureさんの書き込み (2008-04-29 22:20) より:
IMLをみたところASRが発生し再起動したようです。

引用:

shigureさんの書き込み (2008-04-29 22:20) より:
IRQL_NOT_LESS_OR_EQUAL (a)
An attempt was made to access a pageable (or completely invalid) address at an
interrupt request level (IRQL) that is too high. This is usually
caused by drivers using improper addresses.
If a kernel debugger is available get the stack backtrace.

引用:

shigureさんの書き込み (2008-04-29 22:20) より:
TRAP_FRAME: b7c36b30 -- (.trap 0xffffffffb7c36b30)
ErrCode = 00000002
eax=86000108 ebx=86bc9e58 ecx=00000000 edx=86000100 esi=86bc9db0 edi=86bc9e28
eip=8083f112 esp=b7c36ba4 ebp=b7c36be4 iopl=0 nv up ei ng nz na pe cy
cs=0008 ss=0010 ds=0023 es=0023 fs=0030 gs=0000 efl=00010287
nt!KeWaitForSingleObject+0x24f:
8083f112 8919 mov dword ptr [ecx],ebx ds:0023:00000000=????????
Resetting default scope

私は IML や ASR という用語は知らないのですが、Windows NT の昔から、落ちたときに IRQL_NOT_LESS_OR_EQUAL のように、IRQ などハードウェアっぽいものが現れたら、メモリーなどハードウェアの故障である可能性が高いと考えます。

KeWaitForSingleObject という API も良くは知りませんが、名称からしてなにか「待ち」に入るものであり、待っている期間があってその期間中にたまたまハードウェア割り込みなどに関連するエラーが発生しただけであり、KeWaitForSingleObject 自体の問題ではないように思います。

私だったら、ハードウェアの診断プログラムなどを動かして様子をみます。
トラブル解析に時間やお金がかかるようであり、それを回避したいならば、ハードウェア一式を取り替えてみる手もあります。(個人的には好きではありませんが。)
shigure
会議室デビュー日: 2008/04/29
投稿数: 2
投稿日時: 2008-05-19 11:31
unibonさん

有難う御座います。
返信遅くなりすいません。

まずSWの問題かHWの問題か切り分けるためにHWのdiagをかける必要がありますが、
開発サーバのためなかなか停止調整ができないでいます。
それ以降HWエラーやリセットも発生していないことですので、少し様子を見ることにします。


ちなみに、以下参考までに。
IML(Integrated Management Log):hpのProLiant製品群におけるHWログです。
ASR(Automatic System Reset):チップからSWに対し死活監視を行い、一定時間応答がない場合hangしたものと見做しリセットさせる機能です。この機能はhp製品に限りません。
みなと
大ベテラン
会議室デビュー日: 2002/06/14
投稿数: 202
お住まい・勤務地: Q州地方の日本海側
投稿日時: 2008-05-22 16:43
こんにちは。
遅レスですが。。
引用:

shigureさんの書き込み (2008-05-19 11:31) より:
ちなみに、以下参考までに。
IML(Integrated Management Log):hpのProLiant製品群におけるHWログです。
ASR(Automatic System Reset):チップからSWに対し死活監視を行い、一定時間応答がない場合hangしたものと見做しリセットさせる機能です。この機能はhp製品に限りません。


ASR(これはwatch dog timerのことだと思う)が
こいつが、動作してdumpを吐くよう指示をだしたっぽい
のであれば(HWログから)ntkrnlmp.exeをkickしたんだと
思います。
だから、dump上はntkrnlmp.exeなんじゃないですかね。

わかんないですけど、メーカやベンダにたずねた方がいいのではないでしょうか?

#開発サーバなら誰かがkernel空間までとめるような何かをした?(笑)
ちゃっぴ
ぬし
会議室デビュー日: 2004/12/10
投稿数: 873
投稿日時: 2008-05-22 18:49
一般的には driver の問題だと思いますけどね。

Stop IRQL_NOT_LESS_OR_EQUAL (0xA) エラー発生後のシステムのデバッグ方法 なんてまさにという感じのものがありますが、こちらは確認されたんですよね?
1

スキルアップ/キャリアアップ(JOB@IT)