salleo 10 Geschrieben 12. September 2005 Melden Teilen Geschrieben 12. September 2005 hallo Bekomme alle 30 minuten einen blue screen worin die fehlermeldung POOL_HEADER_ERROR auftaucht die maschiene startet dann automatisch neu. Es ist ein hp server und ich benutze windows server 2003 (terminalserver) mit allen updates ( auch vor den updates verhielt sich der server so) Ereignistyp: Fehler Ereignisquelle: System Error Ereigniskategorie: (102) Ereigniskennung: 1003 Datum: 12.09.2005 Zeit: 10:46:37 Benutzer: Nicht zutreffend Computer: MILBZTS02 Beschreibung: Fehlercode 00000019, 1. Parameter 00000020, 2. Parameter 890a5700, 3. Parameter 890a5818, 4. Parameter 0a230004. Weitere Informationen über die Hilfe- und Supportdienste erhalten Sie unter http://go.microsoft.com/fwlink/events.asp. Daten: 0000: 53 79 73 74 65 6d 20 45 System E 0008: 72 72 6f 72 20 20 45 72 rror Er 0010: 72 6f 72 20 63 6f 64 65 ror code 0018: 20 30 30 30 30 30 30 31 0000001 0020: 39 20 20 50 61 72 61 6d 9 Param 0028: 65 74 65 72 73 20 30 30 eters 00 0030: 30 30 30 30 32 30 2c 20 000020, 0038: 38 39 30 61 35 37 30 30 890a5700 0040: 2c 20 38 39 30 61 35 38 , 890a58 0048: 31 38 2c 20 30 61 32 33 18, 0a23 0050: 30 30 30 34 0004 ich bin mir nicht sicher, aber dies passiert wahrscheinlich nur wenn sich ein bestimmter user anmeldet. ist dies möglich? bitte euch um hilfe bin verzweifelt. danke salleo Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 12. September 2005 Melden Teilen Geschrieben 12. September 2005 Wie ist die Nummer des Bluescreen (0x00...)? Schau mal ob du hier fündig wirst: http://www.eventid.net/display.asp?eventid=1003+ Zitieren Link zu diesem Kommentar
salleo 10 Geschrieben 12. September 2005 Autor Melden Teilen Geschrieben 12. September 2005 danke leider kann ich hier nichts finden was mir weiterhilft Zitieren Link zu diesem Kommentar
lextor 10 Geschrieben 12. September 2005 Melden Teilen Geschrieben 12. September 2005 Es gibt ein paar einträge dazu in Google; wenn du die underlines bei bad pool header weglässt und 1003 dazu eingibst. Ansonsten mal versuchen einen dump file zu erzeugen (kein Minidump) und auszuwerten. Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 12. September 2005 Melden Teilen Geschrieben 12. September 2005 Was ist dem Fehler denn vorausgegangen? Konfigurationsänderungen, Installationen, etc. Zitieren Link zu diesem Kommentar
salleo 10 Geschrieben 12. September 2005 Autor Melden Teilen Geschrieben 12. September 2005 hallo Leider wurde keine änderung gemacht. vor 2 monaten wurde das sp1 eingespielt aber seitdem wurde keine änderung gemacht Zitieren Link zu diesem Kommentar
morio 10 Geschrieben 12. September 2005 Melden Teilen Geschrieben 12. September 2005 Der 1003 ist nicht sonderlich spezifisch. Den hatt eich schon aus verschiendenen Gründen. Am effektivsten dürfte es sein, ein Dump (Meist reicht ein Mini-Dump) zu erstellen und dieses dann mittels Debuuger und Symbols zu debuggen. Infos und die Tools von MS bekommst du hier . In den meisten Fällen ist ein Aufruf einer Prozedur die es nicht gibt, od die die gewünschte Funktuion nicht unterstützt der Auslöser. Die Gründe hierfür sind sehr vielfältig. Grüße morio Zitieren Link zu diesem Kommentar
salleo 10 Geschrieben 12. September 2005 Autor Melden Teilen Geschrieben 12. September 2005 werde es sofort ausprobieren danke inzwischen für die infos Zitieren Link zu diesem Kommentar
salleo 10 Geschrieben 12. September 2005 Autor Melden Teilen Geschrieben 12. September 2005 frage: ich bin zu XXXXX um das file zu analysieren. darf ich es bitte anhängen und kann mir bitte dies dann jemand analysieren. danke Zitieren Link zu diesem Kommentar
Dr.Melzer 191 Geschrieben 12. September 2005 Melden Teilen Geschrieben 12. September 2005 Wenn es nicht zu groß ist kannst du es anhängen. P.S. Wenn du einen Bluscreen hast werden auch alle Treiber aufgelistet die zu dem Zeitpunkt geladen waren, vielleicht gibt dir das einen Hinweis. Was ist mit der Fehlernummer des Bluescreen? Zitieren Link zu diesem Kommentar
salleo 10 Geschrieben 12. September 2005 Autor Melden Teilen Geschrieben 12. September 2005 danke im anhang der mini-dump Mini091205-06.zip Zitieren Link zu diesem Kommentar
salleo 10 Geschrieben 12. September 2005 Autor Melden Teilen Geschrieben 12. September 2005 hallo habe versucht mit Debugging Tools for Windows das file auszulesen aber verstehe sogut wie garnichts kann mir bitte jemand behilflich sein? 1000end dank Zitieren Link zu diesem Kommentar
morio 10 Geschrieben 12. September 2005 Melden Teilen Geschrieben 12. September 2005 Kar doch. :) Hast du dir den Debugger und die Symbols für das zu analysierende System (Achtunbg auf das SP-Level achten) heruntergeladen und installiert? Ich gehe jetzt einfach mal davon aus. Als erstes muß der Pfad zu den Symbols gesetzt werden. File -> Symbols Path -> C:\Windows\Sysmbols [Default]) oder CTRL + S Als nächstes mußt du deinen Dump öffnen. File -> Open Crash Dump (CTRL + D) als nächstes wird dann ein Dump geöffnet und ein COMMAND Fenster öffnet sich. Darin sollte dann das Dump mit den Symbols geladen werden. Das dürfte dann in etwas so aussehen: Loading Dump File [D:\WINDOWS\Minidump\Mini011605-01.dmp] Mini Kernel Dump File: Only registers and stack trace are available Symbol search path is: D:\WINDOWS\Symbols Executable search path is: Unable to load image ntoskrnl.exe, Win32 error 2 *** WARNING: Unable to verify timestamp for ntoskrnl.exe Windows XP Kernel Version 2600 (Service Pack 1) UP Free x86 compatible Product: WinNt, suite: TerminalServer SingleUserTS Kernel base = 0x804d4000 PsLoadedModuleList = 0x80543530 Debug session time: Sun Jan 16 05:35:03.924 2005 (GMT+2) System Uptime: 1 days 20:04:47.632 Unable to load image ntoskrnl.exe, Win32 error 2 *** WARNING: Unable to verify timestamp for ntoskrnl.exe Loading Kernel Symbols .................................................................................................................................................................. Loading unloaded module list ...................... Loading User Symbols ******************************************************************************* * * * Bugcheck Analysis * * * ******************************************************************************* Use !analyze -v to get detailed debugging information. BugCheck A, {0, 2, 0, 805004f6} Probably caused by : ntoskrnl.exe ( nt!RtlpRunTable+8e ) Followup: MachineOwner --------- Als nächstes gibst du !analyze -v ein. Und dann müsste sowas bei raus kommen: ******************************************************************************* * * * Bugcheck Analysis * * * ******************************************************************************* IRQL_NOT_LESS_OR_EQUAL (a) An attempt was made to access a pageable (or completely invalid) address at an interrupt request level (IRQL) that is too high. This is usually caused by drivers using improper addresses. If a kernel debugger is available get the stack backtrace. Arguments: Arg1: 00000000, memory referenced Arg2: 00000002, IRQL Arg3: 00000000, value 0 = read operation, 1 = write operation Arg4: 805004f6, address which referenced memory Debugging Details: ------------------ : : : SYMBOL_NAME: nt!RtlpRunTable+8e MODULE_NAME: nt IMAGE_NAME: ntoskrnl.exe DEBUG_FLR_IMAGE_TIMESTAMP: 3ea80977 FAILURE_BUCKET_ID: 0xA_nt!RtlpRunTable+8e BUCKET_ID: 0xA_nt!RtlpRunTable+8e Followup: MachineOwner poste mir bitte deinen Dump. Dann sehen wir weiter :) Grüße morio Zitieren Link zu diesem Kommentar
salleo 10 Geschrieben 13. September 2005 Autor Melden Teilen Geschrieben 13. September 2005 Hi hallo danke für deine antwort. bei den symbols verstehe ich nicht ganz welche ich hernehmen soll da er mir immer sagt, dass diese falsch sind und ich hoffte mal es funktionierte trotzdem. dies ist das was mir rauskommt aber ich verstehe eigentlich nicht was das heissen soll. 0: kd> !analyze -v ************** * * Bugcheck Analysis * ************** BAD_POOL_HEADER (19) The pool is already corrupt at the time of the current request. This may or may not be due to the caller. The internal pool links must be walked to figure out a possible cause of the problem, and then special pool applied to the suspect tags or the driver verifier to a suspect driver. Arguments: Arg1: 00000020, a pool block header size is corrupt. Arg2: 890a5700, The pool entry we were looking for within the page. Arg3: 890a5818, The next pool entry. Arg4: 0a230004, (reserved) Debugging Details: ------------------ ***** Kernel symbols are WRONG. Please fix symbols to do analysis. ******** ** ** Your debugger is not using the correct symbols ** ** In order for this command to work properly, your symbol path ** must point to .pdb files that have full type information. ** ** Certain .pdb files (such as the public OS symbols) do not ** contain the required information. Contact the group that ** provided you with these symbols if you need this command to ** work. ** ** Type referenced: nt!_KPRCB ** ******************************************************************** * * Your debugger is not using the correct symbols * * In order for this command to work properly, your symbol path * must point to .pdb files that have full type information. * * Certain .pdb files (such as the public OS symbols) do not * contain the required information. Contact the group that * provided you with these symbols if you need this command to * work. * * Type referenced: nt!_KPRCB * *** FAULTING_MODULE: 80800000 nt DEBUG_FLR_IMAGE_TIMESTAMP: 40bdaf1c BUGCHECK_STR: 0x19_20 POOL_ADDRESS: unable to get nt!MmSpecialPoolStart unable to get nt!MmSpecialPoolEnd unable to get nt!MmPoolCodeStart unable to get nt!MmPoolCodeEnd 890a5700 CUSTOMER_CRASH_COUNT: 6 DEFAULT_BUCKET_ID: DRIVER_FAULT_SERVER_MINIDUMP LAST_CONTROL_TRANSFER: from 8089c8f4 to 8087b6be STACK_TEXT: WARNING: Stack unwind information not available. Following frames may be wrong. ba61bac4 8089c8f4 00000019 00000020 890a5700 nt+0x7b6be ba61bb2c 8089c622 890a5708 00000000 89245028 nt+0x9c8f4 ba61bb3c f751c1ac 890a5708 89f845c8 89159258 nt+0x9c622 ba61bb40 890a5708 89f845c8 89159258 ba61bb88 appguard+0x51ac ba61bb44 89f845c8 89159258 ba61bb88 00000004 0x890a5708 ba61bb48 89159258 ba61bb88 00000004 f751c0a1 0x89f845c8 ba61bb4c ba61bb88 00000004 f751c0a1 f751e078 0x89159258 ba61bb50 00000000 f751c0a1 f751e078 89159358 0xba61bb88 FOLLOWUP_IP: appguard+51ac f751c1ac ?? ??? SYMBOL_STACK_INDEX: 3 FOLLOWUP_NAME: MachineOwner SYMBOL_NAME: appguard+51ac MODULE_NAME: appguard IMAGE_NAME: appguard.sys STACK_COMMAND: kb BUCKET_ID: WRONG_SYMBOLS Followup: MachineOwner --------- danke salleo Zitieren Link zu diesem Kommentar
morio 10 Geschrieben 13. September 2005 Melden Teilen Geschrieben 13. September 2005 Hi, du benötigst genau die Symbols Version, die deinem Patchlevel entspricht. Hast W2k Server mit SP4, dann benötigst du auch die Symbols für SP4. Soweit ich gesehen habe, verurscht die Treiberdatei APPGUARD.SYS den Crash. Diese versucht einen Speicher-Pool zu reservieren, auf den es keinen Zugriff hat. Such doch nach der Datei und siehe in den Eigenschaften unter Version nach, zu welchem Modul diese gehört. Aktualisiere den Treiber. Ich vermute mal, daß ein älterer Treiber (z. B. für NT 4.0) eingesetzt wird. Grüße morio Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.