2K3 - Server Absurz wegen überfüllten nonpaged pool

[Nils85]

Hallo,

ich habe das Problem, das in unregelmäßigen Abständen alle 2-3 Tage der Server in einen Bluescreen fährt und neugestartet werden muss. Im Eventlog findet sich folgende Meldung

Event Type: Error
Event Source: Srv
Event Category: None
Event ID: 2019
Date: 4/10/2008
Time: 11:26:18 AM
User: N/A
Computer: XXXXXXXXXXX
Description:
The server was unable to allocate from the system nonpaged pool because the pool was empty.

For more information, see Help and Support Center at Events and Errors Message Center: Basic Search.
Data:
0000: 00040000 00540001 00000000 c00007e3
0010: 00000000 c000009a 00000000 00000000
0020: 00000000 00000000 00000003

Ich hatte ein kleines Script geschrieben, das mittels procmon die pool Auslastung überwacht. Folgendes interessantes lässt sich 5 Min vor dem Absturz dort finden:

Code:

 Tag  Type     Allocs         Frees    Diff   Bytes    Per Alloc    Mapped_Driver

 AfdE Nonp     391645    255512    136133 38117240        280        [afd.sys      -     Afd endpoint structure]
 AfdX Paged    391600    255483    136117 38112760        280        [afd.sys      -     Afd context buffer]
 File Nonp   35234708  35082060    152648 23251360        152        [<unknown>    - File objects]

weitere 10 Minuten vorher sind die 3 am meisten verbrauchenden Prozesse

Code:

 Tag  Type     Allocs         Frees    Diff   Bytes    Per Alloc    Mapped_Driver

 MmSt Paged    230009    220568      9441 15611352       1653        [nt!mm        - Mm section object prototype ptes]
 NtfF Paged   1128427   1122605      5822 5449392        936        [ntfs.sys     -     FCB_INDEX]
 MmCm Nonp      59737     58708      1029 4449800       4324        [nt!mm        - Calls made to MmAllocateContiguousMemory]
 UlHT Paged         1         0         1 4198400     4198400        [http.sys     - Hash Table]

Der Verbrauch ist also durch die afd.sys innerhalb kurzer Zeit extrem gestiegen und ist meiner Meinung nach für den Absturz verantwortlich.

Leider findet sich nichts wirklich hilfreiches zu diesem Problem im Internet, daher meine Hoffnung, das eventuell hier schon jemand Erfahrungen mit dem Problem gemacht hat.

Microsoft (R) Windows (R) 5.02. 3790 Service Pack 2 Multiprocessor Free. läuft auf der Kiste.

mfg

Nils

[Velius]

Doch doch, im I-net gibt's schon was zu: Server is unable to allocate memory from the system paged pool

Details zu afd.sys: afd.sys Windows process - What is it?


cheers
Velius

[Nils85]

Hi,

danke für die Link, die Funktion des Prozess ist mir schon klar Und das man die Grenze des Noonpage Pool's nach oben setzten kann auch, bringt nur leider nicht viel wenn er sich selbst nach setzen der neuen Grenze wieder vollfrisst :/

mfg

Nils

[Velius]

Na wenn du die Funktion des Prozesses und des Reg-Eintrag kennst (BTW: ist nicht der maximal Wert des Pools), dann müsste ja klar sein dass die adf.sys den Speicher nicht voll fressen sollte ohne Speicherseiten wieder frei zu geben.

Der Rest ist Analyse - was ist installiert, usw.

[Velius]

Übrigens, der Bluescreen Code fehlt. Fahr mal den Server mit F8 und 'Automatisch neustarten deaktivieren' oder so hoch.

Siehe hier: The Afd.sys file triggers a "Stop 0x000000D1" error on a Windows Server 2003-based computer


Mehr Infos please!

[Nils85]

Ja der % Wert wo Speicher wieder frei gegeben wird xD

Auf dem Server laufen Empirum zur Software Verteilung, ArcServer zur Sicherung, Trend Micro Office Scan, Rsync Server, NS Client für Nagios.

Er ist Member in einem größeren AD, wodurch ein Neustart ohne weiteres nicht möglich ist xD

Danke soweit

Bye Nils

[Velius]

Wenn ich so das I-Net durchforste könnte es auch 'ne Syn-Flood Attacke auf den Server sein: How To: Harden the TCP/IP Stack

[Nils85]

Er ist von außen nicht erreichbar, sondern nur per VPN.

[Velius]

Der Syn-Flood kann auch von "innen" kommen

Könnte aber auch 'ne schelcht programmierte Anwendung sein, die Schwellwerte nicht beachtet, usw.. Die afd.sys kann dann nix für, versucht nur ihren Job zu machen und geht dann in die Knie.


Das der Bluescreen stehen bleibt kannst du auch unter
systemsteuerung -> system -> erweitert -> starten und wiederherstellen -> automatisch neustarten durchführen -> hacken raus
einstellen. Die Änderung ist im Gegensatz zu F8 Methode permanent.

[Nils85]

Meine 2 Vermutung ging in Richtung

File Nonp 35234708 35082060 152648 23251360 152 [<unknown> - File objects]

Nur sieht man daraus leider nicht wirklich, was es sein könnte.

Permanenter Bluescreen ist übrigens eingestellt nur bringt es leider nichts, da der Server nicht vor Ort ist und das Ilo Board leider etwas "rumspackt" wodurch ich nicht auf die Remote Console komme.

Kann der Memory Manager denn Prozesse dazu zwingen den Speicher freizugeben, oder kann es auch vorkommen, das diese den Speicher nicht freigeben können ?

Hab leider in diese Richtung hin leider noch nicht so die Erfahrung.

Danke soweit

Bye Nils