Erweiterte Problembehandlung bei Abbruchfehlern oder Bluescreen-Fehlern
Testen Sie unseren Virtual Agent – Er kann Ihnen helfen, häufige Windows-Startprobleme schnell zu erkennen und zu beheben
Notiz
Wenn Sie kein Support-Agent oder keine IT-Spezialistin bzw. kein IT-Spezialist sind, finden Sie unter Problembehandlung bei Bluescreens weitere hilfreiche Informationen zu Abbruchfehlermeldungen („Bluescreen“).
Gilt für: Unterstützte Versionen von Windows Server und Windows Client
Was sind die Ursachen für Abbruchfehler?
Wenn Windows auf eine Situation stößt, die den sicheren Betrieb des Systems gefährdet, wird das System heruntergefahren. Beispiele hierfür sind Fehler, die die Sicherheit gefährden oder zu einer Beschädigung des Betriebssystems und/oder der Benutzerdaten führen können. Wenn der Computer heruntergefahren wird, um zu verhindern, dass das Betriebssystem unter diesen Bedingungen weiterläuft, wird dies als Fehlerüberprüfung (Bug-Check) bezeichnet. Er wird auch als Systemabsturz, Kernelfehler, Bluescreen, BSOD (blue screen of death) oder Abbruchfehler bezeichnet. Bei Preview-Versionen von Windows kann die Bildschirmfarbe grün sein, was zu einem GSOD (green screen of death) führt.
Es gibt keine einfache Erklärung für die Ursache von Abbruchfehlern. Viele verschiedene Faktoren können eine Rolle spielen. Unsere Analyse der Absturzursachen zeigt:
- 70 % werden durch Treibercode von Drittanbietern verursacht.
- 10 % werden durch Hardwareprobleme verursacht.
- 5 % werden durch Microsoft-Code verursacht.
- 15 % haben unbekannte Ursachen, da der Speicher zu beschädigt für eine Analyse ist.
Notiz
Die Ursache für einen Abbruchfehler ist selten ein Prozess im Benutzermodus. Obwohl ein Prozess im Benutzermodus (z. B. Editor oder Slack) einen Abbruchfehler verursachen kann, ist das zugrunde liegende Problem in der Regel ein Treiber-, Hardware- oder Betriebssystemproblem.
Allgemeine Schritte zur Problembehandlung
Führen Sie die folgenden allgemeinen Schritte aus, um Abbruchfehlermeldungen zu beheben:
Überprüfen Sie den Abbruchfehlercode in den Ereignisprotokollen. Suchen Sie online nach spezifischen Abbruchfehlercodes, um zu sehen, ob es bekannte Probleme, Lösungen oder Workarounds für das Problem gibt.
Stellen Sie sicher, dass Sie die neuesten Windows-Updates, kumulativen Updates und Rollup-Updates installieren. Informationen zur Überprüfung des Aktualisierungsstatus finden Sie in der entsprechenden Aktualisierungshistorie für Ihr System. Zum Beispiel:
Stellen Sie sicher, dass BIOS und Firmware auf dem neuesten Stand sind.
Führen Sie alle relevanten Hardware- und Arbeitsspeichertests aus.
Führen Sie den Microsoft Safety Scanner oder ein anderes Virenerkennungsprogramm aus, das den MBR auf Infektionen überprüft.
Vergewissern Sie sich, dass genügend freier Speicherplatz auf der Festplatte vorhanden ist. Die genauen Anforderungen variieren, wir empfehlen jedoch 10-15 % freien Speicherplatz.
Wenden Sie sich an den jeweiligen Hardware- oder Softwareanbieter, um die Treiber und Anwendungen in den folgenden Szenarien zu aktualisieren:
- Die Fehlermeldung gibt an, dass ein bestimmter Treiber das Problem verursacht.
- Sie sehen einen Hinweis auf einen Dienst, der gestartet oder beendet wurde, bevor der Fehler auftrat. Stellen Sie in diesem Fall fest, ob das Verhalten des Dienstes für alle Instanzen des Fehlers konsistent ist.
- Sie haben Änderungen an der Software oder Hardware vorgenommen.
Notiz
Wenn von einem bestimmten Hersteller keine Updates verfügbar sind, empfehlen wir, den entsprechenden Dienst zu deaktivieren.
Weitere Informationen finden Sie unter: Windows sauber starten.
Sie können einen Treiber deaktivieren, indem Sie die Schritte unter Vorübergehendes Deaktivieren des Kernelmodusfiltertreibers in Windows ausführen.
Sie können auch die Option zum Zurücksetzen auf den letzten bekannten Betriebszustand in Betracht ziehen. Weitere Informationen finden Sie unter Zurücksetzen eines Gerätetreibers auf eine frühere Version.
Speicherabbildsammlung
Führen Sie die folgenden Schritte aus, um die Speicherabbilddatei zu erfassen:
- Wählen Sie das Suchfeld in der Taskleiste, geben Sie Erweiterte Systemeinstellungen ein und drücken Sie die Eingabetaste.
- Wählen Sie auf der Registerkarte Erweitert in der Box Systemeigenschaften die Schaltfläche Einstellungen, die im Abschnitt Start und Wiederherstellung erscheint.
- Wählen Sie im neuen Fenster das Dropdownmenü unter der Option Debugginginformationen schreiben.
- Wählen Sie Automatisches Speicherabbild.
- Wählen Sie OK aus.
- Starten Sie den Computer neu, damit die Änderungen wirksam werden.
- Wenn der Server virtualisiert ist, deaktivieren Sie den automatischen Neustart, nachdem die Speicherabbilddatei erstellt wurde. Durch diese Deaktivierung können Sie eine Momentaufnahme des Serverzustands erstellen und auch, wenn das Problem erneut auftritt.
Die Speicherabbilddatei wird an folgenden Speicherorten gespeichert:
Speicherabbilddateityp | Location |
---|---|
(none) | %SystemRoot%\MEMORY.DMP (inaktiv oder abgeblendt) |
Kleine Speicherabbilddatei (256 kb) | %SystemRoot%\Minidump |
Kernel-Speicherabbilddatei | %SystemRoot%\MEMORY.DMP |
Komplette Speicherabbilddatei | %SystemRoot%\MEMORY.DMP |
Automatische Speicherabbilddatei | %SystemRoot%\MEMORY.DMP |
Aktive Speicherabbilddatei | %SystemRoot%\MEMORY.DMP |
Mit dem Tool „Microsoft Crash Dump File Checker“ (DumpChk) können Sie überprüfen, ob die Absturzabbilddateien nicht beschädigt oder ungültig sind. Weitere Informationen finden Sie im folgenden Video:
Weitere Informationen zur Verwendung von Dumpchk.exe zur Überprüfung Ihrer Speicherabbilddateien finden Sie in den folgenden Artikeln:
Auslagerungsdatei-Einstellungen
Weitere Informationen zu den Einstellungen für die Auslagerungsdatei finden Sie in den folgenden Artikeln:
- Einführung in Auslagerungsdateien
- Vorgehensweise: Bestimmen der geeigneten Auslagerungsdateigröße für 64-Bit-Versionen von Windows
- Generieren eines Kernel- oder eines vollständigen Speicherabbilds
Speicherabbild-Analyse
Die Ursache für den Absturz zu finden, ist nicht immer einfach. Hardwareprobleme sind besonders schwierig zu diagnostizieren, da sie ein unregelmäßiges und unvorhersehbares Verhalten verursachen können, das sich in verschiedenen Symptomen äußern kann.
Wenn ein Abbruchfehler auftritt, ist es ratsam, zunächst die problematischen Komponenten zu isolieren und dann zu versuchen, den Abbruchfehler erneut auszulösen. Wenn Sie das Problem reproduzieren können, können Sie in der Regel die Ursache finden.
Sie können Tools wie das „Windows Software Development Kit (SDK)“ und Symbole verwenden, um Protokolle für Speicherabbilddateien zu diagnostizieren. Im nächsten Abschnitt wird die Verwendung dieses Tools erläutert.
Erweiterte Problembehandlungsschritte
Notiz
Die erweiterte Problembehandlung von Absturzabbilddateien kann sehr schwierig sein, wenn Sie keine Erfahrung mit der Programmierung und den internen Mechanismen von Windows haben. Im Folgenden wird ein kurzer Überblick über einige der angewandten Techniken mit einigen Beispielen gegeben. Um jedoch bei der Problembehandlung in einer Absturzabbilddatei wirklich effektiv zu sein, sollten Sie sich mit fortgeschrittenen Debuggingtechniken vertraut machen. Eine Videoübersicht finden Sie unter Debugging von Kernelmodusabstürzen und -Hängern. Nähere Informationen finden Sie auch in den folgenden erweiterten Referenzen.
Erweiterte Debugging-Referenzen
Debuggingschritte
Stellen Sie sicher, dass der Computer so konfiguriert ist, dass bei einem Absturz eine vollständige Speicherabbilddatei erstellt wird. Weitere Informationen finden Sie unter Methode 1: Speicherabbild.
Suchen Sie die Datei memory.dmp in Ihrem Windows-Verzeichnis auf dem abgestürzten Computer und kopieren Sie diese Datei auf einen anderen Computer.
Laden Sie auf dem anderen Computer das Windows 10 SDK herunter.
Starten Sie die Installation und wählen Sie Debugging Tools für Windows. Das Tool „WinDbg“ wird installiert.
Öffnen Sie das Menü Datei und wählen Sie Symbolpfad, um das Tool „WinDbg“ zu öffnen und den Symbolpfad festzulegen.
- Wenn der Computer mit dem Internet verbunden ist, geben Sie den Öffentlichen Microsoft-Symbolserver:
https://msdl.microsoft.com/download/symbols
ein und wählen Sie OK. Diese Methode wird empfohlen. - Wenn der Computer nicht mit dem Internet verbunden ist, geben Sie einen lokalen Symbolpfad an.
- Wenn der Computer mit dem Internet verbunden ist, geben Sie den Öffentlichen Microsoft-Symbolserver:
Wählen Sie Absturzabbild öffnen und öffnen Sie die kopierte Datei memory.dmp.
Wählen Sie unter Fehleranalyse die Option
!analyze -v
. In der Eingabeaufforderung unten auf der Seite wird der Befehl!analyze -v
eingegeben.Eine detaillierte Fehleranalyse wird angezeigt.
Blättern Sie nach unten zum Abschnitt STACK_TEXT. Dort finden Sie eine Reihe von Zahlen, gefolgt von einem Doppelpunkt und etwas Text. Dieser Text sollte Ihnen sagen, welche DLL den Absturz verursacht. Gegebenenfalls wird auch angegeben, welcher Dienst die DLL zum Absturz bringt.
Weitere Informationen zur Interpretation der STACK_TEXT-Ausgabe finden Sie unter Verwendung der !analyze-Erweiterung.
Es gibt viele mögliche Ursachen für eine Fehlerprüfung und jeder Fall ist einzigartig. Im obigen Beispiel sind die wichtigen Zeilen, die im STACK_TEXT identifiziert werden können, 20, 21 und 22:
Notiz
HEX-Daten sind hier entfernt und die Zeilen sind der Übersichtlichkeit halber nummeriert.
1 : nt!KeBugCheckEx
2 : nt!PspCatchCriticalBreak+0xff
3 : nt!PspTerminateAllThreads+0x1134cf
4 : nt!PspTerminateProcess+0xe0
5 : nt!NtTerminateProcess+0xa9
6 : nt!KiSystemServiceCopyEnd+0x13
7 : nt!KiServiceLinkage
8 : nt!KiDispatchException+0x1107fe
9 : nt!KiFastFailDispatch+0xe4
10 : nt!KiRaiseSecurityCheckFailure+0x3d3
11 : ntdll!RtlpHpFreeWithExceptionProtection$filt$0+0x44
12 : ntdll!_C_specific_handler+0x96
13 : ntdll!RtlpExecuteHandlerForException+0xd
14 : ntdll!RtlDispatchException+0x358
15 : ntdll!KiUserExceptionDispatch+0x2e
16 : ntdll!RtlpHpVsContextFree+0x11e
17 : ntdll!RtlpHpFreeHeap+0x48c
18 : ntdll!RtlpHpFreeWithExceptionProtection+0xda
19 : ntdll!RtlFreeHeap+0x24a
20 : FWPolicyIOMgr!FwBinariesFree+0xa7c2
21 : mpssvc!FwMoneisDiagEdpPolicyUpdate+0x1584f
22 : mpssvc!FwEdpMonUpdate+0x6c
23 : ntdll!RtlpWnfWalkUserSubscriptionList+0x29b
24 : ntdll!RtlpWnfProcessCurrentDescriptor+0x105
25 : ntdll!RtlpWnfNotificationThread+0x80
26 : ntdll!TppExecuteWaitCallback+0xe1
27 : ntdll!TppWorkerThread+0x8d0
28 : KERNEL32!BaseThreadInitThunk+0x14
29 : ntdll!RtlUserThreadStart+0x21
Dieses Problem ist auf den mpssvc-Dienst zurückzuführen, der Teil der Windows-Firewall ist. Das Problem wurde durch vorübergehendes Deaktivieren der Firewall und anschließendes Zurücksetzen der Firewall-Richtlinien behoben.
Weitere Beispiele finden Sie unter Beispiele für das Debuggen.
Videoressourcen
In den folgenden Videos werden verschiedene Techniken zur Problembehandlung bei der Analyse von Abbilddateien veranschaulicht.
- Analysieren der Abbilddateien
- Installieren des Debugging-Tools für Windows (x64 und x86)
- Debuggen von Absturzabbilddateien im Kernelmodus
- Spezieller Pool
Erweiterte Problembehandlung mit Driver Verifier
Wir schätzen, dass etwa 75 Prozent aller Abbruchfehler durch fehlerhafte Treiber verursacht werden. Der „Driver Verifier“ bietet mehrere Methoden zur Problembehandlung. Dazu gehören die Ausführung von Treibern in einem isolierten Speicherpool (ohne gemeinsame Speichernutzung mit anderen Komponenten), die Erzeugung von extremem Speicherdruck und die Validierung von Parametern. Wenn das Tool bei der Ausführung des Treibercodes auf Fehler stößt, erzeugt es proaktiv eine Ausnahme. Es kann dann diesen Teil des Codes weiter untersuchen.
Warnung
Der „Driver Verifier“ verbraucht viel CPU-Leistung und kann den Computer erheblich verlangsamen. Es kann auch zu weiteren Abstürzen kommen. Der „Driver Verifier“ deaktiviert fehlerhafte Treiber nach dem Auftreten eines Abbruchfehlers und tut dies so lange, bis Sie das System erfolgreich neu starten und auf den Desktop zugreifen können. Sie können auch erwarten, dass mehrere Speicherabbilddateien erstellt werden.
Versuchen Sie nicht, alle Treiber auf einmal zu überprüfen. Dies kann die Leistung beeinträchtigen und das System unbrauchbar machen. Es schränkt auch die Effektivität des Tools ein.
Beachten Sie die folgenden Richtlinien, wenn Sie den „Driver Verifier“ verwenden:
- Überprüfen Sie alle „verdächtigen“ Treiber. Zum Beispiel Treiber, die kürzlich aktualisiert wurden oder von denen bekannt ist, dass sie Probleme verursachen.
- Wenn Sie immer noch nicht analysierbare Abstürze haben, versuchen Sie, die Überprüfung für alle nicht signierten Treiber von Drittanbietern zu aktivieren.
- Aktivieren Sie die gleichzeitige Überprüfung für Gruppen von 10 bis 20 Treibern.
- Wenn der Computer aufgrund des „Driver Verifier“ nicht in den Desktop starten kann, können Sie das Tool deaktivieren, indem Sie den Computer im abgesicherten Modus starten. Dies ist notwendig, da das Tool im abgesicherten Modus nicht ausgeführt werden kann.
Weitere Informationen finden Sie unter Treiberüberprüfung.
Häufige Abbruchfehler in Windows
Dieser Abschnitt enthält keine Liste aller Fehlercodes, aber da viele Fehlercodes die gleichen möglichen Lösungen haben, ist es am besten, wenn Sie die folgenden Schritte zur Problembehandlung befolgen. Eine vollständige Liste der Abbruchfehlercodes finden Sie unter Liste mit Fehlerüberprüfungscodes.
In den folgenden Abschnitten werden allgemeine Verfahren zur Problembehandlung für häufig auftretende Abbruchfehlercodes beschrieben.
VIDEO_ENGINE_TIMEOUT_DETECTED oder VIDEO_TDR_TIMEOUT_DETECTED
Abbruchfehlercode: 0x00000141 oder 0x00000117
Wenden Sie sich an den Lieferanten des aufgelisteten Bildschirmtreibers, um ein Update für diesen Treiber zu erhalten.
DRIVER_IRQL_NOT_LESS_OR_EQUAL
Abbruchfehlercode: 0x0000000D1
Wenden Sie die neuesten Treiberupdates an, indem Sie die neuesten kumulativen Updates für das System von der Microsoft Update-Katalog-Website installieren. Aktualisieren Sie einen veralteten Netzwerktreiber. Auf virtualisierten VMware-Systemen läuft häufig „Intel(R) PRO/1000 MT Network Connection“ (e1g6032e.sys). Sie können diesen Treiber von der Intel Download-Seite für Treiber und Software herunterladen. Wenden Sie sich an den Hardwarelieferanten, um den Netzwerktreiber zu aktualisieren und eine Lösung zu finden. Verwenden Sie für VMware-Systeme den integrierten VMware-Netzwerktreiber anstelle von Intels e1g6032e.sys. Sie können beispielsweise die VMware-Treiber VMXNET, VMXNET2 oder VMXNET3 verwenden.
PAGE_FAULT_IN_NONPAGED_AREA
Abbruchfehlercode: 0x000000050
Wenn in der Abbruchfehlermeldung ein Treiber aufgeführt ist, wenden Sie sich an den Hersteller, um ein Update zu erhalten. Wenn kein Update verfügbar ist, deaktivieren Sie den Treiber und überprüfen Sie die Systemstabilität. Führen Sie chkdsk /f /r
aus, um Festplattenfehler zu erkennen und zu beheben. Starten Sie das System neu, bevor Sie die Festplattenüberprüfung auf einer Systempartition starten. Wenden Sie sich an den Hersteller, wenn Sie Diagnosewerkzeuge für das Festplattensubsystem benötigen. Versuchen Sie, alle Anwendungen oder Dienste, die kürzlich installiert oder aktualisiert wurden, neu zu installieren. Möglicherweise wurde der Absturz ausgelöst, während das System Anwendungen startete und die Registry nach Präferenzen durchsuchte. Eine Neuinstallation der Anwendung kann beschädigte Registrierungsschlüssel reparieren. Wenn das Problem weiterhin besteht und Sie eine aktuelle Sicherung des Systemstatus durchgeführt haben, versuchen Sie, die Registrierungsstrukturen aus der Sicherung wiederherzustellen.
SYSTEM_SERVICE_EXCEPTION
Abbruchfehlercode: c000021a {Schwerer Systemfehler} Der Windows-Subsystem-Systemprozess wurde unerwartet mit dem Status „0xc0000005“ beendet. Das System wurde heruntergefahren.
Verwenden des Systemdatei-Überprüfungsprogramms (SFC.exe) zur Problembehandlung bei fehlenden oder beschädigten Systemdateien Das Systemdatei-Überprüfungsprogramm ermöglicht die Suche nach beschädigten Windows-Systemdateien und die Wiederherstellung beschädigter Dateien. Weitere Informationen finden Sie unter Verwenden des Systemdatei-Überprüfungsprogramms.
NTFS_FILE_SYSTEM
Abbruchfehlercode: 0x000000024
Dieser Abbruchfehler wird in der Regel durch eine Beschädigung des NTFS-Dateisystems oder durch fehlerhafte Blöcke (Sektoren) auf der Festplatte verursacht. Auch beschädigte Treiber für Festplatten (SATA oder IDE) können die Lese- und Schreibfähigkeit des Systems beeinträchtigen. Führen Sie alle vom Hersteller des Speichersubsystems angebotenen Hardwarediagnosen durch. Überprüfen Sie mit dem Festplattenscan-Tool, dass keine Dateisystemfehler vorliegen. Klicken Sie dazu mit der rechten Maustaste auf das zu prüfende Laufwerk, wählen Sie „Eigenschaften“, „Extras“ und dann die Schaltfläche „Jetzt prüfen“. Aktualisieren Sie den NTFS-Dateisystemtreiber (Ntfs.sys). Wenden Sie die neuesten kumulativen Updates für das aktuelle Betriebssystem an, bei dem das Problem auftritt.
KMODE_EXCEPTION_NOT_HANDLED
Abbruchfehlercode: 0x0000001E
Wenn ein Treiber in der Abbruchfehlermeldung identifiziert wird, deaktivieren oder entfernen Sie diesen Treiber. Deaktivieren oder entfernen Sie alle Treiber oder Dienste, die vor Kurzem hinzugefügt wurden.
Wenn der Fehler während des Startvorgangs auftritt und die Systempartition mit dem NTFS-Dateisystem formatiert ist, können Sie den Treiber möglicherweise im abgesicherten Modus im Geräte-Manager deaktivieren. Um den Treiber zu deaktivieren, gehen Sie folgendermaßen vor:
- Wechseln Sie zu Einstellungen>Update und Sicherheit>Wiederherstellung.
- Wählen Sie unter Erweiterter Start die Option Jetzt neu starten aus.
- Nachdem Ihr PC neu gestartet und der Bildschirm Option auswählen angezeigt wird, wählen Sie Problembehandlung>Erweiterte Optionen>Starteinstellungen>Neustart aus.
- Nachdem der Computer neu gestartet wurde, wird eine Liste mit Optionen angezeigt. Drücken Sie 4 oder F4, um den Computer im abgesicherten Modus zu starten. Wenn Sie das Internet im abgesicherten Modus nutzen möchten, drücken Sie 5 oder F5 für die Option Abgesicherter Modus mit Netzwerken.
DPC_WATCHDOG_VIOLATION
Abbruchfehlercode: 0x00000133
Dieser Abbruchfehlercode ist die Folge eines fehlerhaften Treibers, der unter bestimmten Bedingungen seine Arbeit nicht innerhalb der vorgegebenen Zeit abschließen kann. Um diesen Fehler zu beheben, erfassen Sie die Speicherabbilddatei des Systems und verwenden Sie dann den Windows-Debugger, um den fehlerhaften Treiber zu finden. Wenn ein Treiber in der Abbruchfehlermeldung identifiziert wird, deaktivieren Sie den Treiber, um das Problem zu isolieren. Wenden Sie sich an den Hersteller, um Treiberupdates zu erhalten. Überprüfen Sie das Systemprotokoll in der Ereignisanzeige auf weitere Fehlermeldungen, die Ihnen helfen können, das Gerät oder den Treiber zu identifizieren, der den Abbruchfehler „0x133“ verursacht. Überprüfen Sie, ob die neu installierte Hardware mit der installierten Windows-Version kompatibel ist. Informationen zur benötigten Hardware finden Sie beispielsweise unter Windows 10-Spezifikationen. Wenn der Windows-Debugger installiert ist und Sie Zugriff auf öffentliche Symbole haben, können Sie die Datei c:\windows\memory.dmp in den Debugger laden. Schauen Sie dann unter Bestimmen der Ursache des Bug-Check-Fehlers 0x133 (DPC_WATCHDOG_VIOLATION) unter Windows Server 2012 nach, um den problematischen Treiber aus dem der Speicherabbilddatei zu finden.
USER_MODE_HEALTH_MONITOR
Abbruchfehlercode: 0x0000009E
Dieser Abbruchfehler zeigt an, dass eine Integritätsprüfung im Benutzermodus in einer Weise fehlgeschlagen ist, die ein ordnungsgemäßes Herunterfahren verhindert. Windows stellt kritische Dienste durch einen Neustart wieder her oder aktiviert Failover für Anwendungen auf anderen Servern. Der Clusteringdienst verfügt über einen Erkennungsmechanismus, der das Nicht-Reagieren von Komponenten im Benutzermodus erkennen kann.
Dieser Abbruchfehler tritt normalerweise in einer Cluster-Umgebung auf, und als fehlerhafter Treiber wird RHS.exe angezeigt. Überprüfen Sie die Ereignisprotokolle auf Speicherausfälle, um den fehlerhaften Prozess zu identifizieren. Versuchen Sie, die in den Ereignisprotokollen angegebene Komponente oder den Prozess zu aktualisieren. Das folgende Ereignis sollte angezeigt werden:
- Ereignis-ID: 4870
- Quelle: Microsoft-Windows-FailoverClustering
- Beschreibung: Die Integritätsprüfung im Benutzermodus hat festgestellt, dass das System nicht mehr reagiert. Der virtuelle Failovercluster-Adapter hat den Kontakt zum Cluster Server Prozess mit der Prozess-ID „%1“ für „%2“ Sekunden verloren. Wiederherstellungsmaßnahmen werden durchgeführt. Überprüfen Sie die Clusterprotokolle, um den Prozess zu identifizieren und zu untersuchen, welche Elemente dazu führen können, dass der Prozess hängen bleibt.
Weitere Informationen finden Sie unter „0x0000009E“-Abbruchfehler auf Clusterknoten in einer Windows Server-basierten Failovercluster-Umgebung mit mehreren Knoten. Weitere Informationen finden Sie im folgenden Microsoft-Video Was tun, wenn ein 9E auftritt.
Beispiele zum Debuggen
Beispiel 1
Diese Fehlerüberprüfung wird durch einen Treiberhänger während des Upgrades verursacht, der zu einer Fehlerüberprüfung „D1“ in NDIS.sys, einem Microsoft-Treiber, führt. Der IMAGE_NAME gibt Auskunft über den fehlerhaften Treiber, aber da es sich um einen Microsoft-Treiber handelt, kann er nicht ersetzt oder entfernt werden. Die Lösung besteht darin, das Netzwerkgerät im Gerätemanager zu deaktivieren und das Upgrade erneut zu versuchen.
2: kd> !analyze -v
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************
DRIVER_IRQL_NOT_LESS_OR_EQUAL (d1)
An attempt was made to access a pageable (or completely invalid) address at an
interrupt request level (IRQL) that is too high. This is usually
caused by drivers using improper addresses.
If kernel debugger is available get stack backtrace.
Arguments:
Arg1: 000000000011092a, memory referenced
Arg2: 0000000000000002, IRQL
Arg3: 0000000000000001, value 0 = read operation, 1 = write operation
Arg4: fffff807aa74f4c4, address which referenced memory
Debugging Details:
------------------
KEY_VALUES_STRING: 1
STACKHASH_ANALYSIS: 1
TIMELINE_ANALYSIS: 1
DUMP_CLASS: 1
DUMP_QUALIFIER: 400
SIMULTANEOUS_TELSVC_INSTANCES: 0
SIMULTANEOUS_TELWP_INSTANCES: 0
BUILD_VERSION_STRING: 16299.15.amd64fre.rs3_release.170928-1534
SYSTEM_MANUFACTURER: Alienware
SYSTEM_PRODUCT_NAME: Alienware 15 R2
SYSTEM_SKU: Alienware 15 R2
SYSTEM_VERSION: 1.2.8
BIOS_VENDOR: Alienware
BIOS_VERSION: 1.2.8
BIOS_DATE: 01/29/2016
BASEBOARD_MANUFACTURER: Alienware
BASEBOARD_PRODUCT: Alienware 15 R2
BASEBOARD_VERSION: A00
DUMP_TYPE: 2
BUGCHECK_P1: 11092a
BUGCHECK_P2: 2
BUGCHECK_P3: 1
BUGCHECK_P4: fffff807aa74f4c4
WRITE_ADDRESS: fffff80060602380: Unable to get MiVisibleState
Unable to get NonPagedPoolStart
Unable to get NonPagedPoolEnd
Unable to get PagedPoolStart
Unable to get PagedPoolEnd
000000000011092a
CURRENT_IRQL: 2
FAULTING_IP:
NDIS!NdisQueueIoWorkItem+4 [minio\ndis\sys\miniport.c @ 9708]
fffff807`aa74f4c4 48895120 mov qword ptr [rcx+20h],rdx
CPU_COUNT: 8
CPU_MHZ: a20
CPU_VENDOR: GenuineIntel
CPU_FAMILY: 6
CPU_MODEL: 5e
CPU_STEPPING: 3
CPU_MICROCODE: 6,5e,3,0 (F,M,S,R) SIG: BA'00000000 (cache) BA'00000000 (init)
BLACKBOXPNP: 1 (!blackboxpnp)
DEFAULT_BUCKET_ID: WIN8_DRIVER_FAULT
BUGCHECK_STR: AV
PROCESS_NAME: System
ANALYSIS_SESSION_HOST: SHENDRIX-DEV0
ANALYSIS_SESSION_TIME: 01-17-2019 11:06:05.0653
ANALYSIS_VERSION: 10.0.18248.1001 amd64fre
TRAP_FRAME: ffffa884c0c3f6b0 -- (.trap 0xffffa884c0c3f6b0)
NOTE: The trap frame doesn't contain all registers.
Some register values may be zeroed or incorrect.
rax=fffff807ad018bf0 rbx=0000000000000000 rcx=000000000011090a
rdx=fffff807ad018c10 rsi=0000000000000000 rdi=0000000000000000
rip=fffff807aa74f4c4 rsp=ffffa884c0c3f840 rbp=000000002408fd00
r8=ffffb30e0e99ea30 r9=0000000001d371c1 r10=0000000020000080
r11=0000000000000000 r12=0000000000000000 r13=0000000000000000
r14=0000000000000000 r15=0000000000000000
iopl=0 nv up ei ng nz na pe nc
NDIS!NdisQueueIoWorkItem+0x4:
fffff807`aa74f4c4 48895120 mov qword ptr [rcx+20h],rdx ds:00000000`0011092a=????????????????
Resetting default scope
LAST_CONTROL_TRANSFER: from fffff800603799e9 to fffff8006036e0e0
STACK_TEXT:
ffffa884`c0c3f568 fffff800`603799e9 : 00000000`0000000a 00000000`0011092a 00000000`00000002 00000000`00000001 : nt!KeBugCheckEx [minkernel\ntos\ke\amd64\procstat.asm @ 134]
ffffa884`c0c3f570 fffff800`60377d7d : fffff78a`4000a150 ffffb30e`03fba001 ffff8180`f0b5d180 00000000`000000ff : nt!KiBugCheckDispatch+0x69 [minkernel\ntos\ke\amd64\trap.asm @ 2998]
ffffa884`c0c3f6b0 fffff807`aa74f4c4 : 00000000`00000002 ffff8180`f0754180 00000000`00269fb1 ffff8180`f0754180 : nt!KiPageFault+0x23d [minkernel\ntos\ke\amd64\trap.asm @ 1248]
ffffa884`c0c3f840 fffff800`60256b63 : ffffb30e`0e18f710 ffff8180`f0754180 ffffa884`c0c3fa18 00000000`00000002 : NDIS!NdisQueueIoWorkItem+0x4 [minio\ndis\sys\miniport.c @ 9708]
ffffa884`c0c3f870 fffff800`60257bfd : 00000000`00000008 00000000`00000000 00000000`00269fb1 ffff8180`f0754180 : nt!KiProcessExpiredTimerList+0x153 [minkernel\ntos\ke\dpcsup.c @ 2078]
ffffa884`c0c3f960 fffff800`6037123a : 00000000`00000000 ffff8180`f0754180 00000000`00000000 ffff8180`f0760cc0 : nt!KiRetireDpcList+0x43d [minkernel\ntos\ke\dpcsup.c @ 1512]
ffffa884`c0c3fb60 00000000`00000000 : ffffa884`c0c40000 ffffa884`c0c39000 00000000`00000000 00000000`00000000 : nt!KiIdleLoop+0x5a [minkernel\ntos\ke\amd64\idle.asm @ 166]
RETRACER_ANALYSIS_TAG_STATUS: Failed in getting KPCR for core 2
THREAD_SHA1_HASH_MOD_FUNC: 5b59a784f22d4b5cbd5a8452fe39914b8fd7961d
THREAD_SHA1_HASH_MOD_FUNC_OFFSET: 5643383f9cae3ca39073f7721b53f0c633bfb948
THREAD_SHA1_HASH_MOD: 20edda059578820e64b723e466deea47f59bd675
FOLLOWUP_IP:
NDIS!NdisQueueIoWorkItem+4 [minio\ndis\sys\miniport.c @ 9708]
fffff807`aa74f4c4 48895120 mov qword ptr [rcx+20h],rdx
FAULT_INSTR_CODE: 20518948
FAULTING_SOURCE_LINE: minio\ndis\sys\miniport.c
FAULTING_SOURCE_FILE: minio\ndis\sys\miniport.c
FAULTING_SOURCE_LINE_NUMBER: 9708
FAULTING_SOURCE_CODE:
9704: _In_ _Points_to_data_ PVOID WorkItemContext
9705: )
9706: {
9707:
> 9708: ((PNDIS_IO_WORK_ITEM)NdisIoWorkItemHandle)->Routine = Routine;
9709: ((PNDIS_IO_WORK_ITEM)NdisIoWorkItemHandle)->WorkItemContext = WorkItemContext;
9710:
9711: IoQueueWorkItem(((PNDIS_IO_WORK_ITEM)NdisIoWorkItemHandle)->IoWorkItem,
9712: ndisDispatchIoWorkItem,
9713: CriticalWorkQueue,
SYMBOL_STACK_INDEX: 3
SYMBOL_NAME: NDIS!NdisQueueIoWorkItem+4
FOLLOWUP_NAME: ndiscore
MODULE_NAME: NDIS
IMAGE_NAME: NDIS.SYS
DEBUG_FLR_IMAGE_TIMESTAMP: 0
IMAGE_VERSION: 10.0.16299.99
DXGANALYZE_ANALYSIS_TAG_PORT_GLOBAL_INFO_STR: Hybrid_FALSE
DXGANALYZE_ANALYSIS_TAG_ADAPTER_INFO_STR: GPU0_VenId0x1414_DevId0x8d_WDDM1.3_Active;
STACK_COMMAND: .thread ; .cxr ; kb
BUCKET_ID_FUNC_OFFSET: 4
FAILURE_BUCKET_ID: AV_NDIS!NdisQueueIoWorkItem
BUCKET_ID: AV_NDIS!NdisQueueIoWorkItem
PRIMARY_PROBLEM_CLASS: AV_NDIS!NdisQueueIoWorkItem
TARGET_TIME: 2017-12-10T14:16:08.000Z
OSBUILD: 16299
OSSERVICEPACK: 98
SERVICEPACK_NUMBER: 0
OS_REVISION: 0
SUITE_MASK: 784
PRODUCT_TYPE: 1
OSPLATFORM_TYPE: x64
OSNAME: Windows 10
OSEDITION: Windows 10 WinNt TerminalServer SingleUserTS Personal
OS_LOCALE:
USER_LCID: 0
OSBUILD_TIMESTAMP: 2017-11-26 03:49:20
BUILDDATESTAMP_STR: 170928-1534
BUILDLAB_STR: rs3_release
BUILDOSVER_STR: 10.0.16299.15.amd64fre.rs3_release.170928-1534
ANALYSIS_SESSION_ELAPSED_TIME: 8377
ANALYSIS_SOURCE: KM
FAILURE_ID_HASH_STRING: km:av_ndis!ndisqueueioworkitem
FAILURE_ID_HASH: {10686423-afa1-4852-ad1b-9324ac44ac96}
FAILURE_ID_REPORT_LINK: https://go.microsoft.com/fwlink/?LinkID=397724&FailureHash=10686423-afa1-4852-ad1b-9324ac44ac96
Followup: ndiscore
---------
Beispiel 2
In diesem Beispiel hat ein Nicht-Microsoft-Treiber den Seitenfehler verursacht, daher haben wir keine Symbole für diesen Treiber. Ein Blick auf IMAGE_NAME und/oder MODULE_NAME zeigt jedoch, dass WwanUsbMP.sys das Problem verursacht hat. Eine mögliche Lösung besteht darin, die Verbindung zum Gerät zu trennen und das Upgrade erneut zu versuchen.
1: kd> !analyze -v
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************
PAGE_FAULT_IN_NONPAGED_AREA (50)
Invalid system memory was referenced. This can't be protected by try-except.
Typically the address is just plain bad or it is pointing at freed memory.
Arguments:
Arg1: 8ba10000, memory referenced.
Arg2: 00000000, value 0 = read operation, 1 = write operation.
Arg3: 82154573, If non-zero, the instruction address which referenced the bad memory
address.
Arg4: 00000000, (reserved)
Debugging Details:
------------------
*** WARNING: Unable to verify timestamp for WwanUsbMp.sys
*** ERROR: Module load completed but symbols could not be loaded for WwanUsbMp.sys
KEY_VALUES_STRING: 1
STACKHASH_ANALYSIS: 1
TIMELINE_ANALYSIS: 1
DUMP_CLASS: 1
DUMP_QUALIFIER: 400
BUILD_VERSION_STRING: 16299.15.x86fre.rs3_release.170928-1534
MARKER_MODULE_NAME: IBM_ibmpmdrv
SYSTEM_MANUFACTURER: LENOVO
SYSTEM_PRODUCT_NAME: 20AWS07H00
SYSTEM_SKU: LENOVO_MT_20AW_BU_Think_FM_ThinkPad T440p
SYSTEM_VERSION: ThinkPad T440p
BIOS_VENDOR: LENOVO
BIOS_VERSION: GLET85WW (2.39 )
BIOS_DATE: 09/29/2016
BASEBOARD_MANUFACTURER: LENOVO
BASEBOARD_PRODUCT: 20AWS07H00
BASEBOARD_VERSION: Not Defined
DUMP_TYPE: 2
BUGCHECK_P1: ffffffff8ba10000
BUGCHECK_P2: 0
BUGCHECK_P3: ffffffff82154573
BUGCHECK_P4: 0
READ_ADDRESS: 822821d0: Unable to get MiVisibleState
8ba10000
FAULTING_IP:
nt!memcpy+33 [minkernel\crts\crtw32\string\i386\memcpy.asm @ 213
82154573 f3a5 rep movs dword ptr es:[edi],dword ptr [esi]
MM_INTERNAL_CODE: 0
CPU_COUNT: 4
CPU_MHZ: 95a
CPU_VENDOR: GenuineIntel
CPU_FAMILY: 6
CPU_MODEL: 3c
CPU_STEPPING: 3
CPU_MICROCODE: 6,3c,3,0 (F,M,S,R) SIG: 21'00000000 (cache) 21'00000000 (init)
BLACKBOXBSD: 1 (!blackboxbsd)
BLACKBOXPNP: 1 (!blackboxpnp)
DEFAULT_BUCKET_ID: WIN8_DRIVER_FAULT
BUGCHECK_STR: AV
PROCESS_NAME: System
CURRENT_IRQL: 2
ANALYSIS_SESSION_HOST: SHENDRIX-DEV0
ANALYSIS_SESSION_TIME: 01-17-2019 10:54:53.0780
ANALYSIS_VERSION: 10.0.18248.1001 amd64fre
TRAP_FRAME: 8ba0efa8 -- (.trap 0xffffffff8ba0efa8)
ErrCode = 00000000
eax=8ba1759e ebx=a2bfd314 ecx=00001d67 edx=00000002 esi=8ba10000 edi=a2bfe280
eip=82154573 esp=8ba0f01c ebp=8ba0f024 iopl=0 nv up ei pl nz ac pe nc
cs=0008 ss=0010 ds=0023 es=0023 fs=0030 gs=0000 efl=00010216
nt!memcpy+0x33:
82154573 f3a5 rep movs dword ptr es:[edi],dword ptr [esi]
Resetting default scope
LOCK_ADDRESS: 8226c6e0 -- (!locks 8226c6e0)
Cannot get _ERESOURCE type
Resource @ nt!PiEngineLock (0x8226c6e0) Available
1 total locks
PNP_TRIAGE_DATA:
Lock address : 0x8226c6e0
Thread Count : 0
Thread address: 0x00000000
Thread wait : 0x0
LAST_CONTROL_TRANSFER: from 82076708 to 821507e8
STACK_TEXT:
8ba0ede4 82076708 00000050 8ba10000 00000000 nt!KeBugCheckEx [minkernel\ntos\ke\i386\procstat.asm @ 114]
8ba0ee40 8207771e 8ba0efa8 8ba10000 8ba0eea0 nt!MiSystemFault+0x13c8 [minkernel\ntos\mm\mmfault.c @ 4755]
8ba0ef08 821652ac 00000000 8ba10000 00000000 nt!MmAccessFault+0x83e [minkernel\ntos\mm\mmfault.c @ 6868]
8ba0ef08 82154573 00000000 8ba10000 00000000 nt!_KiTrap0E+0xec [minkernel\ntos\ke\i386\trap.asm @ 5153]
8ba0f024 86692866 a2bfd314 8ba0f094 0000850a nt!memcpy+0x33 [minkernel\crts\crtw32\string\i386\memcpy.asm @ 213]
8ba0f040 866961bc 8ba0f19c a2bfd0e8 00000000 NDIS!ndisMSetPowerManagementCapabilities+0x8a [minio\ndis\sys\miniport.c @ 7969]
8ba0f060 866e1f66 866e1caf adfb9000 00000000 NDIS!ndisMSetGeneralAttributes+0x23d [minio\ndis\sys\miniport.c @ 8198]
8ba0f078 ac50c15f a2bfd0e8 0000009f 00000001 NDIS!NdisMSetMiniportAttributes+0x2b7 [minio\ndis\sys\miniport.c @ 7184]
WARNING: Stack unwind information not available. Following frames may be wrong.
8ba0f270 ac526f96 adfb9000 a2bfd0e8 8269b9b0 WwanUsbMp+0x1c15f
8ba0f3cc 866e368a a2bfd0e8 00000000 8ba0f4c0 WwanUsbMp+0x36f96
8ba0f410 867004b0 a2bfd0e8 a2bfd0e8 a2be2a70 NDIS!ndisMInvokeInitialize+0x60 [minio\ndis\sys\miniport.c @ 13834]
8ba0f7ac 866dbc8e a2acf730 866b807c 00000000 NDIS!ndisMInitializeAdapter+0xa23 [minio\ndis\sys\miniport.c @ 601]
8ba0f7d8 866e687d a2bfd0e8 00000000 00000000 NDIS!ndisInitializeAdapter+0x4c [minio\ndis\sys\initpnp.c @ 931]
8ba0f800 866e90bb adfb64d8 00000000 a2bfd0e8 NDIS!ndisPnPStartDevice+0x118 [minio\ndis\sys\configm.c @ 4235]
8ba0f820 866e8a58 adfb64d8 a2bfd0e8 00000000 NDIS!ndisStartDeviceSynchronous+0xbd [minio\ndis\sys\ndispnp.c @ 3096]
8ba0f838 866e81df adfb64d8 8ba0f85e 8ba0f85f NDIS!ndisPnPIrpStartDevice+0xb4 [minio\ndis\sys\ndispnp.c @ 1067]
8ba0f860 820a7e98 a2bfd030 adfb64d8 8ba0f910 NDIS!ndisPnPDispatch+0x108 [minio\ndis\sys\ndispnp.c @ 2429]
8ba0f878 8231f07e 8ba0f8ec adf5d4c8 872e2eb8 nt!IofCallDriver+0x48 [minkernel\ntos\io\iomgr\iosubs.c @ 3149]
8ba0f898 820b8569 820c92b8 872e2eb8 8ba0f910 nt!PnpAsynchronousCall+0x9e [minkernel\ntos\io\pnpmgr\irp.c @ 3005]
8ba0f8cc 820c9a76 00000000 820c92b8 872e2eb8 nt!PnpSendIrp+0x67 [minkernel\ntos\io\pnpmgr\irp.h @ 286]
8ba0f914 8234577b 872e2eb8 adf638b0 adf638b0 nt!PnpStartDevice+0x60 [minkernel\ntos\io\pnpmgr\irp.c @ 3187]
8ba0f94c 82346cc7 872e2eb8 adf638b0 adf638b0 nt!PnpStartDeviceNode+0xc3 [minkernel\ntos\io\pnpmgr\start.c @ 1712]
8ba0f96c 82343c68 00000000 a2bdb3d8 adf638b0 nt!PipProcessStartPhase1+0x4d [minkernel\ntos\io\pnpmgr\start.c @ 114]
8ba0fb5c 824db885 8ba0fb80 00000000 00000000 nt!PipProcessDevNodeTree+0x386 [minkernel\ntos\io\pnpmgr\enum.c @ 6129]
8ba0fb88 8219571b 85852520 8c601040 8226ba90 nt!PiRestartDevice+0x91 [minkernel\ntos\io\pnpmgr\enum.c @ 4743]
8ba0fbe8 820804af 00000000 00000000 8c601040 nt!PnpDeviceActionWorker+0xdb4b7 [minkernel\ntos\io\pnpmgr\action.c @ 674]
8ba0fc38 8211485c 85852520 421de295 00000000 nt!ExpWorkerThread+0xcf [minkernel\ntos\ex\worker.c @ 4270]
8ba0fc70 82166785 820803e0 85852520 00000000 nt!PspSystemThreadStartup+0x4a [minkernel\ntos\ps\psexec.c @ 7756]
8ba0fc88 82051e07 85943940 8ba0fcd8 82051bb9 nt!KiThreadStartup+0x15 [minkernel\ntos\ke\i386\threadbg.asm @ 82]
8ba0fc94 82051bb9 8b9cc600 8ba10000 8ba0d000 nt!KiProcessDeferredReadyList+0x17 [minkernel\ntos\ke\thredsup.c @ 5309]
8ba0fcd8 00000000 00000000 00000000 00000000 nt!KeSetPriorityThread+0x249 [minkernel\ntos\ke\thredobj.c @ 3881]
RETRACER_ANALYSIS_TAG_STATUS: Failed in getting KPCR for core 1
THREAD_SHA1_HASH_MOD_FUNC: e029276c66aea80ba36903e89947127118d31128
THREAD_SHA1_HASH_MOD_FUNC_OFFSET: 012389f065d31c8eedd6204846a560146a38099b
THREAD_SHA1_HASH_MOD: 44dc639eb162a28d47eaeeae4afe6f9eeccced3d
FOLLOWUP_IP:
WwanUsbMp+1c15f
ac50c15f 8bf0 mov esi,eax
FAULT_INSTR_CODE: f33bf08b
SYMBOL_STACK_INDEX: 8
SYMBOL_NAME: WwanUsbMp+1c15f
FOLLOWUP_NAME: MachineOwner
MODULE_NAME: WwanUsbMp
IMAGE_NAME: WwanUsbMp.sys
DEBUG_FLR_IMAGE_TIMESTAMP: 5211bb0c
DXGANALYZE_ANALYSIS_TAG_PORT_GLOBAL_INFO_STR: Hybrid_FALSE
DXGANALYZE_ANALYSIS_TAG_ADAPTER_INFO_STR: GPU0_VenId0x1414_DevId0x8d_WDDM1.3_NotActive;GPU1_VenId0x8086_DevId0x416_WDDM1.3_Active_Post;
STACK_COMMAND: .thread ; .cxr ; kb
BUCKET_ID_FUNC_OFFSET: 1c15f
FAILURE_BUCKET_ID: AV_R_INVALID_WwanUsbMp!unknown_function
BUCKET_ID: AV_R_INVALID_WwanUsbMp!unknown_function
PRIMARY_PROBLEM_CLASS: AV_R_INVALID_WwanUsbMp!unknown_function
TARGET_TIME: 2018-02-12T11:33:51.000Z
OSBUILD: 16299
OSSERVICEPACK: 15
SERVICEPACK_NUMBER: 0
OS_REVISION: 0
SUITE_MASK: 272
PRODUCT_TYPE: 1
OSPLATFORM_TYPE: x86
OSNAME: Windows 10
OSEDITION: Windows 10 WinNt TerminalServer SingleUserTS
OS_LOCALE:
USER_LCID: 0
OSBUILD_TIMESTAMP: 2017-09-28 18:32:28
BUILDDATESTAMP_STR: 170928-1534
BUILDLAB_STR: rs3_release
BUILDOSVER_STR: 10.0.16299.15.x86fre.rs3_release.170928-1534
ANALYSIS_SESSION_ELAPSED_TIME: 162bd
ANALYSIS_SOURCE: KM
FAILURE_ID_HASH_STRING: km:av_r_invalid_wwanusbmp!unknown_function
FAILURE_ID_HASH: {31e4d053-0758-e43a-06a7-55f69b072cb3}
FAILURE_ID_REPORT_LINK: https://go.microsoft.com/fwlink/?LinkID=397724&FailureHash=31e4d053-0758-e43a-06a7-55f69b072cb3
Followup: MachineOwner
---------
ReadVirtual: 812d1248 not properly sign extended
References
Bug Check Code Reference (Referenz zu Fehlerüberprüfungscodes)