Server Absurz wegen überfüllten nonpaged pool

[Nils85 10]

Hallo,

 

ich habe das Problem, das in unregelmäßigen Abständen alle 2-3 Tage der Server in einen Bluescreen fährt und neugestartet werden muss. Im Eventlog findet sich folgende Meldung

 

Event Type: Error

Event Source: Srv

Event Category: None

Event ID: 2019

Date: 4/10/2008

Time: 11:26:18 AM

User: N/A

Computer: XXXXXXXXXXX

Description:

The server was unable to allocate from the system nonpaged pool because the pool was empty.

 

For more information, see Help and Support Center at Events and Errors Message Center: Basic Search.

Data:

0000: 00040000 00540001 00000000 c00007e3

0010: 00000000 c000009a 00000000 00000000

0020: 00000000 00000000 00000003

 

Ich hatte ein kleines Script geschrieben, das mittels procmon die pool Auslastung überwacht. Folgendes interessantes lässt sich 5 Min vor dem Absturz dort finden:

 

 Tag  Type     Allocs         Frees    Diff   Bytes    Per Alloc    Mapped_Driver

AfdE Nonp     391645    255512    136133 38117240        280        [afd.sys      -     Afd endpoint structure]
AfdX Paged    391600    255483    136117 38112760        280        [afd.sys      -     Afd context buffer]
File Nonp   35234708  35082060    152648 23251360        152        [<unknown>    - File objects]

 

weitere 10 Minuten vorher sind die 3 am meisten verbrauchenden Prozesse

 

 Tag  Type     Allocs         Frees    Diff   Bytes    Per Alloc    Mapped_Driver

MmSt Paged    230009    220568      9441 15611352       1653        [nt!mm        - Mm section object prototype ptes]
NtfF Paged   1128427   1122605      5822 5449392        936        [ntfs.sys     -     FCB_INDEX]
MmCm Nonp      59737     58708      1029 4449800       4324        [nt!mm        - Calls made to MmAllocateContiguousMemory]
UlHT Paged         1         0         1 4198400     4198400        [http.sys     - Hash Table]

 

Der Verbrauch ist also durch die afd.sys innerhalb kurzer Zeit extrem gestiegen und ist meiner Meinung nach für den Absturz verantwortlich.

 

Leider findet sich nichts wirklich hilfreiches zu diesem Problem im Internet, daher meine Hoffnung, das eventuell hier schon jemand Erfahrungen mit dem Problem gemacht hat.

 

Microsoft ® Windows ® 5.02. 3790 Service Pack 2 Multiprocessor Free. läuft auf der Kiste.

 

mfg

 

Nils

[Velius 10]

Doch doch, im I-net gibt's schon was zu: Server is unable to allocate memory from the system paged pool

 

Details zu afd.sys: afd.sys Windows process - What is it?

 

 

cheers

Velius

[Nils85 10]

Hi,

 

danke für die Link, die Funktion des Prozess ist mir schon klar :) Und das man die Grenze des Noonpage Pool's nach oben setzten kann auch, bringt nur leider nicht viel wenn er sich selbst nach setzen der neuen Grenze wieder vollfrisst :/

 

mfg

 

Nils

[Velius 10]

Na wenn du die Funktion des Prozesses und des Reg-Eintrag kennst (BTW: ist nicht der maximal Wert des Pools;)), dann müsste ja klar sein dass die adf.sys den Speicher nicht voll fressen sollte ohne Speicherseiten wieder frei zu geben.

 

Der Rest ist Analyse - was ist installiert, usw.

[Velius 10]

Übrigens, der Bluescreen Code fehlt. Fahr mal den Server mit F8 und 'Automatisch neustarten deaktivieren' oder so hoch.

 

Siehe hier: The Afd.sys file triggers a "Stop 0x000000D1" error on a Windows Server 2003-based computer

 

 

Mehr Infos please!:cool:

[Nils85 10]

Ja der % Wert wo Speicher wieder frei gegeben wird xD

 

Auf dem Server laufen Empirum zur Software Verteilung, ArcServer zur Sicherung, Trend Micro Office Scan, Rsync Server, NS Client für Nagios.

 

Er ist Member in einem größeren AD, wodurch ein Neustart ohne weiteres nicht möglich ist xD

 

Danke soweit

 

Bye Nils

[Velius 10]

Wenn ich so das I-Net durchforste könnte es auch 'ne Syn-Flood Attacke auf den Server sein: How To: Harden the TCP/IP Stack

[Nils85 10]

Er ist von außen nicht erreichbar, sondern nur per VPN.

[Velius 10]

Der Syn-Flood kann auch von "innen" kommen:cool:

 

Könnte aber auch 'ne schelcht programmierte Anwendung sein, die Schwellwerte nicht beachtet, usw.. Die afd.sys kann dann nix für, versucht nur ihren Job zu machen und geht dann in die Knie.

 

 

Das der Bluescreen stehen bleibt kannst du auch unter

systemsteuerung -> system -> erweitert -> starten und wiederherstellen -> automatisch neustarten durchführen -> hacken raus

einstellen. Die Änderung ist im Gegensatz zu F8 Methode permanent.

[Nils85 10]

Meine 2 Vermutung ging in Richtung

 

File Nonp 35234708 35082060 152648 23251360 152 [<unknown> - File objects]

 

Nur sieht man daraus leider nicht wirklich, was es sein könnte.

 

Permanenter Bluescreen ist übrigens eingestellt nur bringt es leider nichts, da der Server nicht vor Ort ist und das Ilo Board leider etwas "rumspackt" wodurch ich nicht auf die Remote Console komme.

 

Kann der Memory Manager denn Prozesse dazu zwingen den Speicher freizugeben, oder kann es auch vorkommen, das diese den Speicher nicht freigeben können ?

 

Hab leider in diese Richtung hin leider noch nicht so die Erfahrung.

 

Danke soweit

 

Bye Nils

[Nils85 10]

Ich werde morgen mal den PoolUsageMaximum runtersetzen, durch den wohl nächsten Absturz wird es sowie dann aktiv xD

 

Bin jetzt erst mal weg, melde mich, wenn mehr zu dem Problem bekannt ist, oder es eventuell sogar behoben ist.

 

Danke schon mal so weit

 

Bye Nils

[Christian Hutte 10]

Hatte diese Sympthome bei meinem Exchange..

 

da war der HP Netzwerkkarten Team treiber buggy.

 

Wenns ein HP Proliant is, würd ich mal diese Treiber updaten

 

chris

[Lian 2.478]

Ich hatte ein kleines Script geschrieben, das mittels procmon die pool Auslastung überwacht. Folgendes interessantes lässt sich 5 Min vor dem Absturz dort finden:

 

Interessanter Ansatz, kannst Du das script mal posten?

 

Hast Du schon mit poolmon den Verursacher geprüft?