內(nèi)核內(nèi)存轉(zhuǎn)儲(chǔ)文件可能不會(huì)生成基于 Windows Server 2008 上或 Windows Vista Service Pack 1 (SP1)-基于計(jì)算機(jī)����。
系統(tǒng)事件日志中會(huì)有如下記錄:
事件 ID: 49
事件類(lèi)型: 錯(cuò)誤
事件源: volmgr
說(shuō)明: 配置失敗的故障轉(zhuǎn)儲(chǔ)的頁(yè)面文件。 請(qǐng)確保在啟動(dòng)分區(qū)上的頁(yè)面文件����,并且是足夠大,以包含所有的物理內(nèi)存�����。
解決方法:
1.打開(kāi)注冊(cè)表���,在開(kāi)始運(yùn)行框中鍵入 regedit��。
2.找到HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\CrashControl
新建���,然后單擊 DWORD 值。
鍵入 IgnorePagefileSize����,然后按 ENTER�。
然后單擊 修改���。
在 數(shù)值數(shù)據(jù) 框中鍵入 1���,然后單擊 確定。
退出注冊(cè)表編輯器����。
3.重新啟動(dòng)系統(tǒng)中的更改才能生效。(必須重啟機(jī)器否則不會(huì)生效)
下面介紹收集dump文件需要注意的地方(視具體環(huán)境而定):
1.修改pagefile大小:修該注冊(cè)表: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\control\Session Manager\memory management\
如下:
PagingFiles REG_MULTI_SZ C:\pagefile.sys 22000 30000
2.更改dump文件存放位置�,
修改注冊(cè)表項(xiàng)HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\CrashControl
下的"Dumpfile"將其修改為 D:\memory.dmp
Private build 包含一個(gè)修改過(guò)的系統(tǒng)內(nèi)核,在內(nèi)核中我們將所有軟件路徑進(jìn)入的重啟都進(jìn)行截獲�����,然后再使系統(tǒng)進(jìn)入藍(lán)屏�。這個(gè)過(guò)程中您會(huì)發(fā)現(xiàn)我們正常的重啟操作也會(huì)經(jīng)過(guò)藍(lán)屏步驟,請(qǐng)不必但心�,這屬于正常的行為。但是��,如果因?yàn)橐馔鈹嚯娀蛘吣承┯布?wèn)題導(dǎo)致的重啟����,這個(gè)內(nèi)核是無(wú)法捕獲的����。
Private 內(nèi)核配置步驟:
=================
1. 首先����,在注冊(cè)表中檢查藍(lán)屏后自動(dòng)重啟鍵值的設(shè)定�����。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl 下的”AutoReboot” 必須是”0”.這樣可以確保發(fā)生藍(lán)屏后服務(wù)器可以停止在藍(lán)屏模式下被我們觀察到.
2. 請(qǐng)到微軟官網(wǎng)下載Private build. Ntkrnlmp.exe 并保存到服務(wù)器的 \系統(tǒng)盤(pán)符:\windows\system32\目錄下���。
3. 以管理員身份打開(kāi)命令行����,輸入:bcdedit /set kernel ntkrnlmp.exe. 然后重啟服務(wù)器使以上設(shè)置生效����。
4. 重啟后,請(qǐng)按F8 鍵進(jìn)入Advanced Boot Options, 然后選擇”Disable Driver Signature Enforcement” .服務(wù)器便會(huì)使用Ntkrnlmp.exe 作為內(nèi)核來(lái)使用�。
5. 這時(shí),請(qǐng)繼續(xù)觀察服務(wù)器的狀態(tài)���。并在發(fā)生意外藍(lán)屏后����,將時(shí)間點(diǎn)記錄下來(lái),然后通過(guò)電源鍵重啟服務(wù)器���。重啟后��,請(qǐng)將系統(tǒng)日志和memory dump 文件上傳給我們分析�����。
6. 當(dāng)問(wèn)題得到解決后��,我們需要禁止這個(gè)功能���。
禁用Private build 的方法:
=====================
(1) 在windows 2008 系統(tǒng)上,打開(kāi)命令行
(2) 輸入: bcdedit /deletevalue kernel 然后回車(chē)���。
(3) 重啟使其生效 (本次重啟仍然會(huì)有藍(lán)屏的現(xiàn)象)�。 本文出自 “Joe Ho” 博客��,請(qǐng)務(wù)必保留此出處http://zhaoming198771.blog.51cto.com/927067/273284
|
