Bluescreen MiniDump Analyse
Der Bluescreen ist die letzte Möglichkeit von Windows noch kurz Bescheid zu geben, wenn was absolut schief läuft und der PC aufgrund des aufgetretenen Fehlers nicht mehr weiter betrieben werden kann. Windows sammelt dabei noch Informationen zum Problem und schreibt diese in eine Datei bevor der PC neugestartet wird. Um die Ursache für einen Bluescreen einzugrenzen haben wir die Möglichkeit mittels Debuging Tools einen genauen Blick in die Dump Files minidump.dmp zu werfen. (meist unter c:\windows\minidump).
Debugging Tools für Windows
Je nach Betriebsystem (welches das minidump.dmp File erstellt hat) muss eines der 2 Debuging Tools verwendet werden:
Windows 8 Version:
- Windows 8
- Windows Server 2012
- Windows 7
- Windows Server 2008 R2
- Windows Vista
- Windows Server 2008
Windows 7 SDK:
- Windows 7
- Windows Server 2008 R2
- Windows Vista
- Windows Server 2008
- Windows XP
- Windows Server 2003
Download bzw. zusätzliche Infos siehe:
docs.microsoft.com/en-us/windows-hardware/drivers/debugger/debugger-download-tools
Beispiel Server 2003 SP2:
für 2003 SP2 müssen wir die Windows 7 SDK downloaden und installieren:
für die Minidump Analyse benötigen wir nur die Debugging Tools.
Symbols
um detailierte Informationen mittels Windbg anzuzeigen benötigen wir noch Symbols für das jeweilige Betriebssystem,
z.B. für Windows 7: http://msdn.microsoft.com/en-us/windows/hardware/gg463028
Die Symbole können auch online geladen werden:
Der Debuger gibt uns den entscheidenden Hinweis:
You can run '.symfix; .reload' to try to fix the symbol path and load symbols.
also:
.symfix und .reload ausführen:
WinDbg starten und Crash Dump analysieren
mittels !analyze -v können dann Detailierte Informationen abgerufen werden:
ev. werden noch Symbols nachgeladen:
Beispiel Server 2012
Für den Server 2012 wird die WIndows 8 SDK benötigt:
Crash Dateien: Anwendungsabsturz:
im Application Eventlog (Anwendungen) finden wir meist folgenden Eintrag:
c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Dr Watson\user.dmp und c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Dr Watson\drwtsn32.log
die Datei drwtsn32.log beinhaltet bereits jede Menge Informationen zu dem Absturz
die Datei user.dmp können wir in den Debuging Tools laden.
mit folgenden Befehlen kann ein vollständiger DUmp konfiguriert werden, bzw. der Pfad dazu geändert werden:
Reg add HKLM\SOFTWARE\Microsoft\DrWatson /v CrashDumpFile /t REG_SZ /d c:\temp\user.dmp /f
Reg add HKLM\SOFTWARE\Microsoft\DrWatson /v CreateCrashDump /t REG_DWORD /d 0x1 /f
Reg add HKLM\SOFTWARE\Microsoft\DrWatson /v CrashDumpType /t REG_DWORD /d 0x2 /f
http://msdn.microsoft.com/en-US/windows/hardware/hh852363
Usertemp Tool deaktiviert DR Watson: registry key;
Dr Watson macht einen Full dump, wenn die Clients abstürzen ...
http://support.microsoft.com/kb/286470/EN-US
Registry Key per Windows PE setzten?
siehe auch:
http://blogs.msdn.com/b/ntdebugging/archive/2008/02/01/kernel-stack-overflows.aspx
Bug Check Code Reference:
http://msdn.microsoft.com/en-us/library/windows/hardware/hh994433(v=vs.85).aspx
{{percentage}} % positiv