网吧反馈突然全场卡顿,查看服务器日志,有如下错误:
错误应用程序名称: dwm.exe,版本: 10.0.17763.831,时间戳: 0xd5c9fdea
错误模块名称: KERNEL32.DLL,版本: 10.0.17763.475,时间戳: 0x250a0626
异常代码: 0xe0464645
服务器配置:
Windows Server 2019 Datacenter
Intel Xeon(R) CPU E5-2630v3 @1.6Ghz
Samsung DDR4 96GB 2133Mhz
Intel SSD固态盘使用ToolsBox查看没有损坏或异常
使用硬盘哨兵查看健康值都是100%,唯独两块8T的HGST日立机械硬盘温度略高,54°C,问题不大。
之前有网吧出现过这类错误,也是dwm.exe错误导致的网吧部分机器卡顿。问题现象和这个一样,用火绒查杀病毒出现木马程序,第二天早上重做系统解决了,但这次用火绒在服务器扫描病毒并未出异常。
记一则服务器中毒事件
dwm错误的日志基本是周期性比较长的,今天是6.4号,查了一下日志,再上一次出现的时候分别是23年5.15号,5.13号,4.25号,4.4号,1.30号。突然想到了前段时间,应该就是5.13-5.15号,网吧反馈凌晨后网吧突然全部卡一下,间歇性的,白天没有问题。当时没考虑那么多,想着第二天把服务器和交换机全重启一下,其实问题也解决了,就感觉是交换机或服务器问题,没有深究。
DWM.exe错误如下图:
XML视图:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Application Error" />
<EventID Qualifiers="0">1000</EventID>
<Level>2</Level>
<Task>100</Task>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2023-06-04T13:47:58.546189200Z" />
<EventRecordID>145461</EventRecordID>
<Channel>Application</Channel>
<Computer>WIN-NQTKJKN1KHB</Computer>
<Security />
</System>
<EventData>
<Data>dwm.exe</Data>
<Data>10.0.17763.831</Data>
<Data>d5c9fdea</Data>
<Data>KERNEL32.DLL</Data>
<Data>10.0.17763.475</Data>
<Data>250a0626</Data>
<Data>e0464645</Data>
<Data>0000000000017974</Data>
<Data>244</Data>
<Data>01d996eb08043300</Data>
<Data>C:\Windows\system32\dwm.exe</Data>
<Data>C:\Windows\System32\KERNEL32.DLL</Data>
<Data>1d4d74e7-634c-42cd-9742-cf684042b525</Data>
<Data />
<Data />
</EventData>
</Event>/* Your code... */
看了一下C:\Windows\System32\dwm.exe程序,没有问题,杀毒软件也没报错,如下图:
第二个信息提示:
故障存储段 ,类型 0
故障存储段 ,类型 0
事件名称: APPCRASH
响应: 不可用
Cab ID: 0
问题签名:
P1: dwm.exe
P2: 10.0.17763.831
P3: d5c9fdea
P4: KERNEL32.DLL
P5: 10.0.17763.475
P6: 250a0626
P7: e0464645
P8: 0000000000017974
P9:
P10:
附加文件:
可在此处获取这些文件:
\\?\C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_dwm.exe_796fb651073adb61e7a2d7c31bb8740fde24495_32ce0b48_fd02f6d6
分析符号:
重新检查解决方案: 0
报告 ID: f298fb3d-3fce-4be2-a9dc-8a8718a2e320
报告状态: 4
XML视图详细信息:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Windows Error Reporting" />
<EventID Qualifiers="0">1001</EventID>
<Level>4</Level>
<Task>0</Task>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2023-05-14T23:37:19.326158400Z" />
<EventRecordID>139044</EventRecordID>
<Channel>Application</Channel>
<Computer>WIN-NQTKJKN1KHB</Computer>
<Security />
</System>
- <EventData>
<Data />
<Data>0</Data>
<Data>APPCRASH</Data>
<Data>不可用</Data>
<Data>0</Data>
<Data>dwm.exe</Data>
<Data>10.0.17763.831</Data>
<Data>d5c9fdea</Data>
<Data>KERNEL32.DLL</Data>
<Data>10.0.17763.475</Data>
<Data>250a0626</Data>
<Data>e0464645</Data>
<Data>0000000000017974</Data>
<Data />
<Data />
<Data />
<Data>\\?\C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_dwm.exe_796fb651073adb61e7a2d7c31bb8740fde24495_32ce0b48_fd02f6d6</Data>
<Data />
<Data>0</Data>
<Data>f298fb3d-3fce-4be2-a9dc-8a8718a2e320</Data>
<Data>4</Data>
<Data />
<Data>0</Data>
</EventData>
</Event>/* Your code... */
第三个警告 — WMI警告:
Windows Management Instrumentation 已停止 WMIPRVSE.EXE,因为配额达到警告值。配额: HandleCount,值: 4098,最大值: 4096,WMIPRVSE PID: 9556,此进程中承载的提供程序: C:\Windows\SysWOW64\wbem\WmiPerfClass.dll,如下图:
XML视图详情如下:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Microsoft-Windows-WMI" Guid="{1edeee53-0afe-4609-b846-d8c0b2075b1f}" />
<EventID>5612</EventID>
<Version>2</Version>
<Level>3</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x8000000000000000</Keywords>
<TimeCreated SystemTime="2023-06-04T11:23:49.651448000Z" />
<EventRecordID>145452</EventRecordID>
<Correlation />
<Execution ProcessID="9556" ThreadID="9592" />
<Channel>Application</Channel>
<Computer>WIN-NQTKJKN1KHB</Computer>
<Security UserID="S-1-5-18" />
</System>
- <UserData>
- <data_0x8000003F xmlns="http://manifests.microsoft.com/win/2006/windows/WMI">
<QuotaName>HandleCount</QuotaName>
<QuotaValue>4098</QuotaValue>
<QuotaThreshold>4096</QuotaThreshold>
<ProcessID>9556</ProcessID>
<ProvidersInHost>C:\Windows\SysWOW64\wbem\WmiPerfClass.dll</ProvidersInHost>
</data_0x8000003F>
</UserData>
</Event>
第四个警告错误:
桌面窗口管理器进程已退出。(进程退出代码: 0x000000ff,重新启动计数: 1,主显示设备 ID: Microsoft Basic Render Driver)
警告错误XML视图详情如下:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="Dwminit" />
<EventID Qualifiers="32770">0</EventID>
<Level>3</Level>
<Task>0</Task>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2023-06-04T14:05:38.292073500Z" />
<EventRecordID>145463</EventRecordID>
<Channel>Application</Channel>
<Computer>WIN-NQTKJKN1KHB</Computer>
<Security />
</System>
- <EventData>
<Data>0x000000ff</Data>
<Data>1</Data>
<Data>Microsoft Basic Render Driver</Data>
</EventData>
</Event>
解决方案:
总的来说,这次事件就是dwm.exe进程崩溃导致的,至于是什么软件引起了dwm崩溃,查了半天也没有找到。桌面进程出现问题也有可能和系统内存分配不够有关系,把服务器自动划分改为了手动划分,服务器系统预留了22G,清除了系统日志,以便用来测试将来还有没有dwm.exe的错误日志。顺便看了下设备管理器里,主板驱动没有安装,先安装以下主板驱动,不过和没有安装驱动关系不大,因为上次中毒的那个网吧出现的dwm错误,任务管理器的设备全都认出来了,也是不行。不过服务器驱动还是打上的好,参考Intel芯片组网吧服务器常识驱动篇
同时服务器发生错误的时候还有DWORD的错误,这个网上找到了解决方案,如下
服务器错误日志:数据段的第一个四字节 (DWORD) 包含状态代码
这个DWORD错误应该和DWM.exe进程没什么关系,去看了其他网吧,也有DWORD错误,但是没有dwm错误。
第二天早上7点重启再看下会不会出现此类错误。待测试……
Tips:服务器早上7点自动重启计划CMD命令如下
schtasks /create /tn "重启" /tr "shutdown /r" /sc once /st 07:00
关键词:拉菲网吧
评论前必须登录!
注册