Назад | Перейти на главную страницу

Журнал событий Windows - единственное место, где можно провести вскрытие после сбоя сервера?

Пару дней назад один из наших веб-серверов вышел из строя в преддверии рассвета. Он не отвечал ни на какие удаленные запросы (честно говоря, я не знаю, ответил бы он, если бы к нему были подключены USB-клавиатура и монитор), и инженер центра обработки данных перезагрузил сервер для нас.

Все вернулось в норму, и затем я проверил журналы событий, чтобы увидеть, есть ли какие-либо подсказки относительно того, что пошло не так. Все, что я действительно вижу, - это событие «предыдущее выключение в 01:00 было неожиданным» (это время, когда сервер отключился, а не время, когда инженер нажал кнопку питания).

На сервере есть IIS, но очевидно, что журналы веб-сайта просто показывают запросы файлов, приведшие к сбою (или зависанию), и нет увеличения объема трафика до сбоя. SQL Server также установлен, но журналы только сообщают, что около дюжины транзакций были повторены, когда сервер вернулся.

Есть ли что-нибудь еще, что я могу найти, чтобы найти возможную причину сбоя?

Если причиной сбоя был «синий экран смерти», а сервер настроен на сохранение аварийного дампа (по умолчанию), вы можете отладить вывод. Лучший практический ресурс, который я нашел для этого, - «Как устранить сбои системы Windows за считанные минуты».

В противном случае, если есть инструменты системного мониторинга, предоставляемые производителем, такие как HP OpenView или Dell OpenManage, вам следует поискать доказательства сбоев оборудования.

Наконец, если сервер находится на ИБП, вы захотите поискать там отказы, связанные с питанием.

Если у вас включен параметр для создания файла аварийного дампа, это еще одна возможность, хотя для получения полезной информации из него требуются расширенные навыки анализа и / или обращение в службу поддержки Microsoft. Обычно файл дампа сохраняется в% SystemRoot% \ MEMORY.DMP.

Похоже, ящик висел. Поскольку местная служба поддержки просто отскочила от коробки, это возможно, но маловероятно, что вы что-то получите из журналов.

Вам необходимо включить поддержку CrashOnCtrlScroll (http://support.microsoft.com/kb/244139), перезагрузите компьютер, а затем в следующий раз, когда он зависнет, попросите кого-нибудь, удерживая ПРАВУЮ клавишу Ctrl, дважды нажать Scroll Lock. Это приведет к проверке ошибок (синий экран) в поле, запишет текущее состояние и затем перезагрузит его.

Вы также захотите убедиться, что система настроена для ядра или полного дампа памяти.

Спасибо, Брайан Десмонд, MVP Active Directory