Я ранее просил вопрос о сервере, который имеет очень высокий уровень использования памяти невыгружаемого пула, и кто-то объяснил, как использовать poolmon для отслеживания проблемного драйвера.
Я сделал это, но не уверен, что обнаружил проблему.
Запуск poolmon:
Теперь, ища fwpx, я нашел только одно "совпадение":
dsac.exe? Административный центр AD вызывает утечку памяти? Очевидно, это не может быть правдой, но это было единственное совпадение, найденное findstr.
Погуглив тег пула fwpx, я могу увидеть некоторые проблемы, с которыми люди столкнулись с антивирусным продуктом McAfee (но на этом сервере установлен Symantec SEP).
В соответствии с этот блог Technet разместите тег пула fwpx, связанный с этим драйвером: Fwpx - fwpkclnt.sys - WFP NBL tagged context
Но если это так, почему findstr не нашел его?
Затем я погуглил еще и нашел этот kb: https://support.microsoft.com/en-us/kb/2885980
Согласно kb, API FwpsAllocateCloneNetBufferlist () утекает память - это здорово.
Но я все еще не на 100%, вот в чем проблема. Перед установкой оперативного исправления как я могу подтвердить, что проблема вызвана этой ошибкой WFP? Я предполагаю, что его SEP использует ошибочный API WFP. Это имеет смысл, потому что я видел, как у пользователей McAfee (другого антивирусного продукта, который может использовать API) похожие проблемы с утечкой памяти.
Но чтобы быть уверенным, как я могу идентифицировать программу, которая вызывает WFP API - если это то, что на самом деле происходит.
У меня не было времени понять, что предлагал magicandre1981, но он смог подтвердить, что патч решен проблема. Возможно, это будет полезно для других, у которых есть аналогичная проблема с утечкой памяти.
Мы заметили еще одну вещь: запуск полного обновления Windows, похоже, включает это исправление, но в другом патче. После того, как мы запустили полное обновление Windows на другом сервере с этой проблемой (вместо применения определенного патча), патч не установился, вызывая очень бесполезную ошибку типа «этот патч не применяется к этой платформе». Оказывается, эта проблема была решена в другом обновлении.
Поэтому я предполагаю, что применение патча или полное обновление сервера решит проблему. FwpsAllocateCloneNetBufferlist()
Утечка API.