IIS故障問題(Connections_Refused)分析及處理

原文出自：http://os.51cto.com/art/201212/375063.htm

這篇文章其實已經寫好好久，只是後來一直沒有重現當時的問題，或者由於業務的重要性、投訴的壓力也就臨時處理了。這幾天某地市Web服務器連續屢次出現這個問題，正好借這個案例來作個收尾。

前幾個月有臺重要的Web服務器(Windows Server2003 + IIS6.0)出現客戶端沒法訪問Web服務器上的站點，錯誤信息提示爲"頁面沒法顯示"的狀況。登陸服務器檢查後發現IIS並未中止運行，各服務也正常處理，但就是沒法訪問站點上的頁面（包括靜態頁面）。這種問題其實之前也常常發生，基本上處理方法都是經過重啓Web服務器來解決，至於爲何要這樣處理，並無具體的論斷和依據，多半是憑藉我的的經驗所致，因此這種解決方法只能緩解下投訴壓力，沒有從根本上解決問題。

那麼，咱們如今就來針對這個問題深刻探討下，找出問題的根本，爭取作到治標治本。

首先，確定是分析問題服務器上的IIS日誌，我發如今站點沒法訪問的那段時間， httperr日誌中記錄了大量的"Connections_Refused"錯誤

 

這個問題是在默認狀況下，若是可用的非分頁緩衝池內存不足 20MB，Http.sys 服務將中止接收新鏈接，就會出現上述問題。這也就解釋了爲何重啓IIS沒用，只能經過重啓Web服務器釋放內存資源來解決。

網上也有微軟官方的解決方案：

1. 進入註冊表，找到以下項：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters ；

2. 新建Dword值，輸入名稱 "EnableAggressiveMemoryUsage"；

3. 修改值爲1；

4. 重啓 HTTP 服務：

在DOS下分別執行

net stop http /y

iisreset /restart

 

我按照上述說明進行了配置，但有沒有效果沒法考證，只能先觀察這臺服務器後續的運行狀況。這種處理方法比以前重啓Web服務器更進了一步，至少比以前盲目的重啓重啓重啓，更明確的知道了引發問題的緣由，離真相更近了一步。那麼問題發生的真正緣由呢？到底是什麼致使的非分頁緩衝池內存會持續增大到少於20M的呢？

要分析這個問題，首先得了解下Windows系統中的核心內存概念：核心內存是Windows分配給系統內核或驅動所需的內存空間，分頁內存是虛擬內存，也就是這一部份內存能夠置換到硬盤中，可是，非分頁內存是不能置換到硬盤的，只能保存在物理內存中，經常使用於一些軟件或是系統的驅動程序使用。若是未分頁內存無限增大，到達一個閥值，就會形成系統問題。在32位的Windows上，這個閥值最高不能超過256MB，不然操做系統會變得很是不穩定。

 

打開本身系統的任務管理器，在"性能"項中，能夠看到：

 

 

如上圖所示，這就是我本機當前時刻所使用的分頁和未分頁內存數，這個數字很正常。

咱們再來看下最近這臺有問題的機器連續2天，2次出現故障時的內存使用數，未分頁內存已經不知不覺暴漲到230多M了

好了，廢話很少說，這個時候就須要用到Poolmon這個核心內存泄漏檢測工具了。經過這個工具，咱們來看看Web服務器上究竟是哪些軟件或者程序形成內存泄露，從而致使未分頁內存數不足的。Poolmon是相似於Dos 的命令行執行程序，基本上完成檢測的操做咱們只須要2個指令： P-排序標籤列表經過分頁，非分頁，混合等3種模式；B-對標籤排序最大字節使用狀況。以下圖所示：顯示的就是操做系統中全部佔用非分頁內存項，並按字節大小降序排列。咱們找出排在前面，而且字節數不斷增長的tag項，根據Tag來定位進程和驅動文件。好比咱們想看下目前佔用90M非分頁內存的Thre項，在Dos中輸入:

findstr /s /m /l "Thre" c:\windows\system32\drivers\*.sys

如上圖所示，咱們看到是系統驅動和殺毒驅動佔用了Thre。這臺機器上次中過毒，因此後來下了瑞星和360衛士來排毒。瑞星是出了名的耗未分頁內存大戶，360衛士自己也已經被病毒感染，因此我基本鎖定了這2款軟件，先卸載，而後重啓服務器，從新下載360衛士和360殺毒再次排毒以後觀察服務器運行狀況和內存消耗狀況。從上次重啓到目前爲止，運行十多天，未分頁內存總消耗保持在50M之內，雖有小許增加，但還算正常。到此，根據上面的分析， 咱們就能夠定位出致使IIS故障的真正問題所在了。這種問題，很大部分是由於殺毒軟件程序或者一些系統驅動致使的。

這裏說的很大部分緣由是由於殺毒軟件程序或者一些系統驅動致使的非分頁內存不足，是由於非分頁內存通常是內核程序或驅動程序在請求。這種資源很是寶貴，若是程序處理不當的話，也會致使上述狀況，好比一個Socket只接受鏈接，但由於某些緣由沒有讀取數據，而後客戶端鏈接上以後一直髮送數據，在這種極端的狀況下未分頁內存也很快就會被佔滿。