Analýza souborů protokolu spouštění, jako je Ntbtlog.txt, pro řešení chyb spouštění systému Windows

Když se systém Windows odmítá spustit a zasekne se na černé obrazovce, v smyčce restartu nebo na modré obrazovceNormální reakcí je panika. Kromě typických automatizovaných nástrojů však existuje velmi účinný zdroj pro pochopení toho, co se děje: soubory protokolů spouštění nebo Spouštěcí protokolyzejména ten známý Ntbtlog.txt.

Tyto protokoly podrobně popisují, které ovladače a komponenty se načtou (nebo se nenačtou) během spouštění systému.a v kombinaci s dalšími nástroji, jako je například Oprava při spuštění, BOOTREC, DISM nebo samotný registr Windows, vám umožňují zaútočit na kořen mnoha problémů se spouštěním, a to jak v počítačích s klasickým BIOSem, tak v moderních systémech s UEFI (proces spouštění v UEFI).

Jak funguje spouštění Windows a v jaké fázi je selhání?

Než začnete s recenzováním Ntbtlog.txt vložit příkazy do konzoleJe důležité pochopit, jak je organizován proces spouštění systému Windows a které komponenty se v každé fázi aktivují. To vám umožní určit, zda k chybě dochází velmi brzy (firmware/BIOS), ve správci spouštění, v zavaděči operačního systému nebo až při aktivaci jádra systému Windows.

Obecně lze spouštěcí cyklus moderního systému Windows rozdělit do čtyř hlavních fází. K těmto problémům dochází jak v systémech se starším BIOSem, tak v systémech s firmwarem UEFI, ačkoli se příslušné soubory a cesty mírně liší:

• Fáze 1 – Před spuštěnímFirmware (BIOS nebo UEFI) provede POST (Power-On Self Test), inicializuje základní hardware a vyhledá platný systémový disk. V počítačích s BIOSem se načte MBR/PBR; v UEFI se načte firmware a vyhledá se aplikace EFI pro správce spouštění systému Windows.
• Fáze 2 – Správce spouštění systému Windows: Zde přichází na řadu správce spouštění, který vyhledá konfiguraci spouštění a rozhodne, který systém spustí.
• Fáze 3 – Zavaděč operačního systému Windows: systémová nabíječka (winload.exe o winload.efi) načte jádro a ovladače označené k načtení při spuštění.
• Fáze 4 – Jádro Windows NT: jádro (ntoskrnl.exe) převezme řízení, připojí podregistr systémového registru, načte ovladače BOOT_START a systémová relace se spustí (Smss.exe), což následně spouští zbytek služeb a řadičů.

Každá z těchto fází má poměrně charakteristické příznaky a chybové hlášení.od typického „Bootmgr chybí“ až po chyby jako INACCESSIBLE_BOOT_DEVICE nebo modré obrazovky hned po logu Windows, a proto jsou diagnostikovány a opravovány pomocí různých nástrojů.

Cílem při diagnostice počáteční poruchy je „zachytit“, ve kterém bodě tohoto řetězce dochází k přerušení procesu.Odtud se můžeme rozhodnout, zda má smysl podívat se na soubor s protokolem spouštění, soubor SrtTrail.txt z opravy spouštění, výpisy paměti, registr, nebo se zaměřit na spouštěcí kódy (MBR, BCD, Bootmgr atd.).

Chyby BIOSu nebo firmwaru: jak je detekovat

Pokud se na počítači ani nezobrazí logo Windows Pokud se zasekne na černé obrazovce bez jasných zpráv nebo se ani správně nezapne, problém je obvykle v samotném firmwaru nebo v základním hardwaru.

Existuje několik velmi jednoduchých kontrol, jak zjistit, zda systém prošel fází BIOSu. nebo je to tam zaseknuté:

1. Odpojte všechna externí periferní zařízení (USB, externí pevné disky, tiskárny…). Někdy se firmware pokouší spustit z vyměnitelného zařízení a zasekne se.
2. Sledujte LED diodu aktivity pevného diskuPokud během zapínání vůbec nebliká, proces se možná nedostal do bodu, kdy je načten bootovací sektor.
3. Zkuste stisknout klávesu Num Lock.Pokud se indikátor na klávesnici nezmění, obvykle to znamená, že systém zcela zamrzl na úrovni firmwaru nebo základní desky.

Pokud je zamrznutí v této rané fázi, je to obvykle způsobeno selháním hardwaru. (paměť, základní deska, zdroj napájení, vadný pevný disk…) a ne tolik v případě problému se spouštěcím souborem, takže v těchto případech analýza Ntbtlog.txt a podobné věci se ani negenerují.

Chyby ve správci spouštění a zavaděči (MBR, BCD, Bootmgr)

Pokud se stroj zapne, zobrazí se logo výrobce a poté se zobrazí černá obrazovka s blikajícím kurzorem. Pokud se vám zobrazují zprávy jako „Operační systém chybí“, „Chybí Bootmgr“ nebo chyby související s BCD, problém je již ve fázi bootovacího správce (Boot Manager / Boot Loader).

Některé typické zprávy z této fáze docela jasně ukazují, o jakou situaci jde.:

• Boot Configuration Data (BCD) missing or corrupted
• Boot file or MBR corrupted
• Operating system missing
• Boot sector missing or corrupted
• Bootmgr missing or corrupted
• Unable to boot due to system hive missing or corrupted

V tomto okamžiku je nejúčinnějším postupem spuštění z externího instalačního média Windows. (USB/DVD vytvořené pomocí nástroje Microsoft nebo ISO stejné nebo vyšší verze) a otevřete příkazový řádek pomocí kombinace kláves Shift+F10 nebo pomocí pokročilých možností obnovení.

Použití nástroje Oprava spouštění

Nástroj Oprava spouštění systému Windows je první možností, kterou byste měli vyzkoušet.protože automatizuje mnoho kontrol: kontroluje integritu bootovacích souborů, pokouší se o opravu BCD, opravuje poškozené bootovací sektory a generuje vlastní protokol o tom, co udělal.

Uživatelský tok je velmi jednoduchý. při spuštění z instalačního média stejné verze systému Windows, kterou jste nainstalovali:

1. Spusťte počítač z instalačního USB/DVD systému Windows a v úvodním okně klikněte na Další > Oprava zařízení.
2. Na obrazovce výběru zadejte Poradce při potížích.
3. Přístup do Rozšířené možnosti > Oprava spouštění a nechte nástroj analyzovat systém.
4. Po dokončení vypněte počítač pomocí samotného průvodce a zkuste jej normálně spustit.

Vše, co tento nástroj dělá, je zaznamenáno v souboru SrtTrail.txt, který se nachází v %windir%\System32\LogFiles\Srt\Srttrail.txtI když se nejedná o bootovací protokol ve stylu Ntbtlog.txtAno, je užitečné pochopit, co zjistil a jaké akce se pokusil provést.

Oprava MBR a bootovacího sektoru pomocí BOOTREC

Pokud nástroj Oprava spouštění systému problém nevyřeší, dalším klasickým krokem je použití tohoto nástroje BOOTREC (vidět Průvodce BOOTREC) Z příkazového řádku prostředí pro obnovení. Tento nástroj umožňuje přepsat MBR, znovu sestavit bootovací sektor a regenerovat databázi BCD.

Základní příkazy pro řešení typických problémů s MBR a bootovacím sektorem Jsou následující:

• Přepište MBR (velmi užitečné, pokud jej přepsal jiný systém nebo nástroj třetí strany):
  bootrec /fixmbr
• Oprava bootovacího sektoru systémového oddílu:
  bootrec /fixboot

V některých scénářích (zejména v systémech UEFI s dělením EFI v systému FAT32) Při spuštění se může zobrazit obávaná zpráva „Přístup odepřen“ /fixbootV těchto případech je třeba zkontrolovat, zda je systémovému oddílu správně přiřazeno písmeno jednotky, a někdy jej označit jako aktivní, nebo ručně opravit spouštěcí soubory jejich zkopírováním. bootmgr a obsah \EFI\Microsoft\Boot.

Oprava chyb skladu BCD

Když je BCD poškozený nebo odkazuje na neexistující zařízeníUvidíte konkrétnější chyby týkající se „Data konfigurace spouštění“. Zde BOOTREC a BCDEDIT fungují společně (viz diagnóza pomocí BCDEDIT).

Typický postup regenerace BCD od nuly je toto:

1. Vyhledejte detekovatelné instalace systému Windows:
   bootrec /scanos
2. Pokud se po skenování stále nespustí, zálohujte BCD a znovu jej sestavte:
   bcdedit /export C:\bcdbackup
attrib C:\boot\bcd -r -s -h
ren C:\boot\bcd bcd.old
bootrec /rebuildbcd
3. Na otázku, zda chcete nalezenou instalaci přidat do seznamu spouštěcích systémů, odpovězte ano.

V některých případech se zobrazí chybová zpráva s textem „Požadované systémové zařízení nebylo nalezeno“. Při pokusu o přidání instalace je třeba se poradit s diskpart že systémový oddíl je správně označen, má přiřazené písmeno a není poškozen.

Nahraďte soubor Bootmgr

Pokud po několika pokusech chyby přímo ukazují na bootmgr poškozenéMůžete si vybrat, zda chcete vadnou kopii přejmenovat a umístit novou z vyhrazeného systémového oddílu nebo z instalačního média.

Obecná myšlenka je nechat ten starý. bootmgr bezpečné a zkopírujte funkční k oddílu, kde se systém nachází:

1. Identifikujte systémem rezervovaný oddíl (obvykle bez písmene, v systému FAT32 nebo NTFS, v moderních systémech Windows má velikost asi 100 MB) a přiřaďte mu písmeno s diskpart v případě potřeby.
2. V tomto oddílu vyjmenujte skryté a systémové soubory pomocí:
   attrib -r -s -h
3. Totéž proveďte na systémovém disku (například C:) vidět bootmgr stávající.
4. Změňte název bootmgr poškozené, například:
   ren C:\bootmgr bootmgr.old
5. Zkopírujte bootmgr „v pořádku“ z vyhrazeného systémem oddílu do kořenového adresáře disku Windows.
6. Restartujte a zkontrolujte, zda se spustí.

Obnovení podstromu systémového registru

Pokud chyby indikují, že systémový podregistr nelze načíst („chybí nebo je poškozen podregistr systému“) se problém mění z čistě bootovacího problému na problém s registrem. V těchto případech je obvykle nutné obnovit podstromy registru z platné zálohy (viz techniky pro Vylepšení registru pomocí RegScanneru).

Z prostředí pro obnovení WinRE nebo z opravného disku ERD Obsah můžete kopírovat C:\Windows\System32\config\RegBack a C:\Windows\System32\configpřepsáním poškozených souborů (SYSTÉM, SOFTWARE atd.). Pokud se stále nespustí, budete muset obnovit úplnou zálohu systému a poté obnovit pouze potřebné úly.

Fáze jádra: modré obrazovky, smyčky a pády po zobrazení loga

Pokud již vidíte logo Windows, dokonce i ikonu rotujícího „kolečka“ s tečkamiPokud se ale náhle objeví modrá obrazovka, zamrzne nebo se jednoduše objeví černá obrazovka, problém je s největší pravděpodobností ve fázi jádra nebo v ovladačích, které jsou v této fázi načteny.

Některé typické příznaky selhání v této fázi jsou dobře známé:

• Zastavte kód hned po úvodní obrazovce (například 0x00000C2, 0x0000007B, Atd.).
• Chyba INACCESSIBLE_BOOT_DEVICE, s identifikátorem stop 0x7B, což naznačuje problémy s přístupem k bootovacímu disku.
• Rotující bodové kolečko zůstává na dobu neurčitou v „zaneprázdněném systému“.
• Obrazovka po zobrazení loga Windows zčerná a nezobrazují se žádné zprávy.

V těchto situacích jsou možnosti obnovy založeny na omezeném zahájení a poté provést diagnostiku pomocí nástrojů, jako je Prohlížeč událostí, protokoly spouštění, výpisy paměti a samotný registr.

Zkuste nouzový režim a poslední známou funkční konfiguraci

Nouzový režim zůstává klasikou, protože načítá pouze to nejnutnější. takže se systém Windows spustí a velká část ovladačů a služeb třetích stran, které by mohly problém způsobovat, se nezobrazí.

Z rozšířených možností spouštění Můžete zkusit:

• Nouzový režim
• Nouzový režim se sítí
• Poslední známá úspěšná konfigurace (pokud je k dispozici ve vaší verzi)

Pokud se týmu podaří rozjet kteroukoli z těchto variantJednou z prvních doporučených věcí je otevřít Prohlížeč událostí a procházet systémové a aplikační protokoly v době, kdy se příznaky začaly objevovat, a kopírovat relevantní události pro klidnou analýzu.

Čistý začátek pro vyhledání konfliktních služeb a ovladačů

Pokud problém ukazuje na službu nebo ovladač třetí strany (antivirový program, zálohovací software, speciální ovladače úložišť atd.), je velmi užitečné provést „čisté spuštění“ pomocí tohoto nástroje msconfig.

V Nastavení systému můžete vybrat možnost „Vybrat spuštění“ a postupně deaktivujte nekritické služby, zejména ty, které nepatří společnosti Microsoft, dokud nenajdete tu, která způsobuje selhání při spouštění. Jakmile ji najdete, můžete ji trvale deaktivovat a vrátit se k „normálnímu spuštění“.

Pokud problém spočívá v podepisování ovladačů (zejména v systémech x64 se Secure Boot nebo požadavky na podpis)Další možností je začít s možností „Zakázat povinné používání podepsaných ovladačů“ a analyzovat, který ovladač vyžaduje podpis nebo způsobuje konflikt, a to podle pokynů v článcích společnosti Microsoft týkajících se tohoto typu problému.

Chyba INACCESSIBLE_BOOT_DEVICE (STOP 0x7B)

Chyba INACCESSIBLE_BOOT_DEVICE Je to jeden z nejobávanějších protože to znamená, že systém Windows nemůže přistupovat k disku, ze kterého by se měl spustit: nedostatečné ovladače úložiště, filtry třetích stran, změny v režimu řadiče SATA/RAID v systému BIOS atd.

Pokročilá metoda pro řešení této chyby zahrnuje filtrování ovladačů třetích stran v registru. z prostředí pro obnovení:

1. Spusťte prostředí WinRE pomocí ISO souboru stejné verze systému Windows nebo vyšší.
2. Otevřete Editor registru a načtěte systémový podregistr, například mu zadejte dočasný název test.
3. Přejděte ke klíči:
   HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class
4. Najít záznamy UpperFilters y LowerFilters které odkazují na ovladače, jež nepocházejí od společnosti Microsoft.
5. U každého podezřelého ovladače vymažte obsah odpovídající hodnoty filtru.
6. Hledejte v úlu další podobné výskyty, pečlivě je upravte a po dokončení úl vyprázdněte.
7. Restartujte systém v normálním režimu a zkontrolujte, zda chyba 0x7B zmizela.

Pokud problém začal ihned po instalaci aktualizací systému WindowsMůže být nutné odstranit čekající balíčky nebo vrátit akce aktualizace pomocí DISM, změna hodnot v registru (například služba TrustedInstaller) a dokonce i přejmenování souborů jako pending.xml en WinSxS k odblokování procesu.

Povolit protokolování spouštění ve Windows

V tomto bodě vstupuje do hry protagonista tohoto článku: archiv Ntbtlog.txtTento soubor je klasickým protokolem spouštění systému Windows; zaznamenává ovladače a komponenty, které se načtou (nebo selžou) během spouštění, což vám umožňuje například zjistit, který konkrétní ovladač brání spuštění systému.

BootLog není ve výchozím nastavení povolenAktivace je ale velmi jednoduchá a můžete ji provést dvěma hlavními způsoby: prostřednictvím boot.ini ve starších systémech nebo s bcdedit V moderních verzích, jako je Windows 10 a novější, je velmi užitečné jej kombinovat s technikami pro analyzovat pomocí BootTrace.

Povolit BootLog na systémech založených na souboru boot.ini (Windows XP a podobné)

Na starších počítačích je konfigurační soubor spouštění boot.ini, který se nachází v kořenovém adresáři disku, kde je nainstalován systém Windows (obvykle C:) a je označen jako skrytý a systémový soubor.

Chcete-li jej upravit, musíte nejprve zobrazit chráněné systémové soubory. V možnostech složky vyhledejte boot.ini a otevřete jej v Poznámkovém bloku. Tam uvidíte řádek podobný tomuto (i když s jinými parametry):

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS=»Microsoft Windows XP Professional» /noexecute=optin /fastdetect

Pro aktivaci protokolování spouštění jednoduše přidejte modifikátor /BOOTLOG na konci té čáryvýsledkem je něco jako:

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS=»Microsoft Windows XP Professional» /noexecute=optin /fastdetect /BOOTLOG

Jakmile je soubor uložen, systém začne generovat bootovací záznam při každém spuštění.V nouzových situacích lze navíc protokolování povolit individuálně z rozšířené nabídky spouštění: stisknutím klávesy F8 těsně před spuštěním systému Windows a výběrem možnosti „Povolit protokolování spouštění“.

Vygenerovaný soubor se vždy volá Ntbtlog.txt a je uložen ve složce Windows, obvykle v C:\Windows, připravený k otevření v Poznámkovém bloku a kontrole, které ovladače se správně načetly a které ne.

Povolení a zakázání BootLogu pomocí BCDEDIT ve Windows 10 a novějších

V moderních systémech, které používají BCD (Windows Vista a novější, včetně Windows 10)Konfigurace spouštění se již neřídí pomocí boot.iniale s úložištěm dat konfigurace spouštění a nástrojem bcdedit.

Povolení protokolování spouštění na konkrétním systému Potřebujete znát identifikátor (ID) daného zavaděče v rámci BCD. Ten získáte spuštěním následujícího příkazu v příkazovém řádku s oprávněními správce:

bcdedit

V bloku „Zavaděč systému Windows“ uvidíte řádek s názvem „Identifikátor“ což by mohlo být něco jako {current} nebo jiné GUID. Pomocí tohoto ID můžete aktivovat BootLog takto:

bcdedit /set {ID} bootlog Yes

Chcete-li ji deaktivovat, jednoduše změňte hodnotu na „Ne“.:

bcdedit /set {ID} bootlog No

Po dalším restartu, pokud je povoleno protokolování, systém Windows soubor vygeneruje. Ntbtlog.txt na vyznačené trase se všemi potřebnými informacemi o řídicích jednotkách a modulech zapojených do spouštění, což je mimořádně užitečné při diagnostice závad.

Interpretace souboru Ntbtlog.txt a dalších spouštěcích protokolů

I když na první pohled Ntbtlog.txt vypadá to jako jednoduchý seznam řádkůKlíčem je pochopit, jaký vzor hledáme. V tomto souboru uvidíte položky označující, že byl kontroler úspěšně načten nebo přeskočen.

Trik spočívá v nalezení ovladačů, které selžou těsně předtím, než dojde k havárii nebo restartu....nebo ty, které zjevně nepatří společnosti Microsoft a mohly by způsobovat konflikty (ovladače antiviru, šifrování disku, zálohovací řešení atd.). Kombinace těchto informací s událostmi Prohlížeče událostí a případně s výpisy paměti může problém výrazně zúžit.

V mnoha případech výpisy paměti explicitně odkazují na konkrétní soubor ovladače. (například \Windows\System32\drivers\stcvsm.sys (chybí nebo je poškozen). Obecná doporučení v tomto typu případu jsou:

• Zkontrolujte, jaké funkce daný řadič nabízí a zda je to pro spuštění zásadní.
• Pokud se jedná o nepodstatný ovladač třetí strany, deaktivujte jej načtením systémového podregistru do registru z prostředí WinRE.
• Spusťte Kontrolu systémových souborů (sfc) v offline režimu, pokud existuje podezření na poškození systémových souborů.
• Pokud existuje podezření na rozsáhlé poškození registru nebo nedávnou instalaci více ovladačů/služeb, přejmenujte staré podregistry (přidáním .old ke jménům v C:\Windows\System32\configa obnovit zálohy RegBacka poté se pokuste o normální start.

Někdy, zejména po velké aktualizaci systému Windows, se problém při opravě s DISM Pochází z původní verze obrázkuPokud ISO soubor použitý pro obnovení neodpovídá nainstalované verzi, DISM Vrací chybu 0x800f081f („Zdrojové soubory nebyly nalezeny“). V těchto případech je vhodné ověřit si to u dism /get-wiminfo přesná verze obrázku (install.wim o install.esd) a najděte ISO soubor, který skutečně odpovídá sestavení systému, který má být opraven.

Stručně řečeno, bootovací registry jako Ntbtlog.txt, SrtTrail opravy spouštění, výpisy paměti a protokoly DISM y SFC Tvoří informační „ekosystém“ Tento nástroj umožňuje rekonstruovat, co se děje během každého spuštění: co se načte, co se přeskočí, co se poškodí a jaké změny (ovladače, aktualizace, antivirový software nebo různé utility) proces narušily. Kombinací těchto nástrojů s technikami MBR, BCD, Bootmgr, RegBack a opravy čistého spuštění je šance na obnovení systému Windows, který se nespustí bez kompletní přeinstalace, mnohem vyšší, než by se zpočátku mohlo zdát.

Související článek:

Trasování spouštění ve Windows 11: Kompletní průvodce analýzou spouštěcích procesů

Isaac

Vášnivý spisovatel o světě bytů a technologií obecně. Rád sdílím své znalosti prostřednictvím psaní, a to je to, co budu dělat v tomto blogu, ukážu vám všechny nejzajímavější věci o gadgetech, softwaru, hardwaru, technologických trendech a dalších. Mým cílem je pomoci vám orientovat se v digitálním světě jednoduchým a zábavným způsobem.