ソース : NTFS、ID: 55 のイベント

  • Article

こんにちは。日本マイクロソフトの松岡です。
今回は、比較的よくお問い合わせをいただく NTFS 55 についてご紹介します。

-------------------
イベントの種類: エラー
イベント ソース: NTFS
イベント ID: 55
説明:
ディスク上のファイル システム構造が壊れていて使えません。chkdsk ユーティリティをボリューム "Drive_letter" で実行してください
-------------------

ソース : NTFS、ID: 55 のイベントについて

ソース : NTFS、ID: 55 のイベントは、ファイルシステム データ構造に不整合を発見した場合に記録されるイベントです。このイベントが記録されるタイミングとしては、ファイル システム構造が破損した状態で、その破損個所にアクセスした際に記録されます。また、破損時点と 本イベントが記録された時点には差異があり、この情報からその前に何が発生したのか原因追求を行うことは困難です。したがって、オペレーションの観点から特に問題がない場合、関連するデバイス ドライバーや、ファームウェアのアップデートを行うことが一般的な対策です。

一般的な本イベントの要因について

一般的にこの破損が発生する原因としては、以下の状況が考えられます。

1. 不正なシャットダウンが発生した場合

不正なシャットダウンが発生すると、ディスク上の情報を正しく保存せずにシステムが終了するため、ファイル システムに不整合が発生する可能性があります。 

2. ハードウェアの破損による場合

  
ハードウェアの破損、故障により、ディスク上のデータが破損して不整合が発生する可能性があります。

3. ディスクが突然取り外れた、あるいは、アクセスできなかった場合

ディスクが突然取り外れた、あるいは、アクセスできなくなったような場合には、1 同様、ディスク上の情報が正しく保存されず、ファイルシステムに不整合が発生する可能性があります。

4. ドライバやアプリケーションによる不正なアクセスがあった場合

ファイル システム ドライバーや、その他カーネル モードのコンポーネントの不具合により発生する可能性があります。ドライバーやアプリケーションによっては、NTFS ファイル システムを経由せずに、ディスクへ直接アクセス、書き込みを行うものがあります。これらの作用により、 NTFS の意図しない変更がディスク上のデータに加えられ、破損が発生する場合があります。または、ドライバーやアプリケーションによりディスクへのアクセスが突然遮断され、3 のような状況となり、現象が発生する可能性も考えられます。

本イベントへの対応について

本イベントへの対応としては、フォーマット後にバックアップからデータを復元するか、修復モードでの chkdsk コマンドを実施します。なお、大容量のボリューム で chkdsk を実行する場合、ボリュームのサイズやマシンのスペック等により、所要時間が非常に長くなることがあります。システムのダウンタイムを考慮した場合、修復モードでの chkdsk の実行よりフォーマットによる対応方法の方が、より少ないダウンタイムで対応が完了する状況も考えられます。事象が発生した環境により、フォーマット後にバックアップ データを復元、または修復モードでの chkdsk の実行を検討してください。

1. Chkntfs コマンドによる破損が発生しているボリュームの確認

2. フォーマットによる対応

3. 修復モードでの chkdsk コマンドによる対応 

※ 対応は 2、3 のいずれかの対応で問題ありません。(両方実施する必要はありません。)

1. Chkntfs コマンドによる破損が発生しているボリュームの確認について

ファイル システムの破損が発生しているボリュームを特定するには、chkntfs コマンドが使用できます。

※ Chkntfs コマンドは、ファイル システムの状態を参照するコマンドのため、サーバーへの大きな負荷はかかりません。

実行例) 

> Chkntfs C:

ファイル システムの破損が発生していない場合の実行結果

########################################
ファイル システムの種類は NTFS です。
C: は正常です。
########################################

ファイル システムの破損が発生している場合の実行結果

########################################
ファイル システムの種類は NTFS です。
C: が正しくありません。
########################################

- 参考情報

Chkntfs

https://technet.microsoft.com/ja-jp/library/cc731298(v=ws.10).aspx

2. フォーマットによる対応について

フォーマットによる対応をされる場合には、必要に応じて該当ボリュームにあるデータを別の領域に退避し、ボリュームを再フォーマットします。フォーマットの完了後、必要に応じて、退避したデータをリストアします。

3. 修復モードでの chkdsk コマンドによる対応ついて

chkdsk コマンドはオプションが指定されていない場合、読み取り専用モードで実行されます。chkdsk を /R または /F オプションを指定することにより、ファイルシステムの不整合を修復することができます。なお、修復モードでの chkdsk コマンドを実行した場合でも、実際に破損しているデータについては、修復することはできませんが状態が悪化することはありません。修復モードの chkdsk の実行によりファイル システムの不整合が修復されます。

実行例)

> chkdsk c: /R

なお、chkdsk d: /R の実行時に、何らのプロセスが実行対象のボリュームを利用している場合には、以下のメッセージが表示されます。

コマンドの実行結果

########################################
ボリュームが別のプロセスによって使用されているため、Chkdsk を実行できません。
Chkdsk を実行するにはこのボリュームのマウントを解除する必要があります。
########################################

メッセージ1

########################################
このボリュームを強制的にマウントを解除しますか? (Y/N)
########################################

メッセージ2

########################################
ボリュームが別のプロセスで使用されているため、CHKDSK を実行できません。次回のシステム再起動時に、このボリュームのチェックをスケジュールしますか (Y/N)?
########################################

いますぐ chkdsk /R を実行する場合には、メッセージ1 にて Y を、再起動時に chkdsk /R を実行する場合には、メッセージ2 にて Y を選択し実行します。

- 補足

オプション /R を指定した場合は、/F も暗黙的に指定されます。対象のボリュームに対して chkdsk /R または /F コマンドの実行によりセクタの修復を試みます。/R は /F に加えて物理的な不良セクタのチェックを行います。

- 参考情報

Chkdsk.exe で使用可能な新しいスイッチ /C および /I について

https://support.microsoft.com/kb/314835/ja

Chkdsk

https://technet.microsoft.com/ja-jp/library/cc730714(WS.10).aspx

再発防止策について

ハードウェアの破損以外の原因で 本イベントが発生した可能性が考えられる場合には、関連するデバイス ドライバーやファームウェアの最新バージョンを確認し、アップデートを行います。 OS 観点では、ファイルシステム ドライバーの既知の不具合により発生している可能性がありますので、最新の修正プログラム (NTFS.sys) を適用します。また Windows 7、Windows Server 2008 R2 RTM では、NTFS 55 が誤検知されるという、Ntoskrnl.exe の不具合がありますので、こちらも最新の修正プログラムを適用します。

2014 年 9 月 9 日時点の各 OS に対する最新の修正プログラムは以下のとおりです。

- Windows Server 2003

文書番号: 973870

Windows Server 2003 をランダムに実行しているコンピューターは、データをバックアップするときを応答を停止します。

https://support.microsoft.com/kb/973870

- Windows Vista、Windows Server 2008

文書番号: 2951098

Event ID 137 is logged when you back up the system state in a 32-bit version of Windows Server 2008

https://support.microsoft.com/kb/2951098

- Windows 7、Windows Server 2008 R2

文書番号 : 2885209

イベント ID 55 が Windows 7 SP1 または Windows Server 2008 R2 SP1 ベースのファイル サーバーで記録され、Windows がクラッシュすることがある (2014 年 2 月 14 日)

https://support.microsoft.com/kb/2885209

文書番号: 2981965 (Ntoskrnl.exe)

更新管理に Windows のファイル システム ドライバーがすべてのシリアル化のフラッシュ メモリを削除するには

https://support.microsoft.com/kb/2981965

-Windows Server 2012

文書番号: 2973052

Windows Server 2012 R2 または Windows Server 2012 でボリュームがマウントされているときに"0x00000018"の停止エラー

https://support.microsoft.com/kb/2973052

-Windows Server 2012 R2

文書番号: 2975719

Windows RT 8.1、8.1 の Windows、および Windows Server 2012 の R2 用の更新プログラムのロールアップ 2014年 8 月

https://support.microsoft.com/kb/2975719  

※ 2014 年 4月以降にリリースされる全ての Windows Server 2012 R2 および Windows RT 8.1、Windows 8.1 におけるアップデートやセキュリティ更新プログラム/修正プログラムは KB 2919355 の適用が前提条件として必要となります。
そのため、KB 2975719 を適用する前に、KB 2919355 を適用してください。

-文書番号: 2919355
Windows RT 8.1、8.1 の Windows および Windows Server 2012 の R2 の更新プログラム: 2014 年 4 月
https://support.microsoft.com/kb/2919355

KB 2919355 につきましては、以下のブログも併せてご確認ください。

Windows 8.1 Update が公開されました。
https://blogs.technet.com/b/askcorejp/archive/2014/04/09/windows-8-1-update.aspx

- 参考情報

EVENT ID 55: When Good Bits Go Bad

https://blogs.technet.com/b/askcore/archive/2012/05/09/event-id-55-when-good-bits-go-bad.aspx