问题描述

有一台Windows Server 2019的服务器部署在阿里云上，通过持续观察，其内存使用率始终保持在90%以上，并且其中没有占用内存高的进程。重启服务器后，内存使用率降至低位，但是在一周时间内，再次增至90%以上，尝试增加服务器内存后，此问题依旧存在。

图片

通过任务管理器的性能页查得非分页缓冲池有7.7G，其在正常情况下很少超过200-400MB。

图片

解决过程

1、使用RAMMap查看内存使用的情况

RAMMap下载地址：https://download.sysinternals.com/files/RAMMap.zip

解压后，无需安装直接运行RAMMap64.exe，得内存使用情况如下：

图片

通过分析发现，情况和任务管理器看到的基本一致，非分页缓冲池消耗了约8G内存，其它项基本正常。

2、使用Poolmon分析Nonpaged Pool（未分页缓冲池）具体是被哪个程序占用

Poolmon下载地址（适合Windows Server 2019）：https://download.microsoft.com/download/1/4/0/140EBDB7-F631-4191-9DC0-31C8ECB8A11F/wdk/wdksetup.exe

⚠️注意：Poolmon需要进行安装，如果不想安装在服务器系统内，可以先在Windows 10上进行安装，然后将C:\Program Files (x86)\Windows Kits\10\Tools\x64\poolmon.exe 拷贝到服务器系统内运行。

启动Poolmon工具后，按P键，第二列将显示使用非分页缓冲池内存（Nonp 属性）的进程标签。然后按B键以字节进行排序。

图片

左列列出了驱动程序标签。需要使用此标签识别驱动程序文件。

在此示例中，可以看到非分页缓冲池中的大部分 RAM 由标签为FLTT的驱动程序占用。

3、使用findstr查找与标签关联的驱动程序文件

图片

查看这2个驱动文件的属性--详细信息，获知是阿里巴巴服务组件。

4、查看进程

获知问题原因是进程名为：

Alibaba Enterprise Security Service component，服务名为：EntSafeSvr，导致的内存使用率过高的异常。

总结

Windows 计算机和服务器可能会遇到内存溢出问题，该问题是由于将数据存储在系统非分页缓冲池中的某个系统驱动程序泄漏而引起的。 

非分页缓冲池是操作系统内核和驱动程序使用的计算机 RAM 中的数据。

非分页缓冲池永远不会交换到磁盘（分页文件），它始终只存储在物理内存中。

您可以在任务管理器中的“性能” 选项中查看当前非分页缓冲池的大小。

通常，非分页池的大小很少超过 200-400 MB。较大的非分页缓冲池通常表明某些系统组件或设备驱动程序中存在内存泄漏。

出现上述问题时，可以尝试使用RAMMap查看当前内存的使用情况，使用Poolmon分析非分页缓冲池的占用情况，使用findstr查找具体的驱动程序。

参考链接：https://woshub.com/huge-memory-usage-non-paged-pool-windows/