Назад | Перейти на главную страницу

Неожиданное завершение работы Windows Server 2016: winlogon, NT AUTHORITY \ SYSTEM, 0x500ff

У нас есть парк инстансов AWS EC2 под управлением Windows Server. После перехода с Windows Server 2012r2 на 2016 мы столкнулись с проблемой, когда сервер выключается по неизвестным причинам. После исчерпывающей проверки журналов событий единственное соответствие выглядит следующим образом:

The process C:\Windows\system32\winlogon.exe ([computername]) has initiated the power off of computer [computername] on behalf of user NT AUTHORITY\SYSTEM for the following reason: No title for this reason could be found
Reason Code: 0x500ff
Shutdown Type: power off

Мы учли и теоретически исключили следующее:

  1. Проблема с обновлениями Windows

    • Согласно журналам событий или Get-WindowsUpdateLog обновления не выполнялись. Sconfig> "Настройки Центра обновления Windows" установлен на DownloadOnly.

  2. Переключение кнопки питания или проблема с оборудованием / аккумулятором

    • Это экземпляр AWS EC2, и мы никогда не сталкивались с подобным с серверами 2012r2 или 2012 года. Если бы это было связано с оборудованием, это, безусловно, повлияло бы на все версии серверов.

  3. Истечение срока лицензии Windows Server

    • Эти серверы лицензированы правильно в соответствии с «slmgr.vbs / dlv», и отключения произошли через 39, 62 и 188 дней после их первоначального включения.

  4. В старых версиях mstsc на экране входа в систему отображается кнопка питания, которую можно использовать для выключения системы таким образом.

    • Эта теория во многом основана на эта почта но для ясности, это для сервера 2012 года, а мы находимся в 2016 году. Я также не смог воспроизвести это вообще.

Кто-нибудь знает, что может вызвать это отключение? Или есть идеи, как мы можем найти дополнительную информацию? Я просмотрел каждый файл журнала и журнал событий, который смог найти. Также нет dmp файла соответствующего времени выключения.

Код причины говорит, что это синий экран (SHTDN_REASON_MAJOR_SYSTEM | SHTDN_REASON_MINOR_BLUESCREEN)

Ссылка: https://docs.microsoft.com/fr-fr/windows/desktop/Shutdown/system-shutdown-reason-codes

Вы должны проверить, что ваши драйверы / программное обеспечение обновлены. Не забудьте также проверить свой антивирус, потому что вполне возможно, что устаревший сторонний антивирус может привести к синим экранам.

Ты можешь использовать BlueScreenView чтобы помочь вам проанализировать дампы памяти BSOD (если есть).

Мы последовали совету из комментария @HarryJohnston и создали GPO, чтобы отключить возможность выключения сервера с экрана блокировки. Конкретная политика:

Конфигурация компьютера \ Параметры Windows \ Параметры безопасности \ Локальные политики \ Параметры безопасности> Завершение работы: разрешить завершение работы системы без входа в систему> Отключено

С тех пор, как мы сделали это месяц назад, мы не наблюдали никаких неожиданных отключений (а раньше происходило примерно одно отключение в неделю). Мне все еще кажется странным, что в AMI Windows Server 2016 по умолчанию AWS была бы включена эта опция и что она действительно была бы доступна откуда-то, но, похоже, так оно и было.