Неожиданные перезагрузки сервера Windows 2008R2

Компьютер с Windows 2008 R2 автоматически перезагружается время от времени, обычно по пятницам после обеда. Перезагрузка "объявляется" в журнале событий следующим образом:

Event ID: 1074
process:  svchost.exe,  
user:     NT-AUTHORITY/System, 
reason:   OS:restore(planned), 
code:     0x80020002

Я предполагаю, что это именно то событие, которого можно ожидать, если обновление Windows с нашего сервера WSUS требует перезагрузки. Однако, насколько я понимаю, такие перезагрузки должны происходить самое большее примерно в 3 часа ночи. В этом году это происходило неоднократно, а именно:

1. 2013-01-10 03:15:12 - Наверное, из-за обновления
2. 2013-01-20 03:04:37 - Вероятно из-за обновления
3. 2013-02-14 16:35:27 - Что это ??
4. 2013-03-06 16:23:07 - Что это ??
5. 2013-03-15 13:49:12 - Что это ??
6. 2013-04-14 21:18:36 - Что это ??
7. 2013-04-26 14:58:54 - Что это ??
8. 2013-05-17 15:51:41 - Что это ???

Если я проверю обновления после сегодняшней перезагрузки, появится сообщение

Last time checked for updates: Today, 15:47
Updates installed: Yesterday, 20:57

Итак, хотя последняя проверка подозрительно незадолго до перезагрузки, последняя актуальный обновление произошло вчера (обновление описания вирусов Forefront, перезагрузка не требуется).

Что может быть причиной? Что можно сделать, чтобы предотвратить?

Не стесняйтесь спрашивать более подробную информацию.

Обновить: Ближайшие записи журнала событий вокруг выключения с источником WindowsUpdateClient мы:

• сразу после события № 1074 выше: Событие № 27 «Автоматические обновления» было остановлено
• в 13:00 (почти за 3 часа до выключения): Событие №19: Установка прошла успешно (обновление определений Forefront)
• в 15:55 (вскоре после перезагрузки): несколько событий №19: установка прошла успешно (несколько обновлений ОС, обновления безопасности и накопительные обновления безопасности)

Вероятно, обновления в последнем пункте ожидали перезагрузки. Фактически, я обнаружил событие № 22 («Требуется перезагрузка, компьютер перезагрузится через 15 минут») от 16.05.2013 03:14:28, в котором точно упоминаются обновления, упомянутые в событиях после перезагрузки. Однако почему он перезагружается в 3:30 утра вчера, как предлагает сообщение о событии, а не в 16:00 сегодня?

По многочисленным просьбам соответствующие настройки политики в Computer configuration\Administratove templates\Windows components\Windows update согласно мастеру моделирования GPO:

• Настройте автоматические обновления: Включено с помощью «4 - Загрузка и установка по расписанию», «ежедневно», «в 03:00».
• Автоматические обновления при немедленной установке: Включено
• Включить таргетинг на клиента: включен с помощью MyGroup
• Укажите расположение обновления Microsoft в интрасети: включено с обновлениями и статистикой = "http://my-wsus-server"
• Нет автоматического перезапуска для запланированных обновлений с вошедшими в систему пользователями: Включено
• Разрешить подписанные обновления из интрасети Служба обновлений Майкрософт: включено
• Частота обнаружения автоматических обновлений: 22 часа

У меня нет плохих предчувствий по поводу этих настроек. Единственный подозреваемый Нет автоматического перезапуска для запланированных обновлений с вошедшими в систему пользователями. Однако для наблюдаемого поведения пользователь должен был войти в систему с 3 утра до 16:00 сегодня. (или, возможно, несколько перекрывающихся сеансов). Просматривая океан журнала событий безопасности, я действительно обнаружил: три события # 4634 (выход из системы), два для сеансов RDP администратора (тип 10), одно для сеанса консоли администратора (тип 2), все в ту же секунду, что и событие № 1074 выше! Но что есть причина и что есть следствие? Или почему три сеанса были убиты одновременно?