Вопрос: Выполнение удаленной (Sysinternals) команды ... pskill \\ machine winlogon ... может сдвинуть с места сервер, который зависает при перезагрузке, но как / почему это работает? Как узнать, какой сервис убить?
Для воссоздания (например): вы запускаете Центр обновления Windows, разрешаете перезагрузку и ... НИЧЕГО! RDP отключается, но сервер не перезагружается. Кажется, что почти все остальные службы работают.
Дополнительная информация: я столкнулся с этой проблемой на виртуальных машинах, размещенных по всему миру в течение нескольких лет, и использовал различные команды sc.exe и выключения, чтобы узнать состояние и попытаться удаленно перезагрузить серверы в таком состоянии с ограниченным успехом. Большинство центров обработки данных не предлагают никакого способа увидеть настоящую консоль или выключить / включить такие машины. Они берут $ за то, что вы звоните им и делаете такие простые вещи в нерабочее время, когда вам почти всегда приходится выполнять свои основные задачи.
например
NET USE \\ machine \ IPC $ / USER: пароль для входа
sc \\ machine query RpcSs
sc \\ machine query TermService
sc \\ запрос машины wuauserv
список задач / машины
Иногда это срабатывает для меня ...
выключение / м \ машина / р / ж / т: 0
... но чаще всего происходит сбой: Выполняется завершение работы системы (1115).
Я нашел этот вопрос и ответ @Tweek, и он сработал очень хорошо, но мне просто повезло?
Не удается выполнить RDP для Win 2003 или запустить удаленный перезапуск
@Tweek сказал запустить: pskill \\ hostname winlogon
... и это помогло мне преодолеть эту ситуацию по-новому (Server 2008 R2 в моем последнем случае) - действительно полезно! Мне просто нужно понять, повезло ли мне или здесь больше науки. Я хотел бы знать, почему Winlogon обработать?
@Livne сказал использовать "tasklist / s HostName", чтобы узнать, в чем причина, но как это определить по перечисленному выводу? Это просто список запущенных задач и т. Д. Из-за этого я не знал бы, что искать, и не мог бы увидеть ничего в процессе winlogon, который подсказывал бы моим глазам, что именно нужно убить.
Добавлен к вопросу позже: Записи журнала событий, обнаруженные на целевой машине, до и после выполнения pskill winlogon (удаленно) ...
Имя журнала: Система Источник: USER32 Дата: 4/02/2011 4:09:51 Идентификатор события: 1074 Категория задачи: Нет Уровень: Ключевые слова информации: Классический Пользователь: sqlX \ joeblogsblogs Компьютер: sqlX.example.org Описание: Процесс Explorer.EXE инициировал перезагрузку компьютера sqlX от имени пользователя sqlX \ joeblogs по следующей причине: Операционная система: Восстановление (запланировано) Код причины: 0x80020002 Тип выключения: перезапуск Комментарий:
Имя журнала: Система Источник: USER32 Дата: 4/02/2011 4:09:53 Код события: 1074 Категория задачи: Нет Уровень: Ключевые слова: Классический Пользователь: sqlX \ joeblogs Компьютер: sqlX.example.org Описание: Процесс C: \ Windows \ system32 \ winlogon.exe (sqlX) инициировал перезапуск компьютера sqlX от имени пользователя sqlX \ joeblogs по следующей причине: не удалось найти заголовок по этой причине Код причины: 0x500ff Тип завершения работы: перезапуск Комментарий:
Имя журнала: Система Источник: Диспетчер управления службами Дата: 02.04.2011 4:10:25 Идентификатор события: 7043 Категория задачи: Нет Уровень: Ключевые слова ошибки: Классический Пользователь: Н / Д Компьютер: sqlX.example.org Описание: Служба Центра обновления Windows не завершила работу должным образом после получения сообщения о предварительном отключении.
(затем после завершения работы служб ...) Обнаружение оборудования оболочки клиента групповой политики Работа с приложением (запущена) Работа с приложением (остановлена)
Имя журнала: Система Источник: Диспетчер управления службами Дата: 4/02/2011 5:09:50 Идентификатор события: 7045 Категория задачи: Нет Уровень: Ключевые слова: Классический Пользователь: sqlX \ Administrator Компьютер: sqlX.example.org Описание: В системе была установлена служба. Имя службы: PsKill Имя файла службы:% SystemRoot% \ PSKLLSVC.EXE Тип службы: служба в режиме пользователя Тип запуска службы: запуск по требованию Учетная запись службы: LocalSystem
Имя журнала: Система Источник: Диспетчер управления службами Дата: 4/02/2011 5:09:51 Идентификатор события: 7036 Категория задачи: Нет Уровень: Ключевые слова: Классический Пользователь: Н / Д Компьютер: sqlX.example.org Описание: Сервис PsKill перешел в рабочее состояние.
Имя журнала: Система Источник: Диспетчер управления службами Дата: 4/02/2011 5:09:51 Идентификатор события: 7036 Категория задачи: Нет Уровень: Ключевые слова: Классический Пользователь: Н / Д Компьютер: sqlX.example.org Описание: Служба PsKill перешла в остановленное состояние.
Имя журнала: Источник системы: Диспетчер управления службами Дата: 4/02/2011 5:09:52 Идентификатор события: 7036 Категория задачи: Нет Уровень: Ключевые слова: Классический Пользователь: Н / Д Компьютер: sqlX.example.org Описание: Служба Application Experience перешла в рабочее состояние.
Имя журнала: Система Источник: Диспетчер управления службами Дата: 02.04.2011 5:10:26 Идентификатор события: 7043 Категория задачи: Нет Уровень: Ключевые слова ошибки: Классический Пользователь: Н / Д Компьютер: sqlX.example.org Описание: Служба установщика модулей Windows не завершила работу должным образом после получения сообщения о предварительном отключении.
(другие остановки ...) 5:10:34 Служба журнала событий была остановлена. 5:10:33 Клиентская служба DHCPv6 остановлена. Значение флага ShutDown: 1 5:10:33 Служба клиента DHCPv4 остановлена. Значение флага ShutDown: 1 5:10:33 Служба DHCP-клиента перешла в остановленное состояние. 5:10:34 Служба политики диагностики перешла в остановленное состояние. 5:10:34 Служба вспомогательной службы узла приложений перешла в остановленное состояние. 5:10:34 Служба журнала событий Windows перешла в остановленное состояние. 5:10:35 Служба Cryptographic Services перешла в остановленное состояние. 5:12:54 Microsoft (R) Windows (R) 6.01. 7600 Мультипроцессор Бесплатно. 5:12:54 Запущена служба журнала событий. 5:12:54 Время работы системы - 34 секунды.
Что происходит, так это то, что служба WinLogon, которая обрабатывает среду входа в систему для RDP и локальных входов, по какой-то причине зависает при завершении работы. Может быть, происходит какая-то странная блокировка, которая предотвращает завершение чего-то важного, или, может быть, реестр все еще открыт где-то. Когда вы убиваете службу winlogon, она устраняет застревание, поэтому перезагрузка может выполняться быстро.
Это оставит следы журнала событий! В журнале приложений прямо перед перезагрузкой, вероятно, будут какие-то события, описывающие, почему машина не могла сразу выйти из строя.
Причина shutdown /m \\machine /r /f /t: 0 не срабатывает с этим конкретным сообщением об ошибке, заключается в том, что если перезагрузка прошла через определенную точку, она отклонит дальнейшие запросы на перезагрузку. В pskill метод работает, потому что он не запрашивает перезагрузку компьютера, он просто сбивает с толку процесс, который блокирует текущую перезагрузку.