Windows 2008R2 服务器意外重启

一台 Windows 2008 R2 计算机会不时自动重启，通常是在周五下午。重启会在事件日志中“通告”，如下所示：

Event ID: 1074
process:  svchost.exe,  
user:     NT-AUTHORITY/System, 
reason:   OS:restore(planned), 
code:     0x80020002

我想这正是我们 WSUS 服务器的 Windows 更新需要重新启动时可以预料到的事件。但是，据我所知，这种重新启动最多应该在凌晨 3 点左右发生。今年这种情况已经多次发生，即

1. 2013-01-10 03:15:12 - 可能是由于更新
2. 2013-01-20 03:04:37 - 可能是由于更新
3. 2013-02-14 16:35:27 - 那是什么？？
4. 2013-03-06 16:23:07 - 那是什么？？
5. 2013-03-15 13:49:12 — 那是什么？？
6. 2013-04-14 21:18:36 - 那是什么？？
7. 2013-04-26 14:58:54 - 那是什么？？
8. 2013-05-17 15:51:41 — 那是什么？？

如果我在今天重启后检查更新，它会显示

Last time checked for updates: Today, 15:47
Updates installed: Yesterday, 20:57

因此，虽然重启前的最后一次检查时间很短，但最后一次实际的更新于昨天进行（Forefront 病毒定义更新，无需重新启动）。

可能是什么原因造成的？如何预防？

请随时询问更多详细信息。

---

更新： 距关机事件最近的事件日志条目WindowsUpdateClient为：

• 在上述事件 #1074 之后立即停止：事件 #27“自动更新”已停止
• 13:00（关机前约 3 小时）：事件＃19：安装成功（Forefront 定义更新）
• 在 15:55（重启后不久）：几个事件 #19：安装成功（多个操作系统更新、安全更新和累积安全更新）

最后一点中的更新可能正在等待重新启动。事实上，我在 2013-05-16 03:14:28 发现了事件 #22（“需要重新启动，计算机将在 15 分钟后重新启动”），其中恰好提到了重新启动后事件中提到的更新。但是，为什么它没有像事件消息所建议的那样在昨天凌晨 3:30 重新启动，而是在今天下午 4 点重新启动？

Computer configuration\Administratove templates\Windows components\Windows update应大家需求，根据GPO建模向导进行下相关策略设置：

• 配置自动更新：启用“4 - 按计划下载并安装”、“每日”、“凌晨 03:00”
• 自动更新立即安装：已启用
• 启用客户端定向：通过“MyGroup”启用
• 指定内部网 Microsoft 更新位置：已启用更新和统计信息 =“ http://my-wsus-server”
• 登录用户计划更新不自动重启：已启用
• 允许来自 Intranet Microsoft 更新服务的签名更新：已启用
• 自动更新检测频率：22 小时

我对这些设置没有不好的感觉。唯一的怀疑是登录用户计划的更新不会自动重启。但是，对于观察到的行为，用户必须从昨天凌晨 3 点登录到今天下午 4 点（或可能是多个重叠会话）。在安全事件日志的海洋中筛选后，我确实发现：三个事件 #4634（注销），两个用于管理员 RDP 会话（类型 10），一个用于管理员控制台会话（类型 2），所有这些都与上面的事件 #1074 在同一秒发生！但原因是什么，结果又是什么？或者为什么三个会话会同时被终止？