我们拥有一批运行 Windows Server 的 AWS EC2 实例。自从从 Windows Server 2012r2 升级到 2016 以来,我们遇到了一个问题,即服务器因未知原因关闭。在对事件日志进行详尽检查后,唯一的一致性似乎是以下内容:
The process C:\Windows\system32\winlogon.exe ([computername]) has initiated the power off of computer [computername] on behalf of user NT AUTHORITY\SYSTEM for the following reason: No title for this reason could be found
Reason Code: 0x500ff
Shutdown Type: power off
我们已经考虑并从理论上排除了以下情况:
Windows 更新问题
- 根据事件日志或 Get-WindowsUpdateLog,没有更新正在运行。Sconfig > “Windows 更新设置”设置为 DownloadOnly
电源按钮切换,或硬件/电池问题
- 这是一个 AWS EC2 实例,我们从未在任何 2012r2 或 2012 服务器上遇到过这种情况。如果它与硬件有关,它肯定会影响所有服务器版本。
Windows Server 许可证到期
- 这些服务器根据“slmgr.vbs /dlv”获得了正确的许可,并且分别在首次启动后的第 39、62 和 188 天发生关闭。
在旧版本的 mstsc 中,登录屏幕上会显示一个电源按钮,可以通过这种方式关闭系统
- 这一理论主要基于这个帖子 但要明确的是,这是针对 2012 年的服务器,而我们使用的是 2016 年的服务器。我根本无法重现这一点。
有人知道是什么原因导致这次关机吗?或者,有人知道我们如何才能找到更多信息吗?我查看了我能找到的每个日志文件和事件日志。也没有与关机时间相对应的 dmp 文件。
答案1
原因代码表明这是一个蓝屏 (SHTDN_REASON_MAJOR_SYSTEM | SHTDN_REASON_MINOR_BLUESCREEN)
参考: https://docs.microsoft.com/fr-fr/windows/desktop/Shutdown/system-shutdown-reason-codes
您应该检查您的驱动程序/软件是否是最新的。不要忘记检查您的防病毒软件,因为过时的第三方防病毒软件可能会导致蓝屏。
您可以使用蓝屏视图帮助您分析 BSOD 内存转储(如果有)。
答案2
我们遵循了@HarryJohnston 的评论建议,创建了一个 GPO 来禁用从锁定屏幕关闭服务器的选项。具体政策如下:
计算机配置\Windows 设置\安全设置\本地策略\安全选项 > 关机: 允许系统关闭而无需登录 > 已禁用
自一个月前这样做以来,我们没有看到任何意外关机(之前大约每周一次)。我仍然很奇怪 AWS 的默认 Windows Server 2016 AMI 会启用此选项,而且实际上可以从某个地方访问它,但似乎确实如此。
答案3
只是想知道在您实施此组策略后是否发生过此问题?
我有完全相同的问题,我们有 EC2 实例,其中两个已关闭,我们与 AWS 沟通,他们说没有进行任何 API 调用来关闭,我们有 connectwise 控制,但它没有显示任何人登录。
当我通过 connectwise 控制关闭服务器且未进行身份验证时,我能够获得完全相同的事件 ID,但是当时没有人登录。
我们也有 Royal TS,我们通过它访问服务器。不确定您是否有这些产品。
我向微软提出了案件,但他们也找不到它。
如果您能告诉我实施组策略后问题是否消失,我将不胜感激。
谢谢