Windows
Windows Server 2016 意外關閉:winlogon、NT AUTHORITYSYSTEM、0x500ff
我們有一組執行 Windows Server 的 AWS EC2 實例。自從從 Windows Server 2012r2 遷移到 2016 後,我們遇到了伺服器因未知原因關閉的問題。在對事件日誌進行詳盡檢查後,唯一的一致性似乎如下:
The process C:\Windows\system32\winlogon.exe ([computername]) has initiated the power off of computer [computername] on behalf of user NT AUTHORITY\SYSTEM for the following reason: No title for this reason could be found Reason Code: 0x500ff Shutdown Type: power off
我們已經考慮並在理論上排除了以下情況:
- Windows 更新問題
- 根據事件日誌或 Get-WindowsUpdateLog,沒有執行更新。Sconfig >“Windows 更新設置”設置為僅下載
- 電源按鈕切換,或硬體/電池問題
- 這是一個 AWS EC2 實例,我們從未在任何 2012r2 或 2012 伺服器上遇到過這種情況。如果它與硬體相關肯定會影響所有伺服器版本。
- Windows Server 許可證到期
- 這些伺服器已根據“slmgr.vbs /dlv”正確授權,並且在首次啟動後的 39、62 和 188 天發生了關閉。
- 對於舊版本的 mstsc,登錄螢幕上會顯示一個電源按鈕,可用於以這種方式關閉系統
- 這個理論主要基於這篇文章 ,但要明確的是,這是針對 2012 年的伺服器,而我們是在 2016 年。我也完全無法重現這一點。
有誰知道是什麼導致了這次關閉?或者,知道我們如何才能找到更多資訊嗎?我查看了我能找到的每個日誌文件和事件日誌。也沒有對應關機時間的dmp文件。
我們遵循了@HarryJohnston 評論中的建議,並創建了一個 GPO 來禁用從鎖定螢幕關閉伺服器的選項。具體政策是:
電腦配置\Windows 設置\安全設置\本地策略\安全選項 > 關機:允許系統在無需登錄的情況下關閉 > 已禁用
自從一個月前這樣做以來,我們沒有看到任何意外關閉(之前每周大約會看到一次)。我仍然感到奇怪的是,AWS 的預設 Windows Server 2016 AMI 會啟用此選項,並且實際上可以從某個地方訪問它,但似乎確實如此。
原因程式碼顯示它是藍屏 (SHTDN_REASON_MAJOR_SYSTEM | SHTDN_REASON_MINOR_BLUESCREEN)
參考: https ://docs.microsoft.com/fr-fr/windows/desktop/Shutdown/system-shutdown-reason-codes
您應該檢查您的驅動程序/軟體是否是最新的。不要忘記檢查您的防病毒軟體,因為過時的第三方防病毒軟體可能會導致藍屏。
您可以使用BlueScreenView幫助您分析 BSOD 記憶體轉儲(如果有)。