Windows

Windows Server 2016 意外關閉:winlogon、NT AUTHORITYSYSTEM、0x500ff

  • February 26, 2022

我們有一組執行 Windows Server 的 AWS EC2 實例。自從從 Windows Server 2012r2 遷移到 2016 後,我們遇到了伺服器因未知原因關閉的問題。在對事件日誌進行詳盡檢查後,唯一的一致性似乎如下:

The process C:\Windows\system32\winlogon.exe ([computername]) has initiated the power off of computer [computername] on behalf of user NT AUTHORITY\SYSTEM for the following reason: No title for this reason could be found
Reason Code: 0x500ff
Shutdown Type: power off

我們已經考慮並在理論上排除了以下情況:

  1. Windows 更新問題
  • 根據事件日誌或 Get-WindowsUpdateLog,沒有執行更新。Sconfig >“Windows 更新設置”設置為僅下載
  1. 電源按鈕切換,或硬體/電池問題
  • 這是一個 AWS EC2 實例,我們從未在任何 2012r2 或 2012 伺服器上遇到過這種情況。如果它與硬體相關肯定會影響所有伺服器版本。
  1. Windows Server 許可證到期
  • 這些伺服器已根據“slmgr.vbs /dlv”正確授權,並且在首次啟動後的 39、62 和 188 天發生了關閉。
  1. 對於舊版本的 mstsc,登錄螢幕上會顯示一個電源按鈕,可用於以這種方式關閉系統
  • 這個理論主要基於這篇文章 ,但要明確的是,這是針對 2012 年的伺服器,而我們是在 2016 年。我也完全無法重現這一點。

有誰知道是什麼導致了這次關閉?或者,知道我們如何才能找到更多資訊嗎?我查看了我能找到的每個日誌文件和事件日誌。也沒有對應關機時間的dmp文件。

我們遵循了@HarryJohnston 評論中的建議,並創建了一個 GPO 來禁用從鎖定螢幕關閉伺服器的選項。具體政策是:

電腦配置\Windows 設置\安全設置\本地策略\安全選項 > 關機:允許系統在無需登錄的情況下關閉 > 已禁用

自從一個月前這樣做以來,我們沒有看到任何意外關閉(之前每周大約會看到一次)。我仍然感到奇怪的是,AWS 的預設 Windows Server 2016 AMI 會啟用此選項,並且實際上可以從某個地方訪問它,但似乎確實如此。

原因程式碼顯示它是藍屏 (SHTDN_REASON_MAJOR_SYSTEM | SHTDN_REASON_MINOR_BLUESCREEN)

參考: https ://docs.microsoft.com/fr-fr/windows/desktop/Shutdown/system-shutdown-reason-codes

您應該檢查您的驅動程序/軟體是否是最新的。不要忘記檢查您的防病毒軟體,因為過時的第三方防病毒軟體可能會導致藍屏。

您可以使用BlueScreenView幫助您分析 BSOD 記憶體轉儲(如果有)。

引用自:https://serverfault.com/questions/962477