Перейти к основному содержанию

Расследование перезагрузки Windows сервера

Windows Server

Сервер сам неожиданно перезагрузился. Никто бы и не заметил, вот только это оказался сервер 1С. Пришлось выяснять, чего это у нас сервера сами перезагружаются...

В большинстве случаев узнать причину перезагрузки можно из логов.

Windows — узнать причину перезагрузки сервера

Фильтруем в журнале события по Event ID "1074". И находим источник зла.

The process C:\Windows\System32\svhost.exe (1C01) has initiated the restart of computer 1C01 on behalf of user NT AUTHORITY\SYSTEM for the following reason: Operating System: Service pack (Planned)
Reason Code: 0x80020010
Shutdown Type: restart

win

Сервер перезагрузился для обновления системы. Это очень странно, потому что у нас групповыми политиками должна быть запрещена перезагрузка серверов для обновления. Проверим через PowerShell:

Get-ChildItem HTLM:\Software\Policies\Microsoft\Windows\WindowsUpdate

Здесь меня смущает свойство AUOptions со значением 2.

win

Посмотрим в групповые политика сервера.

gpedit.msc

Computer Configuration → Policies → Administrative templates → Windows Component → Windows Update. (Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Центр обновления Windows).

Смотрим Configure Automatic Updates (Настройка автоматического обновления). Здесь у нас ничего не настроено, по умолчанию должно быть 3: Download the updates automatically and notify when they are ready to be installed.

win

А на самом деле, как мы убедились скриптом, стоит значение 2: Notify before downloading and installing any updates.

В панели управления посмотрим, что там устанавливалось. А прилетело два обновления.

win

Посмотрим сведения об установленных KB. Древние, на самом деле. Но нас интересует строка, сообщающая нам о том, что после установки этого обновления может потребоваться перезагрузить компьютер.

win

Можно сделать вывод, что действительно на сервере в явном виде разрешена перезагрузка при установке обновлений, что и произошло.

Проверяем групповые политики и обнаруживаем, что кто-то туда влез, и поставил в Configure Automatic Updates значение 2: Notify before downloading and installing any updates. Правим политику, применяем, смотрим результат:

win

Проблема устранена, осталось выяснить, кто исправил политику, но это уже другая история.

Теги

 

Похожие материалы

Удалённо завершить сеанс пользователя Windows Server 2012 R2

Случилось так, что юзер на сервере запустил Wireshark и забыл. Через несколько дней оперативка кончилась и серверу Windows Server 2012 R2 стало плохо. Попытки зайти на сервер по RDP или консоль не увенчались успехом. Удалось удалённо подключиться к управлению компьютером и в логах узнать о проблемах с оперативкой. Стало понятно, что нужно сделать юзеру LOGOFF, чтобы все запущенные приложения завершили свою работу.

Теги

The following boot-start or system-start driver(s) failed to load: i8042prt

Драйвер i8042prt для контроллера Intel 8042, который управляет клавиатурой и PS/2-совместимой мышкой. Ошибка возникает при установленной клавиатуре и мыши USB или вообще без них.

Windows Server 2016 — настройка Windows Server Backup

Настроим с нуля Windows Server Backup на сервере с операционной системой Windows Server 2016. Я хочу, чтобы сервер сам себя бэкапил. К ОС подключен диск "B", будем бэкапиться на него. Поехали.

Теги