予期しないWindows Server 2016シャットダウン:winlogon、NT AUTHORITY \ SYSTEM、0x500ff
Windows Serverを実行しているAWS EC2インスタンスのフリートがあります。 Windows Server 2012r2から2016に移行してから、不明な理由でサーバーがシャットダウンするという問題が発生しました。イベントログを徹底的に検査した後、唯一の一貫性は次のように見えます。
The process C:\Windows\system32\winlogon.exe ([computername]) has initiated the power off of computer [computername] on behalf of user NT AUTHORITY\SYSTEM for the following reason: No title for this reason could be found
Reason Code: 0x500ff
Shutdown Type: power off
以下を考慮し、理論的に除外しました。
Windows Updatesの問題
- イベントログまたはGet-WindowsUpdateLogによると、更新は実行されていませんでした。 Sconfig> "Windows Update Settings"がDownloadOnlyに設定されている
電源ボタンの切り替え、またはハードウェア/バッテリーの問題
- これはAWS EC2インスタンスであり、2012r2または2012サーバーでこれを経験したことはありません。ハードウェア関連であった場合は、すべてのサーバーバージョンに影響します。
Windows Serverライセンスの有効期限
- これらのサーバーは "slmgr.vbs/dlv"に従って正しくライセンスされており、シャットダウンは最初の電源投入から39、62、および188日後に発生しています。
古いバージョンのmstscでは、ログオン画面に電源ボタンが表示されます。これを使用して、この方法でシステムの電源を切ることができます
- この理論は主に この投稿 に基づいていますが、2012年のサーバーであることが明確になり、2016年になりました。これを再現することもできませんでした。
誰かがこのシャットダウンを引き起こしている可能性のある考えを持っていますか?または、より多くの情報を見つける方法を教えてください。見つけることができるすべてのログファイルとイベントログを調べました。シャットダウンの時刻に対応するdmpファイルもありません。
@HarryJohnstonのコメントのアドバイスに従い、GPOを作成して、ロック画面からサーバーをシャットダウンするオプションを無効にしました。具体的なポリシーは次のとおりです。
コンピューターの構成\ Windowsの設定\セキュリティの設定\ローカルポリシー\セキュリティオプション>シャットダウン:ログオンせずにシステムのシャットダウンを許可>無効
1か月前にこれを行って以来、予期しないシャットダウンは発生していません(以前は約1週間に1回発生していました)。 AWSのデフォルトのWindows Server 2016 AMIではこのオプションが有効になっていること、そして実際にはどこからでもアクセスできることはまだ奇妙ですが、それは事実でした。
理由コードは、それがBlueScreenであることを示しています(SHTDN_REASON_MAJOR_SYSTEM | SHTDN_REASON_MINOR_BLUESCREEN)
参照: https://docs.Microsoft.com/fr-fr/windows/desktop/Shutdown/system-shutdown-reason-codes
ドライバー/ソフトウェアが最新であることを確認する必要があります。アンチウイルスもチェックすることを忘れないでください。古いサードパーティのアンチウイルスがブルースクリーンにつながる可能性があるためです。
BlueScreenView を使用すると、BSODメモリダンプ(存在する場合)の分析に役立ちます。