Какие шаги нужно предпринять, чтобы выявить причины случайных перезагрузок компьютера, подключенного к домену?

Question

Avery

windows , active-directory

Какие шаги нужно предпринять, чтобы выявить причины случайных перезагрузок компьютера, подключенного к домену?

Всем привет! У пользователей периодически происходят перезагрузки компьютеров во время работы, и это происходит с разной частотой. Мы используем Windows 10 и 11. В журнале событий фиксируется событие с кодом 1074, которое выглядит следующим образом: 

<pre><code>Процесс C:\Windows\SysWOW64\shutdown.exe (OSL-9) инициировал действие "Перезапустить" для компьютера OSL-9 от имени пользователя NT AUTHORITY\СИСТЕМА по причине: Причина не указана
 Код причины: 0x800000ff
 Тип выключения: Перезапустить
 Комментарий: ЭКСТРЕННАЯ перезагрузка системы.</code></pre>

При этом перед перезагрузкой появляется соответствующее сообщение, и после закрытия уведомления ПК перезапускается. 

У нас есть подозрения на то, что это связано с настройками WSUS и GPO. Все настройки проверены, и не должно происходить перезагрузки с получением обновлений в рабочее время, но по каким-то причинам это все же происходит. 

Как можно провести диагностику данной проблемы с перезагрузкой Windows? Есть ли возможность определить, что именно инициирует перезагрузку?

26 сентября 2024 г. 12:23

Ответы на вопрос 4

Похожие вопросы

Answer 1

Чтобы выявить причины случайных перезагрузок компьютеров, подключенных к домену, можно предпринять следующие шаги:

### 1. Проверка журнала событий

#### Журнал событий Windows
- Откройте "Просмотр событий" (Event Viewer) и проверьте журнал системных событий (System).
- Ищите другие события, связанные с перезагрузками, особенно перед событием ID 1074. Это может помочь выявить, что именно инициирует перезагрузку.
- Обратите внимание на события с ID 6006 (Остановка службы) и 6005 (Начало службы), которые могут указывать на то, что система перезапускалась.

### 2. Проверка настроек WSUS

- Убедитесь, что настройка "Автоматическое обновление" в настройках WSUS не вызывает перезагрузку во время рабочего времени.
- Проверьте политику GPO, связанную с установкой обновлений. Убедитесь, что параметр "Не перезагружать автоматом" включен.
- Проверьте, не указаны ли в политике GPO какие-либо временные окна для перезапусков.

### 3. Мониторинг запланированных задач

- Откройте "Планировщик задач" и проверьте, нет ли запланированных задач, которые могут инициировать перезагрузки. Обратите внимание на задачи, созданные системой и сторонними приложениями.

### 4. Проверка стороннего ПО

- Если на компьютерах установлено программное обеспечение для автоматического обновления (например, антивирусы), проверьте его настройки на предмет инициирования перезагрузок.
- Убедитесь, что нет других сторонних программ, выполняющих автоматические обновления или требующих перезагрузки системы.

### 5. Использование утилиты PsExec

- Напишите команду с помощью утилиты PsExec, чтобы отследить процесс, инициирующий перезагрузку. Если у вас есть возможность, используйте команду:
```bash
psexec -s -d shutdown -a 0
```
Это может помочь вам отследить, какое приложение вызывает перезагрузку.

### 6. Настройка мониторинга системного состояния

- Рассмотрите возможность использования инструментов мониторинга, таких как System Center Operations Manager (SCOM) или аналогичных, для отслеживания состояния системы и получения подробной информации о причинах перезагрузки.

### 7. Проверка оборудования и драйверов

- Иногда проблема может быть связана с аппаратными сбоями или несовместимостью драйверов. Убедитесь, что все драйверы обновлены до последней версии и что оборудование работает корректно.

### 8. Тестирование на месте

- Если проблема сохраняется, возможно, стоит провести тесты на некоторых компьютерах, отключив их от домена и проверив, происходит ли перезагрузка.

### 9. Вариант обработки GPO

- Рассмотрите возможность временно отключить политику GPO, отвечающую за автоматические обновления и перезагрузки, и посмотрите, сохраняется ли проблема. Это может помочь выявить, связано ли это с GPO.

Успехов в диагностике проблемы!

Answer 2

Возможно ранее было создано локальное задание на shutdown. 
 Потом его удалили из политики, но на локально созданное это не повлияло. 
 Обратите внимание на "ЭКСТРЕННАЯ перезагрузка системы" - это явно содано вручную человеком.

Answer 3

Я бы искал Scheduled Task  на шатдаун. Причем задание может отрабатывать с любого хоста в вашей сети. У вас айтишников\админов недавно не увольняли?

Answer 4

Имеет смысл заглянуть в журнал безопасности (Security Log) и библиотеку планировщика на предмет нестандартных задач... 
 Комментарий: ЭКСТРЕННАЯ перезагрузка системы.
 вот это явно вручную заданный комментарий, обычно тут пустая строка