hronny
Goto Top

Windows Server 2012 startet willkürlich neu oder fährt herunter

Es ist doch zum verrückt werden. Seit 3 Wochen habe ich das Problem, dass ein Terminalserver mit Srv2k12r2 unkontrolliert der Meinung ist das er aus geht oder neustartet. Allerdings nicht so Netzteil-AUS-Mäßig, nee schön ordentlich "Computer wird heruntergefahren". Keine 3 Tage am Stück bleibt das Teil online. Im Ereignisprotokoll sieht man das auch:

09.07.2018 16:46:47:
Vom Prozess "C:\Windows\system32\winlogon.exe (TRMSRV)" wurde auf Anforderung des Benutzers "NT-AUTORITÄT\SYSTEM" das Ereignis "Neustart" für den Computer "TRMSRV" aus folgendem Grund initiiert: "Kein Titel für den Grund"  
 Ursachencode: "0x500ff"  
 Herunterfahrtyp: "Neustart"  
 Kommentar: ""  

09.07.2018 16:46:40:
Vom Prozess "LogonUI.exe" wurde auf Anforderung des Benutzers "NT-AUTORITÄT\SYSTEM" das Ereignis "Neustart" für den Computer "TRMSRV" aus folgendem Grund initiiert: "Anderer Grund (nicht geplant)"  
 Ursachencode: "0x5000000"  
 Herunterfahrtyp: "Neustart"  
 Kommentar: ""  

So zwischendrin mal
04.07.2018 21:58:03:
Vom Prozess "C:\Windows\system32\winlogon.exe (TRMSRV)" wurde auf Anforderung des Benutzers "NT-AUTORITÄT\SYSTEM" das Ereignis "Ausschalten" für den Computer "TRMSRV" aus folgendem Grund initiiert: "Kein Titel für den Grund"  
 Ursachencode: "0x500ff"  
 Herunterfahrtyp: "Ausschalten"  
 Kommentar: ""  

04.07.2018 21:58:01:
Vom Prozess "LogonUI.exe" wurde auf Anforderung des Benutzers "NT-AUTORITÄT\SYSTEM" das Ereignis "Herunterfahren" für den Computer "TRMSRV" aus folgendem Grund initiiert: "Anderer Grund (nicht geplant)"  
 Ursachencode: "0x5000000"  
 Herunterfahrtyp: "Herunterfahren"  
 Kommentar: ""  

Das komische daran ist: Keiner löst diesen Prozess aus. Erst hatte ich die USV-Software in Verdacht, also deinstalliert. Dann gabs wegen Spectre und Co ein neues UEFI Firmwareupdate, auch installiert. Raidcontroller und Chipsettreiber alles erneuert. Ich kann keinen richtigen Auslöser feststellen. Im Ereignisprotokoll wird einige Minuten vorher die Meldung

Das Zeitlimit (30000 ms) wurde beim Warten auf eine Transaktionsrückmeldung von Dienst UmRdpService erreicht.
geschrieben. Welche ab und zu mal kommt, aber nicht jedes mal gibts einen Neustart. Ich finde im Netz auch andere Leidensgenossen, die das Problem nicht gelöst haben. Hattet ihr schonmal so ein Problem und wie kann man es lösen?

Gruß Ronny

Content-ID: 379674

Url: https://administrator.de/contentid/379674

Ausgedruckt am: 22.11.2024 um 16:11 Uhr

dark.cube
dark.cube 09.07.2018 aktualisiert um 20:51:56 Uhr
Goto Top
Vielleicht fährt ein User den Server herunter, passieren die Neustarts auch außerhalb der Arbeitszeit?
Mal zum Test die folgende Policy prüfen und ggf. anpassen:
Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options

Nachtrag:
Überlesen, dass du geschrieben hast, dass ja anscheinend keiner den Prozess auslöst. Ist das sicher?

Um was für einen Server handelt es sich denn? Hersteller? Modell? Hardwarelogs schon geprüft?
em-pie
em-pie 09.07.2018 um 22:26:32 Uhr
Goto Top
Moin,

gibt es ggf. Windows-Updates oder sonstige Update-Prozesse (AV-Software o.Ä.),die einen Neustart auslösen lassen könnten?
Gibt es zu dem "Neustart-Ereignis" noch weitere Meldungen im Eventlog?

Leiert ggf. jemand anderes im Netzwerk den Neustart an?
Und stellt der TerminalServer einen FullDesktop bereit oder auch einzelne Applikationen?
Wurden die letzte Windows-Updates ohne Fehler installiert?

Die letzten beiden Fragen frage ich aus folgendem Grund:
Wenn am TS ein Update nicht sauber installiert wurde und dadurch manche User - aufgrund der gestarteten einzelnen Applikationen auf dem TS - das Systray-Icon des Update-Clients erhält und sich denkt "Mache jetzt Feierabend, dann lasse ich mal die Updates durchlaufen"...

würde mal schauen, welhe User zu dem Zeitpunkt zuletzt angemeldet waren...

Gruß
em-pie
hronny
hronny 10.07.2018 um 08:11:14 Uhr
Goto Top
Ich glaube die "normalen" Nutzer können unter der RDP Sitzung den Server nicht neustarten. Wir arbeiten mit NetMan der "seamless" Fenster darstellt und die Nutzer hier keine Möglichkeit für das Startmenü oder um Systraybenachrichtungen bekommen. Lediglich die Administratoren können sich auf den Desktop anmelden, was zu den Uhrzeiten nicht der Fall ist. Wenn ich selbst den Neustart ausführe, steht mein Nutzername im Protokoll, dass ich das gestartet habe und nicht wie im Moment "NT-AUTORITÄT\SYSTEM".

Server ist von Wortmann mit typischen Serverboard: Intel S2600WTT. Hier war die BIOS/UEFI Firmware in Verdacht, daher die Updates. In den Protokollen ist hier nichts zu finden.

Aufgabenplaner habe ich nichts zusätzliches drin. Als Virenscanner den GData nun auch deinstalliert, um zu Testen ob das eine Ursache sein könnte.

Windows Updates wurden zuletzt am 28.06.2018 um 05:34 Uhr installiert. Das machen wir vom WSUS aus. Fehlgeschlagene Updates ist nur eins drin vom 19.02.2018, denke nicht das dies hiermit was zu tun hat. Sehr seltsam.
nepixl
nepixl 10.07.2018 um 08:37:35 Uhr
Goto Top
Hallo,

ganz vorsichtig gefragt:
Mit den Temperaturen ist alles in Ordnung?
Läuft der TermServer als VM? Falls ja: die VM mal aufn anderen Server packen und schauen ob da ähnliches Verhalten auftritt? Falls nein: mal versuchen zu virtualisieren und dann aufn 2ten Server packen und schauen was passiert?
Um zumindest Software bzw. Hardwareprobleme eingrenzen zu können.

Gruß
erikro
erikro 10.07.2018 um 09:01:12 Uhr
Goto Top
Moin,

der Fehlercode beschreibt einen Systemfehler. Ich tippe auf einen Hardwarefehler: Graka, Prozessor, Speicher oder Hitze.

hth

Erik
SeaStorm
SeaStorm 10.07.2018 aktualisiert um 09:15:13 Uhr
Goto Top
Klassiker face-smile
stell mal
die GPO "Allow system to be shut down without having to log on"
auf Disabled.
Das Problem ist, das auf dem Lock-Screen für die User per Default ein Button "Computer Herunterfahren" existiert. Damit können die den Server runterfahren, auch wenn sie EIGENTLICH keine Berechtigung dazu haben. Wenn ein User da jetzt Gott-Weiss-Wie an den Lockscreen kommt, kann er da einfach die Kiste ausschalten.

Ein Versuch ist es alle mal Wert. Siehste ja, ob es dann noch mal vorkommt
dark.cube
dark.cube 10.07.2018 um 09:23:59 Uhr
Goto Top
Selbiges hatte ich oben schon geschrieben ;)
SeaStorm
SeaStorm 10.07.2018 um 09:39:26 Uhr
Goto Top
Ups, sorry face-smile
hronny
hronny 10.07.2018 um 20:52:06 Uhr
Goto Top
Danke erstmal für die vielen Antworten.
Die Gruppenrichtlinie habe ich geprüft. Die Einstellung fürs "Herunterfahren ohne vorherige Anmeldung" ist Standard bei Servern. Bei gpedit kam auch dieses Ergebnis raus.
Der Server ist physisch. Für aktuelle Virtualisierung dieser Maschine habe ich gerade nicht genügend Ressourcen, da die Auslastung beim Tagesgeschäft bei 60-70% CPU Last vom 2x Intel Xeon E5-2640 mit 90 GB von 256 GB Ram liegt. Spitzen von 100% sind im Monitoring auch nicht zu erkennen.
Die Serverraumkühlung läuft konstant bei 19 Grad Kaltgang und der Sensor von der CPU meint es bei 51 Grad alles im grünen Bereich.
hronny
hronny 06.08.2018 um 19:29:32 Uhr
Goto Top
Blos mal so zur Information. Ich kann nur vermuten, dass Windows Updates an dem Theater schuld sein kann. Seit meiner letzten Nachricht ist der Server komplett durchgelaufen ohne abschalten.