次の理由で、プロセス C:\Windows\system32\winlogon.exe 勝手に電源OFF(0x500ff)シャットダウンする理由に関しての情報です。
以下は質問の抜粋です。
先月、某データセンターの専用サーバを契約しました。
OSはWindowsServer2016 Standard Editionです。
運用をはじめてから、6/25 11:30頃、勝手に再起動、その後、6/28 17:40、6/29 17:27頃、勝手に電源OFFになりました。イベントログは下記に記載のとおりですが、
ユーザー名にはsystemとあり、ユーザーが勝手に電源OFF等していないのは明らかです。
ブルースクリーンになるような重大エラーのイベントログはありません。7/1にWindowsUpdateを最新の状態まで繰り返し実行し、
さらに問題切り分けとして某データセンターにハードウェア交換を実施していただきましたが、
それでも本日7/4 17:05頃、勝手に電源OFFになりました。※本現象が起きたときWindowsUpdateを確認したら、下記更新プログラムがインストールする
準備ができている状態になっていたことを補足いたします。
【更新プログラム】Windows Defender Antivirus の定義の更新 – KB2267602 (定義 1.271.460.0)。下記ブログ全く同じ現象なのですが文中にある「shutdown.exe /r /d P:4:2」も7/1に実行しています。
http://tubabass.blog48.fc2.com/blog-entry-46.html大変困っている状況です。どなたか原因が分かる方がいらしたら、ご回答いただければ幸いです。
<イベントログ>
次の理由で、プロセス C:\Windows\system32\winlogon.exe (#サーバ名#) は、ユーザー NT AUTHORITY\SYSTEM の代わりに、コンピューター #サーバ名# の 電源を切る を始めました: この理由のタイトルが見つかりません
理由コード: 0x500ff
シャットダウンの種類: 電源を切る
コメント:
高負荷状態になったため、winlogon.exeが勝手に電源OFFしたかもという情報があったのですが、こういったことはないようです。
以下は結果です。
ほぼ原因を特定することができました。
結論から申し上げますとエンドユーザ様が何らかの理由でログイン認証に失敗し、
ログイン画面を閉じるとき、右下に表示されるシャットダウンから電源OFFを選択された
可能性が極めて高いということでした。
電源OFFの直前にセキュリティのイベントログに必ず既存のユーザ名で「失敗の監査」が記録されていました。
また、ネットワークレベル認証を無効にした場合、”/console”を付けずに、"mstsc /v" だけでも
シャットダウンボタン付きのログイン画面が表示されることが分かりました。
エンドユーザ様が認証に失敗する理由は弊社の事情があり、割愛しますが、ほぼ原因が特定されたということで、
本件はCloseさせていただきます。
某データセンターにはシャットダウンボタンが表示されることについて、問題として認識していただき、
ポリシー上、何らかの対処をしていただけることになりました。
親身にLapivy様からアドバイスを頂いたことで問題切り分けがスムーズになり、原因特定に至ることができました。
勝手にシステムが停止したのか、ユーザー操作なのかはイベントログだけでは判断が難しいので、やはりヒアリングするか、停止させたくない場合は、システムで制御するしかないですね。
 |
|
Anker PowerCore 10000 (10000mAh 大容量 モバイルバッテリー)【PSE技術基準適合/PowerIQ搭載】 iPhone&Android対応 (ブラック) |
