none
SBS2011 startet ungewollt durch RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo liebe Community,

    habe kürzlich einen  SBS 2011 aufgesetzt (ca. 10 User) und alle verfügbaren Updates runter gezogen.

    Nun ist es schon zweimal passiert, dass der Server durchstartet, ohne dass er das machen soll. Einmal am zweiten Tag nach der Installation und jetzt aktuell gestern Abend (nach einer Woche klaglosem Betrieb) 3 x kurz hintereinander.

    Im Eventlog (system) konnte ich teilweise auch die Ursache ergründen:

    Protokollname: System
    Quelle:        USER32
    Datum:         20.08.2013 20:30:19
    Ereignis-ID:   1074
    Aufgabenkategorie:Keine
    Ebene:         Informationen
    Schlüsselwörter:Klassisch
    Benutzer:      SYSTEM
    Computer:      SBS2011.company.local
    Beschreibung:
    Der Prozess C:\Windows\system32\services.exe (SBS2011) hat den/das Neustart von Computer SBS2011 für Benutzer NT-AUTORITÄT\SYSTEM aus folgendem Grund initialisiert: Kein Titel für den Grund
     Begründungscode: 0x30006
     Herunterfahrtyp: Neustart
     Kommentar: Windows muss jetzt neu gestartet werden, da der Dienst Remoteprozeduraufruf (RPC) unerwartet beendet wurde
    Ereignis-XML:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="USER32" />
        <EventID Qualifiers="32768">1074</EventID>
        <Level>4</Level>
        <Task>0</Task>
        <Keywords>0x80000000000000</Keywords>
        <TimeCreated SystemTime="2013-08-20T18:30:19.000000000Z" />
        <EventRecordID>36273</EventRecordID>
        <Channel>System</Channel>
        <Computer>SBS2011.company.local</Computer>
        <Security UserID="S-1-5-18" />
      </System>
      <EventData>
        <Data>C:\Windows\system32\services.exe (SBS2011)</Data>
        <Data>SBS2011</Data>
        <Data>Kein Titel für den Grund</Data>
        <Data>0x30006</Data>
        <Data>Neustart</Data>
        <Data>Windows muss jetzt neu gestartet werden, da der Dienst Remoteprozeduraufruf (RPC) unerwartet beendet wurde</Data>
        <Data>NT-AUTORITÄT\SYSTEM</Data>
        <Binary>06000300000000000000000000000000000000000000000000000000000000000000000000000000</Binary>
      </EventData>
    </Event>


    Protokollname: System
    Quelle:        Service Control Manager
    Datum:         20.08.2013 20:30:19
    Ereignis-ID:   7031
    Aufgabenkategorie:Keine
    Ebene:         Fehler
    Schlüsselwörter:Klassisch
    Benutzer:      Nicht zutreffend
    Computer:      SBS2011.company.local
    Beschreibung:
    Der Dienst "RPC-Endpunktzuordnung" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 120000 Millisekunden durchgeführt: Neustart des Diensts.
    Ereignis-XML:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Service Control Manager" Guid="{555908d1-a6d7-4695-8e1e-26931d2012f4}" EventSourceName="Service Control Manager" />
        <EventID Qualifiers="49152">7031</EventID>
        <Version>0</Version>
        <Level>2</Level>
        <Task>0</Task>
        <Opcode>0</Opcode>
        <Keywords>0x8080000000000000</Keywords>
        <TimeCreated SystemTime="2013-08-20T18:30:19.180674500Z" />
        <EventRecordID>36275</EventRecordID>
        <Correlation />
        <Execution ProcessID="816" ThreadID="5160" />
        <Channel>System</Channel>
        <Computer>SBS2011.company.local</Computer>
        <Security />
      </System>
      <EventData>
        <Data Name="param1">RPC-Endpunktzuordnung</Data>
        <Data Name="param2">1</Data>
        <Data Name="param3">120000</Data>
        <Data Name="param4">1</Data>
        <Data Name="param5">Neustart des Diensts</Data>
      </EventData>
    </Event>

    Protokollname: System
    Quelle:        Service Control Manager
    Datum:         20.08.2013 20:30:19
    Ereignis-ID:   7031
    Aufgabenkategorie:Keine
    Ebene:         Fehler
    Schlüsselwörter:Klassisch
    Benutzer:      Nicht zutreffend
    Computer:      SBS2011.company.local
    Beschreibung:
    Der Dienst "Remoteprozeduraufruf (RPC)" wurde unerwartet beendet. Dies ist bereits 1 Mal vorgekommen. Folgende Korrekturmaßnahmen werden in 60000 Millisekunden durchgeführt: Neustart des Computers.
    Ereignis-XML:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Service Control Manager" Guid="{555908d1-a6d7-4695-8e1e-26931d2012f4}" EventSourceName="Service Control Manager" />
        <EventID Qualifiers="49152">7031</EventID>
        <Version>0</Version>
        <Level>2</Level>
        <Task>0</Task>
        <Opcode>0</Opcode>
        <Keywords>0x8080000000000000</Keywords>
        <TimeCreated SystemTime="2013-08-20T18:30:19.180674500Z" />
        <EventRecordID>36276</EventRecordID>
        <Correlation />
        <Execution ProcessID="816" ThreadID="5160" />
        <Channel>System</Channel>
        <Computer>SBS2011.company.local</Computer>
        <Security />
      </System>
      <EventData>
        <Data Name="param1">Remoteprozeduraufruf (RPC)</Data>
        <Data Name="param2">1</Data>
        <Data Name="param3">60000</Data>
        <Data Name="param4">2</Data>
        <Data Name="param5">Neustart des Computers</Data>
      </EventData>
    </Event>

    Protokollname: System
    Quelle:        Microsoft-Windows-Kernel-Power
    Datum:         20.08.2013 20:55:10
    Ereignis-ID:   109
    Aufgabenkategorie:(103)
    Ebene:         Informationen
    Schlüsselwörter:(4)
    Benutzer:      Nicht zutreffend
    Computer:      SBS2011.company.local
    Beschreibung:
    Von der Energieverwaltung des Kernels wurde ein Herunterfahrvorgang initiiert.
    Ereignis-XML:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Microsoft-Windows-Kernel-Power" Guid="{331C3B3A-2005-44C2-AC5E-77220C37D6B4}" />
        <EventID>109</EventID>
        <Version>0</Version>
        <Level>4</Level>
        <Task>103</Task>
        <Opcode>0</Opcode>
        <Keywords>0x8000000000000004</Keywords>
        <TimeCreated SystemTime="2013-08-20T18:55:10.848132300Z" />
        <EventRecordID>43289</EventRecordID>
        <Correlation />
        <Execution ProcessID="680" ThreadID="684" />
        <Channel>System</Channel>
        <Computer>SBS2011.company.local</Computer>
        <Security />
      </System>
      <EventData>
        <Data Name="ShutdownActionType">5</Data>
        <Data Name="ShutdownEventCode">0</Data>
        <Data Name="ShutdownReason">0</Data>
      </EventData>
    </Event>

    Vom Stop des RPC-Dienstes bis zum eigentlichen Durchstarten (Meldung Kernel Power) dauert es dann noch 20 Minuten (!) und nicht 60 Sekunden, wie angekündigt...

    Liest sich erst mal wie der klassische Sasser-Virus damals unter XP... Das Loch ist ja aber bei Server 2008 R2 gepatcht.

    Energiesparoptionen habe ich auch schon nachgeschaut. Standard-Einstellungen out of the box.

    Zwischen den drei Neustarts gestern Abend lag ziemlich genau jeweils 1 Stunde. Das mag Zufall sein....

    Konnte im Event-Log keine nähere Ursache für das Anhalten des Remoteprozeduraufrufes finden :-(

    Kann mir hier jemand eine Tipp geben?!?

    Vielen Dank!

    SBS2011-Admin


    Mittwoch, 21. August 2013 12:17
    |

Alle Antworten