none
勝手に電源OFF(0x500ff) RRS feed

  • 質問

  • 先月、某データセンターの専用サーバを契約しました。
    OSはWindowsServer2016 Standard Editionです。
    運用をはじめてから、6/25 11:30頃、勝手に再起動、その後、6/28 17:40、6/29 17:27頃、勝手に電源OFFになりました。

    イベントログは下記に記載のとおりですが、

    ユーザー名にはsystemとあり、ユーザーが勝手に電源OFF等していないのは明らかです。
    ブルースクリーンになるような重大エラーのイベントログはありません。


    7/1にWindowsUpdateを最新の状態まで繰り返し実行し、

    さらに問題切り分けとして某データセンターにハードウェア交換を実施していただきましたが、

    それでも本日7/4 17:05頃、勝手に電源OFFになりました。


    ※本現象が起きたときWindowsUpdateを確認したら、下記更新プログラムがインストールする

     準備ができている状態になっていたことを補足いたします。

     【更新プログラム】Windows Defender Antivirus の定義の更新 – KB2267602 (定義 1.271.460.0)。


    下記ブログ全く同じ現象なのですが文中にある「shutdown.exe /r /d P:4:2」も7/1に実行しています。

    http://tubabass.blog48.fc2.com/blog-entry-46.html


    大変困っている状況です。どなたか原因が分かる方がいらしたら、ご回答いただければ幸いです。


    <イベントログ>
    次の理由で、プロセス C:\Windows\system32\winlogon.exe (#サーバ名#) は、ユーザー NT AUTHORITY\SYSTEM の代わりに、コンピューター #サーバ名# の 電源を切る を始めました: この理由のタイトルが見つかりません
     理由コード: 0x500ff
     シャットダウンの種類: 電源を切る
     コメント: 

    2018年7月4日 12:45

回答

  • なるほど、ログオン画面右下の電源ボタンからシャットダウンを行うと、その様なログが記録されますね。

    ボタンを消すために設定したのは "シャットダウン:システムをシャットダウンするのにログオンを必要としない" でしょうか?

    この設定は、クライアント OS の場合は既定で有効ですが、サーバー OS の場合は既定で無効のはずですので、データセンター側で既定値から設定を変更してたのかもしれませんね。

     

    また、"mstsc /console /v" でログオン画面 (コンソール画面) に接続されるとの事ですが、このコマンドの意味するところはコンソールセッションへの接続ですので、ログオン画面 (コンソール画面) への接続と言う意味では有りません。

    "mstsc /console /v" でログオン画面が表示されたと言う事は、ネットワークレベル認証が無効になっているのかと思われますので、不正アクセスの防止・セキュリティ向上の観点からすると、ネットワークレベル認証は有効にする事をお奨めします。

     

    Windows Server 2008 R2: ネットワーク レベル認証を使用すべき理由

    https://technet.microsoft.com/ja-jp/library/hh750380.aspx?f=255&MSPPError=-2147217396

     

    ただし、ネットワークレベル認証を有効にすると以下の様な事象が発生する場合が有りますので、有効にする場合は注意して下さい。

     

    Windows Server 2012 R2 および Windows 8.1 以降のネットワーク レベル認証の動作について

    https://blogs.technet.microsoft.com/askcorejp/2015/11/10/windows-server-2012-r2-windows-8-1-1/

     

    2018 年 5 月の更新プログラム適用によるリモート デスクトップ接続への影響

    https://blogs.technet.microsoft.com/askcorejp/2018/05/02/2018-05-rollup-credssp-rdp/

     

    また、リモートデスクトップ接続で使用するポートを既定から変更しているとの事ですが、該当のサーバーに対してポートスキャンを行い、待ち受けているポート (解放されているポート) をリストアップし、可能性のあるポートを使ってしらみ潰しにリモートデスクトップ接続を試みれば、リモートデスクトップ接続に利用しているポートを特定できるのではないかと思われます。


    • 回答としてマーク nobuhiro1972 2018年7月9日 8:01
    2018年7月6日 8:35

すべての返信

  • メーカーが提供しているドライバに不具合が有ったり、意図せず Windows Update から不具合の有る (適切では無い) ドライバがインストールされると、その様な事象が発生する可能性が考えられます。

     

    https://social.technet.microsoft.com/Forums/ie/ja-JP/91f3d83c-08d4-4cd6-9058-53a104e32481/w2k12r2?forum=winserver8

     

    https://social.technet.microsoft.com/Forums/ja-JP/01175bea-5708-451e-a7fc-c8487ce46564/windows-server-2012?forum=winserver8#6f722bb0-6636-49d1-9ae4-32f80927f130

    2018年7月4日 13:40
  • Lapivy様

    早速のご回答大変ありがとうございます。

    某データセンターの協力の下、ドライバ関係の調査もしたいと思います。


    2018年7月4日 14:02
  • Lapivy様

    本事象ですが、原因らしきものが、見つかりました。

    当該サーバはリモートデスクトップ経由で弊社アプリケーションを動作させるためのものですが、

    夕方あたりにセッション数が多くなります。

    エンドユーザ様のパソコンはWindows7でRDP7.1で、

    サーバはWindowsServer2016のため、RDP10.2です。

    この組み合わせの場合、セッション数が多くなると(60~70セッション)画面遷移するたびに

    画面描画の遅延が発生するようになりました。

    本事象とは別の問題として、その遅延を解消するべく、本日、エンドユーザ様のパソコンに

    更新プログラムを適用し、RDP8.1にバージョンアップし、画面描画の遅延が解消したことを確認しました。

    本日、強制シャットダウンは行われませんでした。

    高負荷状態になったため、winlogon.exeが勝手に電源OFFしたのではないかと疑っております。

    もしよろしければ、Lapivy様の見解を頂けると幸いです。


    2018年7月5日 11:08
  • 高負荷状態が原因でサーバーがハングアップして再起動せざるを得なくなった事は経験が有りますし、よく聞く話ですが、サーバーの高負荷状態が原因で winlogon.exe によりシャットダウンが行われる事象は私は聞いた事が有りません。

     

    ちなみにリモートデスクトップ接続経由でアプリケーションを動作させているとの事ですが、RemoteApp を使ってアプリケーションを提供しているのでしょうか?

    もし差支え無ければ、該当のサーバーがホストしている役割やアプリケーション等の構成情報も記載頂くと、有効なアドバイスが得られるかもしれません。

    2018年7月5日 23:49
  • ご回答大変ありがとうございます。

    今朝、2018/07/06 6:04:29に当該サーバの電源が落ちていました。

    昨日の夜中にですが、エンドユーザ様にこれ以上、ご迷惑を掛けれないため、

    一旦、旧サーバ(他社データセンター)に運用を切り替える対応をしておりました。

    念のため、当該サーバのすべてのユーザで「Remote Desktop Users」権限を削除していましたので、

    リモートデスクトップのセッションはゼロであったはずです。

    Lapivy様のご指摘どおり、高負荷状態が原因ではありませんでした。

    最初にご回答いただいた内容について再度調査したいと思います。


    <イベントログ>

    次の理由で、プロセス C:\Windows\system32\winlogon.exe (#サーバ名#) は、ユーザー NT AUTHORITY\SYSTEM の代わりに、コンピューター #サーバ名# の 電源を切る を始めました: この理由のタイトルが見つかりません
     理由コード: 0x500ff
     シャットダウンの種類: 電源を切る
     コメント: 

    2018年7月6日 0:37
  • Lapivy様

     

    某データセンターにて問題切り分けとして電源取得先変更なる作業をしていただいたのですが、

    その作業時に電源OFFをされたようで、そのときのログがまさしく同じ内容でした。

     

    電源OFFの方法は、コンソール画面の右下のボタンからシャットダウンを選択したとのことです。

    それを聞き、ヒヤッとしたのですが、下記コマンドでリモートから

    コンソール画面に入れますので、簡単にシャットダウンできるということになります。

     

    mstsc /console /v:(サーバIP)

     

    先ほど調べて、グループポリシーの設定で当該ボタンを削除できることは確認しましたが、完全に盲点でした。

    ログインの不正アクセスを受けた経験はありますので、RDPのポート番号は変更しているのですが、

    何の特にもならないのにポート番号を見破ってまで外部から不正シャットダウンさせるというのは

    事例としてはよくある事なのでしょうか?

     

    最初にご回答いただいた内容については引き続き、某データセンターに調査を依頼中です。



    2018年7月6日 5:47
  • なるほど、ログオン画面右下の電源ボタンからシャットダウンを行うと、その様なログが記録されますね。

    ボタンを消すために設定したのは "シャットダウン:システムをシャットダウンするのにログオンを必要としない" でしょうか?

    この設定は、クライアント OS の場合は既定で有効ですが、サーバー OS の場合は既定で無効のはずですので、データセンター側で既定値から設定を変更してたのかもしれませんね。

     

    また、"mstsc /console /v" でログオン画面 (コンソール画面) に接続されるとの事ですが、このコマンドの意味するところはコンソールセッションへの接続ですので、ログオン画面 (コンソール画面) への接続と言う意味では有りません。

    "mstsc /console /v" でログオン画面が表示されたと言う事は、ネットワークレベル認証が無効になっているのかと思われますので、不正アクセスの防止・セキュリティ向上の観点からすると、ネットワークレベル認証は有効にする事をお奨めします。

     

    Windows Server 2008 R2: ネットワーク レベル認証を使用すべき理由

    https://technet.microsoft.com/ja-jp/library/hh750380.aspx?f=255&MSPPError=-2147217396

     

    ただし、ネットワークレベル認証を有効にすると以下の様な事象が発生する場合が有りますので、有効にする場合は注意して下さい。

     

    Windows Server 2012 R2 および Windows 8.1 以降のネットワーク レベル認証の動作について

    https://blogs.technet.microsoft.com/askcorejp/2015/11/10/windows-server-2012-r2-windows-8-1-1/

     

    2018 年 5 月の更新プログラム適用によるリモート デスクトップ接続への影響

    https://blogs.technet.microsoft.com/askcorejp/2018/05/02/2018-05-rollup-credssp-rdp/

     

    また、リモートデスクトップ接続で使用するポートを既定から変更しているとの事ですが、該当のサーバーに対してポートスキャンを行い、待ち受けているポート (解放されているポート) をリストアップし、可能性のあるポートを使ってしらみ潰しにリモートデスクトップ接続を試みれば、リモートデスクトップ接続に利用しているポートを特定できるのではないかと思われます。


    • 回答としてマーク nobuhiro1972 2018年7月9日 8:01
    2018年7月6日 8:35
  • Lapivy様

    ご回答大変ありがとうございます。

    シャットダウンボタンを消すための設定は、ご指摘のとおり、グループポリシーの

    「シャットダウン: システムのシャットダウンにログオンを必要としない」を無効にすることでした。

    データセンター側でJavaまたはHTML5を使い、コンソール画面へアクセスできるようにしているのですが、

    再起動サービスのために敢えて有効にしているのかもしれません。

    ネットワークレベル認証を有効にするかについては、今後、検討いたします。

    シャットダウンさせようと狙われてしまえば、リモートデスクトップ接続のポートを変えたところで、ということですね。

    問題切り分けとして、「シャットダウン: システムのシャットダウンにログオンを必要としない」を敢えて有効にした状態で一定期間シャットダウンの頻度を測り、その後、無効にしたときに発生するかを調査したいと思います。

    大変参考になりました。ありがとうございました。

    2018年7月6日 13:09
  • nobuhiro1972 さん、こんにちは。フォーラム オペレーターの立花です。
    TechNet フォーラムにご投稿くださいましてありがとうございます。

    フォーラム オペレーターから一つお願いをさせてください。

    参考となる情報を返信いただいた場合は、その投稿に対して、
    [回答としてマーク] のご設定をお願いいたします。

    同じ問題で後から参照した方がすぐに情報を見つけられるように
    なりますので、ご協力下さいませ。

    フォーラム利用時の注意点のお知らせです。
    ※初めてご投稿された方を対象にお知らせしています。

    ご利用の際は、下記内容をお守りいただきますと
    情報が寄せられやすくなりますので、ぜひご一読ください。
    フォーラムでご質問頂くにあたっての注意点
    フォーラムのご利用方法(質問の投稿)について
    フォーラムへの回答に関するガイドラインおよびフォーラム運営について(再掲)
    ご意見、ご要望はこちらのフォーラムまで。
    各種設定方法はフォーラム内を [かんたん フォーラム ガイド] で検索してみてください。


    参考になった投稿には回答としてマークの設定にご協力ください
    MSDN/TechNet Community Support 立花楓

    2018年7月9日 1:59
    モデレータ
  • Lapivy 様

    ほぼ原因を特定することができました。

    結論から申し上げますとエンドユーザ様が何らかの理由でログイン認証に失敗し、

    ログイン画面を閉じるとき、右下に表示されるシャットダウンから電源OFFを選択された

    可能性が極めて高いということでした。

    電源OFFの直前にセキュリティのイベントログに必ず既存のユーザ名で「失敗の監査」が記録されていました。

    また、ネットワークレベル認証を無効にした場合、”/console”を付けずに、"mstsc /v" だけでも

    シャットダウンボタン付きのログイン画面が表示されることが分かりました。

    エンドユーザ様が認証に失敗する理由は弊社の事情があり、割愛しますが、ほぼ原因が特定されたということで、

    本件はCloseさせていただきます。

    某データセンターにはシャットダウンボタンが表示されることについて、問題として認識していただき、

    ポリシー上、何らかの対処をしていただけることになりました。

    親身にLapivy様からアドバイスを頂いたことで問題切り分けがスムーズになり、原因特定に至ることができました。

    本当にありがとうございました。


    2018年7月12日 10:41