none
Незапланированные перезагрузки машин RRS feed

  • Вопрос

  • Доброго времени суток.

    Есть виртуальные машины, vmware vsphere 5.0u1, view 5.0u1, выяснилось что вдесктопы перезагружаются самопроизвольно в определенное время, у кого-то в 6 вечера, у кого-то в 16.15 или около того, после детального курения логов vsphere и ивентов view + изучения механики работы view с питанием десктопов составляющая vmware из потенциальных причин происходящего была отброшена. Групповых политик, инициирующих бы перезагрузку во время работы пользователя (или в определенное время) нет. Думал в стророну ПО, но оно разнится на машинах, за исключением такого как thunderbird, libre office, и иже с ними, не вижу возможности для такого ПО отправлять машину в шатдаун (при чем происходит именно рестарт гостя, а не жесткий ребут по питанию). В ивентах системы на время перезагрузки не приходятся никакие события, инициирующие рестарт, НО: при корректном выключении должно быть событие winlogon:

    Процесс C:\Windows\system32\winlogon.exe (...) инициировал действие "Выключение питания" для компьютера .... от имени пользователя CORP\...

    Но в моем случае ему предваряется событие 

     Процесс Explorer.EXE инициировал действие "Выключение питания" для компьютера WS-TEMP-20 от имени пользователя MFK\u-opr-48 по причине: Другое (Незапланированное)

    Код причины: 0x0
    Тип выключения: Выключение питания

    И хотя эти события идут подряд с интервалом в секунд 5, и в то время, когда пользователь сам выключает машину (уходят в 17.00 и в 20.00 - в это время и события), читал что такое событие для запланированного выключения не является корректным. При этом если сотрудник работает до 8, на примере одной конкретной машины: в 6 происходит рестарт (самопроизвольный), события рядом только такие: winlogon "Уведомление о выходе пользователя для программы улучшения качества ПО" и ошибка "Драйвер Send To Microsoft OneNote 2010 Driver для принтера Отправить в OneNote 2010 не опознан. Обратитесь к сетевому администратору, чтобы он установил нужный драйвер." но очень сомнительно чтобы такое могло привести к рестарту гостя, к тому же ошибка с one note встречалась 2 раза с интервалом 10 минут, но рестарт был лишь 1. Событий о рестарте/изменении состояния системы нет, а вот в 20.00 уже подряд 2 события с инициаторами выключения explorer.exe и winlogon.

    Читал что стоит покопать в сторону обновления windows, я ставил для теста system center essentials и агенты на несколько машин (грубо говоря просто посмотреть) и он надоедал пользователям напоминаниями об апдейтах, агенты удалены, но возможно ли что в планировщиках созданы задания, инициирующий рестарт? Вобщем идеи предлагайте - может стоит заморочиться с политикой запрета win update или что другое? Заранее благодарен. 



Все ответы

  • Доброго времени суток.

    Есть виртуальные машины, vmware vsphere 5.0u1, view 5.0u1, выяснилось что вдесктопы перезагружаются самопроизвольно в определенное время, у кого-то в 6 вечера, у кого-то в 16.15 или около того, после детального курения логов vsphere и ивентов view + изучения механики работы view с питанием десктопов составляющая vmware из потенциальных причин происходящего была отброшена. Групповых политик, инициирующих бы перезагрузку во время работы пользователя (или в определенное время) нет. Думал в стророну ПО, но оно разнится на машинах, за исключением такого как thunderbird, libre office, и иже с ними, не вижу возможности для такого ПО отправлять машину в шатдаун (при чем происходит именно рестарт гостя, а не жесткий ребут по питанию). В ивентах системы на время перезагрузки не приходятся никакие события, инициирующие рестарт, НО: при корректном выключении должно быть событие winlogon:

    Процесс C:\Windows\system32\winlogon.exe (...) инициировал действие "Выключение питания" для компьютера .... от имени пользователя CORP\...

    Но в моем случае ему предваряется событие 

     Процесс Explorer.EXE инициировал действие "Выключение питания" для компьютера WS-TEMP-20 от имени пользователя MFK\u-opr-48 по причине: Другое (Незапланированное)

    Код причины: 0x0
    Тип выключения: Выключение питания

    И хотя эти события идут подряд с интервалом в секунд 5, и в то время, когда пользователь сам выключает машину (уходят в 17.00 и в 20.00 - в это время и события), читал что такое событие для запланированного выключения не является корректным. При этом если сотрудник работает до 8, на примере одной конкретной машины: в 6 происходит рестарт (самопроизвольный), события рядом только такие: winlogon "Уведомление о выходе пользователя для программы улучшения качества ПО" и ошибка "Драйвер Send To Microsoft OneNote 2010 Driver для принтера Отправить в OneNote 2010 не опознан. Обратитесь к сетевому администратору, чтобы он установил нужный драйвер." но очень сомнительно чтобы такое могло привести к рестарту гостя, к тому же ошибка с one note встречалась 2 раза с интервалом 10 минут, но рестарт был лишь 1. Событий о рестарте/изменении состояния системы нет, а вот в 20.00 уже подряд 2 события с инициаторами выключения explorer.exe и winlogon.

    Читал что стоит покопать в сторону обновления windows, я ставил для теста system center essentials и агенты на несколько машин (грубо говоря просто посмотреть) и он надоедал пользователям напоминаниями об апдейтах, агенты удалены, но возможно ли что в планировщиках созданы задания, инициирующий рестарт? Вобщем идеи предлагайте - может стоит заморочиться с политикой запрета win update или что другое? Заранее благодарен. 



    Это происходит с заметной регулярностью? Если так, то хотя бы попробуйте удалить агент vmware, если все-таки это делает esx, то он это может делать только через агента.

    Это точно не обновления? 

    Если создать свежую машину без дополнительного софта, проблема остается?


    MCITP: Server Administrator
    MCTS: Desktop Virtualization
    MCTS: Windows 7, Configuration
    Сетевое администрирование Huawei Enterprise

  • Если Вы говорите о view agent - через него явно не может действовать гипервизор, а view cs не отдает команду esxi для инициации изменения состояния машины пока установлен pcoip туннель между тонким клиентом и vm и есть win сессия, к тому же в power policy пула указано "take no power action", я отписал что составляющая vmware исключена из возможных причин (обсуждал это на vmware communities и в привате с одним из vexpert`ов, работавших с view довольно плотно). Возможно и в обновлениях проблема (как последствия SCE), но в центре обновлений автообновления отключены, раньше в gpo находил насильное запрещение обновлений, но сейчас найти не смог, возможно после какого-то обновления была упразднена эта возможность, для верности создал gpo c отключением автоперезагрузки после обновлений (хотя оси не обновляются). На осзоне посоветовали отключить авторестарт при отказе системы, но не думаю что поможет - дампов не было.

    Нет возможности проверить на заново развернутой машине, я об этих рестартах узнаю только со слов пользователей - как я уже писал в журнале в то время когда это происходит событий соответствующих нет, есть explorer.exe, инициирующий незапланированный шатдаун, но в то время, когда пользователь сам выключает машину. Такое происходит на нескольких машинах довольно регулярно, но в разное время, поэтому даже заведя новую машину я не смогу отмониторить происходит с ней такое или нет, просто потому что в журнале нет записей.

  • Если Вы говорите о view agent - через него явно не может действовать гипервизор, а view cs не отдает команду esxi для инициации изменения состояния машины пока установлен pcoip туннель между тонким клиентом и vm и есть win сессия, к тому же в power policy пула указано "take no power action", я отписал что составляющая vmware исключена из возможных причин (обсуждал это на vmware communities и в привате с одним из vexpert`ов, работавших с view довольно плотно). Возможно и в обновлениях проблема (как последствия SCE), но в центре обновлений автообновления отключены, раньше в gpo находил насильное запрещение обновлений, но сейчас найти не смог, возможно после какого-то обновления была упразднена эта возможность, для верности создал gpo c отключением автоперезагрузки после обновлений (хотя оси не обновляются). На осзоне посоветовали отключить авторестарт при отказе системы, но не думаю что поможет - дампов не было.

    Нет возможности проверить на заново развернутой машине, я об этих рестартах узнаю только со слов пользователей - как я уже писал в журнале в то время когда это происходит событий соответствующих нет, есть explorer.exe, инициирующий незапланированный шатдаун, но в то время, когда пользователь сам выключает машину. Такое происходит на нескольких машинах довольно регулярно, но в разное время, поэтому даже заведя новую машину я не смогу отмониторить происходит с ней такое или нет, просто потому что в журнале нет записей.

    Что бы гарантированно не принимались обновления, достаточно отключить службу обновлений.

    Попробуйте еще сделать как написано тут, может быть даст понять больше http://www.microsoft.com/technet/support/ee/transform.aspx?ProdName=Windows%20Operating%20System&ProdVer=5.2&EvtID=1074&EvtSrc=User32&LCID=1033


    MCITP: Server Administrator
    MCTS: Desktop Virtualization
    MCTS: Windows 7, Configuration
    Сетевое администрирование Huawei Enterprise

  • up.
    По необходимости отсутствовал. Проблема осталась, автоматическая перезагрузка при отказе системы отключена, запись дампов памяти включена - записей нет.
    Центр обновления windows отключен.

    Включил Activate Shutdown Event Tracker System State Data feature, по результатам отпишу.


  • Я в замешательстве, в system32\LogFiles не создалась папка shutdown, хотя машины все еще падают и включена Activate Shutdown Event Tracker System State Data feature.

    http://www.imageup.ru/img254/1398255/shlog.png.html

    планировщик изучен, нет заданий около времени x вообще, осталось задание обновления avast c того времени когда он собственно еще был (примерно подходит время запуска), но самого программного модуля уже нет, обновлять нечего, задание удалил, но дело вряд ли в нем, если после обновлении av происходит рестарт все же должна быть запись в журнале/shutdown log`е.


  • По всем симптомам - имею аналогичный случай.

    Вам удалось откопать причину перезагрузки?.

    Если да - просьба поделится результатами.

    Заранее благодарен.

    21 января 2014 г. 0:43