1
MSExchange - nicht nachvollziehbarer Neustart
Moin,
wir setzen einen Exchange 2010 unter WinServer 20008r2 ein.
Letztens haben wir bemerkt, dass er sich trotz entsprechender WSUS-Einstellungen und einem angemeldeten Administrator neugestartet hat.
Der registry-Eintrag für "NoAutoRebootWithLoggedOnUsers" steht auf 1.
Nachdem wir das Log gefiltert haben, haben wir festgestellt, dass das pro Jahr scheinbar 1 Mal paassiert.
Anbei das Log:
Protokollname: System
Quelle: USER32
Datum: 09.05.2014 14:09:49
Ereignis-ID: 1074
Aufgabenkategorie:Keine
Ebene: Informationen
Schlüsselwörter:Klassisch
Benutzer: SYSTEM
Computer: Servername
Beschreibung:
Der Prozess C:\Windows\system32\svchost.exe (Servername) hat den/das Neustart von Computer Servername für Benutzer NT-AUTORITÄT\SYSTEM aus folgendem Grund initialisiert: Betriebssystem: Wiederherstellung (geplant)
Begründungscode: 0x80020002
Herunterfahrtyp: Neustart
Kommentar:
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="USER32" />
<EventID Qualifiers="32768">1074</EventID>
<Level>4</Level>
<Task>0</Task>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2014-05-09T12:09:49.000000000Z" />
<EventRecordID>54440</EventRecordID>
<Channel>System</Channel>
<Computer>Servername</Computer>
<Security UserID="S-1-5-18" />
</System>
<EventData>
<Data>C:\Windows\system32\svchost.exe (Servername)</Data>
<Data>Servername</Data>
<Data>Betriebssystem: Wiederherstellung (geplant)</Data>
<Data>0x80020002</Data>
<Data>Neustart</Data>
<Data>
</Data>
<Data>NT-AUTORITÄT\SYSTEM</Data>
<Binary>02000280000000000000000000000000000000000000000000000000000000000000000000000000</Binary>
</EventData>
</Event>
Any Idea?
Grüße,
Tiberius
wir setzen einen Exchange 2010 unter WinServer 20008r2 ein.
Letztens haben wir bemerkt, dass er sich trotz entsprechender WSUS-Einstellungen und einem angemeldeten Administrator neugestartet hat.
Der registry-Eintrag für "NoAutoRebootWithLoggedOnUsers" steht auf 1.
Nachdem wir das Log gefiltert haben, haben wir festgestellt, dass das pro Jahr scheinbar 1 Mal paassiert.
Anbei das Log:
Protokollname: System
Quelle: USER32
Datum: 09.05.2014 14:09:49
Ereignis-ID: 1074
Aufgabenkategorie:Keine
Ebene: Informationen
Schlüsselwörter:Klassisch
Benutzer: SYSTEM
Computer: Servername
Beschreibung:
Der Prozess C:\Windows\system32\svchost.exe (Servername) hat den/das Neustart von Computer Servername für Benutzer NT-AUTORITÄT\SYSTEM aus folgendem Grund initialisiert: Betriebssystem: Wiederherstellung (geplant)
Begründungscode: 0x80020002
Herunterfahrtyp: Neustart
Kommentar:
Ereignis-XML:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider Name="USER32" />
<EventID Qualifiers="32768">1074</EventID>
<Level>4</Level>
<Task>0</Task>
<Keywords>0x80000000000000</Keywords>
<TimeCreated SystemTime="2014-05-09T12:09:49.000000000Z" />
<EventRecordID>54440</EventRecordID>
<Channel>System</Channel>
<Computer>Servername</Computer>
<Security UserID="S-1-5-18" />
</System>
<EventData>
<Data>C:\Windows\system32\svchost.exe (Servername)</Data>
<Data>Servername</Data>
<Data>Betriebssystem: Wiederherstellung (geplant)</Data>
<Data>0x80020002</Data>
<Data>Neustart</Data>
<Data>
</Data>
<Data>NT-AUTORITÄT\SYSTEM</Data>
<Binary>02000280000000000000000000000000000000000000000000000000000000000000000000000000</Binary>
</EventData>
</Event>
Any Idea?
Grüße,
Tiberius
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 237908
Url: https://administrator.de/contentid/237908
Printed on: April 23, 2024 at 17:04 o'clock
1 Comment
Hi
Also wie du ja weisst ist svchost.exe für sehr viele Dienste wichtig meist laufen Netzwerkdienste darüber.
Man kann jedenfalls sehen das der Neustart aausgelöst wurde mit dem Grund Betriebssystem: Wiederherstellung (geplant).
Was ist das für ein Server ? HP ? Dell? Gibt es Managment Agents die Konfiguriert sind oder auch nicht ? Gibt es Geplate Tasks am Server die ausgeführt werden ? Gibt es die möglichkeit den Server über das Netzwerk neu zu starten ? Gibt es auf anderen Server einen Tast der dies verursachen kann.
Ist der Server ein reiner Mailserver ? Laufen auch andere dienste wie DNS oder ist der Server noch Domaincontroller ?
Gibt es im Exchange eine eingestellte Datenbankwartung die diesen neustart auslösen könnte ?
Das wären mal so die ersten punkte die mir hierzu durch den kopf gehen.
LG
Also wie du ja weisst ist svchost.exe für sehr viele Dienste wichtig meist laufen Netzwerkdienste darüber.
Man kann jedenfalls sehen das der Neustart aausgelöst wurde mit dem Grund Betriebssystem: Wiederherstellung (geplant).
Was ist das für ein Server ? HP ? Dell? Gibt es Managment Agents die Konfiguriert sind oder auch nicht ? Gibt es Geplate Tasks am Server die ausgeführt werden ? Gibt es die möglichkeit den Server über das Netzwerk neu zu starten ? Gibt es auf anderen Server einen Tast der dies verursachen kann.
Ist der Server ein reiner Mailserver ? Laufen auch andere dienste wie DNS oder ist der Server noch Domaincontroller ?
Gibt es im Exchange eine eingestellte Datenbankwartung die diesen neustart auslösen könnte ?
Das wären mal so die ersten punkte die mir hierzu durch den kopf gehen.
LG
