none
windows server 2008 r2 每天8:45 自动重启

    问题

  • 大家好!

    我们公司有一台windows server 2008 r2服务器,从上周一,7/11/2016开始,每天早上8:45都会自动重启。我是公司网管,在7月11日因为发现服务器最近不正常,运行速度非常缓慢,在查看EventLog日志后发现有外网对远程终端的扫描,当时怀疑是有黑客攻击导致系统缓慢和崩溃,就在因特网出口路由器上将所有进入服务器的 tcp和udp的所有端口都屏蔽了。这样处理后发现机器运行恢复正常。但是还是会发生每天早上8:45分左右重启的情况,但是7月11日和12日两天反复重启的情况没有了。在12日给系统装了360安全卫士和防毒软件,当时系统都没有杀毒软件,现在外网虽然不能上,但是可以进行杀毒。

    请问大家,这种定时重启是怎么回事?附上三天的EventLog日志,请帮助分析一下,谢谢!

    日志名称:          System
    来源:            EventLog
    日期:            2016-07-20 08:45:44
    事件 ID:         6008
    任务类别:          无
    级别:            错误
    关键字:           经典
    用户:            暂缺
    计算机:           HFGKserver.hfgk.com.cn
    描述:
    上一次系统的 8:43:38 在 ‎2016/‎7/‎20 上的关闭是意外的。
    事件 Xml:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="EventLog" />
        <EventID Qualifiers="32768">6008</EventID>
        <Level>2</Level>
        <Task>0</Task>
        <Keywords>0x80000000000000</Keywords>
        <TimeCreated SystemTime="2016-07-20T00:45:44.000000000Z" />
        <EventRecordID>96218</EventRecordID>
        <Channel>System</Channel>
        <Computer>HFGKserver.hfgk.com.cn</Computer>
        <Security />
      </System>
      <EventData>
        <Data>8:43:38</Data>
        <Data>‎2016/‎7/‎20</Data>
        <Data>
        </Data>
        <Data>
        </Data>
        <Data>385</Data>
        <Data>
        </Data>
        <Data>
        </Data>
        <Binary>E00707000300140008002B0026008003E00707000300140000002B00260080033C0000003C000000000000000000000000000000000000000100000000000000</Binary>
      </EventData>
    </Event>

    日志名称:          System
    来源:            Microsoft-Windows-Kernel-Power
    日期:            2016-07-19 08:47:53
    事件 ID:         41
    任务类别:          (63)
    级别:            关键
    关键字:           (2)
    用户:            SYSTEM
    计算机:           HFGKserver.hfgk.com.cn
    描述:
    系统在未首先正常关机的情况下重新启动。当系统停止响应、出现故障或意外断电时,会发生此错误。
    事件 Xml:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Microsoft-Windows-Kernel-Power" Guid="{331C3B3A-2005-44C2-AC5E-77220C37D6B4}" />
        <EventID>41</EventID>
        <Version>2</Version>
        <Level>1</Level>
        <Task>63</Task>
        <Opcode>0</Opcode>
        <Keywords>0x8000000000000002</Keywords>
        <TimeCreated SystemTime="2016-07-19T00:47:53.406250000Z" />
        <EventRecordID>95657</EventRecordID>
        <Correlation />
        <Execution ProcessID="4" ThreadID="8" />
        <Channel>System</Channel>
        <Computer>HFGKserver.hfgk.com.cn</Computer>
        <Security UserID="S-1-5-18" />
      </System>
      <EventData>
        <Data Name="BugcheckCode">0</Data>
        <Data Name="BugcheckParameter1">0x0</Data>
        <Data Name="BugcheckParameter2">0x0</Data>
        <Data Name="BugcheckParameter3">0x0</Data>
        <Data Name="BugcheckParameter4">0x0</Data>
        <Data Name="SleepInProgress">false</Data>
        <Data Name="PowerButtonTimestamp">0</Data>
      </EventData>
    </Event>


    日志名称:          System
    来源:            Microsoft-Windows-Kernel-Power
    日期:            2016-07-18 08:44:15
    事件 ID:         41
    任务类别:          (63)
    级别:            关键
    关键字:           (2)
    用户:            SYSTEM
    计算机:           HFGKserver.hfgk.com.cn
    描述:
    系统在未首先正常关机的情况下重新启动。当系统停止响应、出现故障或意外断电时,会发生此错误。
    事件 Xml:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="Microsoft-Windows-Kernel-Power" Guid="{331C3B3A-2005-44C2-AC5E-77220C37D6B4}" />
        <EventID>41</EventID>
        <Version>2</Version>
        <Level>1</Level>
        <Task>63</Task>
        <Opcode>0</Opcode>
        <Keywords>0x8000000000000002</Keywords>
        <TimeCreated SystemTime="2016-07-18T00:44:15.625000000Z" />
        <EventRecordID>95401</EventRecordID>
        <Correlation />
        <Execution ProcessID="4" ThreadID="8" />
        <Channel>System</Channel>
        <Computer>HFGKserver.hfgk.com.cn</Computer>
        <Security UserID="S-1-5-18" />
      </System>
      <EventData>
        <Data Name="BugcheckCode">0</Data>
        <Data Name="BugcheckParameter1">0x0</Data>
        <Data Name="BugcheckParameter2">0x0</Data>
        <Data Name="BugcheckParameter3">0x0</Data>
        <Data Name="BugcheckParameter4">0x0</Data>
        <Data Name="SleepInProgress">false</Data>
        <Data Name="PowerButtonTimestamp">0</Data>
      </EventData>
    </Event>

    日志名称:          System
    来源:            EventLog
    日期:            2016-07-18 08:44:56
    事件 ID:         6008
    任务类别:          无
    级别:            错误
    关键字:           经典
    用户:            暂缺
    计算机:           HFGKserver.hfgk.com.cn
    描述:
    上一次系统的 8:43:04 在 ‎2016/‎7/‎18 上的关闭是意外的。
    事件 Xml:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="EventLog" />
        <EventID Qualifiers="32768">6008</EventID>
        <Level>2</Level>
        <Task>0</Task>
        <Keywords>0x80000000000000</Keywords>
        <TimeCreated SystemTime="2016-07-18T00:44:56.000000000Z" />
        <EventRecordID>95394</EventRecordID>
        <Channel>System</Channel>
        <Computer>HFGKserver.hfgk.com.cn</Computer>
        <Security />
      </System>
      <EventData>
        <Data>8:43:04</Data>
        <Data>‎2016/‎7/‎18</Data>
        <Data>
        </Data>
        <Data>
        </Data>
        <Data>1526</Data>
        <Data>
        </Data>
        <Data>
        </Data>
        <Binary>E00707000100120008002B0004008502E00707000100120000002B00040085023C0000003C000000000000000000000000000000000000000100000000000000</Binary>
      </EventData>
    </Event>

    日志名称:          System
    来源:            EventLog
    日期:            2016-07-15 08:43:54
    事件 ID:         6008
    任务类别:          无
    级别:            错误
    关键字:           经典
    用户:            暂缺
    计算机:           HFGKserver.hfgk.com.cn
    描述:
    上一次系统的 8:41:15 在 ‎2016/‎7/‎15 上的关闭是意外的。
    事件 Xml:
    <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
      <System>
        <Provider Name="EventLog" />
        <EventID Qualifiers="32768">6008</EventID>
        <Level>2</Level>
        <Task>0</Task>
        <Keywords>0x80000000000000</Keywords>
        <TimeCreated SystemTime="2016-07-15T00:43:54.000000000Z" />
        <EventRecordID>95062</EventRecordID>
        <Channel>System</Channel>
        <Computer>HFGKserver.hfgk.com.cn</Computer>
        <Security />
      </System>
      <EventData>
        <Data>8:41:15</Data>
        <Data>‎2016/‎7/‎15</Data>
        <Data>
        </Data>
        <Data>
        </Data>
        <Data>81227</Data>
        <Data>
        </Data>
        <Data>
        </Data>
        <Binary>E007070005000F00080029000F002401E007070005000F00000029000F0024013C0000003C000000000000000000000000000000000000000100000000000000</Binary>
      </EventData>
    </Event>

    2016年7月20日 2:19

答案

  • 您好,

    根据您的描述,我的理解是 Windows Server 2008 R2 每天8:45 自动重启,记录Event ID 6008/41。

    如果是定时重启,而不是无规律的重启,可能会考虑对恶意插件/软件/Task等进行排查。

    打开任务管理器,确认是否有定时运行的,存在可能问题的scheduled task, 暂时禁用。打开控制面板查看已安装的程序,卸载陌生的程序。打开任务管理器,检查并禁用可能存在问题的陌生进程。

    运行 “sfc /scannow”检查、修复系统文件。 此外,KB 2028504 中有提到关于Event ID 41的可能情况及相应的解决方法,可以参考,做进一步的确认:
    https://support.microsoft.com/zh-cn/kb/2028504

    Best Regards,
    Eve Wang

    Please remember to mark the replies as answers if they help and unmark them if they provide no help. If you have feedback for TechNet Support, contact tnmff@microsoft.com.

    2016年7月20日 6:52
    版主