意外的 Windows Server 2016 关机：winlogon、NT AUTHORITY\SYSTEM、0x500ff

Question

我们有一组运行 Windows Server 的 AWS EC2 实例。自从从 Windows Server 2012r2 迁移到 2016 以来，我们遇到了服务器因未知原因关闭的问题。在对事件日志进行详尽检查后，唯一的一致性似乎如下：

The process C:\Windows\system32\winlogon.exe ([computername]) has initiated the power off of computer [computername] on behalf of user NT AUTHORITY\SYSTEM for the following reason: No title for this reason could be found
Reason Code: 0x500ff
Shutdown Type: power off

我们已经考虑并从理论上排除了以下情况：

1. Windows 更新问题

   • 根据事件日志或 Get-WindowsUpdateLog，没有运行更新。Sconfig > “Windows 更新设置”设置为 DownloadOnly

2. 电源按钮切换，或硬件/电池问题

   • 这是一个 AWS EC2 实例，我们从未在任何 2012r2 或 2012 服务器上遇到过这种情况。如果它与硬件有关，它肯定会影响所有服务器版本。

3. Windows Server 许可证到期

   • 这些服务器根据“slmgr.vbs /dlv”获得了正确许可，并且关闭发生在它们初始开启后的 39、62 和 188 天。

4. 对于旧版本的 mstsc，登录屏幕上会显示一个电源按钮，可用于以这种方式关闭系统

   • 这个理论主要基于这篇文章， 但要明确的是，这是针对 2012 年的服务器，而我们在 2016 年。我也根本无法重现这一点。

有没有人知道是什么导致了这次关机？或者，知道我们如何才能找到更多信息吗？我查看了我能找到的每个日志文件和事件日志。也没有与关机时间对应的dmp文件。

Answer 1

我们遵循@HarryJohnston 评论的建议，创建了一个 GPO 来禁用从锁定屏幕关闭服务器的选项。具体政策是：

计算机配置\Windows 设置\安全设置\本地策略\安全选项 > 关机：允许系统无需登录即可关闭 > 已禁用

自从一个月前这样做以来，我们没有看到任何意外关闭（之前每周大约有一次）。我仍然感到奇怪的是，AWS 的默认 Windows Server 2016 AMI 会启用此选项，并且实际上可以从某个地方访问它，但情况似乎确实如此。