不知道这是不是个好消息?今天是5月1日,假期第2天。
1、问题现象 时间:2022年3月25日14时左右 服务器:工作流服务器/测试服务器 操作系统:windows server 2016 standard 计算机名:WIN-NQCA932H036 公网IP:8.8.8.8 内网IP:192.168.101.1 用户名:administrator 密码:abcd1234 问题:服务器重启
2、排查 2.1 分析系统安装时间 通过系统安装时间、最早安装程序的时间以及windows事件最早的日志,判断服务器在2020年6月底上架的。 系统安装时间: 安装程序时间: Windows系统日志时间:
2.2 详细日志分析 运行eventvwr命令,查找windows系统中ID为6008系统日志. 最近一次系统重启的日志记录的时间为13:28分。 查找13时28分之间的详细日志。 重新启动日志: 在系统重启前的间隔最近的日志是13:14分。 怀疑有可能是这个10016和36874的错误导致的,我们往前确认下。 在3月18日有两台10016错误产生,但并没有导致重启。 3月20日有36874日志产生,也没有重启。 因此,排除是36875和10016两个事件ID导致的问题。
2.3 错误代码分析 在第1章节有报一个0x8050013的代码。但查询相关文档没有关于windows 2016的相关具体解决办法,怀疑是内存或软件系统问题。 在日志中发现一个0x00000050的错误。 官方的回复: 错误检查0x50可能是由于安装了错误的系统服务或错误的驱动程序代码引起的。防病毒软件也会触发此错误,损坏的NTFS卷也是如此。 加载dump文件分析: 结果: 内存管理器检测到9403675实例(s)页面损坏,目标可能有内存损坏。
2.4 用户 查看服务器用户,发现有非管理员自己建立的账号存在。 查看用户权限: 查看用户创建时间:
基本可以确定是2021年底创建的用户。权限为administrator权限。
2.5 任务计划 运行taskschd.msc查看电脑的任务计划。
未发现异常的任务计划。
2.6 开机计划 运行msconfig,查找系统开启启动项。 启动项正常。
2.7 杀毒 使用EDR软件进行杀毒。 快速查杀未发现问题。
3、觖决方案 综合系统日志、安全日志、任务计划、dump文件等共同分析,系统重启的问题有可能是内存问题导致,不排除是软件等系统兼容性问题导致。 3.1禁用非自己创建的账号。 3.2在空间时间针对系统全盘查杀。 3.3禁用不常用的任务计划。 3.4卸载2021年9月安装的卸载和鲁大师软件。 3.5更换内存条。。 |