dadave 0 Geschrieben 23. Juli 2014 Melden Teilen Geschrieben 23. Juli 2014 Hallo zusammen Ich kämpfe mich grade mit einem sehr speziellen Problem herum. Systeminfos: Windows Netzwerk mit 2008R2 DCs und mehrheitlich W7 32Bit Clients. Betroffen sind eigentlich alle Windows Clients (schätzungsweise ca. 30-40). Es sind unterschiedliche PCs mehrheitlich vom gleichen Hersteller, aber unterschiedliche Modelle. Symptome: In unregelmässigen Zeitabständen (manchmal Tage, manchmal Wochen, manchmal Monate) fahren die Clients herunter. Danach kann man sie nicht mehr hochfahren. Erst nach dem Wiederherstellen des MBR kann der PC wieder hochgefahren werden. Ich habe diverse Eventlogeinträge gefunden, welche einige Hinweise geben könnten. Aber nach Recherche kann ich das nicht eindeutig sagen. Protokollname: SystemQuelle: USER32Datum: 17.07.2014 16:38:25Ereignis-ID: 1074Aufgabenkategorie:KeineEbene: InformationenSchlüsselwörter:KlassischBenutzer: domain\userComputer: pcname.domain.localBeschreibung:Der Prozess Explorer.EXE hat den/das Ausschalten von Computer pcname für Benutzer domain\user aus folgendem Grund initialisiert: Anderer Grund (nicht geplant) Begründungscode: 0x0 Herunterfahrtyp: Ausschalten Kommentar:Ereignis-XML:<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="USER32" /> <EventID Qualifiers="32768">1074</EventID> <Level>4</Level> <Task>0</Task> <Keywords>0x80000000000000</Keywords> <TimeCreated SystemTime="2014-07-17T14:38:25.000000000Z" /> <EventRecordID>30647</EventRecordID> <Channel>System</Channel> <Computer>pcname.domain.local</Computer> <Security UserID="S-1-5-21-592179544-3484281621-2327318755-1333" /> </System> <EventData> <Data>Explorer.EXE</Data> <Data>pcname</Data> <Data>Anderer Grund (nicht geplant)</Data> <Data>0x0</Data> <Data>Ausschalten</Data> <Data> </Data> <Data>domain\user</Data> <Binary>0000000000000000000000000000000000000000000000000000000000000000</Binary> </EventData></Event> Protokollname: SystemQuelle: USER32Datum: 17.07.2014 16:38:27Ereignis-ID: 1074Aufgabenkategorie:KeineEbene: InformationenSchlüsselwörter:KlassischBenutzer: domain\userComputer: pcname.domain.localBeschreibung:Der Prozess C:\Windows\system32\winlogon.exe (pcname) hat den/das Ausschalten von Computer pcname für Benutzer domain\user aus folgendem Grund initialisiert: Kein Titel für den Grund Begründungscode: 0x500ff Herunterfahrtyp: Ausschalten Kommentar:Ereignis-XML:<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="USER32" /> <EventID Qualifiers="32768">1074</EventID> <Level>4</Level> <Task>0</Task> <Keywords>0x80000000000000</Keywords> <TimeCreated SystemTime="2014-07-17T14:38:27.000000000Z" /> <EventRecordID>30648</EventRecordID> <Channel>System</Channel> <Computer>pcname.domain.local</Computer> <Security UserID="S-1-5-21-592179544-3484281621-2327318755-1333" /> </System> <EventData> <Data>C:\Windows\system32\winlogon.exe (pcname)</Data> <Data>pcname</Data> <Data>Kein Titel für den Grund</Data> <Data>0x500ff</Data> <Data>Ausschalten</Data> <Data> </Data> <Data>domain\user</Data> <Binary>FF00050000000000000000000000000000000000000000000000000000000000</Binary> </EventData></Event> Protokollname: SystemQuelle: Microsoft-Windows-Kernel-PowerDatum: 17.07.2014 16:38:28Ereignis-ID: 109Aufgabenkategorie:(103)Ebene: InformationenSchlüsselwörter:(4)Benutzer: Nicht zutreffendComputer: pcname.domain.localBeschreibung:Von der Energieverwaltung des Kernels wurde ein Herunterfahrvorgang initiiert.Ereignis-XML:<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-Kernel-Power" Guid="{331C3B3A-2005-44C2-AC5E-77220C37D6B4}" /> <EventID>109</EventID> <Version>0</Version> <Level>4</Level> <Task>103</Task> <Opcode>0</Opcode> <Keywords>0x8000000000000004</Keywords> <TimeCreated SystemTime="2014-07-17T14:38:28.648201000Z" /> <EventRecordID>30687</EventRecordID> <Correlation /> <Execution ProcessID="548" ThreadID="552" /> <Channel>System</Channel> <Computer>pcname.domain.local</Computer> <Security /> </System> <EventData> <Data Name="ShutdownActionType">6</Data> <Data Name="ShutdownEventCode">0</Data> <Data Name="ShutdownReason">0</Data> </EventData></Event> Protokollname: SystemQuelle: Microsoft-Windows-Kernel-GeneralDatum: 17.07.2014 16:38:29Ereignis-ID: 13Aufgabenkategorie:KeineEbene: InformationenSchlüsselwörter:Benutzer: Nicht zutreffendComputer: pcname.domain.localBeschreibung:Das Betriebssystem wird zur Systemzeit 2014-07-17T14:38:29.241002100Z heruntergefahren.Ereignis-XML:<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> <System> <Provider Name="Microsoft-Windows-Kernel-General" Guid="{A68CA8B7-004F-D7B6-A698-07E2DE0F1F5D}" /> <EventID>13</EventID> <Version>0</Version> <Level>4</Level> <Task>0</Task> <Opcode>0</Opcode> <Keywords>0x8000000000000000</Keywords> <TimeCreated SystemTime="2014-07-17T14:38:29.241002100Z" /> <EventRecordID>30688</EventRecordID> <Correlation /> <Execution ProcessID="4" ThreadID="36" /> <Channel>System</Channel> <Computer>pcname.domain.local</Computer> <Security /> </System> <EventData> <Data Name="StopTime">2014-07-17T14:38:29.241002100Z</Data> </EventData></Event> Wäre für jede Idee dankbar. Gruss dadave Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 23. Juli 2014 Melden Teilen Geschrieben 23. Juli 2014 Mögliche Ursachen: -Hardwarefehler (RAM, CPU bzw Lüfter) (mal http://www.memtest.org/ laufen lassen) -Viren oder Trojaner. Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 23. Juli 2014 Melden Teilen Geschrieben 23. Juli 2014 (bearbeitet) In Bezug auf Viren und Trojaner darfst Du dich nicht auf deinen AV-Scanner verlassen. Es gibt Offline-Scanner bzw. Rescue CDs, davon booten und scannen lassen. EDIT: BIOS auf Aktualität prüfen, falls nötig updaten. bearbeitet 23. Juli 2014 von Sunny61 Zitieren Link zu diesem Kommentar
h-d.neuenfeldt 21 Geschrieben 23. Juli 2014 Melden Teilen Geschrieben 23. Juli 2014 Du kannst auch auf deinem AD mit dem Befehl : dsquery * -Limit 0 | find /I "<BenutzerSID von oben>" mal gucken was das für ein Benutzer ist .. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 23. Juli 2014 Melden Teilen Geschrieben 23. Juli 2014 (bearbeitet) Hallo, googlen mit Ereignis-ID: 1074 erhält etliche Hits auch http://www.eventid.net/display.asp?eventid=1074&eventno=1783&source=USER32&phase=1 bearbeitet 23. Juli 2014 von lefg Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.