问题:执行远程(Sysinternals)命令… pskill \\机器winlogon …可以让一个卡住重新启动的服务器,但如何/为什么这个工作? 你怎么知道杀哪个服务?
要重新创build(例如):您运行Windows更新,允许重新启动,并且…什么都没有! RDP被切断,但服务器不重新启动。 几乎所有其他服务似乎都熬夜了。
进一步的背景:我已经在这个星球上托pipe了几年的虚拟机,并且使用了各种sc.exe和shutdown命令来了解这种状态下的服务器的状态并尝试远程重启,但是这个问题并没有成功。 大多数数据中心不提供任何方式来查看真正的控制台或在这些机器上的电源。 他们会收取$$给你打电话,让他们在几个小时后做这么简单的事情,当你几乎总是要运行你的maint任务。
例如
NET USE \\ machine \ IPC $ / USER:login密码
sc \\机器查询RpcSs
sc \\机器查询TermService
sc \\机器查询wuauserv
任务列表/ s机器
偶尔为我工作…
shutdown / m \\ machine / r / f / t:0
…但多数情况下,失败时:系统closures正在进行(1115)。
我发现这个问题,@Tweek的答案,它工作得很好,但我只是幸运的?
无法RDP赢取2003年框或启动远程重新启动
@Tweek说:运行:pskill \\ hostname winlogon
…这让我以新的方式超越了这种情况(在我最近的案例中是Server 2008 R2) – 非常有用! 我只需要了解我是否幸运,或者这里有更多的科学。 我想知道的是为什么winlogon进程?
@Livne说使用“tasklist / s HostName”来查看是什么罪魁祸首, 但是你如何从列出的输出中知道? 这只是一个正在运行的任务列表等。从那我不知道该找什么,也不能看到任何关于winlogon过程,build议我的眼睛,这是杀人。
在稍后添加的问题:在执行pskill winlogon(远程)之前和之后在目标计算机上find的事件日志条目…
日志名称:系统源:USER32date:2011/4/4 4:09:51事件ID:1074任务类别:无级别:信息关键字:经典用户:sqlX \ joeblogsblogs计算机:sqlX.example.org描述:进程Explorer.EXE代表用户sqlX \ joeblogs启动了计算机sqlX的重新启动,原因如下:操作系统:恢复(计划)原因代码:0x80020002closurestypes:重新启动注释:
日志名称:系统源:USER32date:2011年4月2日上午4时09分53秒事件ID:1074任务类别:无级别:信息关键字:经典用户:sqlX \ joeblogs计算机:sqlX.example.org描述:进程由于以下原因,C:\ Windows \ system32 \ winlogon.exe(sqlX)代表用户sqlX \ joeblogs启动了计算机sqlX的重新启动:无法find此原因的标题原因代码:0x500ffclosurestypes:重新启动注释:
日志名称:系统来源:服务控制pipe理器date:2011/4/4 4:10:25事件ID:7043任务类别:无级别:错误关键字:经典用户:不适用计算机:sqlX.example.org描述: 收到预closures控制后,Windows Update服务没有正常closures。
(然后closures服务…)组策略客户端Shell硬件检测应用程序体验(已启动)应用程序体验(已停止)
日志名称:系统来源:服务控制pipe理器date:2011/4/4 5:09:50事件ID:7045任务类别:无级别:信息关键字:经典用户:sqlX \ Administrator计算机:sqlX.example.org描述:系统中安装了一项服务。 服务名称:PsKill服务文件名称:%SystemRoot%\ PSKLLSVC.EXE服务types:用户模式服务服务启动types:demand start服务帐户:LocalSystem
日志名称:系统来源:服务控制pipe理器date:2011/4/4 5:09:51事件ID:7036任务类别:无级别:信息关键字:经典用户:不适用计算机:sqlX.example.org描述: PsKill服务进入运行状态。
日志名称:系统来源:服务控制pipe理器date:2011/4/4 5:09:51事件ID:7036任务类别:无级别:信息关键字:经典用户:不适用计算机:sqlX.example.org描述: PsKill服务进入停止状态。
日志名称:系统来源:服务控制pipe理器date:2011/4/4 5:09:52事件ID:7036任务类别:无级别:信息关键字:经典用户:N / A计算机:sqlX.example.org描述:应用程序体验服务进入运行状态。
日志名称:系统源:服务控制pipe理器date:2011/4/4 5:10:26事件ID:7043任务类别:无级别:错误关键字:经典用户:不适用计算机:sqlX.example.org描述: 收到预closures控制后,Windows模块安装程序服务没有正常closures。
(其他站…)5:10:34事件日志服务已停止。 5:10:33 DHCPv6客户端服务停止。 ShutDown标志值为1 5:10:33 DHCPv4客户端服务已停止。 ShutDown标志值为1 5:10:33 DHCP客户端服务进入停止状态。 5:10:34诊断策略服务服务进入停止状态。 5:10:34应用程序主机帮助程序服务服务进入停止状态5:10:34 Windows事件日志服务进入停止状态。 5:10:35 Cryptographic Services服务进入停止状态。 5:12:54 Microsoft(R)Windows(R)6.01。 7600多处理器免费。 5:12:54事件日志服务已启动。 5:12:54系统正常运行时间是34秒。
发生什么事是WinLogon服务,处理RDPlogin环境和本地login的服务,由于某种原因正在closures挂起。 可能是一些奇怪的locking正在进行,这是防止关键的东西closures,或者registry仍然可以打开的地方。 当您杀死winlogon服务时,它会中断logjam,使重新启动可以快速移动。
这将留下事件日志的痕迹! 在应用程序日志中,就在重新启动之前,可能会有一些事件描述为什么机器不能正常运行。
shutdown /m \\machine /r /f /t: 0原因是由于那个特定的错误信息而失败的,那就是如果重新启动已经超过某个点,它将会拒绝进一步的重新启动请求。 pskill方法的工作原理是不要求机器重新启动,这只是pskill了正在重新启动的过程。