Ein augenfälliger Unterschied zwischen Workstation- und Server-Versionen von Windows ist, dass der Server einen Grund für das Herunterfahren oder einen Neustart wissen will, wenn einer dieser Vorgänge per GUI, also über das Startmenü, veranlasst wird. Während die Workstation ohne weitere Nachfrage herunterfährt, verlangt der Server nach der Angabe eines Grundes. Dies dient dazu, ihn ins Ereignisprotokoll einzutragen, um so später nachvollziehen zu können, weshalb ein Server heruntergefahren oder neu gestartet werden musste. Installationsprogramme und Updates, die einen Neustart erfordern, sollten – so will es zumindest das Design – ebenfalls einen solchen Grund im Ereignisprotokoll hinterlassen.

Was beim Server Usus ist, ist für Workstations in der Voreinstellung ausgeschaltet – dies lässt sich jedoch in beide Richtungen anpassen.

Shutdown Event Tracker für Workstations einschalten oder für Server ausschalten

Zuständig dafür, ob der Shutdown Event Tracker verwendet wird, ist eine Richtlinie, welche die Server-/Workstation-determinierte Voreinstellung überschreibt. Sie befindet sich in der Computerkonfiguration unter „Administrative Vorlagen ⇒ System ⇒ Ereignisprotokollierung für Herunterfahren anzeigen“. Sie lässt sich auf „Immer“, „Nur Workstation“ oder die Voreinstellung „Nur Server“ festlegen, wenn man sie aktiviert.

Vorher sollten die in der Organisation vorhandenen Computer danach unterteilt werden, inwiefern ein Shutdown auf einer Geräteklasse auch ein ungewöhnliches Ereignis bedeutet. Ist dies bei VDI-Arbeitsplätzen generell voraussetzbar, will sicher kein Administrator 500 „Feierabend!“-Nachrichten pro Tag von physischen Clients einsammeln. Auf solchen hat die Angabe eines Grundes nur Sinn, wenn der Standard beim Verlassen des Arbeitsplatzes etwa der Energiesparmodus oder Ruhezustand ist.

Shutdown-Arten nach Microsoft

Unter Windows ergeben die Arten des Herunterfahrens einen 2×2×2-Würfel: Einmal unterscheidet man zwischen dem Herunterfahren und dem Neustart des Systems, dabei jeweils nach „erwartet“ und „unerwartet“. Ein erwarteter Shutdown wurde von einer Benutzeraktion oder Systemereignis ausgelöst, auf regulärem Wege als Anforderung an das System gegeben und dort verarbeitet wurde. Ein unerwarteter Shutdown hat eine Quelle, die nicht vom System verarbeitet werden konnte, wie etwa ein Stromausfall, der Druck auf den Reset-Knopf oder Hardware-Versagen.

Ein erwarteter Shutdown kann wiederum vom Auslöser als „geplant“ oder „ungeplant“ markiert werden, zusätzlich zu den anderen angegebenen Gründen und eventuellen Kommentaren. Nach einem unerwarteten Shutdown fordert der betreffende Computer vom ersten lokalen Benutzer, der sich danach anmeldet, ebenfalls eine Erklärung fürs Protokoll an, wenn der Shutdown Event Tracker aktiviert ist.

Gründe per shutdown.exe übergeben

Mit Hilfe des Kommandozeilenprogrammes shutdown.exe kann man den eigenen oder – mittels des Parameters /m – entfernte Computer herunterfahren oder neu starten. shutdown.exe /? zeigt dabei die vordefinierten Gründe an, die man nach dem Parameter /d übergibt, hinter /c lässt sich ein bis zu 512 Zeichen langer Textkommentar analog zum Eingabefeld des GUI-Dialogs angeben.

Der Parameter /i ruft die GUI von shutdown.exe auf. Sie bietet mehr Funktionen als die reine Kommandozeilen-Methode: Zum einen lassen sich Shutdown- oder Neustart-Anweisungen an eine Liste von entfernten Computern senden. Zum anderen kann man das Programm in diesem Modus dazu verwenden, unerwartete Shutdowns auf entfernten Computern für deren Ereignisprotokoll nachträglich zu erklären, ohne sich deswegen lokal anmelden zu müssen.

In der Ereignisanzeige nach Shutdown und Neustart suchen: ID 1074, 1075, 1076

Shutdown- oder Neustart-Ereignisse stammen von der Quelle USER32 und besitzen die IDs 1074, 1075 oder 1076. Dabei bedeuten

Daraus kann man sich etwa eine benutzerdefinierte Ansicht erstellen. Die Angabe der Quelle ist dabei wichtig; die gleichen IDs werden zum Teil auch von anderen Quellen verwendet.