Tags: Windows 7, Kommandozeile
Ein augenfälliger Unterschied zwischen Workstation- und Server-Versionen von Windows ist, dass der Server einen Grund für das Herunterfahren oder einen Neustart wissen will, wenn einer dieser Vorgänge per GUI, also über das Startmenü, veranlasst wird. Während die Workstation ohne weitere Nachfrage herunterfährt, verlangt der Server nach der Angabe eines Grundes. Dies dient dazu, ihn ins Ereignisprotokoll einzutragen, um so später nachvollziehen zu können, weshalb ein Server heruntergefahren oder neu gestartet werden musste.
Installationsprogramme und Updates, die einen Neustart erfordern, sollten – so will es zumindest das Design – ebenfalls einen solchen Grund im Ereignisprotokoll hinterlassen.
Was beim Server Usus ist, ist für Workstations in der Voreinstellung ausgeschaltet – dies lässt sich jedoch in beide Richtungen anpassen.
Shutdown Event Tracker für Workstations einschalten oder für Server ausschalten
Zuständig dafür, ob der Shutdown Event Tracker verwendet wird, ist eine Richtlinie, welche die Server-/Workstation-determinierte Voreinstellung überschreibt. Sie befindet sich in der Computerkonfiguration unter „Administrative Vorlagen ⇒ System ⇒ Ereignisprotokollierung für Herunterfahren anzeigen“. Sie lässt sich auf „Immer“, „Nur Workstation“ oder die Voreinstellung „Nur Server“ festlegen, wenn man sie aktiviert.
Vorher sollten die in der Organisation vorhandenen Computer danach unterteilt werden, inwiefern ein Shutdown auf einer Geräteklasse auch ein ungewöhnliches Ereignis bedeutet. Ist dies bei VDI-Arbeitsplätzen generell voraussetzbar, will sicher kein Administrator 500 „Feierabend!“-Nachrichten pro Tag von physischen Clients einsammeln. Auf solchen hat die Angabe eines Grundes nur Sinn, wenn der Standard beim Verlassen des Arbeitsplatzes etwa der Energiesparmodus oder Ruhezustand ist.
Shutdown-Arten nach Microsoft
Unter Windows ergeben die Arten des Herunterfahrens einen 2×2×2-Würfel: Einmal unterscheidet man zwischen dem Herunterfahren und dem Neustart des Systems, dabei jeweils nach „erwartet“ und „unerwartet“. Ein erwarteter Shutdown wurde von einer Benutzeraktion oder Systemereignis ausgelöst, auf regulärem Wege als Anforderung an das System gegeben und dort verarbeitet wurde. Ein unerwarteter Shutdown hat eine Quelle, die nicht vom System verarbeitet werden konnte, wie etwa ein Stromausfall, der Druck auf den Reset-Knopf oder Hardware-Versagen.
Ein erwarteter Shutdown kann wiederum vom Auslöser als „geplant“ oder „ungeplant“ markiert werden, zusätzlich zu den anderen angegebenen Gründen und eventuellen Kommentaren. Nach einem unerwarteten Shutdown fordert der betreffende Computer vom ersten lokalen Benutzer, der sich danach anmeldet, ebenfalls eine Erklärung fürs Protokoll an, wenn der Shutdown Event Tracker aktiviert ist.
Gründe per shutdown.exe übergeben
Mit Hilfe des Kommandozeilenprogrammes shutdown.exe kann man den eigenen oder – mittels des Parameters /m – entfernte Computer herunterfahren oder neu starten. shutdown.exe /? zeigt dabei die vordefinierten Gründe an, die man nach dem Parameter /d übergibt, hinter /c lässt sich ein bis zu 512 Zeichen langer Textkommentar analog zum Eingabefeld des GUI-Dialogs angeben.
Der Parameter /i ruft die GUI von shutdown.exe auf. Sie bietet mehr Funktionen als die reine Kommandozeilen-Methode: Zum einen lassen sich Shutdown- oder Neustart-Anweisungen an eine Liste von entfernten Computern senden. Zum anderen kann man das Programm in diesem Modus dazu verwenden, unerwartete Shutdowns auf entfernten Computern für deren Ereignisprotokoll nachträglich zu erklären, ohne sich deswegen lokal anmelden zu müssen.
In der Ereignisanzeige nach Shutdown und Neustart suchen: ID 1074, 1075, 1076
Shutdown- oder Neustart-Ereignisse stammen von der Quelle USER32 und besitzen die IDs 1074, 1075 oder 1076. Dabei bedeuten
| ID | Ereignis |
|---|---|
| 1074 | Herunterfahren oder Neustart wurde ausgelöst |
| 1075 | Herunterfahren oder Neustart wurde während des Countdowns abgebrochen (shutdown.exe -a) |
| 1076 | nachträglich hinzugefügter Grund für einen unerwarteten Shutdown |
Daraus kann man sich etwa eine benutzerdefinierte Ansicht erstellen. Die Angabe der Quelle ist dabei wichtig; die gleichen IDs werden zum Teil auch von anderen Quellen verwendet.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
1 Kommentar
Guten Tag. Ich würde den Shutdown Event Tracker gerne auf einem "normalen" WIN7-PC (DEUTSCH) einschalten. Windows 7 Professional Service Pack 1, alle Updates drauf. Nachdem ich Ihren Tipp befolgt habe (mit gpedit.msc) kommt eben NICHT in „Administrative Vorlagen ⇒ System" die Möglichkeit, dort dann "Ereignisprotokollierung für Herunterfahren anzeigen" zu ändern.
Kommt das evtl. doch nur in WIN7 Ultimate oder doch nur an Servern?
Alle anderen "Google-Analysen" haben mir auch nicht weiter geholfen. Auch in der Regtistry finde ich den Key nicht, den ANDERE Webseiten empfehlen um den Shutdown Event Tracker ein (oder aus) zuschalten.
Haben Sie einen Tipp für mich wo ich falsch gucke / falsch suche?
Danke!