Kaip rasti, kas pradėjo iš naujo paleisti „SCCM Configmgr Client“ – viskas apie „Microsoft Endpoint Manager“

Mano kolega gavo prašymą patikrinti, kodėl SCCM klientas (serverio OS) iš naujo paleistas darbo valandomis, ir daugiau informacijos apie perkrovimą (kas inicijavo ir pan.). Aš pradėjau nagrinėti šią užklausą, norėdamas sužinoti, ar klientas buvo perkrautas dėl „Windows“ pataisymo, ar dėl kokių nors programų, kurias stumia SCCM.

Trikčių šalinimo metu perėjau kelis kliento žurnalus, įvykių peržiūros programą, SQL užklausą, „PowerShell“ scenarijų ir kt.

Šiame tinklaraščio įraše pabandysiu išvardyti veiksmus, kurie buvo atlikti norint nustatyti, kas iš naujo paleido SCCM klientą (serverio OS).

1. Pirmiausia, į ką turėtų žiūrėti visi, tai įvykių žiūrovas, norėdamas sužinoti, kas perkrauna serverį (ar tai buvo SCCM klientas, ar bet kuris vartotojas).

Eikite į įvykių peržiūros priemonę -> „Windows logs“ -> sistemą, dešiniuoju pelės mygtuku spustelėkite ir pasirinkite filtro dabartinį žurnalą, įveskite 1074 (Įvykio ID:1074 perkrauti), kaip parodyta žemiau.

Įvykio ID:1074 -> Šis įvykis rašomas, kai programa sukelia sistemos paleidimą iš naujo, arba kai vartotojas inicijuoja iš naujo arba išjungimą spustelėdamas Pradėti arba paspausdami CTRL + ALT + DELETE ir tada spustelėkite Išjungti Šis įvykis įrašomas į sistemos žurnalą tik tada, kai įjungtas arba nesukonfigūruotas „Shutdown Event Tracker“ grupės strategijos parametras.

vaizdas

Pamatysite daug įrašų su 1074 įvykio ID, iš kurių mes žiūrime tik į naujausią.

vaizdas

Viršuje pateiktame ekrane neseniai paleistas iš naujo buvo paleistas SMS agento pagrindinio kompiuterio (ccmexec) 2016-10-31 05:45:10 dėl programų ar programinės įrangos atnaujinimo diegimo. Tai nenurodo jums naudotojo vardo, nes iš naujo paleista buvo inicijuota sistemos paskyros (NT AUTHORITY SYSTEM)

Procesas C: Windows CCM CcmExec.exe („ComputerName“) inicijavo kompiuterio „ComputerName“ iš naujo paleidimą vartotojo „NT AUTHORITY SYSTEM“ vardu dėl šios priežasties: Nepavyko rasti pavadinimo dėl šios priežasties
Priežasties kodas: 0x80020001
Išjungimo tipas: paleiskite iš naujo
Komentaras: Kompiuteris bus paleistas iš naujo 2016-10-31 05:45:10, kad būtų baigtas programų ir programinės įrangos naujinimų diegimas.

Dabar turime išsiaiškinti, kas buvo įdiegta serveryje perkrovimo metu / anksčiau ir ar klientas turi pakankamai priežiūros lango, kad galėtų paleisti iš naujo.

2. Leidžia patikrinti, koks yra prieinamas serverio priežiūros langas, kuris gali padėti išanalizuoti bet kurį diegimą, kurio laukiama iš naujo paleisti, kai pakankamai priežiūros lango leidžiama paleisti iš naujo arba ne.

Aš naudoju šią SQL užklausą norėdamas patikrinti galimą konkretaus kliento priežiūros langą.

PAREIŠKKITE @ failo varcharą (5000);
SET @ file = „Serverio pavadinimas”

pasirinkite MW.[Collection Name], MW.[MW Name], MW. Aprašymas, konvertuoti (nvarchar (26), MW.StartTime, 100)[StartTime], MW. Trukmė
nuo
(
pasirinkite fcm.CollectionId, coll.Name [Collection Name], s.Vardas [MW Name], s.Description, s.StartTime, s.Duration
iš dbo.v_R_System sys
Dešinė JUNGTI dbo.fn_SplitString (@file, ‘,’) AS fss ON sys.Name0 = fss.substring
prisijunkite prie dbo.v_FullCollectionMembership FCM sistemoje sys.ResourceID = fcm.ResourceID
prisijunkite prie dbo.v_Collection coll prie Coll.CollectionID = fcm.CollectionID
kairėje prisijungti prie v_ServiceWindow S s.CollectionID = fcm.CollectionID
) MW
kur MW.[MW Name] nepatinka ”

Aš naudojau @ failas iš esmės siekia pritraukti daug klientų, apie kuriuos norėjau pateikti užklausą. Jei norite išvardyti daugiau nei 1 kliento MW, jūsų @ failas turėtų būti @ file = ‘serveris1, serveris2, serveris3, serveris4

Esant aukščiau nurodytai SQL užklausai, nematau jokio priežiūros lango, kurį serveris galėtų paleisti iš naujo (serveris perkrautas).

3. Dabar grįšime į probleminį serverį, prisijunkite, kad pamatytumėte, ką įdiegė SCCM perkrovimo metu arba prieš perkraunant.

pabandysime peržiūrėti „AppEnforce.log“ (programoms), „execmgr.log“ (paketams) ir „Windows“ atnaujinimo žurnalus (WUAHandler.log, UpdatesHandler.log) ir kitus žurnalus, kuriuos įtariate.

AppEnforce.log:

vaizdas

Iš appenforce.log buvo programa, kuri įdiegta tyliai, be jokio perkrovimo (Atitinkamas išėjimo kodas 3010 į PendingSoftReboot įrašą išėjimo kodų lentelėje.)

Taigi programoje nėra jokios priverstinio perkrovimo parinkties, ir tikrai kažkas iš naujo yra paleistas iš naujo.

4. Pažvelkite į „RebootCoordinator.log“ ir „MaintenanceCoordinator.log“, jei tai padės atskleisti šiek tiek informacijos apie perkrovimo elgesį.

RebootCoordinator.log

vaizdas

Iš viršaus žurnalo matau kelis įrašus, susijusius su serverio perkrovimu, kurie mano darbe padeda nustatyti pagrindinę priežastį.

Vartotojas S-1-5-21-1009845188-1641970364-1010270793-4361695 gauna laukiančią informaciją apie perkrovimą

„ServiceWindowsManager“ neleido mums paleisti iš naujo

MTC leido mums paleisti iš naujo

Pranešimo apie vartotojo sąsają atidėjimo laikotarpis prasideda 900 malonės sekundžių ir 300 paskutinių sekundžių.

Sistemos perkrovimo užklausa pavyko.

Kaip matote iš žurnalo, vartotojo SID gauna laukiančią informaciją apie perkrovimą, o tai reiškia, kad kažkas prisijungė prie serverio perkraunant serverį.

Kaip rasti, kas yra tas vartotojas? Na, jį galite rasti naudodami įvykių peržiūros priemonės saugos žurnalus arba „PowerShell“ scenarijų, kuris SID paverčia vartotojo vardu.

Žemiau naudojau „PowerShell“ scenarijų, kuris konvertuoja SID reikšmę į vartotojo vardą

$ objSID = New-Object System.Security.Principal.SecurityIdentifier („S-1-5-21-1009845188-1641970364-1010270793-4361695„)
$ objUser = $ objSID. Išversti ( [System.Security.Principal.NTAccount])
$ objUser.Value

nukopijuokite scenarijų, pakeiskite SID reikšmę ir paleiskite „PowerShell“ scenarijų problemų serveryje, kad rastumėte vartotojo vardą.

Dabar gavau vartotojo vardą, kuris perkrovimo metu prisijungė prie serverio, tačiau negaliu laikyti šios informacijos kaip suteikta ir patvirtinti, kad šis vartotojas pradėjo perkrauti.

Na, RebootCoordinator.log nepatvirtina, ar prisijungęs vartotojas iš naujo paleido serverį. Taigi kas toliau?

„SCCM Configmgr 2012“ ir naujesnėse versijose taip pat yra žurnalų vartotojams. Šie žurnalai įrašo veiklą, skirtą pranešti vartotojams apie nurodyto vartotojo programinę įrangą.

Šie vartotojai praneša žurnalams, pavadintiems SCNotify_ @ _1.log

atidarykite žurnalą vartotojui (_SCNotify_ @ _2.log) kuris prisijungė prie serverio serverio perkrovimo metu, jei jis pats inicijavo.

vaizdas

Iš šio žurnalo rasta daug naudingos informacijos, kurios rasite po įrašu, patvirtinančiu, kad vartotojui leidžiama paleisti sistemą iš naujo.

„RestartCountdownDialog“: „IsRestartSystemAllowed“ – vartotojui leidžiama iš naujo paleisti sistemą („Microsoft.SoftwareCenter.Client.Pages.RestartCountdownDialog at .ctor“)

Pranešimas yra apie atsijungimą / pakartotinį paleidimą arba atsijungimą / iš naujo paleisti atgal. („Microsoft.SoftwareCenter.Client.Notification.NotifyObjectBase“, „ShowBalloonTip“)

Bendras sekundžių skaičius atgalinėje atskaitoje yra 900; pradinė vertė yra 2; sekundės iki perkrovimo yra 898, sistema bus paleista iš naujo 17:45:09 PM (gatv pabaigos laikas = 9:45:10 AM) („Microsoft.SoftwareCenter.Client.Pages.RestartCountdownDialog at .ctor“)

Tai patvirtina, kad vartotojas, prisijungęs prie serverio, pradėjo perkrauti ir nieko iš SCCM kliento.

Jei turite kitų galimų būdų nustatyti, kas pradėjo perkrauti, paskelbkite jį per komentarų skyrių.

Iki kito!



Parašykite komentarą

El. pašto adresas nebus skelbiamas. Būtini laukeliai pažymėti *

Patarimai

Mokymai Statybininkams

Mokymai statybininkams: Svarbiausi aspektai Mokymai statybininkams – tai neatsiejama profesinio tobulėjimo dalis, padedanti ne tik įgyti naujų įgūdžių, bet ir stiprinti esamas kompetencijas. Atsiradus naujoms technologijoms bei statybų reglamentų pokyčiams, specialistai privalo nuolat atnaujinti savo žinias. Kodėl svarbūs mokymai statybininkams? Statybininkai dirba itin dinamiškoje ir atsakomybės reikalaujančioje srityje, kurioje saugumas, kokybė ir efektyvumas yra pagrindiniai […]

Read More
Patarimai

Kaip pasiruošti sklandžiam kraustymuisi Kauno mieste?

Kraustymasis gali būti vienas iš labiausiai stresą keliančių gyvenimo įvykių. Jei gyvenate Kaune ir planuojate persikraustyti, svarbu pasiruošti iš anksto ir apgalvoti visas detales. Šiame straipsnyje pateiksime praktinius patarimus, kaip pasiruošti sklandžiam kraustymuisi, kad viskas vyktų kuo paprasčiau. Taip pat aptarsime, kaip krovinių pervežimas Kaune gali palengvinti šį procesą. 1. Planuokite iš anksto 1.1. Sudarykite […]

Read More
Patarimai

Sklypo Projektavimas: Ką Būtina Žinoti?

Projektuojant sklypą, labai svarbu atsižvelgti į daugybę aspektų – nuo sklypo ypatybių iki asmeninių poreikių. Tai gali būti sudėtingas ir ilgalaikis procesas, tačiau kruopštus planavimas užtikrina, kad sklypas taps patogia ir estetiška erdve. Žemiau apžvelgsime pagrindinius etapus ir veiksnius, kuriuos reikia įvertinti. Pagrindiniai Sklypo Projektavimo Etapai 1. Sklypo Analizė ir Įvertinimas Pirmasis žingsnis yra atlikti […]

Read More