پرش به مطلب اصلی

بررسی مشکلات مربوط به خاموشی و ریستارت ناخواسته در ویندوز

چرا سرور ویندوزی من خاموش شده است ؟

خاموشی سرور ویندوزی می‌تواند دلایل متعددی داشته باشد.این دلایل ممکن است شامل خطاهای نرم‌افزاری، به‌روزرسانی‌های خودکار، مشکلات مربوط به کمبود منابع یا حتی تنظیمات نادرست سیستم باشد.

در این مقاله، به بررسی دلایل خاموشی ناگهانی، Restart های غیرمنتظره و رخدادهای مرتبط با استارتاپ سرور با استفاده از ابزار Event Viewer ویندوز خواهیم پرداخت. این ابزار به ما کمک می‌کند تا به شکلی دقیق لاگ‌های سیستم را بررسی کرده و با تحلیل داده‌های موجود، به علت‌های اصلی مشکلات پی ببریم.

ابزار Event Viewer چیست ؟

Event Viewer ابزاری است که توسط Microsoft در سیستم عامل های ویندوز ارائه می شود.رخداد های سیستم عامل توسط Windows لاگ می شود.ابزار Event Viewer به ما کمک می کند که این گزارشات را به آسانی مدیریت و بررسی کنیم و امکاناتی مثل فیلتر کردن انواع رخداد با شناسه خاص و یا رخداد های مربوط به بخش خاصی را به ما ارائه می کند.

برای درک بهتر Event Viewer تصور کنید کامپیوتر شما مثل یک فرودگاه شلوغ است که هواپیماها مدام در حال برخاستن و فرود هستند. Event Viewer مانند مرکز کنترل هوایی هستش که بر همه پروازها نظارت می‌کند تا همه چیز به خوبی پیش برود. هر ورودی در لاگ‌ها مثل یک گزارش پرواز است – بعضی هواپیماها بدون مشکل پرواز می‌کنند (information logs)، برخی ممکن است دچار تأخیر یا تلاطم شوند (warning logs)، و گاهی اوقات یک فرود اضطراری رخ می‌دهد (error logs). همان‌طور که کنترل‌کنندگان برج مراقبت به این گزارش‌ها برای اطمینان از عملیات ایمن و کارآمد اعتماد می‌کنند، مدیران سیستم نیز از Event Viewer استفاده می‌کنند تا سلامت سیستم را رصد کرده و از وقوع مشکلات احتمالی جلوگیری کنند.

نحوه ورود به Event Viewer

برای ورود به Event Viewer می توانید ابتدا با استفاده از کلید های ترکیبی Windows + R محیط Run را باز کنید.سپس در آن عبارت Eventvwr را وارد کرده و OK را بزنید.

در مرحله بعدی برای اینکه به گزارش رخداد های مربوط به خاموشی دسترسی داشته باشیم لازمه بخش خاصی از Event Viewer را بررسی کنیم.در ابتدا از منو سمت چپ گزینه Windows Logs را انتخاب می کنیم.سپس وارد بخش System می شویم.

در ادامه می توانیم از منو سمت راست و کلیک بر روی گزینه Filter Current Log و قرار دادن شناسه های موردنظر در بخش Event ID رخداد های موردنظر را بررسی کنیم.

پس از کلیک کردن روی OK می توانیم لاگ هایی که با شناسه های مورد نظر ما هستش را مشاهده کنیم.با کلیک روی هرکدام از آنها ، می توان در پائین صفحه و در بخش General جزئیات آن را مشاهده کرد.

شناسه Event های مربوط به خاموشی و Restart

رخداد هایی با شناسه 41 : این لاگ نشان می دهد که سرور شما بدون خاموش شدن صحیح Restart شده ، برای مثال اگر سرور خود را مثل یک کامپیوتر شخصی فرض کنید این لاگ نشان می دهد که برق آن قطع شده است.در سرور یکی از علت های مشاهده این لاگ می تواند به دلیل crash کردن سیستم عامل باشد.

رخداد هایی با شناسه 6005 : این شناسه مربوط به روشن شدن سرویس Event Log است که پس از روشن شدن سیستم عامل رخ می دهد.

رخداد هایی با شناسه 1074 : یکی از مهم ترین موارد رخداد هایی با شناسه 1074 هستش.سرور شما هنگامی این لاگ را ذخیره می کند که یک User و یا یک اپلیکیشن درخواست Shutdown و یا Restart شدن را در سیستم عامل اجرا می کند.همچنین جزئیات این لاگ به شما در پیدا کردن منبع درخواست هم کمک می کند. برای مثال نمونه زیر را بررسی کنید : 

The process C:\Windows\System32\RuntimeBroker.exe has initiated the power off of computer WIN-TEST on behalf of user WIN-TEST\Administrator for the following reason: Other (Unplanned)
Reason Code: 0x5000000
Shutdown Type: power off

این گزارش ، جزئیات یک رخداد با شناسه 1074 است.در این نمونه می توانیم ببینیم که درخواست Shutdown توسط کاربر Administrator روی سرور اجرا شده است.همچنین با توجه به اینکه هنگام Shutdown و یا Restart در ویندوز سرور علت آن از کاربر پرسیده می شود ؛ این کاربر گزینه Unplanned را انتخاب کرده ؛ در بخش Shutdown Type هم مشخص شده است که درخواست موردنظر Restart و یا Shutdown بوده است.

رخداد هایی با شناسه 6006 : این شناسه مربوط به خاموش شدن صحیح سرور شما هستش.

رخداد هایی با شناسه 6008 : وقتی که یک لاگ با این شناسه را در Event Viewer مشاهده کنید یعنی سرور شما غیرمنتظره یا در یک شرایط غیرعادی خاموش شده است.معمولا این مورد را بعد از لاگ هایی با شناسه 41 که پیش تر در خصوص آن توضیح داده شد مشاهده خواهیم کرد.

رخداد هایی با شناسه 1076 : زمانی که پس از یک خاموشی غیرمنتظره یا غیرعادی ، یک کاربر با دسترسی Administrator وارد سرور شود ؛ سیستم عامل از او یک سوال می پرسد که علت خاموشی قبلی را مشخص کند.سپس پاسخ سوال در لاگ ها با شناسه 1076 ذخیره می شوند تا در آینده قابل بررسی باشد. نمونه : 

The reason supplied by user WIN-TEST\Administrator for the last unexpected shutdown of this computer is: Other (Unplanned)

مشاهده رخداد ها در PowerShell

برای اینکه بتوانیم سریع‌تر به لاگ‌ها، به‌ویژه لاگ‌های مربوط به خاموشی سرور دسترسی پیدا کنیم، می‌توانیم از PowerShell هم استفاده کنیم. این ابزار به ما اجازه می‌دهد تا با اجرای دستورات خاص، به صورت مستقیم و سریع به گزارش‌های سیستم دسترسی داشته باشیم. به عنوان مثال، با استفاده از دستور Get-WinEvent می‌توانیم لاگ‌های موردنظر را بدون نیاز به باز کردن Event Viewer مشاهده و بررسی کنیم. در دستور زیر آخرین رخداد ها با شناسه های 1074 ، 1076 ، 41 و 6008 نمایش داده می شود : 

Get-WinEvent -FilterHashtable @{LogName='System'; ID=1074,41,6008,1076} | Format-List

هنگامی که از این دستور استفاده کنیم ، هر رخداد همراه با جزئیات آن را به ما نمایش می دهد.جزئیاتی که در Event Viewer در بخش General به ما نمایش داده میشد در اینجا در بخش Message نمایش داده می شود.

بررسی برخی از علت های خاموشی

آپدیت ویندوز : یکی از علت های متداول Restart شدن سرور های ویندوزی آپدیت ویندوز هستش.بصورت پیشفرض آپدیت خودکار در سیستم عامل فعال است و این آپدیت بصورت خودکار دانلود می شود.سپس سیستم عامل یک زمان که سرور فعالیت کمتری داشته باشد را با بررسی زمان ورود و خروج شما مشخص می کند و آپدیت را برنامه ریزی می کند.در ادامه در زمان مشخص آپدیت را انجام می دهد و معمولا منجر به Restart شدن سرور می شود.این مورد را می توانیم همانطور که در بخش قبلی توضیح داده شد در رخداد هایی با شناسه 1074 بررسی کنیم.که در این موارد جزئیات لاگ مشاهده شده به شکل زیر خواهد بود : 

The process C:\Windows\system32\svchost.exe (WIN-TEST) has initiated the restart of computer WIN-TEST on behalf of user NT AUTHORITY\SYSTEM for the following reason: Operating System: Service pack (Planned)
Reason Code: 0x80020010
Shutdown Type: restart

در این نمونه می توانیم ببینیم که درخواست Restart توسط SYSTEM روی سرور اجرا شده است.همچنین علت آن Service pack توسط سیستم عامل و برنامه ریزی شده بوده است. در بخش Shutdown Type هم مشخص شده است که درخواست موردنظر Restart و یا Shutdown بوده است.با بررسی Reason Code هم متوجه می شویم که کد 0x80020010 مربوط به آپدیت برنامه ریزی شده است.

خطای سیستم عامل در پی مشکل منابع یا نرم افزار : ممکن است بدلیل اینکه یکی از نرم افزار هایی که در حال اجرا روی سرور هستش منابع بسیار زیادی مصرف کند و یا مشکلی در ساختار هسته سیستم عامل ایجاد کند ؛ سرور شما با خطا روبرو شود و به اجبار Restart انجام دهد تا از ایجاد مشکل های بیشتر جلوگیری کند.در این موارد به احتمال زیاد خطا هایی با شناسه 41 را مشاهده خواهید کرد.در این صورت نیاز است نرم افزار های در حال اجرا و منابع مصرف شده توسط آن ها را بررسی کنید.

اشتباهات عملیاتی : گاهی اوقات نیز خطاهای انسانی مانند کلیک تصادفی روی گزینه خاموش شدن در هنگام ارتباط با سرور باعث خاموشی سرور شود.اجرای دستورات اشتباه در خط فرمان یا PowerShell نیز می‌تواند باعث اختلال در عملکرد سیستم و در نهایت خاموشی آن شود. به ویژه دستوراتی که به طور مستقیم با مدیریت سیستم در ارتباط هستند، باید با دقت فراوان اجرا شوند.همچنین تغییر برخی از تنظیمات حیاتی سیستم مانند تنظیمات رجیستری یا تنظیمات سرویس‌ها می‌تواند باعث بروز مشکلات جدی و خاموشی سرور شود.

عوامل دیگر : در نهایت ممکن است عواملی خارج از کنترل ما، مانند نوسانات زیرساخت‌های شبکه یا مشکلات فنی در مراکز داده، بر عملکرد سرور تأثیر گذاشته باشد.احتمال وقوع این نوع از مشکلات بسیار ناچیز است.در این موارد می توانید همراه با مستندات لاگ های موجود درخواست خود را بصورت یک تیکت ارسال کنید تا توسط همکاران ما در بخش پشتیبانی فنی بررسی شود.

جمع بندی :

خاموشی سرور ویندوزی می‌تواند ناشی از عوامل مختلفی باشد، از خطاهای نرم‌افزاری و به‌روزرسانی‌های خودکار گرفته تا تنظیمات نادرست. همان‌طور که در این مقاله بررسی کردیم، استفاده از ابزار Event Viewer ویندوز به ما این امکان را می‌دهد تا لاگ‌ها و گزارش‌های دقیقی از رخدادهای سیستم مشاهده کرده و با تحلیل آن‌ها به علت‌های اصلی خاموشی، Restart یا مشکلات مربوط به سرور پی ببریم.

امیدواریم این مقاله به شما کمک کرده باشد تا بتوانید علت خاموشی سرور ویندوزی خود را به شکلی دقیق‌تر بررسی و شناسایی کرده و با استفاده از راهکارهای مناسب، مشکلات پیش آمده را رفع نمایید. مدیریت صحیح و پیشگیری از وقوع خاموشی‌های ناگهانی، نقش مهمی در بهبود عملکرد و پایداری سرویس‌های حیاتی شما خواهد داشت.

سوالات متداول :

چگونه می‌توان علت خاموشی غیرمنتظره سرور را بررسی کرد؟ با استفاده از Event Viewer و بررسی لاگ‌ها با شناسه هایی مانند 41، 6008، و 1076 می‌توانید علت خاموشی غیرمنتظره را شناسایی کرده و اقدامات لازم را برای جلوگیری از مشکلات آتی انجام دهید.

Event Viewer چیست و چه کاربردی دارد؟ Event Viewer ابزاری است که توسط Microsoft در سیستم‌عامل‌های ویندوز ارائه می‌شود تا رخدادهای سیستم را لاگ و مدیریت کند. این ابزار به مدیران سیستم کمک می‌کند تا سلامت سیستم را رصد کرده و از مشکلات احتمالی جلوگیری کنند.

چگونه می‌توان به Event Viewer دسترسی پیدا کرد؟ برای دسترسی به Event Viewer، ابتدا با استفاده از کلیدهای ترکیبی Windows + R محیط Run را باز کرده و سپس عبارت Eventvwr را وارد کرده و OK را بزنید.

رخدادهای با شناسه 41 و 1074 به چه معنا هستند؟ رخداد با شناسه 41 نشان می‌دهد که سیستم بدون خاموشی صحیح Restart شده، مانند بروز مشکلی در هسته سیستم عامل. رخداد با شناسه 1074 نشان‌دهنده درخواست Shutdown یا Restart توسط کاربر یا اپلیکیشن است و اطلاعات بیشتری درباره منبع درخواست ارائه می‌دهد.