Avancerad felsökning för händelse-ID 41: "Systemet har startats om utan att stängas av först"

Obs!

Hemanvändare: Den här artikeln är avsedd att användas av supportagenter och IT-proffs. Om du letar efter mer information om felmeddelanden med blå skärm kan du gå till Felsöka blåskärmsfel.

Det bästa sättet att stänga av Windows är att välja Start och sedan välja ett alternativ för att stänga av eller stänga av datorn. När du använder den här standardmetoden stänger operativsystemet alla filer och meddelar de tjänster och program som körs så att de kan skriva osparade data till disken och tömma alla aktiva cacheminnen.

Om datorn oväntat stängs av loggar Windows händelse-ID 41 nästa gång datorn startas. Händelsetexten liknar följande information:

Event ID: 41  
Description: The system has rebooted without cleanly shutting down first.

Den här händelsen anger att en oväntad aktivitet hindrade Windows från att stängas av korrekt. En sådan avstängning kan orsakas av ett avbrott i strömförsörjningen eller av ett stoppfel. Om möjligt registrerar Windows eventuella felkoder när det stängs av. Under kernelfasen för nästa Windows-start söker Windows efter dessa koder och innehåller eventuella befintliga koder i händelsedata för händelse-ID 41.

EventData  
BugcheckCode 159  
BugcheckParameter1 0x3  
BugcheckParameter2 0xfffffa80029c5060  
BugcheckParameter3 0xfffff8000403d518  
BugcheckParameter4 0xfffffa800208c010  
SleepInProgress false  
PowerButtonTimestamp 0Converts to 0x9f (0x3, 0xfffffa80029c5060, 0xfffff8000403d518, 0xfffffa800208c010)  

Så här använder du händelse-ID 41 när du felsöker en oväntad avstängning eller omstart

Händelse-ID 41 kanske inte innehåller tillräckligt med information för att uttryckligen definiera vad som hände. Vanligtvis måste du också tänka på vad som hände vid tidpunkten för den oväntade avstängningen (till exempel misslyckades strömförsörjningen). Använd informationen i den här artikeln för att identifiera en felsökningsmetod som är lämplig för dina omständigheter:

  • Scenario 1: Datorn startas om på grund av ett stoppfel och händelse-ID 41 innehåller en stoppfelkod (buggkontroll)
  • Scenario 2: Datorn startas om eftersom du tryckte på och höll strömknappen
  • Scenario 3: Datorn svarar inte eller startar om slumpmässigt och händelse-ID 41 loggas inte eller så visar posten Händelse-ID 41 felkodsvärden på noll

Scenario 1: Datorn startas om på grund av ett stoppfel och händelse-ID 41 innehåller en stoppfelkod (buggkontroll)

När en dator stängs av eller startas om på grund av ett stoppfel innehåller Windows data om stoppfel i händelse-ID 41 som en del av fler händelsedata. Den här informationen innehåller stoppfelkoden (kallas även för en felkontrollkod), som du ser i följande exempel:

EventData  
BugcheckCode 159  
BugcheckParameter1 0x3  
BugcheckParameter2 0xfffffa80029c5060  
BugcheckParameter3 0xfffff8000403d518  
BugcheckParameter4 0xfffffa800208c010  

Obs!

Händelse-ID 41 innehåller felkontrollkoden i decimalformat. Den mesta dokumentationen som beskriver felkontrollkoder refererar till koderna som hexadecimala värden i stället för decimalvärden. Om du vill konvertera decimaler till hexadecimalt följer du dessa steg:

  1. Välj Start, skriv calci sökrutan och välj sedan Kalkylator.
  2. I fönstret Kalkylator väljer du Visa>programmerare.
  3. Till vänster i kalkylatorn kontrollerar du att Dec är markerat.
  4. Använd tangentbordet för att ange decimalvärdet för felkontrollkoden.
  5. Välj Hex till vänster i kalkylatorn.
    Värdet som kalkylatorn visar är nu hexadecimal kod.

När du konverterar en felkontrollkod till hexadecimalt format kontrollerar du att "0x"-beteckningen följs av åtta siffror (det vill sägs att delen av koden efter "x" innehåller tillräckligt med nollor för att fylla i åtta siffror). Till exempel dokumenteras 0x9F vanligtvis som 0x0000009f och 0xA dokumenteras som 0x0000000A. När det gäller exempelhändelsedata i den här artikeln konverteras "159" till 0x0000009f.

När du har identifierat hexadecimalt värde använder du följande referenser för att fortsätta felsökningen:

Scenario 2: Datorn startas om eftersom du tryckte på och höll strömknappen

Eftersom den här metoden för att starta om datorn stör Windows-avstängningsåtgärden rekommenderar vi att du endast använder den här metoden om du inte har något alternativ. Du kan till exempel behöva använda den här metoden om datorn inte svarar. När du startar om datorn genom att trycka på och hålla ned strömknappen loggar datorn ett händelse-ID 41 som innehåller ett värde som inte är noll för Posten PowerButtonTimestamp .

<EventData>
<Data Name="BugcheckCode">0</Data>
<Data Name="BugcheckParameter1">0x0</Data>
<Data Name="BugcheckParameter2">0x0</Data>
<Data Name="BugcheckParameter3">0x0</Data>
<Data Name="BugcheckParameter4">0x0</Data>
<Data Name="SleepInProgress">0</Data>
<Data Name="PowerButtonTimestamp">131728546170882432</Data>
<Data Name="BootAppStatus">0</Data>
</EventData>

Mer information om hur du felsöker en dator som inte svarar finns i Windows-hjälpen. Överväg att söka efter hjälp med hjälp av nyckelord som "hängning", "svarar" eller "tom skärm".

Scenario 3: Datorn svarar inte eller startar om slumpmässigt och händelse-ID 41 registreras inte eller posten Händelse-ID 41 eller visar felkodsvärden på noll

Det här scenariot omfattar följande omständigheter:

  • Du stänger av strömmen till en dator som inte svarar och startar sedan om datorn.
    Kontrollera att en dator inte svarar genom att trycka på caps lock-tangenten på tangentbordet. Om caps-låslampan på tangentbordet inte ändras när du trycker på Caps Lock-tangenten kanske datorn inte svarar (kallas även för en hård låsning).
  • Datorn startas om, men den genererar inte händelse-ID 41.
  • Datorn startar om och genererar händelse-ID 41, men värdena BugcheckCode och PowerButtonTimestamp är noll.

I sådana fall hindrar något Windows från att generera felkoder eller skriva felkoder till disken. Något kan blockera skrivåtkomst till disken (som om en dator inte svarar) eller så kan datorn stängas av för snabbt för att skriva felkoderna eller till och med identifiera ett fel.

Informationen i Händelse-ID 41 innehåller en indikation på var du kan börja söka efter problem:

  • Händelse-ID 41 registreras inte eller så är felkontrollkoden noll. Det här beteendet kan tyda på ett strömförsörjningsproblem. Om strömmen till en dator avbryts kan datorn stängas av utan att generera ett stoppfel. Om det genererar ett stoppfel kanske det inte är klart att skriva felkoderna till disken. Nästa gång datorn startar kanske den inte loggar händelse-ID 41. Eller, om det gör det, är felkontrollkoden noll. Följande villkor kan vara orsaken:

    • När det gäller en bärbar dator togs batteriet bort eller tömdes.
    • När det gäller en stationär dator kopplades datorn ur eller drabbades av ett strömavbrott.
    • Strömförsörjningen är underbemannad eller felaktig.
  • Värdet för PowerButtonTimestamp är noll. Det här beteendet kan inträffa om du kopplar från strömmen till en dator som inte svarade på indata. Följande villkor kan vara orsaken:

    • En Windows-process blockerade skrivåtkomsten till disken och du stängde av datorn genom att trycka på och hålla ned strömknappen i minst fyra sekunder.
    • Du kopplade från strömmen till en dator som inte svarade.
  • Det gick inte att skriva dumpfilen och alla värden är Noll. Till exempel:

    <EventData>
    <Data Name="BugcheckCode">0</Data>
    <Data Name="BugcheckParameter1">0x0</Data>
    <Data Name="BugcheckParameter2">0x0</Data>
    <Data Name="BugcheckParameter3">0x0</Data>
    <Data Name="BugcheckParameter4">0x0</Data>
    <Data Name="SleepInProgress">0</Data>
    <Data Name="PowerButtonTimestamp">0</Data>
    <Data Name="BootAppStatus">0</Data>
    </EventData>
    

    Det finns dock ett händelse-ID 46 som loggas av volmgr: Initieringen av kraschdump misslyckades!. Den här händelsen kan inträffa om datorn startade utan en konfigurerad dumpfil. Standarddumpfilen är pagefile.

    Skärmbild av händelseloggen.

    När du har ett ärende med en oväntad omstart och händelse-ID 41 har alla värden som 0 kontrollerar du därför om du har ett händelse-ID 46 med volmgr. I så fall kontrollerar du konfigurationen av växlingsfilen. Oväntade omstarter kan fortfarande ske på grund av en felkontroll, men systemet kan inte skriva typen av felkontroll i händelse-ID 41 och kunde inte också generera en minnesdump. Se Händelse-ID 46 när du startar en dator

Vanligtvis indikerar de symptom som beskrivs i det här scenariot ett maskinvaruproblem. Gör följande för att isolera problemet:

  • Inaktivera överklockning. Om överklockning är aktiverat på datorn inaktiverar du det. Kontrollera att problemet uppstår när systemet körs med rätt hastighet.
  • Kontrollera minnet. Använd en minneskontroll för att fastställa minneshälsa och konfiguration. Kontrollera att alla minneschips körs med samma hastighet och att varje chip är korrekt konfigurerat i systemet.
  • Kontrollera strömförsörjningen. Kontrollera att strömförsörjningen har tillräckligt med watt för att hantera de installerade enheterna på rätt sätt. Om du har lagt till minne, installerat en nyare processor, installerat fler enheter eller lagt till externa enheter kan sådana enheter kräva mer energi än vad den aktuella strömförsörjningen kan ge konsekvent. Om datorn loggade händelse-ID 41 på grund av att strömmen till datorn avbröts bör du överväga att skaffa en avbrottsfri strömförsörjning (UPS), till exempel en batterisäkerhetskopia.
  • Kontrollera överhettning. Undersök maskinvarans interna temperatur och kontrollera om det finns överhettningskomponenter.
  • Om datorn är en fysisk dator kan den ha startats om av ett ASR-program (Automatic Server Recovery) som upptäckte att datorn inte svarar.
  • Om systemet körs på en virtuell Hyper-V-dator (VM) och inte ingår i en klustrad miljö, kan systemet ha startats om av hyper-V-pulsslagsfunktionen. Om den här funktionen är aktiverad och värden inte identifierar ett pulsslag från den virtuella datorn (kanske för att den inte svarar) startar Hyper-V om den virtuella datorn.
  • Om problemet uppstår i en Klustrad Hyper-V-miljö kan problemet bero på alternativet Aktivera pulsslagsövervakning för den virtuella datorn . Se Skadad minnesdumpfil när du försöker hämta en fullständig minnesdumpfil från en virtuell dator som körs i en klustermiljö.
  • Om problemet uppstår med en virtuell VMWare-dator kan det vara relaterat till pulsslagsfunktionen i VMWare, eller så är den virtuella datorn en del av något kluster från tredje part.
  • Sök efter misstänkta händelser före avstängningstiden (hämtas från händelse-ID 6008) i både program- och systemloggen.

Om du utför dessa kontroller och fortfarande inte kan isolera problemet ställer du in systemet på standardkonfigurationen och kontrollerar om problemet kvarstår.

Obs!

Om du ser ett stoppfel som innehåller en felkontrollkod, men händelse-ID 41 inte innehåller den koden, ändrar du omstartsbeteendet för datorn. Gör så här:

  1. Högerklicka på Min dator och välj sedan Egenskaper>Avancerade systeminställningar>Avancerat.
  2. I avsnittet Start och återställning väljer du Inställningar.
  3. Avmarkera kryssrutan Starta om automatiskt .

Mer information

Information om händelse-ID 41

Kernel Power-händelse-ID 41-felet inträffar när datorn stängs av eller startar om oväntat. När en Windows-baserad dator startar utförs en kontroll för att avgöra om datorn stängdes av korrekt. Annars genereras ett Kernel Power-händelse-ID 41-meddelande.

Ett händelse-ID 41 används för att rapportera att något oväntat hände som hindrade Windows från att stängas av korrekt. Det kan finnas otillräcklig information för att uttryckligen definiera vad som hände. Mer information finns i Kernel Power Event ID 41 .

  • Loggnamn: System
  • Produkt: Windows-operativsystem
  • ID: 41
  • Källa: Microsoft-Windows-Kernel-Power
  • Nivå: Kritisk
  • Version: 6.1
  • Meddelande: Systemet har startats om utan att stängas av helt först. Det här felet kan orsakas om systemet oväntat slutade svara, kraschade eller förlorade ström.

Obs!

Tiden som visas i .evtx-filen justeras efter systemets tid. Kontrollera serverns tidszon.

  • Händelse-ID 41: Den här händelsen anger att Windows startades om utan en fullständig avstängning.
  • Händelse-ID 1074: Den här händelsen loggas när ett program ansvarar för systemavstängningen eller omstarten. Det anger också när en användare startade om eller stängde av systemet med hjälp av Start-menyn eller genom att trycka på Ctrl+Alt+Del.
  • Händelse-ID 6006: Den här händelsen anger att Windows var tillräckligt inaktiverat.
  • Händelse-ID 6008: Den här händelsen anger en felaktig eller smutsig avstängning. Den loggas när den senaste avstängningen var oväntad.

Precis innan datorn stängs av shutdown.exe registrerar avstängningshändelsen i Windows-systemloggen med en Källa =User32 och händelse-ID 1074 tillsammans med eventuella anpassade meddelanden & orsakskod.

Händelseloggen är det enda sättet att se att en omstart som utlöses från shutdown.exe väntar. Händelsen registrerar även användarnamnet samt datum och tid när shutdown kommandot utfärdades.

När du använder shutdown.exe för att starta om en server tillåter avstängningsprocessen normalt 30 sekunder för att säkerställa att varje tjänst som körs har tid att stoppas. Tjänsterna stängs av i alfabetisk ordning. Att stoppa tjänsterna manuellt i en viss ordning med NET STOP eller SC kan vara något snabbare.

Startstatusfil (från windows internals 6th)

Windows använder en startstatusfil (%SystemRoot%\Bootstat.dat) för att registrera det faktum att den har gått igenom olika steg i systemets livscykel, inklusive start och avstängning.

På så sätt kan Starthanteraren, Windows-inläsaren och startreparationsverktyget identifiera onormal avstängning eller ett fel vid avstängning, för att kunna erbjuda alternativ för användaråterställning och diagnostikstart, till exempel Senast fungerande och felsäkert läge. Den här binära filen innehåller information genom vilken systemet rapporterar om följande faser av systemets livscykel lyckades:

  • Start (definitionen av en lyckad start är samma som den som används för att fastställa statusen Senast kända bästa, vilket beskrevs tidigare)
  • Avstängning
  • Återuppta från viloläge eller pausa

Startstatusfilen anger också om ett problem upptäcktes senast användaren försökte starta operativsystemet och de återställningsalternativ som visas, vilket indikerar att användaren har blivit medveten om problemet och vidtagit åtgärder. Api:er för körningsbibliotek (Rtl) i ntdll.dll innehåller de privata gränssnitt som Windows använder för att läsa från och skriva till filen. Precis som BCD kan den inte redigeras av användare.

Om avstängning

När en avstängning initieras skickar Windows ett WM_QUERYENDSESSION meddelande till alla program som körs med en användargränssnittstråd (UI). I det här meddelandet uppmanas programmet att spara data som inte har sparats och avslutas korrekt. Om programmet inte svarar på meddelandet inom en viss tidsgräns skickar Windows ett WM_ENDSESSION meddelande till programmet, som avslutar programmet omedelbart.

Om alla program svarar på WM_QUERYENDSESSION meddelande och avslutas korrekt loggar Windows en ren avstängningshändelse i systemhändelseloggen. Om något program inte svarar på meddelandet eller avslutas onormalt loggar Windows en felaktig avstängningshändelse i systemhändelseloggen.

De oväntade avstängningarna orsakas främst av komponenter utanför operativsystemet.

En smutsig avstängning är när ett datorsystem stängs av utan att gå igenom rätt avstängningsprocess. Detta kan inträffa när strömmen plötsligt stängs av eller när datorn tvingas stängas av genom att hålla ned strömknappen. En smutsig avstängning kan orsaka dataförlust eller skadas och kan också leda till startproblem.

Registret för antal felaktiga avstängningar är en registernyckel i Windows-registret som används för att spåra hur många gånger ett datorsystem har stängts av utan att gå igenom rätt avstängningsprocess. Den här nyckeln kan vara användbar när du felsöker startproblem för att identifiera om systemet stängdes av felaktigt.

Du kan också rensa alla värden (till exempel DirtyShutdown, LastAliveStamp och TimeStampInterval) i följande registernyckel: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Reliability. Detta kan förhindra att spåraren för avstängningshändelser visas efter en oväntad avstängning.