Erweiterte Problembehandlung für Ereignis-ID 41: "Das System wurde neu gestartet, ohne zuerst sauber herunterzufahren"

Hinweis

Heimanwender*innen: Dieser Artikel richtet sich an Support-Mitarbeiter*innen und professionelles IT-Personal. Weitere Informationen zu Bluescreen-Fehlermeldungen finden Sie unter Beheben von Bluescreenfehlern.

Die bevorzugte Methode zum Herunterfahren von Windows besteht darin, Start auszuwählen und dann eine Option zum Ausschalten oder Herunterfahren des Computers auszuwählen. Wenn Sie diese Standardmethode verwenden, schließt das Betriebssystem alle Dateien und benachrichtigt die ausgeführten Dienste und Anwendungen, damit sie alle nicht gespeicherten Daten auf den Datenträger schreiben und alle aktiven Caches leeren können.

Wenn Ihr Computer unerwartet heruntergefahren wird, protokolliert Windows die Ereignis-ID 41, wenn der Computer das nächste Mal gestartet wird. Der Ereignistext ähnelt den folgenden Informationen:

Event ID: 41  
Description: The system has rebooted without cleanly shutting down first.

Dieses Ereignis gibt an, dass eine unerwartete Aktivität verhindert hat, dass Windows ordnungsgemäß heruntergefahren wird. Ein solches Herunterfahren kann durch eine Unterbrechung des Netzteils oder durch einen Stoppfehler verursacht werden. Wenn möglich, zeichnet Windows alle Fehlercodes beim Herunterfahren auf. Während der Kernelphase des nächsten Windows-Starts sucht Windows nach diesen Codes und schließt alle vorhandenen Codes in die Ereignisdaten der Ereignis-ID 41 ein.

EventData  
BugcheckCode 159  
BugcheckParameter1 0x3  
BugcheckParameter2 0xfffffa80029c5060  
BugcheckParameter3 0xfffff8000403d518  
BugcheckParameter4 0xfffffa800208c010  
SleepInProgress false  
PowerButtonTimestamp 0Converts to 0x9f (0x3, 0xfffffa80029c5060, 0xfffff8000403d518, 0xfffffa800208c010)  

Verwenden der Ereignis-ID 41 bei der Problembehandlung bei einem unerwarteten Herunterfahren oder Neustart

Die Ereignis-ID 41 selbst enthält möglicherweise keine ausreichenden Informationen, um explizit zu definieren, was aufgetreten ist. In der Regel müssen Sie auch berücksichtigen, was zum Zeitpunkt des unerwarteten Herunterfahrens (z. B. fehler beim Netzteil) aufgetreten ist. Verwenden Sie die Informationen in diesem Artikel, um einen Problembehandlungsansatz zu identifizieren, der für Ihre Umstände geeignet ist:

• Szenario 1: Der Computer wird aufgrund eines Stoppfehlers neu gestartet, und die Ereignis-ID 41 enthält einen Code für den Stoppfehler (Fehlerprüfung)
• Szenario 2: Der Computer wird neu gestartet, weil Sie den Netzschalter gedrückt haben.
• Szenario 3: Der Computer reagiert nicht oder startet nach dem Zufallsprinzip neu, und die Ereignis-ID 41 wird nicht protokolliert, oder der Eintrag Ereignis-ID 41 listet Fehlercodewerte von Null auf.

Szenario 1: Der Computer wird aufgrund eines Stoppfehlers neu gestartet, und die Ereignis-ID 41 enthält einen Code für den Stoppfehler (Fehlerprüfung)

Wenn ein Computer aufgrund eines Stoppfehlers heruntergefahren oder neu gestartet wird, schließt Windows die Stoppfehlerdaten in ereignis-ID 41 als Teil weiterer Ereignisdaten ein. Diese Informationen enthalten den Fehlercode beenden (auch als Fehlerprüfungscode bezeichnet), wie im folgenden Beispiel gezeigt:

EventData  
BugcheckCode 159  
BugcheckParameter1 0x3  
BugcheckParameter2 0xfffffa80029c5060  
BugcheckParameter3 0xfffff8000403d518  
BugcheckParameter4 0xfffffa800208c010  

Hinweis

Ereignis-ID 41 enthält den Fehlerprüfungscode im Dezimalformat. Die meisten Dokumentationen, die Fehlerprüfungscodes beschreiben, beziehen sich auf die Codes als Hexadezimalwerte anstelle von Dezimalwerten. Führen Sie die folgenden Schritte aus, um dezimal in hexadezimal zu konvertieren:

1. Wählen Sie Start aus, geben Sie calc in das Feld Search ein, und wählen Sie dann Rechner aus.
2. Wählen Sie im Fenster Rechner die Option Programmierer anzeigen> aus.
3. Vergewissern Sie sich auf der linken Seite des Rechners, dass Dec hervorgehoben ist.
4. Verwenden Sie die Tastatur, um den Dezimalwert des Fehlerprüfungscodes einzugeben.
5. Wählen Sie auf der linken Seite des Rechners Hex aus.
   Der Wert, den der Rechner anzeigt, ist jetzt der Hexadezimalcode.

Wenn Sie einen Fehlerprüfungscode in das Hexadezimalformat konvertieren, stellen Sie sicher, dass auf die Bezeichnung "0x" acht Ziffern folgen (d. a. der Teil des Codes nach dem "x" enthält genügend Nullen, um acht Ziffern auszufüllen). Beispielsweise wird 0x9F in der Regel als 0x0000009f dokumentiert, und 0xA wird als 0x0000000A dokumentiert. Im Fall der Beispielereignisdaten in diesem Artikel wird "159" in 0x0000009f konvertiert.

Nachdem Sie den Hexadezimalwert identifiziert haben, verwenden Sie die folgenden Verweise, um die Problembehandlung fortzusetzen:

• Erweiterte Problembehandlung für Stoppfehler oder Bluescreen-Fehler.
• Codereferenz zur Fehlerüberprüfung. Diese Seite enthält Links zur Dokumentation für verschiedene Fehlerprüfungscodes.
• So debuggen Sie Kernelmodus-Bluescreen-Abstürze (für Einsteiger).

Szenario 2: Der Computer wird neu gestartet, weil Sie den Netzschalter gedrückt haben.

Da diese Methode zum Neustarten des Computers den Windows-Herunterfahrvorgang beeinträchtigt, wird empfohlen, diese Methode nur zu verwenden, wenn Sie keine Alternative haben. Beispielsweise müssen Sie diesen Ansatz verwenden, wenn Ihr Computer nicht reagiert. Wenn Sie den Computer durch Drücken und Halten des Netzschalters neu starten, protokolliert der Computer eine Ereignis-ID 41, die einen Wert ungleich Null für den PowerButtonTimestamp-Eintrag enthält.

<EventData>
<Data Name="BugcheckCode">0</Data>
<Data Name="BugcheckParameter1">0x0</Data>
<Data Name="BugcheckParameter2">0x0</Data>
<Data Name="BugcheckParameter3">0x0</Data>
<Data Name="BugcheckParameter4">0x0</Data>
<Data Name="SleepInProgress">0</Data>
<Data Name="PowerButtonTimestamp">131728546170882432</Data>
<Data Name="BootAppStatus">0</Data>
</EventData>

Hilfe bei der Problembehandlung eines nicht reagierenden Computers finden Sie in der Windows-Hilfe. Erwägen Sie die Suche nach Unterstützung mithilfe von Schlüsselwörtern wie "Hängen", "Reagieren" oder "Leerer Bildschirm".

Szenario 3: Der Computer reagiert nicht oder startet nach dem Zufallsprinzip neu, und die Ereignis-ID 41 wird nicht aufgezeichnet, oder der Eintrag ereignis-ID 41 oder listet Fehlercodewerte von Null auf.

Dieses Szenario umfasst die folgenden Umstände:

• Sie schalten die Stromversorgung eines nicht reagierenden Computers ab und starten den Computer dann neu.
  Um zu überprüfen, ob ein Computer nicht reagiert, drücken Sie die FESTSTELLTASTE auf der Tastatur. Wenn sich die FESTSTELLTASTE auf der Tastatur nicht ändert, wenn Sie die FESTSTELLTASTE drücken, reagiert der Computer möglicherweise nicht (auch als harter Hängen bezeichnet).
• Der Computer wird neu gestartet, aber es wird keine Ereignis-ID 41 generiert.
• Der Computer wird neu gestartet und generiert die Ereignis-ID 41, aber die Werte BugcheckCode und PowerButtonTimestamp sind 0 (null).

In solchen Fällen verhindert etwas, dass Windows Fehlercodes generiert oder Fehlercodes auf den Datenträger schreibt. Möglicherweise wird der Schreibzugriff auf den Datenträger blockiert (wie bei einem nicht reagierenden Computer), oder der Computer wird zu schnell heruntergefahren, um die Fehlercodes zu schreiben oder sogar einen Fehler zu erkennen.

Die Informationen in Ereignis-ID 41 geben einige Hinweise darauf, wo Sie mit der Suche nach Problemen beginnen können:

• Die Ereignis-ID 41 wird nicht aufgezeichnet, oder der Fehlerprüfungscode ist 0 (null). Dieses Verhalten kann auf ein Netzteilproblem hinweisen. Wenn die Stromversorgung eines Computers unterbrochen wird, wird der Computer möglicherweise heruntergefahren, ohne dass ein Stoppfehler generiert wird. Wenn ein Stoppfehler generiert wird, wird das Schreiben der Fehlercodes auf den Datenträger möglicherweise nicht abgeschlossen. Wenn der Computer das nächste Mal gestartet wird, wird die Ereignis-ID 41 möglicherweise nicht protokolliert. Wenn dies der Fall ist, ist der Fehlerprüfungscode 0 (null). Die folgenden Bedingungen können die Ursache sein:

  • Bei einem tragbaren Computer wurde der Akku entfernt oder entladen.
  • Im Fall eines Desktopcomputers wurde der Computer getrennt oder es kam zu einem Stromausfall.
  • Das Netzteil ist unter stromlos oder fehlerhaft.

• Der PowerButtonTimestamp-Wert ist 0 (null). Dieses Verhalten kann auftreten, wenn Sie die Stromversorgung eines Computers getrennt haben, der nicht auf Eingaben reagiert hat. Die folgenden Bedingungen können die Ursache sein:

  • Ein Windows-Prozess hat den Schreibzugriff auf den Datenträger blockiert, und Sie fahren den Computer herunter, indem Sie den Netzschalter mindestens vier Sekunden lang gedrückt halten.
  • Sie haben die Stromversorgung für einen nicht reagierenden Computer getrennt.

• Fehler beim Schreiben der Speicherabbilddatei, und alle Werte sind Null. Zum Beispiel:

  <EventData>
  <Data Name="BugcheckCode">0</Data>
  <Data Name="BugcheckParameter1">0x0</Data>
  <Data Name="BugcheckParameter2">0x0</Data>
  <Data Name="BugcheckParameter3">0x0</Data>
  <Data Name="BugcheckParameter4">0x0</Data>
  <Data Name="SleepInProgress">0</Data>
  <Data Name="PowerButtonTimestamp">0</Data>
  <Data Name="BootAppStatus">0</Data>
  </EventData>
  

  Es gibt jedoch eine Ereignis-ID 46, die von volmgr protokolliert wird: Fehler bei der Initialisierung des Absturzabbilds!. Dieses Ereignis kann auftreten, wenn der Computer ohne konfigurierte Speicherabbilddatei gestartet wurde. Die Standardabbilddatei ist die Auslagerungsdatei.

  

  Wenn Sie einen Fall mit einem unerwarteten Neustart haben und die Ereignis-ID 41 den Gesamten Wert 0 aufweist, überprüfen Sie daher, ob Sie über die Ereignis-ID 46 von volmgr verfügen. Wenn ja, überprüfen Sie die Auslagerungsdateikonfiguration. Aufgrund einer Fehlerüberprüfung können weiterhin unerwartete Neustarts auftreten, aber das System kann den Fehlerüberprüfungstyp nicht in ereignis-ID 41 schreiben und auch kein Speicherabbild generieren. Siehe Ereignis-ID 46 beim Starten eines Computers

In der Regel weisen die in diesem Szenario beschriebenen Symptome auf ein Hardwareproblem hin. Führen Sie die folgenden Schritte aus, um das Problem zu isolieren:

• Deaktivieren Sie die Übertaktung. Wenn die Übertaktung auf dem Computer aktiviert ist, deaktivieren Sie sie. Überprüfen Sie, ob das Problem auftritt, wenn das System mit der richtigen Geschwindigkeit ausgeführt wird.
• Überprüfen Sie den Arbeitsspeicher. Verwenden Sie eine Speicherüberprüfung, um die Integrität und Konfiguration des Arbeitsspeichers zu bestimmen. Vergewissern Sie sich, dass alle Speicherchips mit der gleichen Geschwindigkeit ausgeführt werden und dass jeder Chip im System ordnungsgemäß konfiguriert ist.
• Überprüfen Sie das Netzteil. Vergewissern Sie sich, dass das Netzteil über genügend Watt verfügt, um die installierten Geräte ordnungsgemäß verarbeiten zu können. Wenn Sie Arbeitsspeicher hinzugefügt, einen neueren Prozessor installiert, weitere Laufwerke installiert oder externe Geräte hinzugefügt haben, können diese Geräte mehr Energie benötigen, als das aktuelle Netzteil konsistent bereitstellen kann. Wenn der Computer die Ereignis-ID 41 protokolliert hat, weil die Stromversorgung des Computers unterbrochen wurde, sollten Sie erwägen, eine unterbrechungsfreie Stromversorgung (USV) wie eine Akkusicherungs-Stromversorgung zu erhalten.
• Überprüfen Sie auf Überhitzung. Untersuchen Sie die Innentemperatur der Hardware, und überprüfen Sie, ob die Komponenten überhitzen.
• Wenn es sich bei dem Computer um einen physischen Computer handelt, könnte er von einer ASR-Software (Automatic Server Recovery) neu gestartet werden, die erkannt hat, dass der Computer nicht reagiert.
• Wenn das System auf einem virtuellen Hyper-V-Computer (VM) ausgeführt wird und nicht Teil einer Clusterumgebung ist, könnte das System durch das Hyper-V-Heartbeat-Feature neu gestartet werden. Wenn dieses Feature aktiviert ist und der Host keinen Heartbeat von der VM erkennt (möglicherweise, weil er nicht reagiert), startet Hyper-V den virtuellen Computer neu.
• Wenn das Problem in einer Hyper-V-Clusterumgebung auftritt, kann das Problem mit der Option Heartbeatüberwachung für den virtuellen Computer aktivieren zusammenhängen. Wenn Sie versuchen, eine vollständige Speicherabbilddatei von einem virtuellen Computer abzurufen, der in einer Clusterumgebung ausgeführt wird, finden Sie weitere Informationen unter Beschädigte Speicherabbilddatei.
• Wenn das Problem mit einer VMWare-VM auftritt, kann es sich auf das Heartbeatfeature in VMWare beziehen, oder die VM ist Teil eines Drittanbieterclusters.
• Überprüfen Sie im Anwendungs- und Systemprotokoll auf verdächtige Ereignisse vor dem Herunterfahren (abgerufen anhand der Ereignis-ID 6008).

Wenn Sie diese Überprüfungen durchführen und das Problem immer noch nicht isolieren können, legen Sie das System auf die Standardkonfiguration fest, und überprüfen Sie, ob das Problem weiterhin auftritt.

Hinweis

Wenn eine Stoppfehlermeldung angezeigt wird, die einen Fehlerprüfungscode enthält, aber die Ereignis-ID 41 diesen Code nicht enthält, ändern Sie das Neustartverhalten für den Computer. Gehen Sie dazu wie folgt vor:

1. Klicken Sie mit der rechten Maustaste auf Arbeitsplatz, und wählen Sie dann Eigenschaften>Erweiterte Systemeinstellungen>Erweitert aus.
2. Wählen Sie im Abschnitt Start und Wiederherstellungdie Option Einstellungen aus.
3. Deaktivieren Sie das Kontrollkästchen Automatisch neu starten .

Weitere Informationen

Details zur Ereignis-ID 41

Der Fehler Kernel Power-Ereignis-ID 41 tritt auf, wenn der Computer heruntergefahren oder unerwartet neu gestartet wird. Wenn ein Windows-basierter Computer gestartet wird, wird überprüft, ob der Computer ordnungsgemäß heruntergefahren wurde. Wenn dies nicht der Fall ist, wird eine Kernel Power-Ereignis-ID 41-Nachricht generiert.

Eine Ereignis-ID 41 wird verwendet, um zu melden, dass etwas Unerwartetes passiert ist, das das ordnungsgemäße Herunterfahren von Windows verhindert hat. Möglicherweise gibt es nicht genügend Informationen, um explizit zu definieren, was passiert ist. Weitere Informationen finden Sie unter Kernel Power Event ID 41 .

• Protokollname: System
• Produkt: Windows-Betriebssystem
• ID: 41
• Quelle: Microsoft-Windows-Kernel-Power
• Ebene: Kritisch
• Version: 6.1
• Meldung: Das System wurde neu gestartet, ohne zuerst sauber herunterzufahren. Dieser Fehler kann verursacht werden, wenn das System nicht mehr reagiert, abstürzt oder unerwartet stromlos ist.

Hinweis

Die in der EVTX-Datei angezeigte Zeit wird an die Systemzeit angepasst. Überprüfen Sie die Zeitzone des Servers.

• Ereignis-ID 41: Dieses Ereignis gibt an, dass Windows ohne vollständiges Herunterfahren neu gestartet wurde.
• Ereignis-ID 1074: Dieses Ereignis wird protokolliert, wenn eine Anwendung für das Herunterfahren oder Neustarten des Systems verantwortlich ist. Außerdem wird angegeben, wann ein Benutzer das System über das Startmenü oder durch Drücken von STRG+ALT+ENTF neu gestartet oder heruntergefahren hat.
• Ereignis-ID 6006: Dieses Ereignis gibt an, dass Windows ordnungsgemäß deaktiviert wurde.
• Ereignis-ID 6008: Dieses Ereignis weist auf ein fehlerhaftes oder modifiziert Herunterfahren hin. Es wird protokolliert, wenn das letzte Herunterfahren unerwartet war.

Unmittelbar vor dem Herunterfahren shutdown.exe des Computers zeichnet das Herunterfahren-Ereignis im Windows-Systemprotokoll mit source=User32 und der Ereignis-ID 1074 zusammen mit einer benutzerdefinierten Meldung & Grundcode auf.

Das Ereignisprotokoll ist die einzige Möglichkeit, um zu erkennen, dass ein von ausgelöster shutdown.exe Neustart aussteht. Das Ereignis zeichnet auch den Benutzernamen sowie das Datum und die Uhrzeit auf, zu der der shutdown Befehl ausgegeben wurde.

Wenn Sie shutdown.exe zum Neustarten eines Servers verwenden, dauert das Herunterfahren in der Regel 30 Sekunden, um sicherzustellen, dass jeder ausgeführte Dienst zeit zum Beenden hat. Dienste werden in alphabetischer Reihenfolge heruntergefahren. Das manuelle Anhalten der Dienste in einer bestimmten Reihenfolge mit NET STOP oder SC kann etwas schneller sein.

Startstatusdatei (von den Windows-Internen 6.)

Windows verwendet eine Start-status-Datei (%SystemRoot%\Bootstat.dat), um die Tatsache aufzuzeichnen, dass sie verschiedene Phasen des Systemlebenszyklus durchlaufen hat, einschließlich Start und Herunterfahren.

Dies ermöglicht es dem Start-Manager, dem Windows-Ladeprogramm und dem Startreparaturtool, ein ungewöhnliches Herunterfahren oder einen Fehler beim sauberen Herunterfahren zu erkennen, um dem Benutzer Wiederherstellungs- und Diagnosestartoptionen wie "Zuletzt als funktionierend" und "Abgesicherter Modus" anzubieten. Diese Binärdatei enthält Informationen, über die das System den Erfolg der folgenden Phasen des Systemlebenszyklus meldet:

• Start (die Definition eines erfolgreichen Starts entspricht der Definition, die zum Bestimmen des letzten als gut bekannten status verwendet wird, wie weiter oben beschrieben)
• Shutdown
• Fortsetzen aus dem Ruhezustand oder Anhalten

Die Startdatei status gibt auch an, ob beim letzten Versuch des Benutzers, das Betriebssystem zu starten, ein Problem erkannt wurde, und die angezeigten Wiederherstellungsoptionen. Dies gibt an, dass der Benutzer auf das Problem aufmerksam gemacht und Maßnahmen ergriffen hat. Runtime Library APIs (Rtl) in ntdll.dll die privaten Schnittstellen enthalten, die Windows zum Lesen und Schreiben in die Datei verwendet. Wie die BCD kann sie nicht von Benutzern bearbeitet werden.

Informationen zum Herunterfahren

Wenn ein Herunterfahren initiiert wird, sendet Windows eine WM_QUERYENDSESSION Nachricht an alle ausgeführten Anwendungen, die über einen Benutzeroberflächenthread verfügen. In dieser Meldung wird die Anwendung aufgefordert, alle nicht gespeicherten Daten zu speichern und ordnungsgemäß zu beenden. Wenn die Anwendung nicht innerhalb eines bestimmten Zeitraums auf die Nachricht reagiert, sendet Windows eine WM_ENDSESSION Nachricht an die Anwendung, die die Anwendung sofort beendet.

Wenn alle Anwendungen auf die WM_QUERYENDSESSION Nachricht reagieren und ordnungsgemäß beendet werden, protokolliert Windows ein sauber Herunterfahren-Ereignis im Systemereignisprotokoll. Wenn eine Anwendung nicht auf die Nachricht reagiert oder nicht ordnungsgemäß beendet wird, protokolliert Windows ein modifiziert Herunterfahren-Ereignis im Systemereignisprotokoll.

Das unerwartete Herunterfahren wird hauptsächlich durch Komponenten außerhalb des Betriebssystems verursacht.

Ein modifiziert herunterfahren ist, wenn ein Computersystem heruntergefahren wird, ohne den ordnungsgemäßen Herunterfahrenprozess zu durchlaufen. Dies kann passieren, wenn die Stromversorgung plötzlich abgeschaltet wird oder wenn der Computer durch Gedrückthalten des Netzschalters zum Herunterfahren gezwungen wird. Ein modifiziert Herunterfahren kann Datenverluste oder Beschädigungen verursachen und auch zu Startproblemen führen.

Die modifiziert Registrierung zum Herunterfahren ist ein Registrierungsschlüssel in der Windows-Registrierung, mit dem nachverfolgt wird, wie oft ein Computersystem heruntergefahren wurde, ohne den ordnungsgemäßen Herunterfahrenprozess durchlaufen zu müssen. Dieser Schlüssel kann bei der Behandlung von Startproblemen hilfreich sein, um zu ermitteln, ob das System falsch ausgeschaltet wurde.

Sie können auch alle Werte (z. B. DirtyShutdown, LastAliveStamp, TimeStampInterval) im folgenden Registrierungsschlüssel löschen: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Reliability. Dadurch kann verhindert werden, dass die Ereignisnachverfolgung zum Herunterfahren nach einem unerwarteten Herunterfahren angezeigt wird.