Erweiterte Problembehandlung für Ereignis-ID 41: "Das System wurde neu gestartet, ohne zuerst sauber herunterzufahren"

Notiz

Heimanwender*innen: Dieser Artikel richtet sich an Support-Mitarbeiter*innen und professionelles IT-Personal. Wenn Sie weitere Informationen zu Bluescreen-Fehlermeldungen suchen, besuchen Sie die Problembehandlung bei Bluescreen-Fehlern.

Die bevorzugte Möglichkeit zum Herunterfahren von Windows besteht darin, "Start" auszuwählen und dann eine Option zum Deaktivieren oder Herunterfahren des Computers auszuwählen. Wenn Sie diese Standardmethode verwenden, schließt das Betriebssystem alle Dateien und benachrichtigt die ausgeführten Dienste und Anwendungen, damit sie alle nicht gespeicherten Daten auf den Datenträger schreiben und alle aktiven Caches leeren können.

Wenn Ihr Computer unerwartet heruntergefahren wird, protokolliert Windows die Ereignis-ID 41, wenn der Computer das nächste Mal gestartet wird. Der Ereignistext ähnelt den folgenden Informationen:

Event ID: 41  
Description: The system has rebooted without cleanly shutting down first.

Dieses Ereignis gibt an, dass einige unerwartete Aktivitäten windows am ordnungsgemäßen Herunterfahren gehindert haben. Ein solches Herunterfahren kann durch eine Unterbrechung der Stromversorgung oder durch einen Stoppfehler verursacht werden. Wenn möglich, zeichnet Windows fehlercodes auf, während sie heruntergefahren wird. Während der Kernelphase des nächsten Windows-Starts sucht Windows nach diesen Codes und enthält alle vorhandenen Codes in den Ereignisdaten der Ereignis-ID 41.

EventData  
BugcheckCode 159  
BugcheckParameter1 0x3  
BugcheckParameter2 0xfffffa80029c5060  
BugcheckParameter3 0xfffff8000403d518  
BugcheckParameter4 0xfffffa800208c010  
SleepInProgress false  
PowerButtonTimestamp 0Converts to 0x9f (0x3, 0xfffffa80029c5060, 0xfffff8000403d518, 0xfffffa800208c010)  

Verwenden der Ereignis-ID 41 beim Beheben eines unerwarteten Herunterfahrens oder Neustarts

Selbst enthält die Ereignis-ID 41 möglicherweise nicht genügend Informationen, um explizit zu definieren, was aufgetreten ist. In der Regel müssen Sie auch berücksichtigen, was zum Zeitpunkt des unerwarteten Herunterfahrens aufgetreten ist (z. B. das Netzteil ist fehlgeschlagen). Verwenden Sie die Informationen in diesem Artikel, um einen Problembehandlungsansatz zu identifizieren, der für Ihre Umstände geeignet ist:

• Szenario 1: Der Computer wird aufgrund eines Stoppfehlers neu gestartet, und die Ereignis-ID 41 enthält einen Stoppfehler (Fehlerüberprüfungscode)
• Szenario 2: Der Computer wird neu gestartet, da Sie den Netzschalter gedrückt und gedrückt haben.
• Szenario 3: Der Computer reagiert nicht oder startet nach dem Zufallsprinzip neu, und die Ereignis-ID 41 wird nicht protokolliert, oder die Ereignis-ID 41-Eintrag listet Fehlercodewerte von Null auf.

Szenario 1: Der Computer wird aufgrund eines Stoppfehlers neu gestartet, und die Ereignis-ID 41 enthält einen Stoppfehler (Fehlerüberprüfungscode)

Wenn ein Computer aufgrund eines Stoppfehlers heruntergefahren oder neu gestartet wird, enthält Windows die Stoppfehlerdaten in der Ereignis-ID 41 als Teil weiterer Ereignisdaten. Diese Informationen enthalten den Stoppfehlercode (auch als Fehlerprüfungscode bezeichnet), wie im folgenden Beispiel gezeigt:

EventData  
BugcheckCode 159  
BugcheckParameter1 0x3  
BugcheckParameter2 0xfffffa80029c5060  
BugcheckParameter3 0xfffff8000403d518  
BugcheckParameter4 0xfffffa800208c010  

Notiz

Die Ereignis-ID 41 enthält den Fehlerüberprüfungscode im Dezimalformat. Die meisten Dokumentationen, die Fehlerüberprüfungscodes beschreiben, beziehen sich auf die Codes als Hexadezimalwerte anstelle von Dezimalwerten. Führen Sie die folgenden Schritte aus, um eine Dezimalzahl in eine Hexadezimalzahl zu konvertieren:

1. Wählen Sie "Start" aus, geben Sie "Berechnen" in das Suchfeld ein, und wählen Sie dann "Rechner" aus.
2. Wählen Sie im Rechnerfenster die Option "Programmer anzeigen>" aus.
3. Überprüfen Sie auf der linken Seite des Rechners, ob Dec hervorgehoben ist.
4. Verwenden Sie die Tastatur, um den Dezimalwert des Fehlerüberprüfungscodes einzugeben.
5. Wählen Sie auf der linken Seite des Rechners Hex aus.
   Der Wert, den der Rechner anzeigt, ist jetzt der Hexadezimalcode.

Wenn Sie einen Fehlerüberprüfungscode in hexadezimales Format konvertieren, stellen Sie sicher, dass auf die Bezeichnung "0x" acht Ziffern folgt (d. h. der Teil des Codes nach dem "x" enthält genügend Nullen, um acht Ziffern auszufüllen). Beispielsweise wird 0x9F in der Regel als 0x0000009f dokumentiert, und 0xA wird als 0x0000000A dokumentiert. Im Fall der Beispielereignisdaten in diesem Artikel wird "159" in 0x0000009f konvertiert.

Nachdem Sie den Hexadezimalwert identifiziert haben, verwenden Sie die folgenden Verweise, um die Problembehandlung fortzusetzen:

• Erweiterte Problembehandlung für Beendigungsfehler oder Bluescreen-Probleme
• Fehlerüberprüfungscodeverweis. Auf dieser Seite sind Links zu Dokumentationen für verschiedene Fehlerüberprüfungscodes aufgeführt.
• So debuggen Sie den Kernelmodus blue screen crashes (für Anfänger).How to Debug Kernel Mode Blue Screen Crashes (for beginners)

Szenario 2: Der Computer wird neu gestartet, da Sie den Netzschalter gedrückt und gedrückt haben.

Da diese Methode zum Neustarten des Computers den Windows-Herunterfahren-Vorgang beeinträchtigt, empfiehlt es sich, diese Methode nur zu verwenden, wenn Sie keine Alternative haben. Beispielsweise müssen Sie diesen Ansatz verwenden, wenn Ihr Computer nicht reagiert. Wenn Sie den Computer neu starten, indem Sie den Netzschalter drücken und halten, protokolliert der Computer eine Ereignis-ID 41, die einen Wert ungleich Null für den PowerButtonTimestamp-Eintrag enthält.

<EventData>
<Data Name="BugcheckCode">0</Data>
<Data Name="BugcheckParameter1">0x0</Data>
<Data Name="BugcheckParameter2">0x0</Data>
<Data Name="BugcheckParameter3">0x0</Data>
<Data Name="BugcheckParameter4">0x0</Data>
<Data Name="SleepInProgress">0</Data>
<Data Name="PowerButtonTimestamp">131728546170882432</Data>
<Data Name="BootAppStatus">0</Data>
</EventData>

Hilfe zur Problembehandlung für einen nicht reagierenden Computer finden Sie in der Windows-Hilfe. Erwägen Sie die Suche nach Hilfe, indem Sie Schlüsselwörter wie "Hängen", "Antworten" oder "leerer Bildschirm" verwenden.

Szenario 3: Der Computer reagiert nicht oder startet zufällig neu, und die Ereignis-ID 41 wird nicht aufgezeichnet, oder der Ereignis-ID 41-Eintrag oder listet Fehlercodewerte von Null auf.

Dieses Szenario umfasst die folgenden Umstände:

• Sie schalten die Stromversorgung auf einen nicht reagierenden Computer aus, und starten Sie den Computer dann neu.
  Um sicherzustellen, dass ein Computer nicht reagiert, drücken Sie die FESTSTELLTASTE auf der Tastatur. Wenn sich die FESTSTELLTASTE auf der Tastatur nicht ändert, wenn Sie die FESTSTELLTASTE drücken, reagiert der Computer möglicherweise nicht (auch als "harter Hang" bezeichnet).
• Der Computer wird neu gestartet, generiert jedoch keine Ereignis-ID 41.
• Der Computer startet neu und generiert ereignis-ID 41, aber die FehlercheckCode - und PowerButtonTimestamp-Werte sind null.

In solchen Fällen verhindert etwas, dass Windows Fehlercodes generiert oder Fehlercodes auf den Datenträger schreibt. Ein Fehler kann den Schreibzugriff auf den Datenträger blockieren (wie bei einem nicht reagierenden Computer), oder der Computer wird möglicherweise zu schnell heruntergefahren, um die Fehlercodes zu schreiben oder sogar einen Fehler zu erkennen.

Die Informationen in der Ereignis-ID 41 enthalten einige Hinweise darauf, wo sie mit der Überprüfung auf Probleme beginnen:

• Die Ereignis-ID 41 wird nicht aufgezeichnet, oder der Fehlerüberprüfungscode ist null. Dieses Verhalten kann auf ein Netzteilproblem hinweisen. Wenn der Strom an einem Computer unterbrochen wird, wird der Computer möglicherweise heruntergefahren, ohne einen Stoppfehler zu generieren. Wenn ein Stoppfehler generiert wird, kann es nicht beendet werden, die Fehlercodes auf den Datenträger zu schreiben. Wenn der Computer das nächste Mal gestartet wird, protokolliert er möglicherweise die Ereignis-ID 41 nicht. Wenn dies der Fall ist, ist der Fehlerüberprüfungscode null. Die folgenden Bedingungen können die Ursache sein:

  • Im Falle eines tragbaren Computers wurde der Akku entfernt oder entwässert.
  • Bei einem Desktopcomputer war der Computer nicht angeschlossen oder erlebte einen Stromausfall.
  • Die Stromversorgung ist überlastet oder fehlerhaft.

• Der PowerButtonTimestamp-Wert ist null. Dieses Verhalten kann auftreten, wenn Sie die Stromversorgung mit einem Computer getrennt haben, der nicht auf die Eingabe reagierte. Die folgenden Bedingungen können die Ursache sein:

  • Ein Windows-Prozess blockiert den Schreibzugriff auf den Datenträger, und Sie beenden den Computer, indem Sie mindestens vier Sekunden lang den Netzschalter drücken und halten.
  • Sie haben die Stromversorgung mit einem nicht reagierenden Computer getrennt.

• Fehler beim Schreiben der Speicherabbilddatei und alle Werte sind Null. Zum Beispiel:

  <EventData>
  <Data Name="BugcheckCode">0</Data>
  <Data Name="BugcheckParameter1">0x0</Data>
  <Data Name="BugcheckParameter2">0x0</Data>
  <Data Name="BugcheckParameter3">0x0</Data>
  <Data Name="BugcheckParameter4">0x0</Data>
  <Data Name="SleepInProgress">0</Data>
  <Data Name="PowerButtonTimestamp">0</Data>
  <Data Name="BootAppStatus">0</Data>
  </EventData>
  

  Es gibt jedoch eine Ereignis-ID 46, die von volmgr protokolliert wird: Absturzabbildinitialisierung fehlgeschlagen!. Dieses Ereignis kann auftreten, wenn der Computer ohne konfigurierte Speicherabbilddatei gestartet wurde. Die Standardabbilddatei ist die Seitendatei.

  

  Wenn Sie also einen Fall mit einem unerwarteten Neustart haben und die Ereignis-ID 41 den Wert 0 aufweist, überprüfen Sie, ob Sie über eine Ereignis-ID 46 von volmgr verfügen. Wenn ja, überprüfen Sie die Seitendateikonfiguration. Unerwartete Neustarts konnten aufgrund einer Fehlerüberprüfung weiterhin auftreten, aber das System kann den Fehlerüberprüfungstyp nicht in ereignis-ID 41 schreiben und konnte auch kein Speicherabbild generieren. Ereignis-ID 46 anzeigen, wenn Sie einen Computer starten

In der Regel weisen die in diesem Szenario beschriebenen Symptome auf ein Hardwareproblem hin. Führen Sie die folgenden Schritte aus, um das Problem zu isolieren:

• Overclocking deaktivieren. Wenn der Computer die Übersperrung aktiviert hat, deaktivieren Sie ihn. Stellen Sie sicher, dass das Problem auftritt, wenn das System mit der richtigen Geschwindigkeit ausgeführt wird.
• Überprüfen Sie den Speicher. Verwenden Sie eine Speicherüberprüfung, um die Integrität und Konfiguration des Arbeitsspeichers zu ermitteln. Stellen Sie sicher, dass alle Speicherchips mit der gleichen Geschwindigkeit ausgeführt werden und dass jeder Chip im System ordnungsgemäß konfiguriert ist.
• Überprüfen Sie die Stromversorgung. Stellen Sie sicher, dass die Stromversorgung über genügend Watt verfügt, um die installierten Geräte entsprechend zu verarbeiten. Wenn Sie Arbeitsspeicher hinzugefügt, einen neueren Prozessor installiert, mehr Laufwerke installiert oder externe Geräte hinzugefügt haben, können solche Geräte mehr Energie benötigen, als die aktuelle Stromversorgung konsistent bereitstellen kann. Wenn die Ereignis-ID 41 des Computers protokolliert wurde, da der Strom auf dem Computer unterbrochen wurde, erwägen Sie, eine unterbrechungsfreie Stromversorgung (UPS) wie eine Akkusicherungs-Stromversorgung zu erhalten.
• Überprüfen Sie auf Überhitzung. Überprüfen Sie die interne Temperatur der Hardware, und überprüfen Sie auf überhitzende Komponenten.
• Wenn es sich bei dem Computer um einen physischen Computer handelt, konnte er von einer ASR-Software (Automatic Server Recovery) neu gestartet werden, die festgestellt hat, dass der Computer nicht reagiert.
• Wenn das System auf einem virtuellen Hyper-V-Computer (VM) ausgeführt wird und nicht Teil einer gruppierten Umgebung ist, könnte das System von der Hyper-V-Taktfunktion neu gestartet worden sein. Wenn dieses Feature aktiviert ist und der Host keinen Takt vom virtuellen Computer erkennt (möglicherweise weil es nicht reaktionsfähig ist), startet Hyper-V den virtuellen Computer neu.
• Wenn das Problem in einer Hyper-V-Clusterumgebung auftritt, kann das Problem mit der Aktivierung des Taktüberwachungs für die Option "Virtueller Computer " zusammenhängen. Siehe Beschädigte Speicherabbilddatei, wenn Sie versuchen, eine vollständige Speicherabbilddatei von einem virtuellen Computer abzurufen, der in einer Clusterumgebung ausgeführt wird.
• Wenn das Problem mit einer VMWare auftritt, kann es sich um das Taktfeature in VMWare oder um einen Teil des Clusters eines Drittanbieters handelt.
• Überprüfen Sie vor dem Herunterfahren auf verdächtige Ereignisse (abgerufen von der Ereignis-ID 6008) sowohl im Anwendungs- als auch im Systemprotokoll.

Wenn Sie diese Prüfungen durchführen und das Problem weiterhin nicht isolieren können, legen Sie das System auf seine Standardkonfiguration fest, und überprüfen Sie, ob das Problem weiterhin auftritt.

Notiz

Wenn eine Fehlermeldung zum Beenden angezeigt wird, die einen Fehlerüberprüfungscode enthält, aber die Ereignis-ID 41 diesen Code nicht enthält, ändern Sie das Neustartverhalten für den Computer. Gehen Sie dazu wie folgt vor:

1. Klicken Sie mit der rechten Maustaste auf "Arbeitsplatz", und wählen Sie dann "Erweiterte>Eigenschaften"-Systemeinstellungen>aus.
2. Wählen Sie im Abschnitt "Start und Wiederherstellung" die Option "Einstellungen" aus.
3. Deaktivieren Sie das Kontrollkästchen "Automatisch neu starten ".

Weitere Informationen

Details zur Ereignis-ID 41

Der Fehler "Kernel Power Event ID 41" tritt auf, wenn der Computer unerwartet heruntergefahren oder neu gestartet wird. Wenn ein Windows-basierter Computer gestartet wird, wird eine Überprüfung durchgeführt, um festzustellen, ob der Computer sauber heruntergefahren wurde. Wenn nicht, wird eine Kernel-Power-Ereignis-ID 41-Nachricht generiert.

Eine Ereignis-ID 41 wird verwendet, um zu melden, dass etwas Unerwartetes passiert ist, das verhindert hat, dass Windows ordnungsgemäß heruntergefahren wird. Möglicherweise gibt es unzureichende Informationen, um explizit zu definieren, was passiert ist. Weitere Informationen finden Sie unter Kernel Power Event ID 41 .

• Protokollname: System
• Produkt: Windows-Betriebssystem
• ID: 41
• Quelle: Microsoft-Windows-Kernel-Power
• Ebene: Kritisch
• Version: 6.1
• Meldung: Das System wurde neu gestartet, ohne zuerst sauber herunterzufahren. Dieser Fehler kann verursacht werden, wenn das System nicht mehr reagiert, abgestürzt oder unerwartet Energie verloren hat.

Notiz

Die in der EVTX-Datei angezeigte Uhrzeit wird an die Zeit Ihres Systems angepasst. Überprüfen Sie die Zeitzone des Servers.

• Ereignis-ID 41: Dieses Ereignis gibt an, dass Windows ohne vollständiges Herunterfahren neu gestartet wurde.
• Ereignis-ID 1074: Dieses Ereignis wird protokolliert, wenn eine Anwendung für das Herunterfahren oder Neustart des Systems verantwortlich ist. Außerdem wird angegeben, wann ein Benutzer das System mithilfe des Startmenüs oder durch Drücken von STRG+ALT+ENTF neu gestartet oder heruntergefahren hat.
• Ereignis-ID 6006: Dieses Ereignis gibt an, dass Windows ordnungsgemäß deaktiviert wurde.
• Ereignis-ID 6008: Dieses Ereignis gibt ein fehlerhaftes oder fehlerhaftes Herunterfahren an. Es wird protokolliert, wenn das letzte Herunterfahren unerwartet war.

Kurz bevor der Computer heruntergefahren wird, shutdown.exe zeichnet das Herunterfahren-Ereignis im Windows-Systemprotokoll mit einer Source=User32- und Ereignis-ID 1074 zusammen mit jedem benutzerdefinierten Nachrichten- und Grundcode auf.

Das Ereignisprotokoll ist die einzige Möglichkeit, zu erkennen, dass ein neustart, der ausgelöst shutdown.exe wurde, aussteht. Das Ereignis zeichnet auch den Benutzernamen und das Datum und die Uhrzeit der Ausgabe des shutdown Befehls auf.

shutdown.exe Wenn Sie einen Server neu starten, ermöglicht der Herunterfahrensprozess normalerweise 30 Sekunden, um sicherzustellen, dass jeder ausgeführte Dienst Zeit zum Beenden hat. Dienste werden in alphabetischer Reihenfolge heruntergefahren. Manuelles Anhalten der Dienste in einer bestimmten Reihenfolge mit NET STOP oder SC kann etwas schneller sein.

Startstatusdatei (aus windows internals 6th)

Windows verwendet eine Startstatusdatei (%SystemRoot%\Bootstat.dat), um die Tatsache aufzuzeichnen, dass sie in verschiedenen Phasen des Systemlebenszyklus vorangekommen ist, einschließlich Start und Herunterfahren.

Auf diese Weise kann der Start-Manager, das Windows-Ladeprogramm und das Tool für die Startreparatur ungewöhnliches Herunterfahren oder ein Fehler beim sauberen Herunterfahren erkennen, um den Benutzer Wiederherstellungs- und Diagnosestartoptionen wie den letzten bekannten und sicheren Modus anzubieten. Diese Binärdatei enthält Informationen, über die das System den Erfolg der folgenden Phasen des Systemlebenszyklus meldet:

• Start (die Definition eines erfolgreichen Starts ist identisch mit dem, der zum Ermitteln des Status "Zuletzt bekannt" verwendet wurde, der zuvor beschrieben wurde)
• Shutdown
• Fortsetzen aus dem Ruhezustand oder Anhalten

Die Startstatusdatei gibt auch an, ob ein Problem erkannt wurde, wenn der Benutzer zuletzt versucht hat, das Betriebssystem zu starten, und die angezeigten Wiederherstellungsoptionen, was darauf hinweist, dass der Benutzer das Problem erkannt und eine Aktion ausgeführt hat. Runtime Library APIs (Rtl) in ntdll.dll enthalten die privaten Schnittstellen, die Windows zum Lesen und Schreiben in die Datei verwendet. Wie die BCD kann sie nicht von Benutzern bearbeitet werden.

Informationen zum Herunterfahren

Wenn ein Herunterfahren initiiert wird, sendet Windows eine WM_QUERYENDSESSION Nachricht an alle ausgeführten Anwendungen, die über einen Ui-Thread verfügen. Diese Meldung fordert die Anwendung auf, nicht gespeicherte Daten zu speichern und ordnungsgemäß zu beenden. Wenn die Anwendung nicht innerhalb eines bestimmten Zeitlimits auf die Nachricht antwortet, sendet Windows eine WM_ENDSESSION Nachricht an die Anwendung, die die Anwendung sofort beendet.

Wenn alle Anwendungen auf die WM_QUERYENDSESSION Nachricht reagieren und ordnungsgemäß beendet werden, protokolliert Windows ein sauberes Herunterfahren-Ereignis im Systemereignisprotokoll. Wenn eine Anwendung nicht auf die Nachricht reagiert oder nicht ungewöhnlich beendet wird, protokolliert Windows ein schmutziges Herunterfahren-Ereignis im Systemereignisprotokoll.

Die unerwarteten Herunterfahren werden hauptsächlich durch Komponenten außerhalb des Betriebssystems verursacht.

Ein schmutziges Herunterfahren erfolgt, wenn ein Computersystem heruntergefahren wird, ohne den ordnungsgemäßen Herunterfahrensprozess zu durchlaufen. Dies kann passieren, wenn der Strom plötzlich abgeschnitten wird oder wenn der Computer durch Halten des Netzschalters zum Herunterfahren gezwungen wird. Ein schmutziges Herunterfahren kann zu Datenverlusten oder Beschädigungen führen und kann auch zu Startproblemen führen.

Die Registrierung für das herunterfahrende Herunterfahren ist ein Registrierungsschlüssel in der Windows-Registrierung, der verwendet wird, um nachzuverfolgen, wie oft ein Computersystem heruntergefahren wurde, ohne den ordnungsgemäßen Herunterfahrensprozess zu durchlaufen. Dieser Schlüssel kann beim Beheben von Startproblemen hilfreich sein, um festzustellen, ob das System falsch ausgeschaltet wurde.

Sie können auch alle Werte (wie DirtyShutdown, LastAliveStamp, TimeStampInterval) im folgenden Registrierungsschlüssel löschen: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Reliability Dadurch kann verhindert werden, dass die Ereignisverfolgung für das Herunterfahren nach einem unerwarteten Herunterfahren angezeigt wird.