Résolution avancée des problèmes pour l’ID d’événement 41 : « Le système a redémarré sans arrêter le premier »

Note

Utilisateurs particuliers : cet article s’adresse aux agents de support et aux informaticiens. Si vous recherchez plus d’informations sur les messages d’erreur d’écran bleu, consultez Résoudre les erreurs d’écran bleu.

La meilleure façon d’arrêter Windows consiste à sélectionner Démarrer, puis à sélectionner une option pour désactiver ou arrêter l’ordinateur. Lorsque vous utilisez cette méthode standard, le système d’exploitation ferme tous les fichiers et avertit les services et applications en cours d’exécution afin qu’ils puissent écrire toutes les données non enregistrées sur le disque et vider les caches actifs.

Si votre ordinateur s’arrête de façon inattendue, Windows enregistre l’ID d’événement 41 la prochaine fois que l’ordinateur démarre. Le texte de l’événement ressemble aux informations suivantes :

Event ID: 41  
Description: The system has rebooted without cleanly shutting down first.

Cet événement indique que certaines activités inattendues ont empêché Windows de s’arrêter correctement. Un tel arrêt peut être dû à une interruption de l’alimentation ou à une erreur d’arrêt. Si possible, Windows enregistre tous les codes d’erreur lorsqu’il s’arrête. Pendant la phase du noyau du prochain démarrage de Windows, Windows recherche ces codes et inclut tous les codes existants dans les données d’événement de l’ID d’événement 41.

EventData  
BugcheckCode 159  
BugcheckParameter1 0x3  
BugcheckParameter2 0xfffffa80029c5060  
BugcheckParameter3 0xfffff8000403d518  
BugcheckParameter4 0xfffffa800208c010  
SleepInProgress false  
PowerButtonTimestamp 0Converts to 0x9f (0x3, 0xfffffa80029c5060, 0xfffff8000403d518, 0xfffffa800208c010)  

Comment utiliser l’ID d’événement 41 lorsque vous résolvez un arrêt ou un redémarrage inattendus

Par lui-même, l’ID d’événement 41 peut ne pas contenir suffisamment d’informations pour définir explicitement ce qui s’est produit. En règle générale, vous devez également prendre en compte ce qui s’est produit au moment de l’arrêt inattendu (par exemple, l’alimentation a échoué). Utilisez les informations de cet article pour identifier une approche de dépannage appropriée pour vos circonstances :

• Scénario 1 : l’ordinateur redémarre en raison d’une erreur d’arrêt et l’ID d’événement 41 contient un code d’erreur d’arrêt (vérification de bogue)
• Scénario 2 : L’ordinateur redémarre, car vous avez appuyé et maintenu le bouton d’alimentation
• Scénario 3 : L’ordinateur ne répond pas ou redémarre de façon aléatoire, et l’ID d’événement 41 n’est pas journalisé ou l’ID d’événement 41 répertorie les valeurs de code d’erreur de zéro

Scénario 1 : l’ordinateur redémarre en raison d’une erreur d’arrêt et l’ID d’événement 41 contient un code d’erreur d’arrêt (vérification de bogue)

Lorsqu’un ordinateur arrête ou redémarre en raison d’une erreur d’arrêt, Windows inclut les données d’erreur d’arrêt dans l’ID d’événement 41 dans le cadre de données d’événement supplémentaires. Ces informations incluent le code d’erreur Stop (également appelé code de vérification des bogues), comme indiqué dans l’exemple suivant :

EventData  
BugcheckCode 159  
BugcheckParameter1 0x3  
BugcheckParameter2 0xfffffa80029c5060  
BugcheckParameter3 0xfffff8000403d518  
BugcheckParameter4 0xfffffa800208c010  

Note

L’ID d’événement 41 inclut le code de vérification des bogues au format décimal. La plupart de la documentation qui décrit les codes de vérification des bogues fait référence aux codes sous forme de valeurs hexadécimales au lieu de valeurs décimales. Pour convertir la décimale en hexadécimal, procédez comme suit :

1. Sélectionnez Démarrer, tapez calc dans la zone de recherche , puis sélectionnez Calculatrice.
2. Dans la fenêtre Calculatrice, sélectionnez Afficher>le programmeur.
3. Sur le côté gauche de la calculatrice, vérifiez que Dec est mis en surbrillance.
4. Utilisez le clavier pour entrer la valeur décimale du code de vérification des bogues.
5. Sur le côté gauche de la calculatrice, sélectionnez Hexadécimal.
   La valeur affichée par la calculatrice est maintenant le code hexadécimal.

Lorsque vous convertissez un code de vérification de bogue au format hexadécimal, vérifiez que la désignation « 0x » est suivie de huit chiffres (autrement dit, la partie du code après le « x » inclut suffisamment de zéros pour remplir huit chiffres). Par exemple, 0x9F est généralement documenté comme 0x0000009f, et 0xA est documenté comme 0x0000000A. Dans le cas des exemples de données d’événement de cet article, « 159 » se convertit en 0x0000009f.

Après avoir identifié la valeur hexadécimale, utilisez les références suivantes pour continuer la résolution des problèmes :

• Résolution de problèmes avancée pour une erreur d’arrêt ou d’écran bleu.
• Informations de référence sur le code de vérification des bogues. Cette page répertorie les liens vers la documentation des différents codes de vérification des bogues.
• Guide pratique pour déboguer les blocages de l’écran bleu en mode noyau (pour les débutants).

Scénario 2 : L’ordinateur redémarre, car vous avez appuyé et maintenu le bouton d’alimentation

Étant donné que cette méthode de redémarrage de l’ordinateur interfère avec l’opération d’arrêt Windows, nous vous recommandons d’utiliser cette méthode uniquement si vous n’avez aucune alternative. Par exemple, vous devrez peut-être utiliser cette approche si votre ordinateur ne répond pas. Lorsque vous redémarrez l’ordinateur en appuyant sur le bouton d’alimentation et en maintenant le bouton d’alimentation, l’ordinateur enregistre un ID d’événement 41 qui inclut une valeur non nulle pour l’entrée PowerButtonTimestamp .

<EventData>
<Data Name="BugcheckCode">0</Data>
<Data Name="BugcheckParameter1">0x0</Data>
<Data Name="BugcheckParameter2">0x0</Data>
<Data Name="BugcheckParameter3">0x0</Data>
<Data Name="BugcheckParameter4">0x0</Data>
<Data Name="SleepInProgress">0</Data>
<Data Name="PowerButtonTimestamp">131728546170882432</Data>
<Data Name="BootAppStatus">0</Data>
</EventData>

Pour obtenir de l’aide lors de la résolution des problèmes d’un ordinateur non répondif, consultez l’aide de Windows. Envisagez de rechercher de l’aide à l’aide de mots clés tels que « hang », « response » ou « blank screen ».

Scénario 3 : L’ordinateur ne répond pas ou redémarre de façon aléatoire, et l’ID d’événement 41 n’est pas enregistré ou l’ID d’événement 41 entrée ou répertorie les valeurs de code d’erreur de zéro

Ce scénario comprend les circonstances suivantes :

• Vous arrêtez l’alimentation sur un ordinateur qui ne répond pas, puis redémarrez l’ordinateur.
  Pour vérifier qu’un ordinateur ne répond pas, appuyez sur la touche Majs du clavier. Si la touche Majs verrouille la lumière sur le clavier ne change pas lorsque vous appuyez sur la touche Majs , l’ordinateur peut ne pas répondre (également appelé blocage dur).
• L’ordinateur redémarre, mais il ne génère pas l’ID d’événement 41.
• L’ordinateur redémarre et génère l’ID d’événement 41, mais les valeurs BugcheckCode et PowerButtonTimestamp sont égales à zéro.

Dans ce cas, quelque chose empêche Windows de générer des codes d’erreur ou d’écrire des codes d’erreur sur le disque. Quelque chose peut bloquer l’accès en écriture au disque (comme dans le cas d’un ordinateur non répond) ou l’ordinateur peut s’arrêter trop rapidement pour écrire les codes d’erreur ou même détecter une erreur.

Les informations de l’ID d’événement 41 indiquent où commencer à rechercher des problèmes :

• L’ID d’événement 41 n’est pas enregistré ou le code de vérification des bogues est égal à zéro. Ce comportement peut indiquer un problème d’alimentation. Si l’alimentation d’un ordinateur est interrompue, l’ordinateur peut s’arrêter sans générer d’erreur d’arrêt. S’il génère une erreur d’arrêt, il se peut qu’il ne termine pas l’écriture des codes d’erreur sur le disque. La prochaine fois que l’ordinateur démarre, il se peut qu’il ne journale pas l’ID d’événement 41. Sinon, si c’est le cas, le code de vérification des bogues est égal à zéro. Les conditions suivantes peuvent être la cause :

  • Dans le cas d’un ordinateur portable, la batterie a été retirée ou vidée.
  • Dans le cas d’un ordinateur de bureau, l’ordinateur a été déconnecté ou a subi une panne d’alimentation.
  • L’alimentation électrique est sous tension ou défectueuse.

• La valeur PowerButtonTimestamp est égale à zéro. Ce comportement peut se produire si vous avez déconnecté l’alimentation d’un ordinateur qui ne répondait pas à l’entrée. Les conditions suivantes peuvent être la cause :

  • Un processus Windows a bloqué l’accès en écriture au disque et vous arrêtez l’ordinateur en appuyant sur le bouton d’alimentation pendant au moins quatre secondes.
  • Vous avez déconnecté la puissance d’un ordinateur qui ne répond pas.

• Échec de l’écriture du fichier de vidage et toutes les valeurs sont Zéro. Par exemple :

  <EventData>
  <Data Name="BugcheckCode">0</Data>
  <Data Name="BugcheckParameter1">0x0</Data>
  <Data Name="BugcheckParameter2">0x0</Data>
  <Data Name="BugcheckParameter3">0x0</Data>
  <Data Name="BugcheckParameter4">0x0</Data>
  <Data Name="SleepInProgress">0</Data>
  <Data Name="PowerButtonTimestamp">0</Data>
  <Data Name="BootAppStatus">0</Data>
  </EventData>
  

  Toutefois, il existe un ID d’événement 46 journalisé par volmgr : échec de l’initialisation du vidage sur incident !. Cet événement peut se produire si l’ordinateur a démarré sans fichier de vidage configuré. Le fichier de vidage par défaut est le fichier de page.

  

  Par conséquent, lorsque vous avez un cas avec un redémarrage inattendu et l’ID d’événement 41 a la valeur 0, vérifiez si vous avez un ID d’événement 46 par volmgr. Si c’est le cas, vérifiez la configuration du fichier de page. Des redémarrages inattendus peuvent toujours se produire en raison d’une vérification de bogue, mais le système ne peut pas écrire le type de vérification de bogue dans l’ID d’événement 41 et n’a pas pu également générer un vidage de mémoire. Voir l’ID d’événement 46 lorsque vous démarrez un ordinateur

En règle générale, les symptômes décrits dans ce scénario indiquent un problème matériel. Pour isoler le problème, procédez comme suit :

• Désactivez l’overclocking. Si l’ordinateur est activé, désactivez-le. Vérifiez que le problème se produit lorsque le système s’exécute à la vitesse correcte.
• Vérifiez la mémoire. Utilisez un vérificateur de mémoire pour déterminer l’intégrité et la configuration de la mémoire. Vérifiez que toutes les puces mémoire s’exécutent à la même vitesse et que chaque puce est correctement configurée dans le système.
• Vérifiez l’alimentation. Vérifiez que l’alimentation a suffisamment de puissance pour gérer correctement les appareils installés. Si vous avez ajouté de la mémoire, installé un processeur plus récent, installé plus de lecteurs ou d’appareils externes ajoutés, ces appareils peuvent nécessiter plus d’énergie que l’alimentation actuelle peut fournir de manière cohérente. Si l’ID d’événement journalisé de l’ordinateur 41 parce que l’alimentation de l’ordinateur a été interrompue, envisagez d’obtenir une alimentation sans interruption (UPS) telle qu’une alimentation de secours de batterie.
• Vérifiez la surchauffe. Examinez la température interne du matériel et vérifiez les composants de surchauffe.
• Si l’ordinateur est un ordinateur physique, il peut avoir été redémarré par un logiciel ASR (Automatic Server Recovery) qui a détecté que l’ordinateur n’est pas réactif.
• Si le système s’exécute dans une machine virtuelle Hyper-V et ne fait pas partie d’un environnement cluster, le système peut avoir été redémarré par la fonctionnalité de pulsation Hyper-V. Si cette fonctionnalité est activée et que l’hôte ne détecte pas de pulsation de la machine virtuelle (peut-être parce qu’elle n’est pas réactive), Hyper-V redémarre la machine virtuelle.
• Si le problème se produit dans un environnement en cluster Hyper-V, le problème peut être lié à l’option Activer la surveillance des pulsations pour l’option de machine virtuelle. Consultez le fichier de vidage de mémoire endommagée lorsque vous essayez d’obtenir un fichier de vidage de mémoire complète à partir d’une machine virtuelle qui s’exécute dans un environnement de cluster.
• Si le problème se produit avec une machine virtuelle VMWare, il peut être lié à la fonctionnalité de pulsation dans VMWare, ou la machine virtuelle fait partie d’un cluster tiers.
• Recherchez tout événement suspect avant l’heure d’arrêt (obtenue à partir de l’ID d’événement 6008) dans le journal des applications et du système.

Si vous effectuez ces vérifications et ne pouvez toujours pas isoler le problème, définissez le système sur sa configuration par défaut et vérifiez si le problème persiste.

Note

Si vous voyez un message d’erreur Arrêter qui inclut un code de vérification des bogues, mais l’ID d’événement 41 n’inclut pas ce code, modifiez le comportement de redémarrage de l’ordinateur. Pour ce faire, procédez comme suit :

1. Cliquez avec le bouton droit sur Mon ordinateur, puis sélectionnez Paramètres>système avancés avancés.>
2. Dans la section Démarrage et récupération , sélectionnez Paramètres.
3. Désactivez la case à cocher Redémarrer automatiquement.

Plus d’informations

Détails sur l’ID d’événement 41

L’erreur 41 de l’événement Kernel Power se produit lorsque l’ordinateur arrête ou redémarre de façon inattendue. Lorsqu’un ordinateur Windows démarre, une vérification est effectuée pour déterminer si l’ordinateur a été arrêté correctement. Si ce n’est pas le cas, un message d’ID d’événement Kernel Power 41 est généré.

Un ID d’événement 41 est utilisé pour signaler que quelque chose d’inattendu s’est produit qui empêchait Windows de s’arrêter correctement. Il peut y avoir des informations insuffisantes pour définir explicitement ce qui s’est passé. Pour plus d’informations, consultez l’ID d’événement De l’alimentation du noyau 41 .

• Nom du journal : Système
• Produit : Système d’exploitation Windows
• ID : 41
• Source : Microsoft-Windows-Kernel-Power
• Niveau : Critique
• Version : 6.1
• Message : le système a redémarré sans arrêter le premier. Cette erreur peut être due au fait que le système a cessé de répondre, de se bloquer ou de perdre de l’alimentation de manière inattendue.

Note

L’heure indiquée dans le fichier .evtx est ajustée à l’heure de votre système. Vérifiez le fuseau horaire du serveur.

• ID d’événement 41 : cet événement indique que Windows a redémarré sans arrêt complet.
• ID d’événement 1074 : cet événement est enregistré lorsqu’une application est responsable de l’arrêt ou du redémarrage du système. Il indique également quand un utilisateur a redémarré ou arrêté le système à l’aide du menu Démarrer ou en appuyant sur Ctrl+Alt+Suppr.
• ID d’événement 6006 : cet événement indique que Windows a été correctement désactivé.
• ID d’événement 6008 : cet événement indique un arrêt incorrect ou incorrect. Il est enregistré lorsque l’arrêt le plus récent a été inattendu.

Juste avant l’arrêt de l’ordinateur, shutdown.exe enregistre l’événement d’arrêt dans le journal système Windows avec un ID d’événement Source=User32 et l’ID d’événement 1074, ainsi que tout code de message personnalisé et de raison.

Le journal des événements est le seul moyen de dire qu’un redémarrage déclenché shutdown.exe est en attente. L’événement enregistre également le nom d’utilisateur et la date et l’heure à laquelle la shutdown commande a été émise.

Lorsque vous utilisez shutdown.exe pour redémarrer un serveur, le processus d’arrêt autorise normalement 30 secondes pour s’assurer que chaque service en cours d’exécution a le temps d’arrêter. Les services sont arrêtés par ordre alphabétique. Arrêter les services manuellement dans un ordre spécifique avec NET STOP ou SC peut être légèrement plus rapide.

Fichier d’état de démarrage (à partir des 6e internes de Windows)

Windows utilise un fichier d’état de démarrage (%SystemRoot%\Bootstat.dat) pour enregistrer le fait qu’il a progressé à travers différentes étapes du cycle de vie du système, y compris le démarrage et l’arrêt.

Cela permet au Gestionnaire de démarrage, au chargeur Windows et à l’outil de réparation de démarrage de détecter un arrêt anormal ou d’un échec d’arrêt propre, afin d’offrir les options de récupération et de démarrage de diagnostic de l’utilisateur, telles que last Known Good and Safe Mode. Ce fichier binaire contient des informations sur lesquelles le système signale la réussite des phases suivantes du cycle de vie du système :

• Démarrage (la définition d’un démarrage réussi est identique à celle utilisée pour déterminer l’état Du bon connu, qui a été décrit précédemment)
• Shutdown
• Reprendre à partir d’une mise en veille prolongée ou d’une suspension

Le fichier d’état de démarrage indique également si un problème a été détecté la dernière fois que l’utilisateur a essayé de démarrer le système d’exploitation et les options de récupération affichées, indiquant que l’utilisateur a été informé du problème et effectué une action. Les API de bibliothèque runtime (Rtl) dans ntdll.dll contiennent les interfaces privées que Windows utilise pour lire et écrire dans le fichier. Comme le BCD, il ne peut pas être modifié par les utilisateurs.

À propos de l’arrêt

Lorsqu’un arrêt est lancé, Windows envoie un message WM_QUERYENDSESSION à toutes les applications en cours d’exécution qui ont un thread d’interface utilisateur. Ce message demande à l’application d’enregistrer les données non enregistrées et de se terminer correctement. Si l’application ne répond pas au message dans un délai donné, Windows envoie un message WM_ENDSESSION à l’application, ce qui met immédiatement fin à l’application.

Si toutes les applications répondent au message WM_QUERYENDSESSION et se terminent correctement, Windows enregistre un événement d’arrêt propre dans le journal des événements système. Si une application ne répond pas au message ou se termine anormalement, Windows enregistre un événement d’arrêt incorrect dans le journal des événements système.

Les arrêts inattendus sont principalement causés par des composants en dehors du système d’exploitation.

Un arrêt incorrect est lorsqu’un système informatique est arrêté sans passer par le processus d’arrêt approprié. Cela peut se produire lorsque l’alimentation est soudainement coupée ou lorsque l’ordinateur est forcé de s’arrêter en maintenant le bouton d’alimentation enfoncé. Un arrêt incorrect peut entraîner une perte de données ou une altération et peut également entraîner des problèmes de démarrage.

Le registre de nombres d’arrêts incorrects est une clé de Registre dans le Registre Windows utilisée pour suivre le nombre de fois qu’un système informatique a été arrêté sans passer par le processus d’arrêt approprié. Cette clé peut être utile lors de la résolution des problèmes de démarrage pour déterminer si le système a été désactivé de manière incorrecte.

Vous pouvez également effacer toutes les valeurs (comme DirtyShutdown, LastAliveStamp, TimeStampInterval) dans la clé de Registre suivante : Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Reliability. Cela peut aider à empêcher le suivi des événements d’arrêt d’apparaître après un arrêt inattendu.