Después de recibir el reporte de un servidor que se reiniciaba constantemente lo que hice fue empezar a investigar:
1. Problema
Después de que caduque la licencia de Windows el endpoint se apagará automáticamente cada hora.
2. Investigación
Iniciamos la investigación en Event Viewer donde podemos filtrar los mensajes de registro relacionados a reinicios:
Podemos filtrar los ID 41, 1074, 6006, 6008:
ID 41: el sistema se reinició sin apagarse limpiamente primero. Este error ocurre cuando el sistema dejó de responder, falló o se quedó sin energía inesperadamente.
ID 1074: se registra cuando una aplicación (como Windows Update) hace que el sistema se reinicie o cuando un usuario inicia un reinicio o un apagado.
ID 6006: registrado como un apagado limpio. Aparece el mensaje: “Se detuvo el servicio de registro de eventos.
ID 6008: registrado como un apagado sucio. Aparece el mensaje: «El apagado anterior del sistema a la hora de la fecha fue inesperado
Después de aplicar los filtros, verá una lista de eventos correspondientes a los identificadores de eventos.
Podemos observar que el proceso wlms.exe apago el servidor.
3. Troubleshooting
La solución a este problema es activar una licencia legal. En lo que se aprueba el proceso administrativo de la compra podemos desactivar el servicio de la siguiente forma:
- Descargar PsExec tools del sitio oficial de Microsoft. (enlace)
- Abrir cmd como administrador e ingresar al directorio donde descargamos PsExec tools
- Ejecutar el siguiente comando que abrira otra ventana de cmd:
psexec -i -s cmd.exe - Comprobamos con el comando whoami que nuestro usuario es nt authoritysystem
- En la nueva ventana de cmd ejecutamos services.msc y podremos deshabilitar el servicio Windows Licensing Monitoring Service (WLMS).
- Por último reiniciamos la computadora