Identifier les Reboot / bluescreen déclenchés par Exchange 2013

Un nouveau système de monitoring a été introduit depuis Exchange 2013. Ce monitoring est actif et essaye différentes actions correctrices pour rétablir le service aux utilisateurs le plus rapidement possible.

Ce monitoring peut redémarrer des services et forcer un crash pour rebooter le serveur et basculer les ressources automatiquement sur un autre serveur Exchange.

Si vous avez capturé le crash dans un fichier memory.dmp :
--------------------------------------------------------------------------------------

 Vous verrez en l'analysant qu'il s’agit généralement de stop F4 sur wininit ou stop EF sur wininit :

kd> !analyze –v

MODULE_NAME: wininit
PROCESS_NAME:  msexchangerepl
BUGCHECK_STR:  0xEF_msexchangerepl
DEFAULT_BUCKET_ID:  WIN8_DRIVER_FAULT

Pour vérifier si un bluescreen/reboot sur un serveur Exchange 2013 a été déclenché par Exchange :
---------------------------------------------------------------------------------------------------------------------------------------------

La méthode la plus simple pour vérifier si un crash a été généré par Exchange à l’heure qui vous intéresse tient en une seule commande powershell à lancer sur la machine :

(get-winevent -LogName Microsoft-Exchange-ManagedAvailability/RemoteActionLogs | % {[XML]$_.toXml()}).event.userData.eventXml| ? {$_.ActionId -eq "ForceReboot"} |fl TimeStamp,ReportingServer,RequesterName,ActionId;(get-winevent -LogName Microsoft-Exchange-ManagedAvailability/RecoveryActionResults| % {[XML]$_.toXml()}).event.userData.eventXml| ? {$_.Id -eq "ForceReboot"} |fl StartTime,ResourceName , RequestorName, Id , Result , ExceptionName,ExceptionMessage

Voici un exemple de résultat:

TimeStamp       : 2014-11-11T23:20:47.8451131Z
ReportingServer : server01
RequesterName   : ActiveDirectoryConnectivityServerReboot
ActionId        : ForceReboot

 

StartTime        : 2014-11-13T10:31:07.2217142Z
ResourceName     : server00
RequestorName    : ActiveDirectoryConnectivityServerReboot
Id               : ForceReboot
Result           : Succeeded
ExceptionName    : [null]
ExceptionMessage : [null]