Windows 2008R2 服务器意外重启

Windows 2008 R2 机器时不时地自动重启，通常是在周五下午。重新启动在事件日志中“宣布”如下：

Event ID: 1074
process:  svchost.exe,  
user:     NT-AUTHORITY/System, 
reason:   OS:restore(planned), 
code:     0x80020002

我想这正是我们 WSUS 服务器的 Windows 更新需要重新启动时可以预期的事件。但是，据我所知，这种重启最多应该发生在凌晨3点左右。今年已经多次发生这种情况，即

1. 2013-01-10 03:15:12 - 可能是由于更新
2. 2013-01-20 03:04:37 - 可能是由于更新
3. 2013-02-14 16:35:27 - 那是什么？？
4. 2013-03-06 16:23:07 - 那是什么？？
5. 2013-03-15 13:49:12 - 那是什么？？
6. 2013-04-14 21:18:36 - 那是什么？？
7. 2013-04-26 14:58:54 - 那是什么？？
8. 2013-05-17 15:51:41 - 那是什么？？

如果我在今天重启后检查更新，它说

Last time checked for updates: Today, 15:47
Updates installed: Yesterday, 20:57

因此，虽然最后一次检查在重启前的时间短得令人怀疑，但最后一次实际更新发生在昨天（Forefront 病毒定义更新，无需重启）。

可能是什么原因？可以做些什么来预防？

请随时询问更多详情。

更新： 与源关闭有关的最近的事件日志条目WindowsUpdateClient是：

• 在上述事件#1074 之后立即：事件#27“自动更新”已停止
• 13:00（关机前将近 3 小时）：事件#19：安装成功（Forefront 定义更新）
• 在 15:55（重启后不久）：多个事件 #19：安装成功（多个操作系统更新、安全更新和累积安全更新）

最后一点的更新似乎在等待重启。事实上，我在 2013-05-16 03:14:28 发现了一个事件 #22（“需要重启，计算机将在 15 分钟后重启”），它准确地提到了重启后事件中提到的更新。但是，为什么没有它在昨天凌晨 3:30 重新启动，因为事件消息提示而不是今天下午 4 点？

应大众需求，Computer configuration\Administratove templates\Windows components\Windows update根据GPO建模向导下的相关策略设置：

• 配置自动更新：启用“4 - 按计划下载和安装”、“每天”、“凌晨 03:00”
• 自动更新即时安装：已启用
• 启用客户端定位：通过“MyGroup”启用
• 指定 Intranet Microsoft 更新位置：已启用更新和统计信息 =“ http://my-wsus-server”
• 已登录用户的计划更新不会自动重启：已启用
• 允许来自 Intranet Microsoft 更新服务的签名更新：已启用
• 自动更新检测频率：22 小时

我对这些设置没有不好的感觉。唯一的怀疑是No auto-restart for scheduled updates with logged users。然而，对于观察到的行为，用户必须在昨天凌晨 3 点到今天下午 4 点（或者可能是几个重叠的会话）登录。在安全事件日志的海洋中筛选，我确实发现了：三个事件 #4634（注销），两个用于管理员 RDP 会话（类型 10），一个用于管理员控制台会话（类型 2），都发生在与上面的事件#1074！但什么是因，什么是果？或者为什么三个会话同时被杀死？