Reinicializações inesperadas do Windows 2008R2

Uma máquina Windows 2008 R2 é reinicializada automaticamente de vez em quando, normalmente às tardes de sexta-feira. As reinicializações são "anunciadas" no log de eventos da seguinte forma:

Event ID: 1074
process:  svchost.exe,  
user:     NT-AUTHORITY/System, 
reason:   OS:restore(planned), 
code:     0x80020002

Eu acho que este é precisamente o evento que podemos esperar se uma atualização do Windows do nosso servidor WSUS exigir uma reinicialização. No entanto, tanto quanto eu posso ver, tais reinicializações devem acontecer no máximo por volta das 3:00 da manhã. Isto aconteceu repetidamente este ano, nomeadamente

1. 2013-01-10 03:15:12 - Provavelmente devido a uma atualização
2. 2013-01-20 03:04:37 - Provavelmente devido a uma atualização
3. 2013-02-14 16:35:27 - O que é isso?
4. 2013-03-06 16:23:07 - O que é isso?
5. 2013-03-15 13:49:12 - O que é isso?
6. 2013-04-14 21:18:36 - O que é isso?
7. 2013-04-26 14:58:54 - O que é isso?
8. 2013-05-17 15:51:41 - O que é isso?

Se eu verificar as atualizações após a reinicialização de hoje, ele diz

Last time checked for updates: Today, 15:47
Updates installed: Yesterday, 20:57

Assim, enquanto a última verificação é suspeitamente curta antes da reinicialização, a última atualização atual ocorreu ontem (atualização de definição de vírus do Forefront, sem necessidade de reinicialização).

Qual pode ser a causa? O que pode ser feito para prevenir?

Por favor, sinta-se à vontade para pedir mais detalhes.

Atualização: As entradas mais próximas do log de eventos em torno do desligamento com a origem WindowsUpdateClient foram:

• imediatamente após o evento # 1074 acima: O Evento nº 27 "Atualizações Automáticas" foi interrompido
• às 13:00 (quase 3 horas antes do desligamento): Evento # 19: instalação bem-sucedida (atualização de definição do Forefront)
• às 15:55 (logo após a reinicialização): Vários eventos # 19: Instalação bem-sucedida (várias atualizações do sistema operacional, atualizações de segurança e atualizações de segurança cumulativas)

É plausível que as atualizações no último ponto estivessem aguardando uma reinicialização. Na verdade, eu encontrei um evento # 22 ("Reinicialização necessária, o computador será reiniciado em 15 minutos) em 2013-05-16 03:14:28 mencionando precisamente as atualizações mencionadas nos eventos pós-reinicialização. No entanto, por que ele não reinicializou às 3:30 da manhã de ontem, como o evento mmessage sugere em vez de 4 pm hoje?

Por demanda popular, as configurações de política relevantes em Computer configuration\Administratove templates\Windows components\Windows update , de acordo com o assistente de modelagem de GPO:

• Configurar atualizações automáticas: Ativado com "4 - Fazer o download e instalar por agendamento", "diariamente", "às 03h00".
• Atualizações automáticas immeditae installation: Enabled
• Ativar segmentação por cliente: Ativado com "MyGroup"
• Especifique o local de atualização da Microsoft na intranet: Ativado com atualizações e estatísticas=" http://my-wsus-server "
• Nenhuma reinicialização automática para atualizações agendadas com usuários conectados: Ativada
• Permitir atualizações assinadas de um serviço de atualização da Microsoft na intranet: Ativado
• Frequência de detecção de atualizações automáticas: 22 horas

Eu não tenho um mau pressentimento com essas configurações. O único suspeito é Não há reinicialização automática para atualizações agendadas com usuários logados . No entanto, para o comportamento observado, um usuário deve ter feito o login no yestreday 3 a.m. até hoje, às 16h. (ou possivelmente várias sessões sobrepostas). Examinando o oceano do Security Event Log, eu realmente encontrei: Três eventos # 4634 (logoff), dois para sessões RDP do Administrador (tipo 10), um para sessão do console do Administrador (tipo 2), tudo no mesmo segundo que o evento # 1074 acima! Mas o que é causa e o que é efeito? Ou como três sessões foram mortas simultaneamente?