none
Windows Server2008R2 操作系统时间被异常修改 RRS feed

  • 问题

  • Windows Server2008R2 操作系统时间被异常修改。

    1、凌晨5点,无人为操作,操作系统未重启,日志上显示时间被修改为2005年5月,早上8点半发现其一直在同步NTP时间

    2、为不影响使用,已重启操作系统,并修改回正常时间

    3、请帮忙排查为何操作系统时间被异常修改的原因

    • 已编辑 Mr.yyy 2017年11月10日 6:19
    2017年11月10日 3:39

全部回复

  • 您好,

    基于目前的情况,我想收集更多信息来缩小问题的范围:
    1. 请问这台Windows Server 2008 R2服务器是域控制器、域成员服务器还是工作组服务器?
    2. 请问NTP服务器是一台什么类型的服务器?是否是PDC?
    3. 请问组织中时间同步的架构是什么样的?

    同时,根据我的研究,我会给出如下建议排查此问题,希望对您有所帮助:
    1. 以管理员身份打开cmd,运行w32tm /query /sourcew32tm /query /configuration /verbose检查时间源及时间同步配置。
    2. 运行w32tm /debug /enable /file:C:\windows\temp\w32time.log /size:10000000 /entries:0-300开启w32time debug logging,如果问题再次发生,可以检查其详细信息。

    如果需要进一步的帮助,请随时告诉我们。

    谢谢
    Albert Ling

    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2017年11月13日 1:18
  • 1、这台服务器是非域控制器或域成员服务器,为普通应用服务器;

    2、NTP服务器为NTP专用设备,非PDC

    3、时间同步架构:这台Windows Server 2008 R2服务器安装NTP软件客户端,同步NTP时钟源

    这台Windows Server 2008 R2上执行命令检查时间源及时间同步配置,均显示服务未开启,不过实际使用的是NTP客户端软件去同步NTP时钟源,应该没有用到这些服务吧?

    2017年11月14日 3:20
  • 您好,

    根据您的情况,建议联系NTP设备供应商以获取进一步的帮助。

    感谢您的理解与合作。

    谢谢
    Albert Ling

    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2017年11月14日 6:56
  • NTP设备供应商确认无异常,是否可能存在BUG等原因?
    2017年11月14日 11:05
  • 从事件查看器(本地)上的“保存的日志”上看出,修改这次异常时间的用户是SYSTEM用户:

    常规

    系统时间已从  2017 - 10 - 31T21:42:34.950603800Z 更改为  2005 - 05 -04T21:05:42.500000000Z。

    日志名称:系统

    来源:Kernel -General

    事件ID 1

    级别:信息

    用户:SYSTEM

    操作代码:信息

    记录时间:2005-5-5 5:05:42

    任务类别:无

    关键字:时间


    确认与NTP无关,怀疑是操作系统修改,还请帮忙排查下

    2017年11月15日 4:22
  • 您好,

    请问您的服务器是一台物理机还是虚拟机?

    根据您的情况,如果是一台物理机,请尝试检查BIOS时间是否正确。
    另外,请将操作系统的补丁更新至最新看看问题是否还会出现。

    如果需要进一步的帮助,请随时告诉我们。

    谢谢
    Albert Ling

    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2017年11月15日 11:18
  • 是物理机,查看BIOS时间正确,且操作系统未发生重启。

    (测试过,在不重启操作系统情况下,操作系统不会同步BIOS时间)

    另,操作系统补丁应该不涉及NTP时间问题吧?

    有理由怀疑是操作系统更改的,是否需要提供相关日志(请说明)供进一步分析判断?
    • 已编辑 Mr.yyy 2017年11月16日 0:59
    2017年11月16日 0:53
  • 您好,

    请问服务器上的Windows Time服务一直处于未启动的状态吗?如果是,根据我的研究,可能没有其他内置的因素会修改系统时间。为了找到问题的原因,我建议您开启Windows Time Service的调试日志监视是哪个进程使用SYSTEM账户修改了时间。下面的链接供您参考:
    如何打开调试日志记录在 Windows 时间服务
    https://support.microsoft.com/zh-cn/help/816043/how-to-turn-on-debug-logging-in-the-windows-time-service

    如果需要进一步的帮助,请随时告诉我们。

    谢谢
    Albert Ling

    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2017年11月16日 11:58
  • 现有的系统日志信息无法分析原因吗?

    打开调试日志监视进程,应该只能在故障重现才会发现原因吧?因该服务器异常,暂时已下架,很难知晓何时会故障重现,要如何定位问题?

    2017年11月16日 12:32
  • 您好,

    感谢您分享当前的进展。

    根据目前的情况,可能很难通过现有日志找到问题原因,建议开启调试日志等待问题重现后看看是哪个进程修改了时间。

    另外,我建议您可以在Microsoft技术支持中心开启一个案例,看看他们是否能够获得有关此问题的更多信息:
    https://www.microsoft.com/en-us/worldwide.aspx

    感谢您的理解与合作。

    谢谢
    Albert Ling

    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2017年11月17日 7:14
  • 谢谢!

    已经联系过Microsoft技术支持中心,没有找到类似的案例,他们建议我来此论坛寻求帮助。

    2017年11月17日 9:15