Windows Server 有时会出现错误的日期

Question

拥有已成功运行多年的 Windows Server 2016（托管于 Amazon AWS EC2）。

\n

自从某个月以来，我遇到了计划任务（例如配置为每天运行的任务）未执行的情况。任务历史记录中没有错误消息。事件日志中没有条目。没有什么。

\n

这些任务根本不运行，并且“下次运行时间”列中是未来的日期，例如明天。明天再次查看时，同样的图片：未运行任何任务，“下一次运行时间”再次指向未来。

\n

这是我的系统时间的另一个例子：

\n

\n

上面的 Windows 更新屏幕截图显示，我在2022 年2 月5 日安装的 SQL Server 更新实际上被错误地显示为在2022 年3 月5 日安装。未来一个月。

\n

我刚刚在命令行中调用了它：

\n

C:\\>w32tm /query /status\n

\n

打印了这个结果：

\n

Leap Indicator: 0(no warning)\nStratum: 4 (secondary reference - syncd by (S)NTP)\nPrecision: -6 (15.625ms per tick)\nRoot Delay: 0.0096024s\nRoot Dispersion: 0.0493815s\nReferenceId: 0x28779426 (source IP:  40.119.148.38)\nLast Successful Sync Time: 08.02.2022 08:41:13\nSource: time.windows.com,0x8\nPoll Interval: 10 (1024s)\n

\n

我看来没有什么可疑之处。

\n

我也检查过病毒，没有任何阳性结果。我还运行了“MRT”工具，但没有任何积极效果。

\n

上次发生这种情况可能是一个月前，我重新启动了系统，我想这（暂时）解决了问题。只是现在再次出现。

\n

多年来，我管理着多台其他 EC2 AWS Windows 2016 服务器以及数十台其他 Windows 服务器，但从未遇到过如此奇怪的行为。

\n

我的问题

\n

有谁知道这台服务器上可能发生什么以及如何解决这个问题？

\n

更新1

\n

这似乎是在自动夏令时切换之后首次发生的（服务器和时区位于德国）。

\n

某些任务将此消息作为“上次运行结果”：

\n

\n

操作员或管理员拒绝了该请求。（0x800710E0）

\n

\n

在德国：

\n

\n

操作员或管理员 zur\xc3\xbcckgewiesen 的操作。（0x800710E0）

\n

\n

我发现的有关此错误的所有建议（例如此错误）都是再次编辑和存储任务。我现在就试试这个。

\n

更新2

\n

计划任务再次没有运行，我在事件日志中发现了多个如下条目：

\n

\n

系统时间已从 \xe2\x80\x8e2022 更改为 \xe2\x80\x8e2022\xe2\x80\x8e-\xe2\x80\x8e03\xe2\x80\x8e-\xe2\x80\x8e20T01:25:40.348000000Z \xe2\x80\x8e-\xe2\x80\x8e02\xe2\x80\x8e-\xe2\x80\x8e16T14:47:49.130142400Z。

\n

更改原因：应用程序或系统组件更改了时间。

\n

\n

于是改成了未来一个月。

\n

后来又改回正确的日期：

\n

\n

系统时间已从 \xe2\x80\x8e2022 更改为 \xe2\x80\x8e2022\xe2\x80\x8e-\xe2\x80\x8e02\xe2\x80\x8e-\xe2\x80\x8e16T12:04:30.541000000Z \xe2\x80\x8e-\xe2\x80\x8e03\xe2\x80\x8e-\xe2\x80\x8e20T01:37:24.558311600Z。

\n

更改原因：应用程序或系统组件更改了时间。

\n

\n

因此，这将日期更改为未来一个月并再次更改。看来这足以让我的任务变得混乱，以至于不再运行。

\n

我还是不知道原因。

\n

我发现的关于这些事件日志条目的一项建议是重新注册时间服务：

\n

net stop w32time\nw32tm /unregister\nw32tm /register\nnet start w32time\n

\n

由于服务器在 Amazon、AWS 的 EC2 上运行，因此我不会尝试此命令：

\n

w32tm /config /manualpeerlist:169.254.169.123 /syncfromflags:manual /update\n

\n

还有这个命令：

\n

reg add "HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Control\\TimeZoneInformation" /v RealTimeIsUniversal /d 1 /t REG_DWORD /f\n

\n

然后，为了使计划任务再次运行，我将打开每个计划任务并再次保存。

\n

更新3

\n

我们现在再次经历了时间变化，以下是审核日志条目的样子。

\n

首先，变化发生在 133 天后：

\n

\n

所选条目“17.03.22 06:47:44”具有以下详细信息：

\n

\n

一个新流程已创建。

\n

创建者主题:
\n安全 ID: SYSTEM
\n帐户名: EC2AMAZ-K5BI954$
\n帐户域: WORKGROUP
\n登录 ID: 0x3E7

\n

目标主题:
\n安全 ID: NULL SID
\n帐户名: -
\n帐户域: -
\n登录 ID: 0x0

\n

进程信息:
\n新进程 ID: 0x3478
\n新进程名称: C:\\Windows\\System32\\conhost.exe
\n令牌提升类型: %%1936
\n强制标签: 强制标签\\系统强制级别
\n创建者进程 ID : 0x44bc
\n创建者进程名称: C:\\Windows\\System32\\wbem\\WMIC.exe
\n进程命令行: ??\\C:\\Windows\\system32\\conhost.exe 0xffffffff -ForceV1

\n

令牌提升类型指示根据用户帐户控制策略分配给新进程的令牌类型。

\n

类型 1 是完整令牌，未删除任何权限或禁用组。仅当禁用用户帐户控制或者用户是内置管理员帐户或服务帐户时，才会使用完整令牌。

\n

类型 2 是提升的令牌，未删除任何权限或禁用组。当启用用户帐户控制并且用户选择使用以管理员身份运行来启动程序时，将使用提升的令牌。当应用程序配置为始终需要管理权限或始终需要最大权限并且用户是管理员组的成员时，也会使用提升的令牌。

\n

类型 3 是一种受限令牌，删除了管理权限并禁用了管理组。当启用用户帐户控制、应用程序不需要管理权限并且用户不选择使用以管理员身份运行来启动程序时，将使用有限令牌。

\n

\n

未来新（错误）日期“28.07.22 13:52:50”的第一个条目是：

\n

\n

一个新流程已创建。

\n

创建者主题:
\n安全 ID: SYSTEM
\n帐户名: EC2AMAZ-K5BI954$
\n帐户域: WORKGROUP
\n登录 ID: 0x3E7

\n

目标主题:
\n安全 ID: NULL SID
\n帐户名: -
\n帐户域: -
\n登录 ID: 0x0

\n

进程信息:
\n新进程 ID: 0x1f64
\n新进程名称: C:\\Program Files (x86)\\Google\\Update\\GoogleUpdate.exe
\n令牌提升类型: %%1936
\n强制标签: 强制标签\\系统强制级别
\n创建者进程 ID: 0x4a8
\n创建者进程名称: C:\\Windows\\System32\\svchost.exe
\n进程命令行: "C:\\Program Files (x86)\\Google\\Update\\ GoogleUpdate.exe" /ua /installsource 调度程序

\n

\n

我在谷歌上搜索了“??\\C:\\Windows\\system32\\conhost.exe 0xffffffff -ForceV1”，发现了几篇声称这可能是恶意的文章：

\n

\n
• 谁让后门开着？使用 StartupInfo 取得胜利
\n
• 以下参数的作用是什么： conhost.exe 0xffffffff -ForceV1
\n

\n

系统时间后来被系统自动调回：

\n

\n

事实上，它首先被改回到 2022 年 3 月 16 日，之后又再次改回正确的时间 2022 年 3 月 17 日。

\n

该条目的详细信息如下所示：

\n

\n

系统时间已更改。

\n

主题:
\n安全 ID: LOCAL SERVICE
\n帐户名: LOCAL SERVICE
\n帐户域: NT AUTHORITY
\n登录 ID: 0x3E5

\n

进程信息:
\n进程 ID: 0x4a0
\n名称: C:\\Windows\\System32\\svchost.exe

\n

上一次: \xe2\x80\x8e2022\xe2\x80\x8e-\xe2\x80\x8e07\xe2\x80\x8e-\xe2\x80\x8e28T11:59:14.787568600Z \n新时间
: \xe2\x80\x8e2022 \xe2\x80\x8e-\xe2\x80\x8e03\xe2\x80\x8e-\xe2\x80\x8e16T15:02:28.443000000Z

\n

当系统时间改变时，会产生该事件。以系统权限运行的 Windows 时间服务定期更改系统时间是正常的。其他系统时间更改可能表明有人试图篡改计算机。

\n

\n

所以现在，即使在我激活了审核之后，我仍然对系统上发生的情况感到完全困惑。

\n

更新4

\n

（2022 年 4 月）

\n

我们最终放弃了，并设置了另一台 AWS EC2 机器，这次是 Windows Server 2022。

\n

我手动将所有内容从旧服务器迁移到新服务器（文件、数据库、IIS 网站等）。

\n

它从大约开始运行。现在2周了没有任何问题。

\n

虽然这不是一种技术解决方案，但它至少是一种可行的解决方案。

\n

更新5

\n

（2022 年 7 月）

\n

新服务器上一切仍然正常工作，我希望它能保持这种状态。

\n