为什么我的 Windows Server 2012 R2 时区一夜之间就改变了?

tag-icon tag-icon windows-server-2012 time windows-server-2012-r2 timezone
为什么我的 Windows Server 2012 R2 时区一夜之间就改变了?

当我今天早上登录工作站时,时区已从东部更改为太平洋。在事件查看器中,我看到以下三个事件,均发生在凌晨 4:12:15。

看起来,第 1 次和第 2 次事件的时区没有改变,但不知何故,第 3 次事件的时区从 T11 更改为 T08。这一切都很奇怪,因为我相信当我安装操作系统时,我将时区正确设置为东部时间(我在纽约附近)。

以下是事件日志:

第一场活动

The system time was changed.

Subject:
    Security ID:        LOCAL SERVICE
    Account Name:       LOCAL SERVICE
    Account Domain:     NT AUTHORITY
    Logon ID:       0x3E5

Process Information:
    Process ID: 0x3d8
    Name:       C:\Windows\System32\svchost.exe

Previous Time:  ‎2014‎-‎04‎-‎25T08:12:15.456072100Z
New Time:       ‎2014‎-‎04‎-‎25T08:12:15.455000000Z

第二项活动:

Previous Time:  ‎2014‎-‎04‎-‎25T08:12:15.456888000Z
New Time:       ‎2014‎-‎04‎-‎25T08:12:15.456000000Z

第三个活动:

Previous Time:  ‎2014‎-‎04‎-‎25T11:12:04.008461800Z
New Time:       ‎2014‎-‎04‎-‎25T08:12:15.456616800Z

对此有无良性解释或者这可能是病毒?

更新 2014-05-01:更多事件

此事件在 2014-04-26 又发生过三次,均发生在凌晨 3:02:15。此后再未发生过此事件。

Previous Time:   ‎2014‎-‎04‎-‎26T07:02:15.198939400Z
New Time:        2014‎-‎04‎-‎26T07:02:15.198000000Z
Previous Time:   2014‎-‎04‎-‎26T07:02:15.200081200Z
New Time:        ‎2014‎-‎04‎-‎26T07:02:15.199000000Z
Previous Time:   ‎2014‎-‎04‎-‎26T07:02:13.067340800Z
New Time:        ‎2014‎-‎04‎-‎26T07:02:15.199708000Z

更新 2014-04-26:w32tm /query /configuration 的结果

[Configuration]

EventLogFlags: 2 (Local)
AnnounceFlags: 10 (Local)
TimeJumpAuditOffset: 28800 (Local)
MinPollInterval: 10 (Local)
MaxPollInterval: 15 (Local)
MaxNegPhaseCorrection: 54000 (Local)
MaxPosPhaseCorrection: 54000 (Local)
MaxAllowedPhaseOffset: 1 (Local)

FrequencyCorrectRate: 4 (Local)
PollAdjustFactor: 5 (Local)
LargePhaseOffset: 50000000 (Local)
SpikeWatchPeriod: 900 (Local)
LocalClockDispersion: 10 (Local)
HoldPeriod: 5 (Local)
PhaseCorrectRate: 1 (Local)
UpdateInterval: 360000 (Local)


[TimeProviders]

NtpClient (Local)
DllName: C:\Windows\system32\w32time.dll (Local)
Enabled: 1 (Local)
InputProvider: 1 (Local)
AllowNonstandardModeCombinations: 1 (Local)
ResolvePeerBackoffMinutes: 15 (Local)
ResolvePeerBackoffMaxTimes: 7 (Local)
CompatibilityFlags: 2147483648 (Local)
EventLogFlags: 1 (Local)
LargeSampleSkew: 3 (Local)
SpecialPollInterval: 604800 (Local)
Type: NTP (Local)
NtpServer: time.windows.com,0x9 (Local)

NtpServer (Local)
DllName: C:\Windows\system32\w32time.dll (Local)
Enabled: 0 (Local)
InputProvider: 0 (Local)
VMICTimeProvider (Local)
DllName: C:\Windows\System32\vmictimeprovider.dll (Local)
Enabled: 0 (Local)
InputProvider: 1 (Local)

答案1

您需要寻找以下类型的事件:

日志名称:系统
来源:Microsoft-Windows-Kernel-General
日期:2014 年 8 月 17 日下午 1:35:21
事件 ID:1
任务类别:无
级别:信息
关键字:时间
用户:MYDOMAIN\Administrator
计算机:WIN-3RBJO240LH2.mydomain.local
描述:
系统时间已从 ‎2014‎-‎08‎-‎17T16:35:21.300689700Z 更改为 ‎2014‎-‎08‎-‎17T16:35:21.300689700Z。

变更原因:系统时间调整到新时区。

您可以看到时间更改是由于新的时区而进行的,并可查看哪个用户执行了此操作。

相关内容