拥有已成功运行多年的 Windows Server 2016(托管在 Amazon AWS EC2 上)。
从某个月起,我发现计划任务(例如配置为每日运行的任务)未执行。任务历史记录中没有错误消息。事件日志中没有条目。什么都没有。
任务根本不运行,“下次运行时间”列中显示的是未来的日期,例如明天。明天再看时,情况相同:未运行任何任务,“下次运行时间”再次指向未来。
下面是我的系统时间中的几率的另一个例子:
上面的 Windows 更新屏幕截图显示,我在 5 日安装的 SQL Server 更新二月2022 实际上被错误地显示为安装在行进2022年。未来一个月。
我刚刚在命令行中调用了这个:
C:\>w32tm /query /status
打印结果如下:
Leap Indicator: 0(no warning)
Stratum: 4 (secondary reference - syncd by (S)NTP)
Precision: -6 (15.625ms per tick)
Root Delay: 0.0096024s
Root Dispersion: 0.0493815s
ReferenceId: 0x28779426 (source IP: 40.119.148.38)
Last Successful Sync Time: 08.02.2022 08:41:13
Source: time.windows.com,0x8
Poll Interval: 10 (1024s)
在我看来没什么可疑的。
我还检查了病毒,没有发现任何阳性结果。我还运行了“MRT”工具没有任何积极因素。
上次发生这种情况大概是在一个月前,我重启了系统,我想这(暂时)解决了这个问题。但现在又出现了。
由于多年来需要管理多个其他 EC2 AWS Windows 2016 服务器和数十台其他 Windows 服务器,我绝不遇到了这样奇怪的行为。
我的问题
有谁知道该服务器上可能发生什么事情以及如何解决它?
更新 1
这似乎是在自动夏令时切换后首次发生的(服务器和时区在德国)。
一些任务将此消息作为“上次运行结果”:
操作员或管理员拒绝了该请求。(0x800710E0)
在德国:
操作员或管理员将接受该请求。 (0x800710E0)
我发现的有关此错误的所有建议(例如这个)是重新编辑和存储任务。我现在就试试这个。
更新 2
计划的任务再次没有运行,并且我在事件日志中发现了如下多个条目:
系统时间已从 2022-02-16T14:47:49.130142400Z 更改为 2022-03-20T01:25:40.348000000Z。
更改原因:应用程序或系统组件更改了时间。
所以就改为一个月后了。
后来又被改回了正确的日期:
系统时间已从 2022-03-20T01:37:24.558311600Z 更改为 2022-02-16T12:04:30.541000000Z。
更改原因:应用程序或系统组件更改了时间。
因此,这将日期改到了未来一个月,然后又改回了过去。这似乎足以让我的任务变得混乱,以至于再也无法运行。
我还是不知道原因。
我发现关于这些事件日志条目的一个建议是重新注册时间服务:
net stop w32time
w32tm /unregister
w32tm /register
net start w32time
由于服务器在 Amazon、AWS 的 EC2 上运行,因此我不会尝试此命令:
w32tm /config /manualpeerlist:169.254.169.123 /syncfromflags:manual /update
还有这个命令:
reg add "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TimeZoneInformation" /v RealTimeIsUniversal /d 1 /t REG_DWORD /f
然后,为了使计划任务再次运行,我将打开每个任务并再次保存。
更新 3
现在我们再次经历了时间变化,以下是审计日志条目的样子。
首先,变化发生在 133 天之后:
在“17.03.22 06:47:44”处选定的条目具有以下详细信息:
已创建新流程。
创建者主题:
安全 ID:SYSTEM
帐户名称:EC2AMAZ-K5BI954$
帐户域:WORKGROUP
登录 ID:0x3E7目标主题:
安全 ID:NULL SID
帐户名称:-
帐户域:-
登录 ID:0x0进程信息:
新进程 ID:0x3478
新进程名称:C:\Windows\System32\conhost.exe
令牌提升类型:%%1936
强制标签:强制标签\系统强制级别
创建者进程 ID:0x44bc
创建者进程名称:C:\Windows\System32\wbem\WMIC.exe
进程命令行: ??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1令牌提升类型指示根据用户帐户控制策略分配给新进程的令牌类型。
类型 1 是完整令牌,没有删除任何特权或禁用任何组。仅当禁用用户帐户控制或用户是内置管理员帐户或服务帐户时,才会使用完整令牌。
类型 2 是未删除任何特权或禁用任何组的提升令牌。当启用用户帐户控制并且用户选择使用以管理员身份运行来启动程序时,将使用提升令牌。当应用程序配置为始终需要管理特权或始终需要最大特权,并且用户是管理员组的成员时,也会使用提升令牌。
类型 3 是受限令牌,其中删除了管理权限并禁用了管理组。当启用用户帐户控制、应用程序不需要管理权限且用户未选择使用以管理员身份运行来启动程序时,将使用受限令牌。
而未来新的(错误)日期“28.07.22 13:52:50”的第一个条目是:
已创建新流程。
创建者主题:
安全 ID:SYSTEM
帐户名称:EC2AMAZ-K5BI954$
帐户域:WORKGROUP
登录 ID:0x3E7目标主题:
安全 ID:NULL SID
帐户名称:-
帐户域:-
登录 ID:0x0进程信息:
新进程 ID:0x1f64
新进程名称:C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
令牌提升类型:%%1936
强制标签:强制标签\System 强制级别
创建者进程 ID:0x4a8
创建者进程名称:C:\Windows\System32\svchost.exe
进程命令行:“C:\Program Files (x86)\Google\Update\GoogleUpdate.exe”/ua /installsource scheduler
我有谷歌搜索“??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1”,并发现几篇文章声称这个可能恶意的:
系统时间随后被系统自动调回:
事实上,它首先被改回了 2022 年 3 月 16 日,然后又被改回了正确的时间 2022 年 3 月 17 日。
条目的详细信息如下:
系统时间已修改。
主题:
安全 ID:本地服务
帐户名称:本地服务
帐户域:NT AUTHORITY
登录 ID:0x3E5进程信息:
进程 ID:0x4a0
名称:C:\Windows\System32\svchost.exe上一次时间:2022-07-28T11:59:14.787568600Z
新时间:2022-03-16T15:02:28.443000000Z当系统时间发生更改时会生成此事件。以系统权限运行的 Windows 时间服务定期更改系统时间是正常现象。其他系统时间更改可能表示有人试图篡改计算机。
所以现在,即使我已经激活了审核,我仍然对我的系统上发生的事情感到完全困惑。
更新 4
(2022 年 4 月)
我们最终放弃并设置了另一台 AWS EC2 机器,这次是 Windows Server 2022。
我手动将所有内容从旧服务器迁移到新服务器(文件、数据库、IIS 网站等)。
它已经运行了大约两周,没有任何问题。
虽然这不是一个技术解决方案,但至少是一个可行的解决方案。
更新 5
(2022 年 7 月)
新服务器上的一切仍然正常运行,我希望它保持这种状态。