在我的组织中,我们在多个站点的 ESXi 主机上拥有许多虚拟机。
在过去的几个月里,大约每周一到两次,一台虚拟机会随机地将日期更新为几周后的某个时间,持续几分钟,但 W32Time 会注意到并将日期改回。这影响了服务器上运行的应用程序,我们无法确定是什么原因造成的。
这不是通常的几分钟的时间变化,而是将日期和时间转移到完全不同的时间,并且移动没有任何规律。
最新的示例可以在从服务器提取的以下事件日志中看到:
“事件 4616,Microsoft Windows 安全审核。系统时间已更改。主题:安全 ID:本地服务帐户名称:本地服务帐户域:NT AUTHORITY 登录 ID:0x3E5 进程信息:进程 ID:0x174 名称:C:\Windows\System32\svchost.exe 上次时间:2022-10-11T19:28:42.731783900Z 新时间:2022-12-06T05:38:25.439000000Z 系统时间更改时会生成此事件。以系统权限运行的 Windows 时间服务定期更改系统时间是正常现象。其他系统时间更改可能表示有人试图篡改计算机。”
任何帮助或建议都将不胜感激!
答案1
最有可能的是,虚拟机被 ESXi 主机“更新”到错误的时间。
当虚拟机处于“暂停”状态(暂停、快照、迁移等)时,它会继承主机的系统时间,无论虚拟机设置如何。可能“看似随机”的时间是拍摄快照、运行备份或类似操作的时间。而且很可能其他虚拟机也存在同样的问题,只是您尚未注意到(我自己也遇到过这种情况)。
因此,始终通过 NTP 更新您的主机并定期检查其正确的系统时间非常重要。