Windows Server 2019 随机将时间和日期更改为不正确的值

Question 1

看来该问题是由 Microsoft 在 2016 年启用的名为 UtilizeSSLTimeData 的设置引起的。以下是对此情况的一个很好的解释...https://arstechnica.com/security/2023/08/windows-feature-that-resets-system-clocks-based-on-random-data-is-wreaking-havoc/

这是微软的解决方案...https://learn.microsoft.com/en-us/windows-server/networking/windows-time-service/windows-server-2016-improvements#secure-time-seeding

安全时间播种

Server 2016 中的 W32time 包含安全时间播种功能。此功能确定传出 SSL 连接的大致当前时间。此时间值用于监视本地系统时钟并纠正任何严重错误。您可以在此博客文章中阅读有关此功能的更多信息。在具有可靠时间源和受良好监控的计算机（包括监视时间偏移）的部署中，您可以选择不使用安全时间播种功能，而是依靠现有的基础架构。

您可以按照以下步骤禁用该功能：

在特定机器上将 UtilizeSSLTimeData 注册表配置值设置为 0...

reg 添加 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\w32time\Config /v UtilizeSslTimeData /t REG_DWORD /d 0 /f

如果由于某种原因无法立即重新启动计算机，则可以通知 W32time 服务有关配置更新的信息。这将停止基于从 SSL 连接收集的时间数据的时间监控和执行。

W32tm.exe /配置/更新

重启机器会使设置立即生效，同时也会停止从 SSL 连接收集任何时间数据。后者的开销很小，不应该成为性能问题。

要在整个域中应用此设置，请将 W32time 组策略设置中的 UtilizeSSLTimeData 值设置为 0 并发布该设置。当组策略客户端拾取该设置时，W32time 服务将收到通知，它将停止使用 SSL 时间数据进行时间监控和强制执行。每台计算机重新启动时，SSL 时间数据收集将停止。如果您的域中有便携式超薄笔记本电脑/平板电脑和其他设备，您可能希望将此类计算机排除在此策略更改之外。这些设备最终将面临电池耗尽的问题，需要安全时间播种功能来引导其时间。

Answer

看来该问题是由 Microsoft 在 2016 年启用的名为 UtilizeSSLTimeData 的设置引起的。以下是对此情况的一个很好的解释...https://arstechnica.com/security/2023/08/windows-feature-that-resets-system-clocks-based-on-random-data-is-wreaking-havoc/

这是微软的解决方案...https://learn.microsoft.com/en-us/windows-server/networking/windows-time-service/windows-server-2016-improvements#secure-time-seeding

安全时间播种

Server 2016 中的 W32time 包含安全时间播种功能。此功能确定传出 SSL 连接的大致当前时间。此时间值用于监视本地系统时钟并纠正任何严重错误。您可以在此博客文章中阅读有关此功能的更多信息。在具有可靠时间源和受良好监控的计算机（包括监视时间偏移）的部署中，您可以选择不使用安全时间播种功能，而是依靠现有的基础架构。

您可以按照以下步骤禁用该功能：

在特定机器上将 UtilizeSSLTimeData 注册表配置值设置为 0...

reg 添加 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\w32time\Config /v UtilizeSslTimeData /t REG_DWORD /d 0 /f

如果由于某种原因无法立即重新启动计算机，则可以通知 W32time 服务有关配置更新的信息。这将停止基于从 SSL 连接收集的时间数据的时间监控和执行。

W32tm.exe /配置/更新

重启机器会使设置立即生效，同时也会停止从 SSL 连接收集任何时间数据。后者的开销很小，不应该成为性能问题。

要在整个域中应用此设置，请将 W32time 组策略设置中的 UtilizeSSLTimeData 值设置为 0 并发布该设置。当组策略客户端拾取该设置时，W32time 服务将收到通知，它将停止使用 SSL 时间数据进行时间监控和强制执行。每台计算机重新启动时，SSL 时间数据收集将停止。如果您的域中有便携式超薄笔记本电脑/平板电脑和其他设备，您可能希望将此类计算机排除在此策略更改之外。这些设备最终将面临电池耗尽的问题，需要安全时间播种功能来引导其时间。

Question 2

我遇到过几种会导致这种情况的情况。一是 BIOS 时间设置不正确。二是 CMOS 电池快没电了或快没电了。

Answer

我遇到过几种会导致这种情况的情况。一是 BIOS 时间设置不正确。二是 CMOS 电池快没电了或快没电了。

Question 3

尝试使用外部时间服务器。我推荐：pool.ntp.org

看：https://www.pool.ntp.org/de/use.html

我们使用pool.ntp.org作为域控制器和所有不在AD中的设备（Linux机器、交换机、打印机、防火墙等）的时间源。所有Windows机器都使用DC作为时间源。这非常重要！

如果从技术上来说更改时间源对您来说不可行，也许这会对您有所帮助（自 2021 年中起，较新的 Windows 版本中增强了与时间相关的事件的记录功能）：

https://learn.microsoft.com/en-us/windows-server/networking/windows-time-service/windows-time-for-traceability?tabs=257

这应该有助于找出发生了什么以及为什么发生。

Answer