續 這篇
我發現我在執行 群組原則更新 之後,時間就會被改了
然後用小工具去抓這期間有執行哪些東西,不過有些根本不知道是做啥的...
請各位大神幫忙看一下是哪邊在作怪,謝謝!
9/19 3:15 LOG有抓到變更 不過..到底是哪個東東去改他呢...?
153295 06:52:41.6591666s - ClockDispln Discipline: Check and set secure time
153295 06:52:41.6592869s - Setting the system time because it is outside the secure time limits.
153295 06:52:41.6593119s - Current system time: 6:52:41.659 9/16/2020
153295 06:52:41.6593279s - Target system time: 6:45:19.293 9/4/2020
153283 06:45:19.2929342s - ClockDispln Discipline: *SET*SECURE*TIME*
153283 06:45:19.3001194s - W32TmServiceMain: ********** Time Slip Notification **********
1.打開你的GPO編輯器,執行群組原則結果,查看那台電腦到底有那些GPO設定
2.打開你的事件檢視器,查看系統時間變動的紀錄,W10的ID是4616
4616需要開啟稽核功能才能再用戶端看到事件ID的LOG
3.按照微軟文件開啟 Windows W32time稽核紀錄
重啟時間服務 打開CMD 輸入 net stop w32time && net start w32time
每次重啟都會觸發LOG,不管是稽核紀錄,還是事件ID稽核紀錄都會產生
找到:123的紀錄,這是時間服務查詢到的時間伺服器,看服務是跑到哪台伺服器去對時
我的環境有網域,當然跑去跟網域控制站對時
查看time service config
W32tm /query /status
W32tm /query /configuration
網域用戶端
獨立工作站
微軟文件
補充: 因為版大電腦有加入AD,Client與DC主機時間誤差太大會有驗證問題。
W32Time 服務會為電腦提供網路時鐘同步功能,而不需要進行大量設定。 W32Time 服務對於能否成功操作 Kerberos V5 驗證非常重要,因此也對能否成功操作 AD DS 型驗證非常重要。
https://docs.microsoft.com/zh-tw/windows-server/networking/windows-time-service/windows-time-service-tech-ref
NtpServer設定是Ox1是用SpecialPollInterval,網域主機是3600秒(1小時),未加入網域主機與獨立伺服器是604,800秒(7天)。
SpecialPollInterval 所有版本 指定手動對等的特殊輪詢間隔 (以秒為單位)。 已啟用 SpecialInterval 0x1 旗標時,W32Time 將會使用此輪詢間隔,而不是作業系統所決定的輪詢間隔。 網域成員上的預設值是 3,600。 獨立用戶端和伺服器上的預設值是 604,800。
SpecialPollInterval 對組建 1703 來說是新項目,會包含在 MinPollInterval 和 MaxPollInterval 設定的登錄值中。
https://docs.microsoft.com/zh-tw/windows-server/networking/windows-time-service/windows-time-service-tools-and-settings
MinPollInterval = 0xA (= = 2 ^ 10 秒 = = 1024 秒)
MaxPollInterval = 0xF (= = 2 ^ 15 秒 = = 32768 秒)
SpecialPollInterval = 604800 秒
https://docs.microsoft.com/zh-tw/troubleshoot/windows-server/identity/w32time-sync-specialpollinterval-ignored
感謝協助 tw.pool.ntp.org 的各個組織,你們提供的NTP很穩...(幾乎沒有找不到時間來源的Log)
https://www.pool.ntp.org/zone/tw
感謝您給的資訊~我這邊看的確是跟我家的網域主機同步..
我在用這些紀錄檔觀察看看 orz