文档中心 > 云服务器 ECS

【推荐】ECS Windows 时间跳变的处理

更新时间: 访问次数:4058

注:注册表修改需要对Windows操作系统有一定了解,为了避免注册表误操作带来的操作系统问题或者可能的数据丢失,请您采用如下方式操作注册表前,务必对系统盘和数据盘创建快照以避免可能的数据丢失。

问题现象


Windows服务器运行一段时间后,时间发生跳变,出现变快或者变慢的情况,影响应用程序运行。从系统日志可以发现,每隔5分钟就会有系统更正时间的日志(事件ID 1), 日志截图如下:

可能原因


服务器发生时间跳变的原因有如下可能

  • 由于网络原因,服务器长时间没能和NTP server进行时间同步,导致有偏差。虚拟机在这种情况下容易出现偏差。偏差的积累会导致时间上有大的跳变。
  • 错误的配置了NTP服务器。
  • 服务器的系统时间被其他应用或者进程篡改。这个我们可以检查当前服务器上有没有配置计划任务,或者第三方应用有自动进行时间同步的功能。

最佳实践


为了帮助您快速解决问题,在采用如下排查方案前,您可以采用最佳实践来配置服务器。

  • 请参考知识点 ECS Windows默认NTP服务器设置说明 ,配置正确的时间服务器,并保证到时间服务器的UDP 123端口的连通性正常。
  • 请检查是否安装可疑的三方软件,以及是否有配置计划任务,这可能会影响篡改。请停用可疑的三方软件,删除可疑的计划任务。

排查方案


为了发现为何出现时间跳变,我们可以相应的开启Windows的审核与时间服务日志进行排查。

  • 开启审计帮助我们监控系统事件,是否有进程修改了系统时间。
  • 开启w32time调试日志,监控服务器与NTP服务器的同步活动。
  • 收集系统配置信息、系统日志,安全日志进行检查。      

问题发生前的配置

请在问题发生前,启用如下配置来记录各类日志。

<1> 启动审核  

在客户机上,运行gpedit.msc, 展开到:本地计算机->计算机配置->Windows设置->安全设置->本地策略->审核策略

启用如下审核

  • 审核特权使用: 成功
  • 审核系统事件: 成功
  • 审核进程跟踪: 成功 

配置完成后,请运行gpupdate /force 生效。

<2> 配置安全日志

点击开始,运行eventvwr,右键单击”安全”,选择属性,调整安全日志的属性调整为自动存档,不要覆盖,同时增大日志最大大小为100MB。

<3> 启用w32time debug日志
以管理员身份启动CMD,运行命令

  
  
  1. w32tm /debug /enable /file:C:\windows\temp\w32time.log /size:10000000 /entries:0-300

您也可以参考微软官方Blog文档说明:

售后技术支持

FAQ

关于此文档暂时还没有FAQ
返回
顶部