Причина изменения an application or system component changed the time
I need help figuring out why the time source on some PCs keeps changing. Right now they're on Local CMOS clock. If I do w32tm /config /syncfromflags:domhier /update net stop w32time net start w32time then do a w32tm /query /status, they state they are getting their time from a domain controller. But then if I reboot the PC, it reverts back to Local CMOS clock.
I don't see anything in Group Policy that sets the time source. In fact, the PCs having this problem are in the same OU with some that aren't so I don't think it's Group Policy. They are on a different subnet, though. Can a router change the time source on a PC? Is there something in the Registry I can change that won't change after a reboot?
This event generates every time system time was changed.
This event is always logged regardless of the "Audit Security State Change" sub-category setting.
You will typically see these events with “Subject\Security ID” = “LOCAL SERVICE”, these are normal time correction actions.
For recommendations, see Security Monitoring Recommendations for this event.
Event XML:
Required Server Roles: None.
Minimum OS Version: Windows Server 2008, Windows Vista.
Event Versions:
0 - Windows Server 2008, Windows Vista.
1 - Windows Server 2008 R2, Windows 7.
Field Descriptions:
Security ID [Type = SID]: SID of account that requested the “change system time” operation. Event Viewer automatically tries to resolve SIDs and show the account name. If the SID cannot be resolved, you will see the source data in the event.
A security identifier (SID) is a unique value of variable length used to identify a trustee (security principal). Each account has a unique SID that is issued by an authority, such as an Active Directory domain controller, and stored in a security database. Each time a user logs on, the system retrieves the SID for that user from the database and places it in the access token for that user. The system uses the SID in the access token to identify the user in all subsequent interactions with Windows security. When a SID has been used as the unique identifier for a user or group, it cannot ever be used again to identify another user or group. For more information about SIDs, see Security identifiers.
Account Name [Type = UnicodeString]: the name of the account that requested the “change system time” operation.
Account Domain [Type = UnicodeString]: subject’s domain or computer name. Formats vary, and include the following:
Domain NETBIOS name example: CONTOSO
Lowercase full domain name: contoso.local
Uppercase full domain name: CONTOSO.LOCAL
For some well-known security principals, such as LOCAL SERVICE or ANONYMOUS LOGON, the value of this field is “NT AUTHORITY”.
For local user accounts, this field will contain the name of the computer or device that this account belongs to, for example: “Win81”.
Logon ID [Type = HexInt64]: hexadecimal value that can help you correlate this event with recent events that might contain the same Logon ID, for example, “4624: An account was successfully logged on.”
Process Information [Version 1]:
Process ID [Type = Pointer] [Version 1]: hexadecimal Process ID of the process that changed the system time. Process ID (PID) is a number used by the operating system to uniquely identify an active process. To see the PID for a specific process you can, for example, use Task Manager (Details tab, PID column):
If you convert the hexadecimal value to decimal, you can compare it to the values in Task Manager.
You can also correlate this process ID with a process ID in other events, for example, “4688: A new process has been created” Process Information\New Process ID.
Name [Type = UnicodeString] [Version 1]: full path and the name of the executable for the process.
Previous Time [Type = FILETIME]: previous time in UTC time zone. The format is YYYY-MM-DDThh:mm:ss.nnnnnnnZ:
T - the beginning of the time element, as specified in ISO 8601.
n - fractional seconds
Z - the zone designator for the zero UTC offset. "09:30 UTC" is therefore represented as "09:30Z". "14:45:15 UTC" would be "14:45:15Z".
New Time [Type = FILETIME]: new time that was set in UTC time zone. The format is YYYY-MM-DDThh:mm:ss.nnnnnnnZ:
T - the beginning of the time element, as specified in ISO 8601.
n - fractional seconds
Z - the zone designator for the zero UTC offset. "09:30 UTC" is therefore represented as "09:30Z". "14:45:15 UTC" would be "14:45:15Z".
Security Monitoring Recommendations
For 4616(S): The system time was changed.
Report all “Subject\Security ID” not equals “LOCAL SERVICE”, which means that the time change was not made not by Windows Time service.
Report all “Process Information\Name” not equals “C:\Windows\System32\svchost.exe” (path to svchost.exe can be different, you can search for “svchost.exe” substring), which means that the time change was not made not by Windows Time service.
If you have a pre-defined “Process Name” for the process reported in this event, monitor all events with “Process Name” not equal to your defined value.
You can monitor to see if “Process Name” is not in a standard folder (for example, not in System32 or Program Files) or is in a restricted folder (for example, Temporary Internet Files).
HI, I have a bunch of Windows 10 PCs connected to my domain.
Some of the PCs randomly change the time exactly 3 hours.
These are the PCs I previously adjusted the time/date, to "Set time zone automatically"
Now when I review the PCs that the time has changed, I see it automatically changed the Time zone to UTC-08:00 Pacific Time.
I think a windows update, but not sure.
Any idea why is this is happening.
This thread is locked. You can follow the question or vote as helpful, but you cannot reply to this thread.Report abuse
Harassment is any behavior intended to disturb or upset a person or group of people. Threats include any threat of suicide, violence, or harm to another. Any content of an adult theme or inappropriate to a community web site. Any image, link, or discussion of nudity. Any behavior that is insulting, rude, vulgar, desecrating, or showing disrespect. Any behavior that appears to violate End user license agreements, including providing product keys or links to pirated software. Unsolicited bulk mail or bulk advertising. Any link to or advocacy of virus, spyware, malware, or phishing sites. Any other inappropriate content or behavior as defined by the Terms of Use or Code of Conduct. Any image, link, or discussion related to child pornography, child nudity, or other child abuse or exploitation.Just for test remove them from domain and see whether problem persist?
Check the Event Viewer and you might find some clues there.
Report abuse
Harassment is any behavior intended to disturb or upset a person or group of people. Threats include any threat of suicide, violence, or harm to another. Any content of an adult theme or inappropriate to a community web site. Any image, link, or discussion of nudity. Any behavior that is insulting, rude, vulgar, desecrating, or showing disrespect. Any behavior that appears to violate End user license agreements, including providing product keys or links to pirated software. Unsolicited bulk mail or bulk advertising. Any link to or advocacy of virus, spyware, malware, or phishing sites. Any other inappropriate content or behavior as defined by the Terms of Use or Code of Conduct. Any image, link, or discussion related to child pornography, child nudity, or other child abuse or exploitation.Thanks for your feedback, it helps us improve the site.
Thanks for your feedback.
Reviewing the System Event Log, I see the below 1 second before entering sleep mode
The system time has changed to 2021-01-14T22:03:09.443783300Z from 2021-01-14T22:03:09.443975800Z.
Change Reason: An application or system component changed the time.
Process: '\Device\HarddiskVolume3\Windows\System32\svchost.exe' (PID 1816).
Then it looks like it entered sleep mode the next second until the next day.
30 seconds after coming out of sleep mode, i see this
The system time has changed to 2021-01-15T14:25:13.771225100Z from 2021-01-15T14:25:13.771225100Z.
Я не могу объяснить это более четко, и это буквально заставило меня с ума.
Несколько недель назад мои системные часы для ноутбуков в Windows 8 начали меняться беспорядочно, когда они были включены и использовались, поэтому после битвы с ним в течение нескольких дней я сдал и заменил батарею CMOS, хотя я был очень скептически настроен по поводу того, что вопрос. Без сюрпризов; это продолжалось. Если я не ошибаюсь, мертвая батарея CMOS не имеет никакого отношения к текущему системному времени после загрузки, поэтому просто не может быть из-за того, что батарея CMOS плоская, а не то, что она должна быть плоской, учитывая, что нетбук всего 3 лет, если мне придется поместить на него номер. Недавно я получил исправление левой кнопки мыши нетбука, и магазин ремонта заменил батарею CMOS еще раз с теми же результатами.
До этого инцидента я использовал Windows в основном на своем ноутбуке. Около 3 месяцев назад я купила себе настольный компьютер, и я просто удалил SSD с моего ноутбука и поместил его на свой рабочий стол, чтобы использовать его постоянно. Он загрузился хорошо; Мне просто нужно было установить графические драйверы. У меня не было ни одной проблемы с этой системой до сегодняшнего утра, когда я купил новый SSD и сделал чистую установку RTM для Windows 8.1. Когда я вошел в систему после установки, часы отключились на час. Я думал, что это было просто одноразовое или что-то связанное с неправильной летней экономией (хотя в моей жизни я никогда не испытывал тактовую тактику, компьютерные часы всегда «просто работали» для меня во всех предыдущих случаях), поэтому я синхронизировал его с Интернетом, и все было в порядке. Затем я лег спать и спал, оставляя компьютер всегда, как всегда.
Когда я проснулся, часы были выключены примерно на шесть часов! Я не мог поверить, что это похоже на то, что я видел ту же проблему, что и мой нетбук в течение длительного времени. Я синхронизировал его с Интернетом и решил перезагрузить, чтобы проверить время в BIOS. Удивительно, но BIOS показал неправильное время, как это было до того, как я его синхронизировал ранее. Это не имело большого смысла для меня, так как я думал, что ручное изменение времени в Windows будет также обновлять часы BIOS. Я установил правильное время вручную в BIOS и загрузился обратно в Windows 8.1. Я использую этот компьютер в течение нескольких часов, и это было хорошо, пока несколько минут назад, когда время пошло назад на 40 минут или около того. WTF?
Что, черт возьми, происходит? У меня есть два устройства Windows 8 /8.1, которые случайно меняют свое время, пока они работают! Может кто-то пролить свет на то, что происходит здесь, потому что это то, что я, по общему признанию, считал само собой разумеющимся, и теперь я не могу найти подходящее время в любом месте! Arghhhhhhh.
Изменить: через два дня это все еще происходит. Часы моего ПК вернулись на 2 часа и 19 минут. Вот что я нашел в журнале событий, причем последнее событие находится внизу (обратное от журнала событий).
Это чистая установка с законным ключом продукта, ISO из MSDN. Можно с уверенностью сказать, что я понятия не имею, что происходит, но, по крайней мере, у меня есть доказательство журнала, которое соответствует точно указанным моментам.
EventID 1 Change Reason: An application or system component changed the time.
All the DC's look to be time synced correctly, but we are also getting this error on the PDC -
Root PDC is not Syncing from NTP Server.
If you do not configure the PDC to synchronize time from an external or internal time source, the PDC emulator uses its internal clock and is itself the reliable time source for the forest. If time is not accurate on the PDC itself, all computers will have incorrect time settings.
The time is synced with the Windows Time NTP service, but we get the following error when running the w32tm configuration command -
C:\Windows\system32>w32tm /query /configuration The following error occurred: The interface is unknown. (0x800706B5)
Читайте также: