Zeitprobleme in Domäne und Windows 10

[Marco31 37]

Die BIOS-Zeit ist in Ordnung

[daabm 1.431]

Du könntest mal das advanced Auditing konfigurieren - Erweiterte Überwachungsrichtlinien, Systemüberwachung, Berechtigung, "Nicht sensible Verwendung von Rechten". Das erzeugt gemäß Doku beim Ändern der Systemzeit einen EIntrag im Security Eventlog. Das muß natürlich dann groß genug sein - aber dann weißt Du, welcher Prozess unter welchem Account das macht.

[Marco31 37]

Habe die Überwachung mal gesetzt, jetzt muss ich nur warten bis die Zeit mal wieder falsch ist :-)

 

Kleine Anmerkung am Rande: Habe seit 2 Tagen eine VM mit Windows 10 LTSB am laufen, auf der ist der Fehler bisher noch nicht aufgetreten...

[Marco31 37]

Kleiner Nachtrag zu der Sache: Nachdem ich die von daabm vorgeschlagene Überwachung eingerichtet hatte, ist der Fehler nicht wieder aufgetreten... Möglicherweise hat MS das klammheimlich mit einem der letzten Patches behoben? Kann ja wohl kaum etwas mit den Überwachungsrichtlinien zu tun haben....

 

Ich werde es mal weiter beobachten. Wie sieht es beim TO aus, tritt der Fehler immer noch auf?

[daabm 1.431]

MS hat da eher nichts behoben, sonst hätten ja alle das Problem gehabt Habt Ihr vielleicht in Eurem Umfeld was gepatcht?

[Marco31 37]

Nur die regulären Patches, sonst keinerlei Veränderungen...

[blub 115]

du kannst dir ja mal ansehen, welche Services überhaupt das Recht/ Privilege haben, die Zeit zu verändern

get-service | foreach {sc.exe qprivs $_.name | out-string | select-string 'systemtime'}

#evtl. auf deutschen Systemen 'systemtime' durch 'zeit' ersetzen. Ich kann es grad nicht ausprobieren.

vielleicht ist auf den betroffenen Rechnern ein ungewöhnlicher Kandidat dabei. Diesen Kandidaten genauer ansehen und evtl. temporär disablen. Nur als Idee!

 

blub

[Ste83 10]

Ich habe auch einen einzelnen Windows 10 Rechner, wo das manchmal passiert. Das Eventlog sieht so wie bei den beiden anderen aus. Im Rest der Domäne funktioniert es seit Jahren super.

Rechner wurde von 8.1 aktualisiert. An den Gruppenrichtlinien oder der OUs wurde nichts verändert. Werde jetzt auch mal das Avanced Auditing aktivieren.

[Marco31 37]

Habe mal den Tip von Blub befolgt und das Skript ausgeführt, und das hier kommt als Ergebnis:

 

SC] QueryServiceConfig2 ERFOLG

 

SERVICE_NAME: tzautoupdate
        PRIVILEGES       : SeAuditPrivilege
                         : SeChangeNotifyPrivilege
                         : SeCreateGlobalPrivilege
                         : SeSystemTimePrivilege
                         : SeTimeZonePrivilege

 

[sC] QueryServiceConfig2 ERFOLG

SERVICE_NAME: vmictimesync
        PRIVILEGES       : SeChangeNotifyPrivilege
                         : SeSystemtimePrivilege
                         : SeCreateGlobalPrivilege

 

[sC] QueryServiceConfig2 ERFOLG

SERVICE_NAME: W32Time
        PRIVILEGES       : SeAuditPrivilege
                         : SeChangeNotifyPrivilege
                         : SeCreateGlobalPrivilege
                         : SeSystemTimePrivilegeforeach {sc.exe qprivs $_.name | out-string | select-string 'systemtime'}

 

Der Hyper-V Timesync ist auf manuell, der tzautoupdate auf deaktiviert. Interessanterweise existiert auf einer Win10 LTSB Installation der Dienst tzautoupdate gar nicht...

Wäre mal Interessant zu wissen ob der tzautoupdate schon immer standardmäßig deaktiviert war/ist. Leider alles stochern im Nebel...

[blub 115]

Ich habe es noch nicht gemacht, aber ich würde über eine GPO -> "System Services -> Edit Security -> Advanced -> Audting"  ein explicites Auditing für diese drei Services aktivieren.

 

Leider alles stochern im Nebel...

Unreproduzierbar und nur gelegentlich auftretende Probleme, sind die unangenehmsten ihrer Art.

[Marco31 37]

Ich werde das ganze mal beobachten. Der PC meiner Kollegin, bei der das Problem auftrat, hatte ich jetzt jeden Tag an (ohne Anmeldung), seit einigen Tagen ist der Fehler nicht mehr aufgetreten. Ich bleibe dran ;-)

[daabm 1.431]

Ich habe es noch nicht gemacht, aber ich würde über eine GPO -> "System Services -> Edit Security -> Advanced -> Audting"  ein explicites Auditing für diese drei Services aktivieren.

 

Ich lass mich gerne korrigieren, aber damit auditierst Du ja nicht, was diese Dienste machen, sondern wer etwas mit diesen Diensten macht.

[blub 115]

Was die Dienste machen, weiß er ja: die Zeit ändern. Zu wissen, "Wann" und "Wer", wären  hilfreiche Anhaltspunkte

[MrTentacleGuy 0]

Ich denke nicht, dass das hier beschriebene Phänomen bei Windows 10 Rechnern die gerade einer Domain beigetreten sind, tatsächlich etwas mit falsch konfigurierten Zeitservern (PDC, DC etc...) oder irgendwelchen GPO´s zu tun hat. Es gibt ein aktuelles Problem mit der Zeitsynchronisierung mit Windows 10 in einer Domainumgebung das aber nur in Konstellation mit bestimmter Hardware auftritt (momentaner Stand der Ursachenforschung). Kurzum, hier ein Link zu einem Thread bei dem es sich definitiv um das von mir genannte Phänomen handelt das mich schon seit Monaten ärgert.

 

https://www.administrator.de/frage/win10-probleme-zeitdienst-298453.html

 

Gruß MTG

 

[blub 115]

@Mr TentacleGuy

Booten die betroffenen Windows10 Rechner regelmäßig, oder fahren die User nur in den Hibernatemode?

 

blub