Konfigurieren des Windows-Zeitdiensts zum Verhindern eines großen Zeitversatzes
In diesem Artikel wird beschrieben, wie Sie den Windows-Zeitdienst für einen großen Zeitoffset konfigurieren.
Gilt für: Windows 10 (alle Editionen), Windows Server 2012 R2
Ursprüngliche KB-Nummer: 884776
Einführung
Windows-Betriebssysteme enthalten das Zeitdiensttool (W32Time-Dienst), das vom Kerberos-Authentifizierungsprotokoll verwendet wird. Die Kerberos-Authentifizierung funktioniert, wenn das Zeitintervall zwischen den relevanten Computern innerhalb der maximal aktivierten Zeitschiefe liegt. Der Standardwert beträgt 5 Minuten. Sie können auch das Zeitdiensttool deaktivieren. Anschließend können Sie einen Zeitdienst eines Drittanbieters installieren.
Der Zweck des Zeitdiensttools besteht darin, sicherzustellen, dass alle Computer in einem organization, auf denen Microsoft Windows 2000 oder höhere Versionen von Windows-Betriebssystemen ausgeführt werden, eine gemeinsame Uhrzeit verwenden. Um sicherzustellen, dass eine geeignete gemeinsame Zeitverwendung vorhanden ist, verwendet der Zeitdienst eine hierarchische Beziehung, die die Autorität steuert. Windows-Computer verwenden standardmäßig die folgende Hierarchie:
Alle Clientcomputer nominieren den authentifizierenden Domänencontroller als autoritative Zeitquelle.
In einer Domäne folgen alle Server demselben Prozess wie Clientcomputer.
Alle Domänencontroller in einer Domäne nominieren die PDC-Vorgänge (Primary Domain Controller) master als Zeitquelle.
Alle PDC-Betriebsmaster folgen der Hierarchie der Domänen in der Auswahl ihrer Zeitquelle. Die PDC-Betriebsmaster können jedoch einen übergeordneten Domänencontroller verwenden, der auf der Stratumnummerierung basiert.
Hinweis
Eine Stratumnummer definiert, wie nah sich ein Zeitserver an der primären Verweisquelle befindet.
Je kleiner die Zahl ist, desto näher ist der Server an der primären Zeitquelle. In dieser Hierarchie werden die PDC-Vorgänge, die im Stammverzeichnis der Gesamtstruktur master, zum maßgeblichen Zeitserver für die organization. Es wird dringend empfohlen, den autoritativen Zeitserver so zu konfigurieren, dass die Zeit von einer Hardwarequelle erfasst wird. Wenn Sie versuchen, den autoritativen Zeitserver für die Synchronisierung mit einer Internetzeitquelle zu konfigurieren, erfolgt keine Authentifizierung. Außerdem wird empfohlen, die Zeitkorrektureinstellungen für die Server und für die eigenständigen Clients zu reduzieren. Wenn Sie diese Empfehlungen befolgen, wird der Domäne eine genauere Zeit bereitgestellt.
Weitere Informationen
Eine Überprüfung der Zeitrollbacks hat gezeigt, dass Computer Zeit übernehmen können, die Tage, Monate, Jahre oder sogar zehn Jahre in der Zukunft oder in der Vergangenheit sein kann. Die folgenden Probleme können auftreten, wenn Computer einen Rollforward oder einen Rollback in der Zeit ausführen:
- Kennwörter für Computerkonten, Benutzerkonten und Vertrauensstellungen können vorzeitig aktualisiert werden.
- Quarantänen können anhand des NTDS-Replikationsereignisses 2042 in der Active Directory-Verzeichnisdienstreplikation identifiziert werden.
- Die Übereinstimmung von Kennwörtern wird für Computerkonten, für Benutzerkonten oder für Vertrauensstellungen autoritativ wiederhergestellt. Die Wiederherstellung nach solchen Nichtübereinstimmungen erfordert möglicherweise manuelle Kennwortzurücksetzungen für alle betroffenen Konten und Vertrauensstellungen.
Schutz vor Rollbacks und Zeitrollbacks
Wenn Computer und Netzzyklen neu gestartet werden, behält das BIOS die Zeit im lokalen EPROM bei, das sich auf der Hauptplatine des Computers befindet. Wenn Windows gestartet wird, ruft der Kernel die aktuelle Uhrzeit aus dem BIOS ab. Diese aktuelle Zeit wird als Anfangszeit verwendet, bis der W32Time-Dienst mit einer anderen Zeitquelle synchronisiert werden kann.
Der Windows 32-Zeitdienst unterstützt zwei Registrierungseinträge, und MaxPosPhaseCorrectionMaxNegPhaseCorrection. Diese Einträge schränken die Stichproben ein, die der Zeitdienst auf einem lokalen Computer akzeptiert, wenn diese Beispiele von einem Remotecomputer gesendet werden.
Wenn ein Computer, der in einem stabilen Zustand ausgeführt wird, eine Zeitstichprobe von seiner Zeitquelle empfängt, wird das Beispiel anhand der Phasenkorrekturgrenzen überprüft, die die MaxPosPhaseCorrection Registrierungseinträge und MaxNegPhaseCorrection festlegen. Wenn die Zeitstichprobe innerhalb der Grenzwerte liegt, die die beiden Registrierungseinträge erzwingen, wird dieses Beispiel für die zusätzliche Verarbeitung akzeptiert. Wenn das Zeitbeispiel nicht innerhalb dieser Grenzwerte fällt, wird das Zeitbeispiel ignoriert, und der Zeitdienst protokolliert die folgende Meldung in der privaten W32Time-Protokolldatei:
ZU GROß
Wenn Administratoren den Wert für positive und negative Phasenkorrekturen verringern, können Administratoren die Gefahr verringern, dass Computer Zeit von ungültigen Zeitproben für einen Windows-basierten Computer erhalten. Wenn Administratoren hingegen den Wert verringern, können Administratoren verhindern, dass Computer vor oder hinter der aktuellen Zeit sind, um mehr als die Grenzwerte, die diese Werte festlegen.
Hinweis
Wenn die Registrierungseintragswerte für positive und negative Korrekturen reduziert werden, wird die Zeit erhöht oder verringert.
Der Standardwert für die MaxPosPhaseCorrection Registrierungseinträge und MaxNegPhaseCorrection in Windows 2000, windows XP, Windows Server 2003 und Windows Vista ist der folgende Wert:
0xFFFFFFF
Dieser Wert ermöglicht es dem Computer, die Zeit zu erhalten, die in einer beliebigen Zeitstichprobe enthalten ist, unabhängig von Ungenauigkeiten.
In Windows Server 2008 wurde ein neuer Standardwert für die Registrierungseinträge MaxPosPhaseCorrection und MaxNegPhaseCorrection übernommen. Dieser neue Standardwert beträgt 48 Stunden. Dieser 48-Stunden-Wert kann als einer der folgenden Werte dargestellt werden:
- 2a300 (hexadezimal)
- 172800 (dezimal)
Es wird empfohlen, die MaxPosPhaseCorrection Registrierungseinträge und MaxNegPhaseCorrection auf einen anderen Wert als den folgenden Wert festzulegen:
MAX (0xFFFFFFFF)
Hinweis
Wenn Sie den Wert auf einen anderen Wert als MAX (0xFFFFFFFF) festlegen, können Sie verhindern, dass Computer zeitversetzen, die in Szenarien, in denen der Computer neu gestartet wird oder die Verbindung mit externen Zeitquellen unterbrochen wird, sehr ungenau ist. Angenommen, Sie haben die Registrierungseinträge MaxPosPhaseCorrection und MaxNegPhaseCorrection für 48 Stunden auf allen Domänencontrollern in der Gesamtstruktur festgelegt. Wenn ein einzelner Domänencontroller einen ungewöhnlichen Zeitsprung von mehr als 48 Stunden erlebt, verhindert der Wert, den Sie für die Registrierungseinträge MaxPosPhaseCorrection und MaxNegPhaseCorrection festlegen, dass andere Computer den gleichen Zeitsprung machen. Daher können Computer, die nicht synchron sind, von den anderen Computern getrennt bleiben, bis der Administrator die Untersuchung durchführen und Korrekturmaßnahmen ergreifen kann.
Die Zeitgenauigkeit ist für den primären Domänencontroller (PDC) der Gesamtstruktur (Root Primary Domänencontroller, PDC) besonders wichtig. Da der PDC die Stammzeitquelle für die Domäne ist, können ungenaue Zeitänderungen im PDC möglicherweise zu einem domänenweiten Zeitsprung führen. Wenn Sie dem PDC Einschränkungen für die Phasenkorrektur auferlegen, können Sie verhindern, dass andere Domänencontroller in der Gesamtstruktur die neue Zeit akzeptieren.
Der Standardwert von 48 Stunden anstelle eines Standardwerts von 5 Minuten oder 15 Minuten basiert auf den folgenden Gründen:
- Die Ausgabe des W32TM-Hilfsprogramms ist schwer zu lesen.
- W32TM zielt derzeit nicht auf Die Zeit auf Mitgliedscomputern und auf Mitgliedsservern ab.
- Die Fehler und Ereignisse, die das Windows-Betriebssystem und eigenständige Anwendungen von Drittanbietern protokollieren, sind stark inkonsistent. Mögliche Fehler sind Rückgabecodes, die dem folgenden ähneln:
- Zugriff verweigert
- RPC-Server ist nicht verfügbar
Hinweis
Diese Fehler haben eine geringe Korrelation mit der Zeitschiefe, da die Ursache möglicherweise verhindert, dass Windows-basierte Computer einen genauen Zeitwert übernehmen.
- Sommerzeitfehler können zu Zeitunterschieden von einer Stunde führen.
- Eine Fehlkonfiguration von AM oder PM kann einen Zeitunterschied von 12 Stunden verursachen.
- Tag- oder Datumsfehler können einen Zeitunterschied von 24 Stunden verursachen.
48 Stunden waren also die nächste offensichtliche Zeitverschiebung nach 25 oder 36 Stunden. Administratoren können den Wert auch mit den richtigen Tools reduzieren, die Infrastruktur und Tests melden.
Spezifische Empfehlungen gemäß Betriebssystemversion und Computerrolle werden in den folgenden Abschnitten beschrieben.
Windows XP Professional und alle Versionen von Windows Server 2003
Domänenserver
Gesamtstrukturstamm-PDC (autoritativer Zeitserver)
Es wird dringend empfohlen, den autoritativen Zeitserver so zu konfigurieren, dass die Zeit von einer Hardwarequelle erfasst wird. Wenn Sie den autoritativen Zeitserver für die Synchronisierung mit einer Internetzeitquelle konfigurieren, erfolgt keine Authentifizierung. Sie müssen die folgenden Registrierungseinträge neu konfigurieren:
MaxPosPhaseCorrectionMaxNegPhaseCorrection
Der Standardwert dieser beiden Registrierungseinträge ist 0xFFFFFFFF. Dieser Standardwert bedeutet "Jede Zeitänderung akzeptieren". Wir empfehlen einen Wert von 48 Stunden. Sie wird in der Registrierung als 2a300 (hexadezimal) oder 172800 (dezimal) dargestellt. Es wird empfohlen, den Wert des Registrierungseintrags MaxPollInterval auf 10 oder weniger festzulegen oder den Wert des Registrierungseintrags SpecialPollInterval auf 3600 (1 Stunde) oder weniger festzulegen.
Domänencontroller und Mitgliedsserver innerhalb der Domäne
Die MaxPosPhaseCorrection Registrierungseinträge und MaxNegPhaseCorrection weisen den Standardwert 0xFFFFFFFF auf. Dieser Standardwert bedeutet "Jede Zeitänderung akzeptieren". Es wird empfohlen, diesen Wert auf allen Domänencontrollern auf 48 Stunden festzulegen. Der Wert von 48 Stunden kann auch auf Mitgliedsservern festgelegt werden, auf denen zeitempfindliche Anwendungen ausgeführt werden.
Hinweis
Weitere Informationen zu diesen Registrierungseinträgen finden Sie im Registrierungsabschnitt Windows Server 2003 und Windows XP Time Service .
Eigenständige Clients
Die MaxPosPhaseCorrection Registrierungseinträge und MaxNegPhaseCorrection haben einen Standardwert von 54.000 (15 Stunden). Als bewährte Sicherheitsmethode wird empfohlen, diesen Standardwert zu reduzieren. Außerdem wird empfohlen, den Wert je nach Zeitquelle, Netzwerkbedingung, Abrufintervall und Sicherheitsanforderungen auf 3600 (1 Stunde) oder einen noch kleineren Wert festzulegen.
Windows Server 2003- und Windows XP-Zeitdienstregistrierungseinträge
| Typ | Details |
|---|---|
| Registrierungseintrag | MaxPosPhaseCorrection |
| Typ | DWORD |
| Unterschlüssel | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config |
| Hinweise | Dieser Eintrag gibt die größte positive Zeitkorrektur in Sekunden an, die der Dienst vornehmen kann. Wenn der Dienst feststellt, dass eine Änderung größer als erforderlich ist, protokolliert er stattdessen ein Ereignis. Sonderfall: 0xFFFFFFFF bedeutet, immer die Zeitkorrektur vorzunehmen. Der Standardwert für Domänenmitglieder ist 0xFFFFFFFF. Der Standardwert für eigenständige Clients und Server ist 54.000 (15 Stunden). |
| Registrierungseintrag | MaxNegPhaseCorrection |
| Typ | DWORD |
| Unterschlüssel | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config |
| Hinweise | Dieser Eintrag gibt die größte negative Zeitkorrektur in Sekunden an, die der Dienst vornehmen kann. Wenn der Dienst feststellt, dass eine größere Änderung erforderlich ist, protokolliert er stattdessen ein Ereignis. Sonderfall: -1 bedeutet immer, die Zeitkorrektur vorzunehmen. Der Standardwert für Domänenmitglieder ist 0xFFFFFFFF. Der Standardwert für eigenständige Clients und Server ist 54.000 (15 Stunden). |
| Registrierungseintrag | MaxPollInterval |
| Typ | DWORD |
| Unterschlüssel | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config |
| Hinweise | Dieser Eintrag gibt das größte Intervall in Sekunden an, das für das Systemabrufintervall aktiviert ist. Beachten Sie, dass ein Anbieter, obwohl ein System eine Abfrage gemäß dem geplanten Intervall durchführen muss, die Erstellung von Stichproben ablehnen kann, wenn Stichproben angefordert werden. Der Standardwert für Domänenmitglieder ist 10. Der Standardwert für eigenständige Clients und Server ist 15. |
| Registrierungseintrag | SpecialPollInterval |
| Typ | DWORD |
| Unterschlüssel | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient |
| Hinweise | Dieser Eintrag gibt das spezielle Abrufintervall für manuelle Peers in Sekunden an. Wenn das Flag SpecialInterval 0x1 aktiviert ist, verwendet W32Time dieses Abrufintervall anstelle eines Vom Betriebssystem festgelegten Abrufintervalls. Der Standardwert für Domänenmitglieder ist 3.600. Der Standardwert für eigenständige Clients und Server ist 604.800. |
Hinweis
Es wird empfohlen, dass Sie das globale Richtlinienobjekt Editor verwenden, um diese Einstellungen bereitzustellen. Weitere Informationen zum Windows-Zeitdienst in einer Windows Server 2003-basierten Gesamtstruktur finden Sie unter Windows-Zeitdienst (W32Time).
Die standardmäßigen Parameterwerte des Windows-Zeitdiensts, die im Gruppenrichtlinie-Objekt (GPO) definiert sind, entsprechen möglicherweise nicht den Standardwerten, die in der Registrierung von Windows Server 2003-basierten Domänencontrollern definiert sind. Wenn Sie die Werte MaxPosPhaseCorrection und MaxNegPhaseCorrection mithilfe eines Gruppenrichtlinienobjekts auf Windows Server 2003-Domänencontrollern bereitstellen, stellen Sie sicher, dass das Gruppenrichtlinienobjekt die Werte anderer Windows-Zeitdienstparameter in der Registrierung nicht ändert. Andere Parameterwerte des Windows-Zeitdiensts müssen möglicherweise auch im Gruppenrichtlinienobjekt geändert werden, damit sie mit den Standardregistrierungswerten auf den Domänencontrollern übereinstimmen.
Alle Versionen von Windows 2000 Service Pack 4 (SP4)
Domänenserver
Gesamtstrukturstamm-PDC (autoritativer Zeitserver)
Es wird dringend empfohlen, den autoritativen Zeitserver so zu konfigurieren, dass die Zeit von einer Hardwarequelle erfasst wird. Wenn Sie den autoritativen Zeitserver für die Synchronisierung mit einer Internetzeitquelle konfigurieren, erfolgt keine Authentifizierung im manuellen Modus. Sie können den MaxAllowedClockErrInSecs Registrierungseintrag neu konfigurieren. Der Standardwert ist 43.200. Der empfohlene Wert ist 900 (15 Minuten) oder ein noch kleinerer Wert, je nach Zeitquelle, Netzwerkbedingungen und Sicherheitsanforderungen. Dies hängt auch vom Abrufintervall ab. Es wird empfohlen, den Wert des Abrufintervalls alle 24 Stunden auf eine Stunde festzulegen.
Hinweis
Weitere Informationen zu diesem Registrierungseintrag finden Sie im Registrierungseintragsabschnitt für Windows Server 2000 SP 4 .
Domänencontroller und Mitgliedsserver innerhalb der Domäne
Der Synchronisierungstyp ist NT5DS. Der Zeitdienst wird aus der Domänenhierarchie synchronisiert, und der Zeitdienst akzeptiert alle Änderungen. Da NT5DS jede Zeitänderung ohne Berücksichtigung des Zeitoffsets akzeptiert, ist es wichtig, eine zuverlässige Stammzeitquelle für die Gesamtstruktur im Zeitsynchronisierungssubnetz einzurichten.
Hinweis
Der Nt5DS-Wert gibt an, dass der Synchronisierungstyp aus einem Registrierungseintrag abgerufen wird.
Eigenständige Clients
Der MaxAllowedClockErrInSecs Registrierungseintrag hat einen Standardwert von 43.200 (12 Stunden). Als bewährte Sicherheitsmethode wird empfohlen, diesen Standardwert zu reduzieren. Es wird empfohlen, den Wert je nach Zeitquelle, Netzwerkbedingungen, Abrufintervall und Sicherheitsanforderungen auf 3600 (1 Stunde) oder auf einen noch kleineren Wert festzulegen.
Windows Server 2000 SP 4-Registrierungseintrag
| Typ | Details |
|---|---|
| Registrierungseintrag | MaxAllowedClockErrInSecs |
| Typ | DWORD |
| Unterschlüssel | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters |
| Hinweise | Gibt die maximale Taktänderung an, die in Sekunden aktiviert ist. Wenn das Ereignis protokolliert wird, wird die Zeit nicht basierend auf dem Wert angepasst. Dieses Verhalten dient zum Schutz vor verdächtigen Zeitstempelaktivitäten. Der Standardwert für Domänenmitglieder ist 43.200. |
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für