Konfigurieren des Windows-Zeitdiensts zum Verhindern eines großen Zeitoffsets

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 884776 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

Einführung

Windows-Betriebssysteme enthalten ein Zeitdiensttool (den Dienst W32Time), das vom Kerberos-Authentifizierungsprotokoll verwendet wird. Die Kerberos-Authentifizierung funktioniert, solange der Zeitunterschied zwischen den entsprechenden Computern innerhalb der maximal erlaubten Abweichung liegt. Der Standardwert ist 5 Minuten. Sie können das Zeitdiensttool auch deaktivieren. Anschließend können Sie den Zeitdienst eines anderen Anbieters installieren.

Der Zeitdienst soll sicherstellen, dass alle Computer in einer Organisation, die mit Microsoft Windows 2000 oder höheren Versionen des Betriebssystems Windows arbeiten, eine gemeinsame Zeit verwenden. Um die ordnungsgemäße Verwendung einer gemeinsamen Zeit zu gewährleisten, verwendet der Zeitdienst eine hierarchische Beziehung zur Kontrolle der Autorität. Windows-Computer verwenden standardmäßig die folgende Hierarchie:
  • Alle Clientdesktopcomputer benennen den authentifizierenden Domänencontroller als ihre autorisierende Zeitquelle.
  • In einer Domäne folgen alle Server demselben Prozess wie die Clientdesktopcomputer.
  • Alle Domänencontroller in einer Domäne benennen den PDC-Betriebsmaster (PDC = primärer Domänencontroller) als ihre Zeitquelle.
  • Alle PDC-Betriebsmaster folgen bei der Auswahl ihrer Zeitquelle der Domänenhierarchie. PDC-Betriebsmaster können jedoch auch einen übergeordneten Domänencontroller auf Basis der Stratum-Nummerierung verwenden.

    Hinweis Eine Stratum-Nummer bestimmt, wie nahe ein Zeitserver der primären Referenzquelle ist. Je kleiner der Wert, desto näher ist der Server an der primären Referenzquelle.
In dieser Hierarchie nimmt der PDC-Betriebsmaster am Gesamtstrukturstamm die Rolle des autorisierenden Zeitservers für die Organisation ein. Der autorisierende Zeitserver sollte möglichst so konfiguriert werden, dass die Uhrzeit von einer Hardwarequelle abgerufen wird. Wenn Sie den autorisierenden Zeitserver für die Synchronisierung mit einer Internetzeitquelle konfigurieren, findet keine Authentifizierung statt. Sie sollten außerdem niedrigere Zeitkorrektureinstellungen für die Server und eigenständigen Clients wählen. Wenn Sie diesen Empfehlungen folgen, werden der Domäne präzisere Zeitangaben bereitgestellt.

Weitere Informationen

Eine Überprüfung von Vor- und Zurücksetzungsvorgängen hat ergeben, dass Computer mit Zeiträumen arbeiten können, die Tage, Monate, Jahre oder sogar Jahrzehnte in der Zukunft oder der Vergangenheit liegen. Die folgenden Probleme können auftreten, wenn die Zeit auf einem Computer vor- oder zurückgesetzt wird:
  • Kennwörter für Computerkonten, Benutzerkonten und Vertrauensstellungen können verfrüht aktualisiert werden.
  • Quarantänen können anhand des NTDS-Replikationsereignisses 2042 im Active Directory-Verzeichnisdienst erkannt werden.
  • Die fehlende Übereinstimmung von Kennwörtern wird für Computerkonten, Benutzerkonten und Vertrauensstellungen autorisierend wiederhergestellt. Die Wiederherstellung nach solchen Fehlübereinstimmungen kann das manuelle Zurücksetzen von Kennwörtern für alle betroffenen Konten und Vertrauensstellungen erfordern.

Schützen gegen das Vor- und Zurücksetzen von Zeiteinstellungen

Wenn Computer und Energiezyklen neu gestartet werden, verwaltet das BIOS die Zeit im lokalen EPROM, der sich auf der Hauptplatine des Computers befindet. Beim Start von Windows ruft der Kernel die aktuelle Zeit aus dem BIOS ab. Diese aktuelle Zeit dient als Ausgangszeit, bis sich der W32Time-Dienst mit einer anderen Zeitquelle synchronisieren kann.

Der W32Time-Dienst unterstützt zwei Registrierungseinträge: MaxPosPhaseCorrection und MaxNegPhaseCorrection. Diese Einträge beschränken die Zeitproben, die der Zeitdienst auf einem lokalen Computer akzeptiert, wenn diese Proben von einem Remotecomputer gesendet werden.

Wenn ein Computer mit stabilem Zustand eine Zeitprobe von seiner Zeitquelle empfängt, wird die Probe mit den Grenzwerten für die Phasenkorrektur abgeglichen, die von den Registrierungseinträgen MaxPosPhaseCorrection und MaxNegPhaseCorrection definiert werden. Wenn die Zeitprobe sich innerhalb der Grenzen dieser beiden Registrierungseinträge befindet, wird die Probe zur weiteren Verarbeitung akzeptiert. Wenn die Zeitprobe nicht innerhalb dieser Grenzwerte liegt, wird sie ignoriert, und der Zeitdienst zeichnet die folgende Meldung in der privaten W32Time-Protokolldatei auf:
*TOO BIG*
Wenn Administratoren den Wert der positiven und negativen Phasenkorrektur verkleinern, können sie das Risiko verringern, dass Computer mit Windows die Zeit aus ungültigen Zeitproben übernehmen. Wenn Administratoren den Wert verkleinern, kann jedoch auch verhindert werden, dass die aktuelle Zeit um einen Wert vor- oder zurückgesetzt wird, der über die von diesen Registrierungseinträgen festgelegten Werte hinausgeht.

Hinweis Wenn die Registrierungseintragswerte für die positive und negative Korrektur verkleinert werden, wird die Zeit erhöht bzw. verringert.

Der Standardwert für die Registrierungseinträge MaxPosPhaseCorrection und MaxNegPhaseCorrection unter Windows 2000, Windows XP, Windows Server 2003 und Windows Vista lautet wie folgt:
0xFFFFFFF
Dieser Wert ermöglicht, dass der Computer die Zeit übernimmt, die in einer beliebigen Zeitprobe enthalten ist, und zwar ungeachtet der Genauigkeit.

Unter Windows Server 2008 wurde ein neuer Standardwert für die Registrierungseinträge MaxPosPhaseCorrection und MaxNegPhaseCorrection eingeführt. Dieser neue Standardwert beläuft sich auf 48 Stunden. Dieser Wert von 48 Stunden kann wie folgt abgebildet werden:
  • 2a300 (hexadezimal)
  • 172800 (dezimal)
Es wird empfohlen, die Registrierungseinträge MaxPosPhaseCorrection und MaxNegPhaseCorrection auf einen Wert festzulegen, der sich vom folgenden Wert unterscheidet:
MAX (0xFFFFFFFF)
Hinweis Wenn Sie den Wert auf einen anderen Wert als MAX (0xFFFFFFFF) festlegen, können Sie verhindern, dass Computer in den Fällen eine sehr ungenaue Zeit übernehmen, in denen sie neu gestartet werden oder die Verbindung mit externen Zeitquellen unterbrochen ist. Angenommen, die Registrierungseinträge MaxPosPhaseCorrection und MaxNegPhaseCorrection sind auf allen Domänencontrollern in der Gesamtstruktur auf 48 Stunden festgelegt. Wenn auf einem einzelnen Domänencontroller ein außergewöhnlicher Zeitsprung von mehr als 48 Stunden erfolgt, hindert der für die Registrierungseinträge MaxPosPhaseCorrection und MaxNegPhaseCorrection festgelegte Wert die anderen Computer am Ausführen desselben Zeitsprungs. Aus diesem Grund können nicht mehr synchrone Computer von den anderen Computer so lange getrennt bleiben, bis der Administrator eine Untersuchung durchführt und Abhilfemaßnahmen ergreift.

Zeitgenauigkeit ist für den primären Domänencontroller (PDC) der Stammdomäne der Gesamtstruktur besonders wichtig. Da der PDC ist Stammzeitquelle der Domäne ist, können falsche Zeitänderungen auf dem PDC potenziell in der gesamten Domäne für einen Zeitsprung sorgen. Wenn Sie die Phasenkorrektureinschränkungen auf dem PDC aktivieren, können Sie andere Domänencontroller in der Gesamtstruktur am Übernehmen der neuen Zeit hindern.

Der Standardwert von 48 Stunden anstatt eines Standardwerts von 5 Minuten oder 15 Minuten hat die folgenden Gründe:
  • Die Ausgabe des Dienstprogramms W32TM ist nur schwer lesbar.
  • W32TM sorgt gegenwärtig nicht für die Zielzeit auf Mitgliedscomputern oder -servern.
  • Die Fehler und Ereignisse, die vom Betriebssystem Windows und eigenständigen Anwendungen anderer Anbieter protokolliert werden, sind sehr uneinheitlich. Mögliche Fehlermeldungen enthalten Rückgabecodes wie die Folgenden:
    • Zugriff verweigert
    • Der RPC-Server ist nicht verfügbar
    Hinweis Diese Fehlermeldungen haben eine geringe Korrelation zur Zeitverschiebung, da die Ursache Computer mit Windows am Übernehmen eines genauen Zeitwerts hindern kann..
  • Sommerzeitbezogene Zeitfehler können für Zeitunterschiede von einer Stunde sorgen.
  • Eine AM-/PM-Fehlkonfiguration kann einen Zeitunterschied von 12 Stunden verursachen.
  • Eine Fehlkonfiguration bezüglich Tag oder Datum kann einen Zeitunterschied von 24 Stunden verursachen.
Demzufolge waren 48 Stunden nach 25 oder 36 Stunden der naheliegendste Zeitoffset. Administratoren können den Wert zudem mit den ordnungsgemäßen Berichts- und Testprogrammen verringern.

In den folgenden Abschnitten finden Sie Empfehlungen je nach Betriebssystemversion und Computerrolle.

Windows XP Professional und alle Versionen von Windows Server 2003

Domänenserver

PDC der Stammdomäne der Gesamtstruktur (autorisierender Zeitserver)
Der autorisierende Zeitserver sollte möglichst so konfiguriert werden, dass die Uhrzeit von einer Hardwarequelle abgerufen wird. Wenn Sie den autorisierenden Zeitserver für die Synchronisierung mit einer Internetzeitquelle konfigurieren, findet keine Authentifizierung statt. Sie müssen die folgenden Registrierungseinträge neu konfigurieren:
  • MaxPosPhaseCorrection
  • MaxNegPhaseCorrection
Der Standardwert für diese beiden Registrierungseinträge lautet 0xFFFFFFFF. Dieser Standardwert bedeutet "Jede Zeitänderung akzeptieren". Empfohlen wird ein Wert von 48 Stunden. Dieser Wert wird in der Registrierung als 2a300 (hexadezimal) oder 172800 (dezimal) dargestellt. Microsoft empfiehlt, den Wert des Registrierungseintrags MaxPollInterval auf kleiner gleich 10 oder den Wert des Registrierungseintrags SpecialPollInterval auf kleiner gleich 3600 (1 Stunde) festzulegen.
Domänencontroller und Mitgliedsserver innerhalb der Domäne
Die Registrierungsschlüssel MaxPosPhaseCorrection und MaxNegPhaseCorrection haben den Standardwert 0xFFFFFFFF. Dieser Standardwert bedeutet "Jede Zeitänderung akzeptieren". Dieser Wert sollte auf allen Domänencontrollern auf 48 Stunden festgelegt werden. Der Wert von 48 Stunden kann auch auf Mitgliedsservern festgelegt werden, auf denen zeitkritische Anwendungen ausgeführt werden.

Hinweis Weitere Informationen zu diesen Registrierungseinträgen finden Sie im Abschnitt "Registrierungseinträge für den Zeitdienst unter Windows Server 2003 und Windows XP".

Eigenständige Clients

Die Registrierungsschlüssel MaxPosPhaseCorrection und MaxNegPhaseCorrection haben den Standardwert 54.000 (15 Stunden). Aus Sicherheitsgründen empfiehlt es sich, diesen Standardwert zu verringern. Microsoft empfiehlt außerdem, den Wert abhängig von der Zeitquelle, den Netzwerkbedingungen, dem Abfrageintervall und den Sicherheitsanforderungen auf 3600 (1 Stunde) oder einen noch kleineren Wert festzulegen.

Registrierungseinträge für den Zeitdienst unter Windows Server 2003 und Windows XP

Tabelle minimierenTabelle vergrößern
RegistrierungseintragMaxPosPhaseCorrection
TypDWORD
Unterschlüssel
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
HinweiseDieser Eintrag gibt die größte positive Zeitkorrektur in Sekunden an, die der Dienst vornehmen kann. Wenn der Dienst feststellt, dass eine größere Änderung erforderlich ist, protokolliert er stattdessen ein Ereignis. Sonderfall: 0xFFFFFFFF bedeutet, dass immer eine Zeitkorrektur vorgenommen werden soll. Der Standardwert für Domänenmitglieder ist 0xFFFFFFFF. Der Standardwert für eigenständige Clients und Server ist 54.000 (15 Stunden).
Tabelle minimierenTabelle vergrößern
RegistrierungseintragMaxNegPhaseCorrection
TypDWORD
Unterschlüssel
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
HinweiseDieser Eintrag gibt die größte negative Zeitkorrektur in Sekunden an, die der Dienst vornehmen kann. Wenn der Dienst feststellt, dass eine größere Änderung erforderlich ist, protokolliert er stattdessen ein Ereignis. Sonderfall: -1 bedeutet, dass immer eine Zeitkorrektur vorgenommen werden soll. Der Standardwert für Domänenmitglieder ist 0xFFFFFFFF. Der Standardwert für eigenständige Clients und Server ist 54.000 (15 Stunden).
Tabelle minimierenTabelle vergrößern
RegistrierungseintragMaxPollInterval
TypDWORD
Unterschlüssel
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
HinweiseDieser Eintrag gibt das größte zulässige Abfrageintervall für das System in Sekunden an. Beachten Sie, dass ein System die Abfrage zwar gemäß dem festgelegten Intervall durchführen muss, ein Anbieter jedoch das Generieren von Zeitproben verweigern kann, wenn Zeitproben angefordert werden. Der Standardwert für Domänenmitglieder ist 10. Der Standardwert für eigenständige Clients und Server ist 15.
Tabelle minimierenTabelle vergrößern
RegistrierungseintragSpecialPollInterval
TypDWORD
Unterschlüssel
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient
HinweiseDieser Eintrag gibt das spezielle Abfrageintervall in Sekunden für manuell konfigurierte Peers an. Wenn das Flag SpecialInterval 0x1 aktiviert ist, verwendet W32Time dieses Abfrageintervall anstelle eines durch das Betriebssystem vorgegebenen Intervalls. Der Standardwert für Domänenmitglieder ist 3.600. Der Standardwert für eigenständige Clients und Server ist 604.800.
Hinweis Zum Bereitstellen dieser Einstellungen wird der Gruppenrichtlinienobjekt-Editor empfohlen. Weitere Informationen zum Windows-Zeitdienst in einer Windows Server 2003-Gesamtstruktur finden Sie auf folgender Microsoft TechNet-Website:
http://technet.microsoft.com/de-de/library/cc773061.aspx
Die standardmäßigen Parameterwerte des Windows-Zeitdiensts, die im Gruppenrichtlinienobjekt festgelegt sind, entsprechen ggf. nicht den Standardwerten, die in der Registrierung von Domänencontrollern mit Windows Server 2003 definiert sind. Wenn Sie Werte für MaxPosPhaseCorrection und MaxNegPhaseCorrection mithilfe eines Gruppenrichtlinienobjekts auf Domänencontrollern mit Windows Server 2003 bereitstellen, sorgen Sie dafür, dass das Gruppenrichtlinienobjekt nicht die Werte anderer Parameter des Windows-Zeitdiensts in der Registrierung ändert. Andere Parameterwerte des Windows-Zeitdiensts müssen ggf. ebenfalls im Gruppenrichtlinienobjekt entsprechend den Standardregistrierungswerten auf den Domänencontrollern geändert werden.

Alle Versionen von Windows 2000 Service Pack 4 (SP4)

Domänenserver

PDC der Stammdomäne der Gesamtstruktur (autorisierender Zeitserver)
Der autorisierende Zeitserver sollte möglichst so konfiguriert werden, dass die Uhrzeit von einer Hardwarequelle abgerufen wird. Wenn Sie den autorisierenden Zeitserver für die Synchronisierung mit einer Internetzeitquelle konfigurieren, findet im manuellen Modus keine Authentifizierung statt. Sie müssen den Registrierungseintrag MaxAllowedClockErrInSecs neu konfigurieren. Der Standardwert ist 43.200. Der empfohlene Wert ist abhängig von der Zeitquelle, den Netzwerkbedingungen und den Sicherheitsanforderungen 900 (15 Minuten) oder noch kleiner. Der Wert hängt außerdem vom Abfrageintervall ab. Microsoft empfiehlt ein Abfrageintervall von einer Stunde alle 24 Stunden.

Hinweis Weitere Informationen zu diesem Registrierungseintrag finden Sie im Abschnitt "Registrierungseintrag für Windows Server 2000 SP 4"
Domänencontroller und Mitgliedsserver innerhalb der Domäne
Der Synchronisierungstyp ist NT5DS. Der Zeitdienst führt die Synchronisierung auf Basis der Domänenhierarchie durch und akzeptiert alle Zeitänderungen. Da NT5DS alle Zeitänderungen akzeptiert, ohne den Zeitoffset zu berücksichtigen, ist es sehr wichtig, eine zuverlässige Gesamtstrukturzeitquelle im Zeitsynchronisierungssubnetz einzurichten.

Hinweis Der NT5DS-Wert gibt an, dass der Synchronisierungstyp aus einem Registrierungseintrag abgerufen wird.

Eigenständige Clients

Der Registrierungseintrag MaxAllowedClockErrInSecs hat den Standardwert 43.200 (12 Stunden). Aus Sicherheitsgründen empfiehlt es sich, diesen Standardwert zu verringern. Microsoft empfiehlt außerdem, den Wert abhängig von der Zeitquelle, den Netzwerkbedingungen, dem Abfrageintervall und den Sicherheitsanforderungen auf 3600 (1 Stunde) oder einen noch kleineren Wert festzulegen.
Registrierungseintrag für Windows Server 2000 SP 4
Tabelle minimierenTabelle vergrößern
RegistrierungseintragMaxAllowedClockErrInSecs
TypDWORD
Unterschlüssel
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
HinweiseGibt die maximal zulässige Uhrzeitänderung in Sekunden an. Bei Protokollierung des Ereignisses wird die Zeit nicht basierend auf dem Wert angepasst. Dieses Verhalten ist gewünscht und als Schutz gegen verdächtige Zeitstempelaktivitäten gedacht. Der Standardwert für Domänenmitglieder ist 43.200.
Hinweis Dies ist ein Artikel, der im Schnellverfahren direkt von der Microsoft-Supportorganisation erstellt wurde. Die hierin enthaltenen Informationen werden als Reaktion auf neue Probleme wie besehen bereitgestellt. Da dieser Artikel im Schnellverfahren erstellt wurde, kann er Tippfehler enthalten und zu einem späteren Zeitpunkt ohne vorherige Ankündigung überarbeitet werden. Weitere zu berücksichtigende Informationen finden Sie in den Nutzungsbedingungen.

Eigenschaften

Artikel-ID: 884776 - Geändert am: Freitag, 29. März 2013 - Version: 1.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows XP Professional
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
Keywords: 
kbsecurity kbhowto kbinfo KB884776
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com