Connexion

Select the product you need help with

Configuration du service de temps Windows pour un d�calage important

Num�ro d'article: 884776 - Voir les produits auxquels s'applique cet article

Les syst�mes d'exploitation Windows incluent l'outil de service de temps (service W32Time) qui est utilis� par le protocole d'authentification Kerberos. L'authentification Kerberos fonctionne si l'intervalle de temps entre les ordinateurs concern�s est repris dans le d�calage de temps maximal possible. Par d�faut, cette dur�e est de 5�minutes. Vous pouvez �galement d�sactiver l'outil de service de temps. Vous pouvez ensuite installer un service de temps tiers.

La fonction de l'outil de service de temps consiste � v�rifier que tous les ordinateurs d'une organisation sous Microsoft Windows�2000 ou une version ult�rieure utilisent un temps commun. Pour assurer une utilisation commune du temps appropri�e, le service de temps utilise une relation hi�rarchique qui contr�le l'autorit�. Par d�faut, les ordinateurs Windows utilisent la hi�rarchie suivante�:

Tous les ordinateurs de bureau clients d�signent le contr�leur de domaine d'authentification comme source de temps de r�f�rence.
Dans un domaine, tous les serveurs suivent le m�me processus que suivent des ordinateurs de bureau clients.
Tous les contr�leurs de domaine d'un domaine d�signent le ma�tre d'op�rations du contr�leur de domaine principal comme source de temps.
Tous les ma�tres d'op�rations du contr�leur de domaine principal suivent la hi�rarchie des domaines pour la s�lection de leur source de temps. Toutefois, les ma�tres d'op�rations du contr�leur de domaine principal peuvent utiliser un contr�leur de domaine parent bas� sur la num�rotation par couche.

Remarque Une num�rotation par couche d�finit la proximit� d'un serveur de temps par rapport � la source de r�f�rence principale. Plus le nombre est petit, plus le serveur est proche de la source de temps principale.

Dans cette hi�rarchie, le ma�tre d'op�rations du contr�leur de domaine principal � la racine de la for�t devient le serveur de temps faisant autorit� pour l'organisation. Il est fortement recommand� de configurer le serveur de temps faisant autorit� pour qu'il collecte le temps d'une source mat�rielle. Lorsque vous tentez de configurer le serveur de temps faisant autorit� pour une synchronisation avec une source de temps Internet, aucune authentification n'a lieu. Il est �galement recommand� de r�duire les param�tres de correction de temps pour vos serveurs et clients autonomes. Lorsque vous suivez ces recommandations, un temps plus pr�cis est envoy� au domaine.

Retour au d�but | Envoyer des commentaires

Plus d'informations

Une v�rification des r�ductions de temps a montr� que les ordinateurs peuvent afficher un temps sous la forme de jours, de mois, d'ann�es, voire de dizaines d'ann�es dans le futur ou dans le pass�. Les probl�mes suivants peuvent se produire lorsque les ordinateurs op�rent une restauration par progression ou par r�cup�ration�:

Les mots de passe sur les comptes d'ordinateur, sur les comptes d'utilisateur et sur les relations d'approbation peuvent �tre mis � jour pr�matur�ment.
Les quarantaines peuvent �tre identifi�es par l'�v�nement de r�plication NTDS�2042 lors de la r�plication de service d'annuaire Active Directory.
L'incompatibilit� des mots de passe subit une restauration faisant autorit� pour les comptes d'ordinateur, les comptes d'utilisateur ou les relations de confiance. La r�cup�ration dans le cas de telles incompatibilit�s peut n�cessiter une restauration manuelle de mot de passe sur tous les comptes et les approbations affect�s.

Comment se prot�ger contre les restaurations par progression et les restaurations par r�cup�ration

Lorsque des ordinateurs et des cycles d'alimentation sont red�marr�s, le BIOS met � jour le temps dans le EPROM local situ� sur la carte m�re de l'ordinateur. Au d�marrage de Windows, le noyau extrait le temps actuel � partir du BIOS. Le temps actuel est utilis� comme temps initial jusqu'� ce que le service W32Time puisse op�rer la synchronisation avec une autre source de temps.

Le service de temps Windows�32 prend en charge deux entr�es de Registre�: MaxPosPhaseCorrection et MaxNegPhaseCorrection. Ces entr�es limitent les �chantillons que le service de temps accepte sur un ordinateur local lorsque ces �chantillons sont envoy�s depuis un ordinateur distant.

Lorsqu'un ordinateur qui fonctionne de mani�re stable re�oit un �chantillon de temps de la part de sa source de temps�; l'�chantillon est v�rifi� par rapport aux limitations de correction de phase impos�es par les entr�es de Registre MaxPosPhaseCorrection et MaxNegPhaseCorrection. Si l'�chantillon de temps est repris dans les limites impos�es par les deux entr�es de Registre, l'�chantillon est accept� pour un traitement suppl�mentaire. Si l'�chantillon de temps n'est pas repris dans ces limites, celui-ci est ignor�, et le service de temps consigne le message suivant dans le fichier journal W32Time�:

*TOO BIG*

Si des administrateurs r�duisent la valeur pour des corrections de phases positives et n�gatives, ceux-ci peuvent r�duire la menace que des ordinateurs recevront en raison d'�chantillons de temps non valides pour un ordinateur Windows. D'autre part, si les administrateurs r�duisent la valeur, ceux-ci peuvent emp�cher des ordinateurs de se trouver avant ou apr�s le temps actuel en d�passant les limites que ces valeurs imposent.

Remarque Si les valeurs d'entr�e de Registre pour des corrections positives et n�gatives sont r�duites, le temps sera augment� ou diminu�.

La valeur par d�faut pour les entr�es de Registre MaxPosPhaseCorrection et MaxNegPhaseCorrection dans Windows�2000, Windows XP, Windows Server�2003 et dans Windows Vista est la valeur suivante�:

0xFFFFFFF

La valeur permet � l'ordinateur de recevoir le temps contenu dans un �chantillon de temps sans tenir compte d'une �ventuelle inexactitude.

Dans Windows Server�2008, une nouvelle valeur par d�faut pour les entr�es de Registre MaxPosPhaseCorrection et MaxNegPhaseCorrection a �t� adopt�e. Cette nouvelle valeur est de 48�heures. Cette valeur de 48�heures peut �tre repr�sent�e sous la forme de l'une des valeurs suivantes�:

2a300 (hexad�cimal)
172800 (d�cimal)

Nous recommandons la d�finition des entr�es de Registre MaxPosPhaseCorrection et MaxNegPhaseCorrection sur une valeur autre que la valeur suivante�:

MAX (0xFFFFFFFF)

Remarque Lorsque vous d�finissez la valeur sur une valeur autre que MAX (0xFFFFFFFF), vous pouvez emp�cher les ordinateurs d'adopter un temps qui n'est pas correct dans les sc�narios o� l'ordinateur est red�marr� ou lorsque la connectivit� � des sources de temps externes est interrompue. Imaginons, par exemple, que vous ayez d�fini les entr�es de Registre MaxPosPhaseCorrection et MaxNegPhaseCorrection pour 48�heures sur l'ensemble des contr�leurs de domaines dans la for�t. Si un seul contr�leur de domaine rencontre un d�calage de temps inhabituel de plus de 48�heures, la valeur que vous d�finissez pour les entr�es de Registre MaxPosPhaseCorrection et MaxNegPhaseCorrection emp�cheront d'autres ordinateurs d'op�rer le m�me d�calage. Par cons�quent, les ordinateurs d�synchronis�s peuvent �tre isol�s des autres ordinateurs jusqu'� ce que l'Administrateur puisse enqu�ter et entreprendre une action corrective.

L'exactitude du temps est particuli�rement importante sur le contr�leur de domaine principal racine de la for�t. Du fait que le contr�leur de domaine principal est la source de temps racine pour le domaine, des modifications de temps inexactes au niveau du contr�leur de domaine principal peuvent engendrer un d�calage de temps � l'�chelle du domaine. Si vous imposez des restrictions de correction de phase sur le contr�leur de domaine principal, vous pouvez emp�cher d'autres contr�leurs de domaine de la for�t d'accepter le nouveau temps.

La valeur par d�faut de 48�heures au lieu d'une valeur par d�faut de 5�ou 15�minutes est d�finie pour les raisons suivantes�:

La sortie depuis l'utilitaire W32TM est difficile � lire.
W32TM ne cible actuellement pas le temps sur les ordinateurs et les serveurs membres.
Les erreurs et les �v�nements que le syst�me d'exploitation Windows et les applications tierces autonomes consignent sont fortement incoh�rentes. Les erreurs possibles comprennent des codes de retour qui ressemblent aux suivants�:
- acc�s refus�
- Le serveur RPC n'est pas disponible
Remarque Ces erreurs ont un rapport r�duit avec le d�calage de temps car la cause peut emp�cher les ordinateurs Windows d'adopter une valeur de temps exacte.
Les bogues de l'heure d'�t� peuvent provoquer des diff�rences de temps d'une heure.
Une erreur de configuration entre les heures du matin et de l'apr�s-midi peut engendrer une diff�rence de 12�heures.
Des erreurs au niveau du jour ou de la date peuvent provoquer une diff�rence de 24�heures.

Par cons�quent, 48�heures �tait le d�calage de temps �vident apr�s 25�ou 36�heures. Les administrateurs peuvent �galement r�duire la valeur � l'aide d'outils appropri�s qui g�n�rent des rapports sur l'infrastructure et les tests.

Des recommandations sp�cifiques selon la version du syst�me d'exploitation et le r�le de l'ordinateur sont d�crites dans les sections suivantes.

Windows XP Professionnel et toutes les versions de Windows Server�2003

Serveurs de domaine

Contr�leur principal de domaine (serveur de temps faisant autorit�)

Nous vous recommandons vivement de configurer le serveur de temps faisant autorit� afin de collecter le temps issu d'une source mat�rielle. Lorsque vous configurez le serveur de temps faisant autorit� pour une synchronisation avec une source de temps Internet, il n'y a pas authentification. Vous devez reconfigurer les entr�es suivantes du Registre�:

MaxPosPhaseCorrection
MaxNegPhaseCorrection

La valeur par d�faut de ces deux entr�es de Registre est 0xFFFFFFFF. Cette valeur par d�faut signifie ��Accepter toutes les modifications de temps.�� Nous vous recommandons la valeur de 48�heures. Celle-ci est repr�sent�e dans le Registre en tant que 2a300 (hexad�cimal) ou 172800 (d�cimal). Il est recommand� de d�finir la valeur de l'entr�e de Registre MaxPollInterval � 10 ou une valeur inf�rieure, ou bien de d�finir la valeur de l'entr�e du Registre SpecialPollInterval � 3�600 (1�heure) ou une valeur inf�rieure.

Les contr�leurs de domaine et les serveurs membres dans le domaine

Les entr�es de Registre MaxPosPhaseCorrection et MaxNegPhaseCorrection ont une valeur par d�faut de 0xFFFFFFFF. Cette valeur par d�faut signifie ��Accepter toutes les modifications de temps.�� Nous vous recommandons de d�finir cette valeur sur 48�heures sur tous les contr�leurs de domaine. La valeur de 48�heures peut �galement �tre d�finie sur des serveurs membres qui ex�cutent des applications pour lesquelles le temps est important.

Remarque Pour plus d'informations sur ces entr�es de Registre, consultez la section ��Entr�es de Registre du service de temps Windows Server�2003 et Windows�XP��.

Clients autonomes

Les entr�es de Registre MaxPosPhaseCorrection et MaxNegPhaseCorrection ont une valeur par d�faut de 54�000 (15�heures). Pour des raisons de s�curit�, nous vous recommandons de r�duire cette valeur par d�faut. Par ailleurs, nous vous recommandons de d�finir la valeur sur 3�600 (1�heure), voire sur une valeur inf�rieure, selon la source de temps, la condition du r�seau, l'intervalle d'interrogation et les conditions de s�curit�.

Entr�es de Registre du service de temps de Windows Server�2003 et Windows XP

R�duire ce tableauAgrandir ce tableau

Entr�e du Registre	MaxPosPhaseCorrection
Type de valeur	DWORD
Sous-cl�	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
Remarques	Cette entr�e indique la correction de temps positive la plus grande en secondes que le service peut effectuer. Si le service d�termine qu'une modification sup�rieure est n�cessaire, il consigne un �v�nement � la place. Cas sp�cial�: 0xFFFFFFFF implique toujours une correction de temps. La valeur par d�faut pour les membres du domaine est 0xFFFFFFFF. La valeur par d�faut pour les clients autonomes et les serveurs est 54�000 (15�heures).

R�duire ce tableauAgrandir ce tableau

Entr�e du Registre	MaxNegPhaseCorrection
Type de valeur	DWORD
Sous-cl�	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
Remarques	Cette entr�e indique la correction de temps n�gative la plus grande en secondes que le service peut effectuer. Si le service d�termine qu'une modification sup�rieure est n�cessaire, il consigne un �v�nement � la place. Cas sp�cial�: -1 implique toujours une correction de temps. La valeur par d�faut pour les membres du domaine est 0xFFFFFFFF. La valeur par d�faut pour les clients autonomes et les serveurs est 54�000 (15�heures).

R�duire ce tableauAgrandir ce tableau

Entr�e du Registre	MaxPollInterval
Type de valeur	DWORD
Sous-cl�	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
Remarques	Cette entr�e indique l'intervalle le plus important, en secondes, activ� pour l'intervalle d'interrogation du syst�me. Bien qu'un syst�me doive interroger en fonction de l'intervalle planifi�, un fournisseur peut refuser de fournir les �chantillons demand�s. La valeur par d�faut pour les membres du domaine est 10. La valeur par d�faut pour les clients et serveurs autonomes est 15.

R�duire ce tableauAgrandir ce tableau

Entr�e du Registre	SpecialPollInterval
Type de valeur	DWORD
Sous-cl�	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient
Remarques	Cette entr�e indique l'intervalle d'interrogation sp�cial en secondes pour les homologues manuels. Lorsque l'indicateur SpecialInterval 0x1 est activ�, W32Time utilise cet intervalle au lieu d'un intervalle d'interrogation d�termin� par le syst�me d'exploitation. La valeur par d�faut pour les membres du domaine est 3�600. La valeur par d�faut pour les clients et serveurs autonomes est 604�800.

Remarque Nous vous recommandons d'utiliser l'�diteur d'objets de strat�gie globale pour d�ployer ces param�tres. Pour plus d'informations sur le service Windows Time dans une for�t Windows Server 2003, reportez-vous au site Web de Microsoft TechNet � l'adresse suivante�:

http://technet.microsoft.com/fr-fr/library/cc773061(WS.10).aspx

(http://technet.microsoft.com/fr-fr/library/cc773061(WS.10).aspx)

Les valeurs par d�faut des param�tres du service Windows Time d�finies dans l'objet de strat�gie de groupe peut ne pas correspondre aux valeurs par d�faut d�finies dans le Registre de contr�leurs de domaine Windows Server 2003. Lorsque vous d�ployez les valeurs MaxPosPhaseCorrection et MaxNegPhaseCorrection sur les contr�leurs de domaine Windows Server�2003 � l'aide d'un objet de strat�gie de groupe, assurez-vous que l'objet de strat�gie de groupe ne modifie pas les valeurs d'autres param�tres de service de temps Windows dans le Registre. D'autres valeurs de param�tres du service Windows Time sont �galement susceptibles de devoir �tre modifi�es dans l'objet de strat�gie de groupe pour correspondre aux valeurs de Registre par d�faut dans les contr�leurs de domaine.

Toutes les versions du Service Pack�4 de Windows�2000

Serveurs de domaine

Contr�leur de domaine principal racine de la for�t (serveur de temps faisant autorit�)

Nous vous recommandons vivement de configurer le serveur de temps faisant autorit� pour collecter le temps depuis une source mat�rielle. Lorsque vous configurez le serveur de temps faisant autorit� pour une synchronisation avec une source de temps Internet, il n'y a pas authentification en mode manuel. Vous devez reconfigurer l'entr�e de Registre MaxAllowedClockErrInSecs. La valeur par d�faut est 43�200. La valeur recommand�e est 900 (15�minutes) ou une valeur inf�rieure, en fonction de la source de temps, des conditions du r�seau et des exigences de s�curit�. Cela d�pend �galement de l'intervalle d'interrogation. Nous recommandons que la valeur d'intervalle d'interrogation soit d�finie sur une heure pour chaque p�riode de 24�heures.

Remarque Pour plus d'informations sur cette entr�e de Registre, consultez la section Entr�e de Registre Windows Server�2000 Service Pack�4.

Contr�leurs de domaine et serveurs membres � l'int�rieur du domaine

Le type de synchronisation est NT5DS. Ce service de temps synchronise � partir de la hi�rarchie du domaine, et le service de temps accepte toutes les modifications de temps. Dans la mesure o� NT5DS accepte toutes les modifications de temps sans prendre en compte le d�calage, il est tr�s important de d�finir une source de temps racine de la for�t fiable dans le sous-r�seau de synchronisation de temps.

Remarque La valeur NT5DS indique que le type de synchronisation est obtenu � partir d'une entr�e de Registre.

Clients autonomes

L'entr�e de Registre MaxAllowedClockErrInSecs a une valeur par d�faut de 43�200 (12�heures). Pour des raisons de s�curit�, nous vous recommandons de r�duire cette valeur par d�faut. Par ailleurs, nous vous recommandons de d�finir la valeur sur 3�600 (1�heure), voire sur une valeur inf�rieure, selon la source de temps, la condition du r�seau, l'intervalle d'interrogation et les conditions de s�curit�.

Entr�e de Registre Windows Server�2000 Service Pack�4

R�duire ce tableauAgrandir ce tableau

Entr�e du Registre	MaxAllowedClockErrInSecs
Type de valeur	DWORD
Sous-cl�	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
Remarques	Indique la modification d'horloge maximale activ�e en secondes. Lorsque l'�v�nement est consign�, le temps n'est pas ajust� en fonction de cette valeur. Ce comportement se produit pour vous prot�ger contre toute activit� d'horodatage suspecte. La valeur par d�faut pour les membres du domaine est 43�2000.

Retour au d�but | Envoyer des commentaires

Remarque Il s'agit d'un article de � PUBLICATION RAPIDE � r�dig� directement au sein du service de support technique Microsoft. Les informations qui y sont contenues sont fournies en l'�tat, en r�ponse � des probl�mes �mergents. En raison du d�lai rapide de mise � disposition, les informations peuvent contenir des erreurs typographiques et, � tout moment et sans pr�avis, faire l'objet de r�visions. Pour d'autres consid�rations, consultez les Conditions d'utilisation

(http://go.microsoft.com/fwlink/?LinkId=151500)

Retour au d�but | Envoyer des commentaires

Propri�t�s

Num�ro d'article: 884776 - Derni�re mise � jour: lundi 4 f�vrier 2013 - Version: 1.0

Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):

Microsoft Windows XP Professional
Microsoft Windows Server 2003, Enterprise x64 Edition
Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Microsoft Windows Server 2003, Web Edition

kbsecurity kbhowto kbinfo KB884776

L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Retour au d�but | Envoyer des commentaires