Configuration du service de temps Windows pour un décalage important

Traductions disponibles Traductions disponibles
Numéro d'article: 884776 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

INTRODUCTION

Les systèmes d'exploitation Windows incluent l'outil de service de temps (service W32Time) qui est utilisé par le protocole d'authentification Kerberos. L'authentification Kerberos fonctionne si l'intervalle de temps entre les ordinateurs concernés est repris dans le décalage de temps maximal possible. Par défaut, cette durée est de 5 minutes. Vous pouvez également désactiver l'outil de service de temps. Vous pouvez ensuite installer un service de temps tiers.

La fonction de l'outil de service de temps consiste à vérifier que tous les ordinateurs d'une organisation sous Microsoft Windows 2000 ou une version ultérieure utilisent un temps commun. Pour assurer une utilisation commune du temps appropriée, le service de temps utilise une relation hiérarchique qui contrôle l'autorité. Par défaut, les ordinateurs Windows utilisent la hiérarchie suivante :
  • Tous les ordinateurs de bureau clients désignent le contrôleur de domaine d'authentification comme source de temps de référence.
  • Dans un domaine, tous les serveurs suivent le même processus que suivent des ordinateurs de bureau clients.
  • Tous les contrôleurs de domaine d'un domaine désignent le maître d'opérations du contrôleur de domaine principal comme source de temps.
  • Tous les maîtres d'opérations du contrôleur de domaine principal suivent la hiérarchie des domaines pour la sélection de leur source de temps. Toutefois, les maîtres d'opérations du contrôleur de domaine principal peuvent utiliser un contrôleur de domaine parent basé sur la numérotation par couche.

    Remarque Une numérotation par couche définit la proximité d'un serveur de temps par rapport à la source de référence principale. Plus le nombre est petit, plus le serveur est proche de la source de temps principale.
Dans cette hiérarchie, le maître d'opérations du contrôleur de domaine principal à la racine de la forêt devient le serveur de temps faisant autorité pour l'organisation. Il est fortement recommandé de configurer le serveur de temps faisant autorité pour qu'il collecte le temps d'une source matérielle. Lorsque vous tentez de configurer le serveur de temps faisant autorité pour une synchronisation avec une source de temps Internet, aucune authentification n'a lieu. Il est également recommandé de réduire les paramètres de correction de temps pour vos serveurs et clients autonomes. Lorsque vous suivez ces recommandations, un temps plus précis est envoyé au domaine.

Plus d'informations

Une vérification des réductions de temps a montré que les ordinateurs peuvent afficher un temps sous la forme de jours, de mois, d'années, voire de dizaines d'années dans le futur ou dans le passé. Les problèmes suivants peuvent se produire lorsque les ordinateurs opèrent une restauration par progression ou par récupération :
  • Les mots de passe sur les comptes d'ordinateur, sur les comptes d'utilisateur et sur les relations d'approbation peuvent être mis à jour prématurément.
  • Les quarantaines peuvent être identifiées par l'événement de réplication NTDS 2042 lors de la réplication de service d'annuaire Active Directory.
  • L'incompatibilité des mots de passe subit une restauration faisant autorité pour les comptes d'ordinateur, les comptes d'utilisateur ou les relations de confiance. La récupération dans le cas de telles incompatibilités peut nécessiter une restauration manuelle de mot de passe sur tous les comptes et les approbations affectés.

Comment se protéger contre les restaurations par progression et les restaurations par récupération

Lorsque des ordinateurs et des cycles d'alimentation sont redémarrés, le BIOS met à jour le temps dans le EPROM local situé sur la carte mère de l'ordinateur. Au démarrage de Windows, le noyau extrait le temps actuel à partir du BIOS. Le temps actuel est utilisé comme temps initial jusqu'à ce que le service W32Time puisse opérer la synchronisation avec une autre source de temps.

Le service de temps Windows 32 prend en charge deux entrées de Registre : MaxPosPhaseCorrection et MaxNegPhaseCorrection. Ces entrées limitent les échantillons que le service de temps accepte sur un ordinateur local lorsque ces échantillons sont envoyés depuis un ordinateur distant.

Lorsqu'un ordinateur qui fonctionne de manière stable reçoit un échantillon de temps de la part de sa source de temps ; l'échantillon est vérifié par rapport aux limitations de correction de phase imposées par les entrées de Registre MaxPosPhaseCorrection et MaxNegPhaseCorrection. Si l'échantillon de temps est repris dans les limites imposées par les deux entrées de Registre, l'échantillon est accepté pour un traitement supplémentaire. Si l'échantillon de temps n'est pas repris dans ces limites, celui-ci est ignoré, et le service de temps consigne le message suivant dans le fichier journal W32Time :
*TOO BIG*
Si des administrateurs réduisent la valeur pour des corrections de phases positives et négatives, ceux-ci peuvent réduire la menace que des ordinateurs recevront en raison d'échantillons de temps non valides pour un ordinateur Windows. D'autre part, si les administrateurs réduisent la valeur, ceux-ci peuvent empêcher des ordinateurs de se trouver avant ou après le temps actuel en dépassant les limites que ces valeurs imposent.

Remarque Si les valeurs d'entrée de Registre pour des corrections positives et négatives sont réduites, le temps sera augmenté ou diminué.

La valeur par défaut pour les entrées de Registre MaxPosPhaseCorrection et MaxNegPhaseCorrection dans Windows 2000, Windows XP, Windows Server 2003 et dans Windows Vista est la valeur suivante :
0xFFFFFFF
La valeur permet à l'ordinateur de recevoir le temps contenu dans un échantillon de temps sans tenir compte d'une éventuelle inexactitude.

Dans Windows Server 2008, une nouvelle valeur par défaut pour les entrées de Registre MaxPosPhaseCorrection et MaxNegPhaseCorrection a été adoptée. Cette nouvelle valeur est de 48 heures. Cette valeur de 48 heures peut être représentée sous la forme de l'une des valeurs suivantes :
  • 2a300 (hexadécimal)
  • 172800 (décimal)
Nous recommandons la définition des entrées de Registre MaxPosPhaseCorrection et MaxNegPhaseCorrection sur une valeur autre que la valeur suivante :
MAX (0xFFFFFFFF)
Remarque Lorsque vous définissez la valeur sur une valeur autre que MAX (0xFFFFFFFF), vous pouvez empêcher les ordinateurs d'adopter un temps qui n'est pas correct dans les scénarios où l'ordinateur est redémarré ou lorsque la connectivité à des sources de temps externes est interrompue. Imaginons, par exemple, que vous ayez défini les entrées de Registre MaxPosPhaseCorrection et MaxNegPhaseCorrection pour 48 heures sur l'ensemble des contrôleurs de domaines dans la forêt. Si un seul contrôleur de domaine rencontre un décalage de temps inhabituel de plus de 48 heures, la valeur que vous définissez pour les entrées de Registre MaxPosPhaseCorrection et MaxNegPhaseCorrection empêcheront d'autres ordinateurs d'opérer le même décalage. Par conséquent, les ordinateurs désynchronisés peuvent être isolés des autres ordinateurs jusqu'à ce que l'Administrateur puisse enquêter et entreprendre une action corrective.

L'exactitude du temps est particulièrement importante sur le contrôleur de domaine principal racine de la forêt. Du fait que le contrôleur de domaine principal est la source de temps racine pour le domaine, des modifications de temps inexactes au niveau du contrôleur de domaine principal peuvent engendrer un décalage de temps à l'échelle du domaine. Si vous imposez des restrictions de correction de phase sur le contrôleur de domaine principal, vous pouvez empêcher d'autres contrôleurs de domaine de la forêt d'accepter le nouveau temps.

La valeur par défaut de 48 heures au lieu d'une valeur par défaut de 5 ou 15 minutes est définie pour les raisons suivantes :
  • La sortie depuis l'utilitaire W32TM est difficile à lire.
  • W32TM ne cible actuellement pas le temps sur les ordinateurs et les serveurs membres.
  • Les erreurs et les événements que le système d'exploitation Windows et les applications tierces autonomes consignent sont fortement incohérentes. Les erreurs possibles comprennent des codes de retour qui ressemblent aux suivants :
    • accès refusé
    • Le serveur RPC n'est pas disponible
    Remarque Ces erreurs ont un rapport réduit avec le décalage de temps car la cause peut empêcher les ordinateurs Windows d'adopter une valeur de temps exacte.
  • Les bogues de l'heure d'été peuvent provoquer des différences de temps d'une heure.
  • Une erreur de configuration entre les heures du matin et de l'après-midi peut engendrer une différence de 12 heures.
  • Des erreurs au niveau du jour ou de la date peuvent provoquer une différence de 24 heures.
Par conséquent, 48 heures était le décalage de temps évident après 25 ou 36 heures. Les administrateurs peuvent également réduire la valeur à l'aide d'outils appropriés qui génèrent des rapports sur l'infrastructure et les tests.

Des recommandations spécifiques selon la version du système d'exploitation et le rôle de l'ordinateur sont décrites dans les sections suivantes.

Windows XP Professionnel et toutes les versions de Windows Server 2003

Serveurs de domaine

Contrôleur principal de domaine (serveur de temps faisant autorité)
Nous vous recommandons vivement de configurer le serveur de temps faisant autorité afin de collecter le temps issu d'une source matérielle. Lorsque vous configurez le serveur de temps faisant autorité pour une synchronisation avec une source de temps Internet, il n'y a pas authentification. Vous devez reconfigurer les entrées suivantes du Registre :
  • MaxPosPhaseCorrection
  • MaxNegPhaseCorrection
La valeur par défaut de ces deux entrées de Registre est 0xFFFFFFFF. Cette valeur par défaut signifie « Accepter toutes les modifications de temps. » Nous vous recommandons la valeur de 48 heures. Celle-ci est représentée dans le Registre en tant que 2a300 (hexadécimal) ou 172800 (décimal). Il est recommandé de définir la valeur de l'entrée de Registre MaxPollInterval à 10 ou une valeur inférieure, ou bien de définir la valeur de l'entrée du Registre SpecialPollInterval à 3 600 (1 heure) ou une valeur inférieure.
Les contrôleurs de domaine et les serveurs membres dans le domaine
Les entrées de Registre MaxPosPhaseCorrection et MaxNegPhaseCorrection ont une valeur par défaut de 0xFFFFFFFF. Cette valeur par défaut signifie « Accepter toutes les modifications de temps. » Nous vous recommandons de définir cette valeur sur 48 heures sur tous les contrôleurs de domaine. La valeur de 48 heures peut également être définie sur des serveurs membres qui exécutent des applications pour lesquelles le temps est important.

Remarque Pour plus d'informations sur ces entrées de Registre, consultez la section « Entrées de Registre du service de temps Windows Server 2003 et Windows XP ».

Clients autonomes

Les entrées de Registre MaxPosPhaseCorrection et MaxNegPhaseCorrection ont une valeur par défaut de 54 000 (15 heures). Pour des raisons de sécurité, nous vous recommandons de réduire cette valeur par défaut. Par ailleurs, nous vous recommandons de définir la valeur sur 3 600 (1 heure), voire sur une valeur inférieure, selon la source de temps, la condition du réseau, l'intervalle d'interrogation et les conditions de sécurité.

Entrées de Registre du service de temps de Windows Server 2003 et Windows XP

Réduire ce tableauAgrandir ce tableau
Entrée du RegistreMaxPosPhaseCorrection
Type de valeurDWORD
Sous-clé
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
RemarquesCette entrée indique la correction de temps positive la plus grande en secondes que le service peut effectuer. Si le service détermine qu'une modification supérieure est nécessaire, il consigne un événement à la place. Cas spécial : 0xFFFFFFFF implique toujours une correction de temps. La valeur par défaut pour les membres du domaine est 0xFFFFFFFF. La valeur par défaut pour les clients autonomes et les serveurs est 54 000 (15 heures).
Réduire ce tableauAgrandir ce tableau
Entrée du RegistreMaxNegPhaseCorrection
Type de valeurDWORD
Sous-clé
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
RemarquesCette entrée indique la correction de temps négative la plus grande en secondes que le service peut effectuer. Si le service détermine qu'une modification supérieure est nécessaire, il consigne un événement à la place. Cas spécial : -1 implique toujours une correction de temps. La valeur par défaut pour les membres du domaine est 0xFFFFFFFF. La valeur par défaut pour les clients autonomes et les serveurs est 54 000 (15 heures).
Réduire ce tableauAgrandir ce tableau
Entrée du RegistreMaxPollInterval
Type de valeurDWORD
Sous-clé
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
RemarquesCette entrée indique l'intervalle le plus important, en secondes, activé pour l'intervalle d'interrogation du système. Bien qu'un système doive interroger en fonction de l'intervalle planifié, un fournisseur peut refuser de fournir les échantillons demandés. La valeur par défaut pour les membres du domaine est 10. La valeur par défaut pour les clients et serveurs autonomes est 15.
Réduire ce tableauAgrandir ce tableau
Entrée du RegistreSpecialPollInterval
Type de valeurDWORD
Sous-clé
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient
RemarquesCette entrée indique l'intervalle d'interrogation spécial en secondes pour les homologues manuels. Lorsque l'indicateur SpecialInterval 0x1 est activé, W32Time utilise cet intervalle au lieu d'un intervalle d'interrogation déterminé par le système d'exploitation. La valeur par défaut pour les membres du domaine est 3 600. La valeur par défaut pour les clients et serveurs autonomes est 604 800.
Remarque Nous vous recommandons d'utiliser l'éditeur d'objets de stratégie globale pour déployer ces paramètres. Pour plus d'informations sur le service Windows Time dans une forêt Windows Server 2003, reportez-vous au site Web de Microsoft TechNet à l'adresse suivante :
http://technet.microsoft.com/fr-fr/library/cc773061(WS.10).aspx
Les valeurs par défaut des paramètres du service Windows Time définies dans l'objet de stratégie de groupe peut ne pas correspondre aux valeurs par défaut définies dans le Registre de contrôleurs de domaine Windows Server 2003. Lorsque vous déployez les valeurs MaxPosPhaseCorrection et MaxNegPhaseCorrection sur les contrôleurs de domaine Windows Server 2003 à l'aide d'un objet de stratégie de groupe, assurez-vous que l'objet de stratégie de groupe ne modifie pas les valeurs d'autres paramètres de service de temps Windows dans le Registre. D'autres valeurs de paramètres du service Windows Time sont également susceptibles de devoir être modifiées dans l'objet de stratégie de groupe pour correspondre aux valeurs de Registre par défaut dans les contrôleurs de domaine.

Toutes les versions du Service Pack 4 de Windows 2000

Serveurs de domaine

Contrôleur de domaine principal racine de la forêt (serveur de temps faisant autorité)
Nous vous recommandons vivement de configurer le serveur de temps faisant autorité pour collecter le temps depuis une source matérielle. Lorsque vous configurez le serveur de temps faisant autorité pour une synchronisation avec une source de temps Internet, il n'y a pas authentification en mode manuel. Vous devez reconfigurer l'entrée de Registre MaxAllowedClockErrInSecs. La valeur par défaut est 43 200. La valeur recommandée est 900 (15 minutes) ou une valeur inférieure, en fonction de la source de temps, des conditions du réseau et des exigences de sécurité. Cela dépend également de l'intervalle d'interrogation. Nous recommandons que la valeur d'intervalle d'interrogation soit définie sur une heure pour chaque période de 24 heures.

Remarque Pour plus d'informations sur cette entrée de Registre, consultez la section Entrée de Registre Windows Server 2000 Service Pack 4.
Contrôleurs de domaine et serveurs membres à l'intérieur du domaine
Le type de synchronisation est NT5DS. Ce service de temps synchronise à partir de la hiérarchie du domaine, et le service de temps accepte toutes les modifications de temps. Dans la mesure où NT5DS accepte toutes les modifications de temps sans prendre en compte le décalage, il est très important de définir une source de temps racine de la forêt fiable dans le sous-réseau de synchronisation de temps.

Remarque La valeur NT5DS indique que le type de synchronisation est obtenu à partir d'une entrée de Registre.

Clients autonomes

L'entrée de Registre MaxAllowedClockErrInSecs a une valeur par défaut de 43 200 (12 heures). Pour des raisons de sécurité, nous vous recommandons de réduire cette valeur par défaut. Par ailleurs, nous vous recommandons de définir la valeur sur 3 600 (1 heure), voire sur une valeur inférieure, selon la source de temps, la condition du réseau, l'intervalle d'interrogation et les conditions de sécurité.
Entrée de Registre Windows Server 2000 Service Pack 4
Réduire ce tableauAgrandir ce tableau
Entrée du RegistreMaxAllowedClockErrInSecs
Type de valeurDWORD
Sous-clé
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
RemarquesIndique la modification d'horloge maximale activée en secondes. Lorsque l'événement est consigné, le temps n'est pas ajusté en fonction de cette valeur. Ce comportement se produit pour vous protéger contre toute activité d'horodatage suspecte. La valeur par défaut pour les membres du domaine est 43 2000.
Remarque Il s'agit d'un article de « PUBLICATION RAPIDE » rédigé directement au sein du service de support technique Microsoft. Les informations qui y sont contenues sont fournies en l'état, en réponse à des problèmes émergents. En raison du délai rapide de mise à disposition, les informations peuvent contenir des erreurs typographiques et, à tout moment et sans préavis, faire l'objet de révisions. Pour d'autres considérations, consultez les Conditions d'utilisation.

Propriétés

Numéro d'article: 884776 - Dernière mise à jour: lundi 4 février 2013 - Version: 1.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows XP Professional
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
Mots-clés : 
kbsecurity kbhowto kbinfo KB884776
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com