De Windows Time-service configureren bij een groot tijdsverschil
In dit artikel wordt beschreven hoe u de Windows Time-service configureert tegen een grote tijdsverschil.
Van toepassing op: Windows 10 - alle edities, Windows Server 2012 R2
Origineel KB-nummer: 884776
Inleiding
Windows-besturingssystemen bevatten het hulpprogramma Time Service (W32Time-service) dat wordt gebruikt door het Kerberos-verificatieprotocol. Kerberos-verificatie werkt als het tijdsinterval tussen de relevante computers binnen de maximaal ingeschakelde tijdsverschil valt. De standaardwaarde is 5 minuten. U kunt ook het hulpprogramma Time Service uitschakelen. Vervolgens kunt u een tijdservice van derden installeren.
Het doel van het hulpprogramma Time Service is ervoor te zorgen dat alle computers in een organisatie met Microsoft Windows 2000 of latere versies van Windows-besturingssystemen een gemeenschappelijke tijd gebruiken. Om ervoor te zorgen dat er een geschikt gemeenschappelijk tijdgebruik is, gebruikt de Time Service een hiërarchische relatie die de autoriteit beheert. Op Windows-computers wordt standaard de volgende hiërarchie gebruikt:
Alle client-desktopcomputers nomineren de verifiërende domeincontroller als hun gezaghebbende tijdbron.
In een domein volgen alle servers hetzelfde proces dat client-desktopcomputers volgen.
Alle domeincontrollers in een domein nomineren de operations master van de primaire domeincontroller (PDC) als hun tijdbron.
Alle PDC-bewerkingsmodellen volgen de hiërarchie van domeinen in de selectie van hun tijdsbron. De PDC-bewerkingsmodellen kunnen echter een bovenliggende domeincontroller gebruiken die is gebaseerd op stratumnummering.
Opmerking
Een stratumnummer definieert hoe dicht een tijdserver zich bij de primaire referentiebron bevindt.
Hoe kleiner het getal, hoe dichter de server zich bij de primaire tijdsbron bevindt. In deze hiërarchie wordt de PDC Operations Master in de hoofdmap van het forest de gezaghebbende tijdserver voor de organisatie. We raden u ten zeerste aan de gezaghebbende tijdserver te configureren om de tijd van een hardwarebron te verzamelen. Wanneer u probeert de gezaghebbende tijdserver te configureren voor synchronisatie met een internettijdbron, is er geen verificatie. We raden u ook aan de instellingen voor tijdcorrectie voor de servers en voor de zelfstandige clients te verminderen. Wanneer u deze aanbevelingen opvolgt, wordt er nauwkeurigere tijd doorgegeven aan het domein.
Meer informatie
Een overzicht van het terugdraaien van tijd heeft aangetoond dat computers tijd kunnen aannemen die dagen, maanden, jaren of zelfs tientallen jaren in de toekomst of in het verleden kan zijn. De volgende problemen kunnen optreden wanneer computers vooruit of achteruit gaan in de tijd:
- Wachtwoorden voor computeraccounts, gebruikersaccounts en vertrouwensrelaties kunnen voortijdig worden bijgewerkt.
- Quarantaines kunnen worden geïdentificeerd door NTDS-replicatiegebeurtenis 2042 in active directoryservicereplicatie.
- De niet-overeenkomende wachtwoorden worden op gezaghebbende wijze hersteld voor computeraccounts, voor gebruikersaccounts of voor vertrouwensrelaties. Voor het herstel van dergelijke niet-overeenkomende gegevens moet het wachtwoord mogelijk handmatig opnieuw worden ingesteld voor alle accounts en vertrouwensrelaties die worden beïnvloed.
Bescherming tegen tijd die vooruit rolt en terugdraaitijd
Wanneer computers en stroomcycli opnieuw worden opgestart, houdt het BIOS de tijd bij in de lokale EPROM die zich op het moederbord van de computer bevindt. Wanneer Windows wordt gestart, haalt de kernel de huidige tijd op uit het BIOS. Deze huidige tijd wordt gebruikt als de eerste tijd totdat de W32Time-service kan worden gesynchroniseerd met een andere tijdbron.
De Windows 32 time-service ondersteunt twee registervermeldingen, de MaxPosPhaseCorrection en de MaxNegPhaseCorrection. Deze vermeldingen beperken de voorbeelden die de service op een lokale computer accepteert wanneer deze voorbeelden worden verzonden vanaf een externe computer.
Wanneer een computer met een stabiele status een tijdsvoorbeeld van de tijdbron ontvangt, wordt het voorbeeld gecontroleerd op basis van de fasecorrectiegrenzen die de MaxPosPhaseCorrectionMaxNegPhaseCorrection registervermeldingen opleggen. Als het tijdsvoorbeeld binnen de limieten valt die door de twee registervermeldingen worden afgedwongen, wordt dit voorbeeld geaccepteerd voor aanvullende verwerking. Als het tijdsvoorbeeld niet binnen deze limieten valt, wordt het tijdsvoorbeeld genegeerd en registreert de time-service het volgende bericht in het privélogboekbestand W32Time:
TE GROOT
Als beheerders de waarde voor positieve en negatieve fasecorrecties verminderen, kunnen beheerders de dreiging verminderen dat computers tijd ontvangen van ongeldige tijdsvoorbeelden voor een Windows-computer. Aan de andere kant, als beheerders de waarde verlagen, kunnen beheerders voorkomen dat computers de huidige tijd vooruit of achter lopen met meer dan de limieten die deze waarden opleggen.
Opmerking
Als de registervermeldingswaarden voor positieve en negatieve correcties worden verminderd, wordt de tijd verlengd of afgenomen.
De standaardwaarde voor de MaxPosPhaseCorrection registervermeldingen en MaxNegPhaseCorrection in Windows 2000, in Windows XP, in Windows Server 2003 en in Windows Vista is de volgende waarde:
0xFFFFFFF
Met deze waarde kan de computer de tijd ontvangen die is opgenomen in een tijdsvoorbeeld, ongeacht de onnauwkeurigheid.
In Windows Server 2008 is een nieuwe standaardwaarde voor de registervermeldingen MaxPosPhaseCorrection en MaxNegPhaseCorrection overgenomen. Deze nieuwe standaardwaarde is 48 uur. Deze waarde van 48 uur kan worden weergegeven als een van de volgende waarden:
- 2a300 (hexadecimaal)
- 172800 (decimaal)
U wordt aangeraden de MaxPosPhaseCorrection registervermeldingen en MaxNegPhaseCorrection in te stellen op een andere waarde dan de volgende waarde:
MAX (0xFFFFFFFF)
Opmerking
Wanneer u de waarde instelt op een andere waarde dan MAX (0xFFFFFFFF), kunt u voorkomen dat computers een tijd aannemen die zeer onnauwkeurig is in de scenario's waarin de computer opnieuw wordt opgestart of de verbinding met externe tijdsbronnen wordt onderbroken. Denk bijvoorbeeld aan het geval waarin u de registervermeldingen MaxPosPhaseCorrection en MaxNegPhaseCorrection hebt ingesteld voor 48 uur op alle domeincontrollers in het forest. Als een enkele domeincontroller een ongebruikelijke tijdsprong van meer dan 48 uur ondervindt, voorkomt de waarde die u instelt voor de registervermeldingen MaxPosPhaseCorrection en MaxNegPhaseCorrection dat andere computers dezelfde tijdsprong maken. Daarom kunnen computers die niet zijn gesynchroniseerd, worden gescheiden van de andere computers totdat de beheerder dit kan onderzoeken en corrigerende maatregelen kan nemen.
Tijdnauwkeurigheid is vooral belangrijk op de primaire domeincontroller (PDC) van de foresthoofdmap. Omdat de PDC de hoofdtijdbron voor het domein is, kunnen onnauwkeurige tijdswijzigingen op de PDC mogelijk een domeinbrede tijdsprong veroorzaken. Als u beperkingen voor fasecorrectie op de PDC oplegt, kunt u voorkomen dat andere domeincontrollers in het forest de nieuwe tijd accepteren.
De standaardwaarde van 48 uur in plaats van een standaardwaarde van 5 minuten of 15 minuten is gebaseerd op de volgende redenen:
- Uitvoer van het W32TM-hulpprogramma is moeilijk te lezen.
- W32TM richt zich momenteel niet op tijd op lidcomputers en op lidservers.
- De fouten en gebeurtenissen die het Windows-besturingssysteem en zelfstandige toepassingenlogboeken van derden bevatten, zijn zeer inconsistent. Mogelijke fouten zijn retourcodes die er ongeveer als volgt uitzien:
- toegang geweigerd
- RPC-server is niet beschikbaar
Opmerking
Deze fouten hebben een lage correlatie met de tijdsverschil, omdat de oorzaak kan voorkomen dat Windows-computers een nauwkeurige tijdwaarde aannemen.
- Zomertijdfouten kunnen 1 uur tijdverschillen veroorzaken.
- Onjuiste configuratie van AM of PM kan een tijdsverschil van 12 uur veroorzaken.
- Dag- of datumfouten kunnen een tijdsverschil van 24 uur veroorzaken.
Dus 48 uur was de volgende duidelijke tijdsverschil na 25 of 36 uur. Beheerders kunnen de waarde ook verminderen met de juiste hulpprogramma's die infrastructuur en testen rapporteren.
Specifieke aanbevelingen op basis van de versie van het besturingssysteem en de computerrol worden beschreven in de volgende secties.
Windows XP Professional en alle versies van Windows Server 2003
Domeinservers
Forest root PDC (gezaghebbende tijdserver)
We raden u ten zeerste aan de gezaghebbende tijdserver te configureren om de tijd van een hardwarebron te verzamelen. Wanneer u de gezaghebbende tijdserver configureert voor synchronisatie met een internettijdbron, is er geen verificatie. U moet de volgende registervermeldingen opnieuw configureren:
MaxPosPhaseCorrectionMaxNegPhaseCorrection
De standaardwaarde van deze twee registervermeldingen is 0xFFFFFFFF. Deze standaardwaarde betekent 'Elke tijdswijziging accepteren'. We raden een waarde aan die 48 uur is. Dit wordt in het register weergegeven als 2a300 (hexadecimaal) of 172800 (decimaal). U wordt aangeraden de waarde van de registervermelding MaxPollInterval in te stellen op 10 of minder of de waarde van de registervermelding SpecialPollInterval in te stellen op 3600 (1 uur) of minder.
Domeincontrollers en lidservers in het domein
De MaxPosPhaseCorrection registervermeldingen en MaxNegPhaseCorrection hebben de standaardwaarde 0xFFFFFFFF. Deze standaardwaarde betekent 'Elke tijdswijziging accepteren'. U wordt aangeraden deze waarde in te stellen op 48 uur op alle domeincontrollers. De waarde van 48 uur kan ook worden ingesteld op lidservers waarop op tijdgevoelige toepassingen wordt uitgevoerd.
Opmerking
Zie de sectie Registervermeldingen voor Windows Server 2003 en Windows XP Time Service voor meer informatie over deze registervermeldingen.
Zelfstandige clients
De MaxPosPhaseCorrection registervermeldingen en MaxNegPhaseCorrection hebben een standaardwaarde van 54.000 (15 uur). Als best practice voor beveiliging wordt u aangeraden deze standaardwaarde te verlagen. U wordt ook aangeraden de waarde in te stellen op 3600 (1 uur) of een nog kleinere waarde, afhankelijk van de tijdsbron, de netwerkvoorwaarde, het pollinterval en de beveiligingsvereisten.
Registervermeldingen voor Windows Server 2003 en Windows XP Time Service
| Type | Details |
|---|---|
| Registervermelding | MaxPosPhaseCorrection |
| Waardetype: | DWORD |
| Subsleutel | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config |
| Opmerkingen | Deze vermelding geeft de grootste positieve tijdcorrectie in seconden aan die de service kan maken. Als de service vaststelt dat een wijziging groter is dan vereist, wordt in plaats daarvan een gebeurtenis vastgelegd. Speciaal geval: 0xFFFFFFFF betekent dat de tijdscorrectie altijd wordt aangebracht. De standaardwaarde voor domeinleden is 0xFFFFFFFF. De standaardwaarde voor zelfstandige clients en servers is 54.000 (15 uur). |
| Registervermelding | MaxNegPhaseCorrection |
| Waardetype: | DWORD |
| Subsleutel | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config |
| Opmerkingen | Deze vermelding geeft de grootste negatieve tijdcorrectie in seconden die de service kan maken. Als de service vaststelt dat een wijziging groter is dan deze is vereist, wordt in plaats daarvan een gebeurtenis vastgelegd. Speciaal geval: -1 betekent altijd de tijdcorrectie aanbrengen. De standaardwaarde voor domeinleden is 0xFFFFFFFF. De standaardwaarde voor zelfstandige clients en servers is 54.000 (15 uur). |
| Registervermelding | MaxPollInterval |
| Waardetype: | DWORD |
| Subsleutel | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config |
| Opmerkingen | Deze vermelding geeft het grootste interval aan, in seconden, dat is ingeschakeld voor het polling-interval van het systeem. Hoewel een systeem een poll moet uitvoeren volgens het geplande interval, kan een provider weigeren monsters te produceren wanneer er steekproeven worden aangevraagd. De standaardwaarde voor domeinleden is 10. De standaardwaarde voor zelfstandige clients en servers is 15. |
| Registervermelding | SpecialPollInterval |
| Waardetype: | DWORD |
| Subsleutel | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient |
| Opmerkingen | Deze vermelding geeft het speciale poll-interval in seconden op voor handmatige peers. Wanneer de vlag SpecialInterval 0x1 is ingeschakeld, gebruikt W32Time dit poll-interval in plaats van een poll-interval dat het besturingssysteem bepaalt. De standaardwaarde voor domeinleden is 3600. De standaardwaarde voor zelfstandige clients en servers is 604.800. |
Opmerking
U wordt aangeraden het globale beleidsobject Editor te gebruiken om deze instellingen te implementeren. Zie Windows Time Service (W32Time) voor meer informatie over de Windows Time-service in een Windows Server 2003-forest.
De standaardwaarden van de Windows Time-serviceparameter die zijn gedefinieerd in het groepsbeleid-object (GPO) komen mogelijk niet overeen met de standaardwaarden die zijn gedefinieerd in het register van op Windows Server 2003 gebaseerde domeincontrollers. Wanneer u MaxPosPhaseCorrection- en MaxNegPhaseCorrection-waarden implementeert op Windows Server 2003-domeincontrollers met behulp van een groepsbeleidsobject, moet u ervoor zorgen dat het groepsbeleidsobject de waarden van andere Windows Time-serviceparameters in het register niet wijzigt. Andere parameterwaarden van de Windows Time-service moeten mogelijk ook worden gewijzigd in het groepsbeleidsobject om overeen te komen met de standaardregisterwaarden in de domeincontrollers.
Alle versies van Windows 2000 Service Pack 4 (SP4)
Domeinservers
Forest root PDC (gezaghebbende tijdserver)
We raden u ten zeerste aan de gezaghebbende tijdserver te configureren om de tijd van een hardwarebron te verzamelen. Wanneer u de gezaghebbende tijdserver configureert voor synchronisatie met een internettijdbron, is er geen verificatie in de handmatige modus. U kunt de MaxAllowedClockErrInSecs registervermelding opnieuw configureren. De standaardwaarde is 43.200. De aanbevolen waarde is 900 (15 minuten) of een nog kleinere waarde, afhankelijk van de tijdsbron, netwerkomstandigheden en beveiligingsvereisten. Dit hangt ook af van het poll-interval. We raden u aan de waarde van het poll-interval in te stellen op één uur voor elke 24 uur.
Opmerking
Zie de sectie Registervermelding van Windows Server 2000 SP 4 voor meer informatie over deze registervermelding.
Domeincontrollers en lidservers in het domein
Het synchronisatietype is NT5DS. De tijdservice synchroniseert vanuit de domeinhiërarchie en de tijdsservice accepteert alle wijzigingen. Omdat NT5DS elke tijdswijziging accepteert zonder rekening te houden met de tijdsverschil, is het belangrijk om een betrouwbare foresthoofdtijdbron in te stellen in het tijdsynchronisatiesubnet.
Opmerking
De waarde NT5DS geeft aan dat het synchronisatietype wordt opgehaald uit een registervermelding.
Zelfstandige clients
De MaxAllowedClockErrInSecs registervermelding heeft een standaardwaarde van 43.200 (12 uur). Als best practice voor beveiliging wordt u aangeraden deze standaardwaarde te verlagen. U wordt aangeraden de waarde in te stellen op 3600 (1 uur) of op een nog kleinere waarde, afhankelijk van de tijdsbron, netwerkvoorwaarden, pollinterval en beveiligingsvereisten.
Registervermelding Windows Server 2000 SP 4
| Type | Details |
|---|---|
| Registervermelding | MaxAllowedClockErrInSecs |
| Waardetype: | DWORD |
| Subsleutel | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters |
| Opmerkingen | Hiermee geeft u de maximale klokwijziging die is ingeschakeld in seconden. Wanneer de gebeurtenis wordt geregistreerd, wordt de tijd niet aangepast op basis van de waarde. Dit gedrag treedt op ter bescherming tegen verdachte tijdstempelactiviteit. De standaardwaarde voor domeinleden is 43.200. |
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor