Настройка службы времени Windows при больших смещениях времени

Переводы статьи Переводы статьи
Код статьи: 884776 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Введение

В операционных системах Windows есть средство "Служба времени" (служба W32Time), которое используется протоколом проверки подлинности Kerberos. Этот протокол срабатывает, если интервал времени между компьютерами находится в рамках максимального разрешенного сдвига по времени. Значение по умолчанию — 5 минут. Кроме того, средство "Служба времени" можно отключить. Затем можно установить службу времени стороннего производителя.

Служба времени предназначена для синхронизации времени в рамках организации на компьютерах под управлением ОС Microsoft Windows 2000 или более поздней версии. Чтобы на всех компьютерах было установлено правильное общее время, служба времени использует иерархическую систему взаимоотношений, управляющую распространением данных. По умолчанию компьютеры под управлением Windows подчиняются следующей иерархии.
  • Все настольные компьютеры клиентов используют проверяющий контроллер домена в качестве заслуживающего доверия источника времени.
  • Все серверы домена работают согласно тому же процессу, что и настольные компьютеры клиента.
  • Все контроллеры домена используют в качестве источника времени хозяина операций основного контроллера домена.
  • При выборе источника времени хозяева операций PDC следуют иерархии доменов. Тем не менее, хозяева операций PDC могут использовать контроллер родительского домена, основанный на нумерации страт.

    Примечание. По номеру страты можно определить, насколько близок сервер времени к основному источнику времени. Чем меньше номер, тем сервер ближе к этому источнику.
В данной иерархии эмулятор PDC, расположенный в корневом домене леса, становится основным сервером времени для всей организации. Корпорация Майкрософт рекомендует настроить заслуживающий доверия сервер времени таким образом, чтобы он получал значения времени от аппаратного источника. Если заслуживающий доверия сервер времени получает эти данные от источника времени в Интернете, проверка подлинности не выполняется. Кроме того, рекомендуется уменьшить параметры изменения времени для серверов и изолированных клиентов. Если следовать этим рекомендациям, можно обеспечить более точное время для домена.

Дополнительная информация

Обзор откатов времени выявил, что компьютеры могут показывать время, которое может опережать реальное или отставать от него на дни, месяцы, годы или даже десятки лет. Вот какие проблемы могут появиться, когда на компьютерах происходит скачок времени в будущее или прошлое:
  • Могут быть преждевременно обновлены пароли на учетных записях компьютеров, учетных записях пользователей и отношениях доверия.
  • Может быть определен карантин по событию репликации NTDS 2042 во время репликации службы каталогов Active Directory.
  • Несоответствие паролей можно принудительно устранить для учетных записей компьютеров, учетных записей пользователей и отношений доверия. Для устранения этих несоответствий может потребоваться сбросить пароли вручную на всех затронутых учетных записях и отношениях доверия.

Предотвращение скачков времени вперед и назад

При перезагрузке компьютера или его выключении и включении BIOS отсчитывает время в локальном блоке EPROM, который находится на материнской плате. При запуске Windows ядро берет сведения о времени из BIOS. Текущее время используется в качестве исходного времени, пока служба W32Time не выполнит синхронизацию с другим источником времени.

Служба времени Windows 32 поддерживает две записи реестра: MaxPosPhaseCorrection и MaxNegPhaseCorrection. Эти записи ограничивают образцы времени, которые служба времени принимает на локальном компьютере от удаленного компьютера.

Когда компьютер, находящийся в устойчивом состоянии, получает образец времени от своего источника времени, этот образец проверяется на соответствие границам изменения времени, которые налагаются записями реестра MaxPosPhaseCorrection и MaxNegPhaseCorrection. Если образец времени соответствует границам, налагаемым упомянутыми записями реестра, этот образец обрабатывается далее. Если образец времени не соответствует границам, он игнорируется, а служба времени заносит в частный файл журнала W32Time такое сообщение:
*TOO BIG*
Если уменьшить, войдя с учетной записью администратора, значение положительных и отрицательных изменений времени, то таким образом можно снизить вероятность получения компьютером недопустимых образцов времени от компьютера под управлением Windows. Кроме того, таким образом можно предотвратить ситуации, когда компьютеры, отставая от текущего времени или опережая его, выходят за границы, которые эти значения налагают.

Примечание. Если значения записей реестра, касающиеся положительных и отрицательных изменений, уменьшены, значение времени также станет меньше или больше.

Вот какое значение по умолчанию для записей реестра MaxPosPhaseCorrection и MaxNegPhaseCorrection используется в Windows 2000, Windows XP, Windows Server 2003 и Windows Vista:
0xFFFFFFF
Это значение позволяет компьютеру получать сведения о времени, содержащиеся в любом образце времени, вне зависимости от их неточности.

В ОС Windows Server 2008 было принято новое значение по умолчанию для записей реестра MaxPosPhaseCorrection и MaxNegPhaseCorrection. Это новое значение — 48 часов. Это значение можно отобразить двояко:
  • 2a300 (в шестнадцатеричной системе)
  • 172800 (в десятичной системе)
Рекомендуется установить значение для записей реестра MaxPosPhaseCorrection и MaxNegPhaseCorrection, которое отличается от такого значения:
MAX (0xFFFFFFFF)
Примечание. Установив значение, которое отличается от MAX (0xFFFFFFFF), можно предотвратить ситуации, когда при перезагрузке или разрыве подключения к внешним источникам времени компьютер показывает время, сильно отличающееся от реального. Рассмотрим, к примеру, случай, когда для записей реестра MaxPosPhaseCorrection и MaxNegPhaseCorrection установлено значение, равное 48 часам, на всех контроллерах домена в лесу. Если в каком-либо одном контроллере домена случается необычный скачок времени, превышающий 48 часов, значение, установленное для записей реестра MaxPosPhaseCorrection и MaxNegPhaseCorrection, не даст случиться такому скачку на других компьютерах. Благодаря этому компьютеры, синхронизация которых нарушена, не будут влиять на другие компьютеры, пока администратор не изучит и не устранит проблему.

Особенно важно, чтобы точное время показывал корневой основной контроллер домена леса. Так как основной контроллер домена — это корневой источник времени для домена, то неточности в изменениях времени на этом контроллере могут вызвать скачок времени на всех компьютерах домена. Если наложить ограничения на изменения времени в основном контроллере домена, другие контроллеры домена в лесу не станут принимать новое время.

Значение по умолчанию, равное 48 часам, заменило значения по умолчанию, равные 5 и 15 минутам, по следующим причинам:
  • Выходные данные служебной программы W32TM сложно читать.
  • Сейчас программа W32TM не работает со временем на рядовых компьютерах и рядовых серверах.
  • Ошибки и события, которые возникают при несогласованности ОС Windows с самостоятельными приложениями сторонних производителей. В число возможных ошибок входят коды возврата, которые могут выглядеть примерно так:
    • отказано в доступе
    • RPC-сервер недоступен
    Примечание. У этих ошибок низкая корреляция со сдвигом по времени, так как причина может не дать компьютерам под управлением Windows показывать точное значение времени.
  • Ошибки перехода на летнее время могут стать причиной расхождений во времени в 1 час.
  • Если перепутать AM (время до полудня) и PM (после полудня), могут произойти 12-часовые расхождения во времени.
  • Ошибки в установке дня или даты могут стать причиной 24-часовых расхождений во времени.
Поэтому значение, равное 48 часам, было очевидным выбором для смещения времени после отказа от значений, равных 25 и 36 часам. Администраторы могут также уменьшить значение, используя правильные средства, которые предоставляют отчеты об инфраструктуре и тестировании.

Конкретные рекомендации применительно к версии ОС и роли компьютера приведены в разделах далее.

Windows XP Professional и все версии Windows Server 2003

Серверы домена

Корневой основной контроллер домена леса (заслуживающий доверия сервер времени)
Корпорация Майкрософт настоятельно рекомендует настраивать заслуживающий доверия сервер времени таким образом, чтобы он собирал сведения о времени с аппаратного источника. Если основной сервер времени получает эти данные от источника времени в Интернете, проверка подлинности не выполняется. Вам следует перенастроить следующие записи реестра:
  • MaxPosPhaseCorrection
  • MaxNegPhaseCorrection
0xFFFFFFFF является значением по умолчанию для этих двух записей реестра. Это значение по умолчанию означает "Допустимы любые изменения". Рекомендуется значение, равное 48 часам. Оно отображается в реестре вот так: 2a300 (в шестнадцатеричной системе) или 172 800 (в десятеричной системе). Рекомендуется установить значение 10 или меньше для записи реестра MaxPollInterval, и значение 3600 (1 час) или меньше — для записи реестра SpecialPollInterval.
Контроллеры домена и рядовые серверы домена
0xFFFFFFFF является значением по умолчанию для записей реестра MaxPosPhaseCorrection и MaxNegPhaseCorrection. Это значение по умолчанию означает "Допустимы любые изменения". Корпорация Майкрософт рекомендует установить это значение равным 48 часам на всех контроллерах домена. Значение, равное 48 часам, может быть также установленным на рядовых серверах, на которых запущены приложения, для которых важны сведения о времени.

Примечание. Узнать подробнее об этих записях реестра можно в разделе "Записи реестра, используемые службой времени в Windows Server 2003 и Windows XP".

Изолированные клиенты

Значение по умолчанию для записей реестра MaxPosPhaseCorrection и MaxNegPhaseCorrection — 54 000 (15 часов). Для повышения безопасности рекомендуется уменьшить это значение по умолчанию. Корпорация Майкрософт рекомендует использовать значения, не превышающие 3600 (1 час). Конкретное значение зависит от источника времени, состояния сети, величины интервала опроса и требований к безопасности.

Записи реестра, используемые службой времени Windows Server 2003 и Windows XP

Свернуть эту таблицуРазвернуть эту таблицу
Запись реестраMaxPosPhaseCorrection
Тип значенияDWORD
Подраздел
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
ПримечанияЭта запись задает максимальную величину положительной коррекции времени (в секундах), которую может выполнить служба времени. Если окажется, что величина коррекции превышает допустимое значение, то будет зарегистрировано соответствующее событие. Особый случай 0xFFFFFFFF указывает на то, что коррекция времени будет выполняться всегда. По умолчанию для компьютеров-членов домена используется значение 0xFFFFFFFF. Для изолированных компьютеров и серверов используется значение 54 000 (15 часов).
Свернуть эту таблицуРазвернуть эту таблицу
Запись реестраMaxNegPhaseCorrection
Тип значенияDWORD
Подраздел
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
ПримечанияЭта запись задает максимальную величину отрицательной коррекции времени (в секундах), которую может выполнить служба времени. Если окажется, что величина коррекции превышает допустимое значение, то будет зарегистрировано соответствующее событие. Особый случай –1 указывает на то, что коррекция времени будет выполняться всегда. По умолчанию для компьютеров-членов домена используется значение 0xFFFFFFFF. Для изолированных компьютеров и серверов используется значение 54 000 (15 часов).
Свернуть эту таблицуРазвернуть эту таблицу
Запись реестраMaxPollInterval
Тип значенияDWORD
Подраздел
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
ПримечанияЭта запись задает наибольший допустимый интервал (в секундах) между опросами. Хотя система обязана отправлять запрос по истечении интервала опроса, поставщик времени может проигнорировать данный запрос. Для членов домена по умолчанию используется значение 10, а для автономных компьютеров и серверов – значение 15.
Свернуть эту таблицуРазвернуть эту таблицу
Запись реестраSpecialPollInterval
Тип значенияDWORD
Подраздел
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient
ПримечанияЭтот параметр определяет интервал опроса (в секундах) при задании узлов для синхронизации вручную. Если установлен флаг SpecialInterval 0x1, служба W32Time использует величину интервала опроса, указанную в параметре SpecialPollInterval, а не значение, определяемое операционной системой. Для членов домена по умолчанию используется значение 3 600, а для автономных компьютеров и серверов – значение 604 800.
Примечание. Рекомендуется использовать редактор объектов групповой политики, чтобы развернуть эти параметры. Чтобы узнать подробнее о службе времени Windows в лесу на базе Windows Server 2003, посетите следующий веб-сайт Microsoft TechNet:
http://technet.microsoft.com/ru-ru/library/cc773061.aspx
Значения параметра по умолчанию в службе времени Windows, заданные в объекте групповой политики, могут не совпадать со значениями по умолчанию, заданными в реестре контроллеров домена на базе Windows Server 2003. При развертывании значений MaxPosPhaseCorrection и MaxNegPhaseCorrection в контроллерах домена Windows Server 2003 с использованием объекта групповой политики убедитесь, что этот объект не изменяет значения других параметров службы времени Windows в реестре. Другие значения параметров в службе времени Windows также могут быть изменены в этом объекте, чтобы соответствовать параметрам реестра по умолчанию в контроллерах домена.

Все версии Windows 2000 с пакетом обновления 4 (SP4)

Серверы домена

Корневой основной контроллер домена леса (заслуживающий доверия сервер времени)
Корпорация Майкрософт настоятельно рекомендует настраивать заслуживающий доверия сервер времени таким образом, чтобы он собирал сведения о времени с аппаратного источника. Если заслуживающий доверия сервер времени получает эти данные от источника времени в Интернете, проверка подлинности в ручном режиме не выполняется. Необходимо изменить значение записи реестра MaxAllowedClockErrInSecs. Значение по умолчанию — 43 200. Рекомендуется использовать значения, не превышающие 900 (15 минут). Конкретное значение зависит от источника времени, состояния сети, требований к безопасности и величины интервала опроса. Рекомендуется установить значение интервала опроса равным одному часу на каждые 24 часа.

Примечание. Чтобы подробнее узнать об этой записи реестра, см. раздел "Запись реестра, используемая Windows Server 2000 с пакетом обновления 4 (SP4)".
Контроллеры домена и рядовые серверы домена
Тип синхронизации — NT5DS. При этом служба времени выполняет синхронизацию, используя иерархию домена, и может производить любые изменения времени. Поскольку изменения времени выполняются независимо от величины смещения времени, важно использовать надежный корневой источник времени леса в подсети синхронизации времени.

Примечание. Значение NT5DS указывает на то, что тип синхронизации получен из записи реестра.

Изолированные клиенты

Значение по умолчанию записи реестра MaxAllowedClockErrInSecs — 43 200 (12 часов). Для повышения безопасности рекомендуется уменьшить это значение по умолчанию. Корпорация Майкрософт рекомендует использовать значения, не превышающие 3600 (1 час). Конкретное значение зависит от источника времени, состояния сети, величины интервала опроса и требований к безопасности.
Запись реестра, используемая Windows Server 2000 с пакетом обновления 4 (SP 4)
Свернуть эту таблицуРазвернуть эту таблицу
Запись реестраMaxAllowedClockErrInSecs
Тип значенияDWORD
Подраздел
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
ПримечанияУказывает максимальное изменение системных часов в секундах. Когда в журнал заносится сообщение о событии, время не изменяется на основании значения. Эта поведение предназначено для защиты от подозрительной деятельности, касающейся отметок времени. По умолчанию для компьютеров-членов домена используется значение 43 200.
Примечание. Это ЭКСПРЕСС-ПУБЛИКАЦИЯ, подготовленная непосредственно службой технической поддержки Майкрософт . Сведения, содержащиеся в данном документе, предоставлены в качестве отклика на возникшие проблемы. Из-за срочности в материалах могут быть опечатки, и в любое время и без уведомления в них могут быть внесены изменения. Чтобы получить дополнительные сведения, см. Условия использования.

Свойства

Код статьи: 884776 - Последний отзыв: 26 марта 2014 г. - Revision: 1.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows XP Professional
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
Ключевые слова: 
kbsecurity kbhowto kbinfo KB884776

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com