Comment configurer le service de temps Windows pour un décalage de temps important
Cet article explique comment configurer le service de temps Windows par rapport à un décalage de temps important.
Applicabilité : Windows 10 - toutes les éditions, Windows Server 2012 R2
Numéro de la base de connaissances d’origine : 884776
Introduction
Les systèmes d’exploitation Windows incluent l’outil Service de temps (service W32Time) utilisé par le protocole d’authentification Kerberos. L’authentification Kerberos fonctionne si l’intervalle de temps entre les ordinateurs concernés se situe dans l’asymétrie maximale activée. La valeur par défaut est de 5 minutes. Vous pouvez également désactiver l’outil Time Service. Ensuite, vous pouvez installer un service de temps tiers.
L’objectif de l’outil Time Service est de s’assurer que tous les ordinateurs d’un organization exécutant Microsoft Windows 2000 ou versions ultérieures des systèmes d’exploitation Windows utilisent une heure commune. Pour s’assurer qu’il existe une utilisation de temps commune appropriée, le service de temps utilise une relation hiérarchique qui contrôle l’autorité. Par défaut, les ordinateurs Windows utilisent la hiérarchie suivante :
Tous les ordinateurs de bureau clients désignent le contrôleur de domaine d’authentification comme source de temps faisant autorité.
Dans un domaine, tous les serveurs suivent le même processus que les ordinateurs de bureau clients.
Tous les contrôleurs de domaine d’un domaine désignent les opérations de contrôleur de domaine principal (PDC) master comme source de temps.
Tous les maîtres d’opérations PDC suivent la hiérarchie des domaines dans la sélection de leur source de temps. Toutefois, les maîtres d’opérations PDC peuvent utiliser un contrôleur de domaine parent basé sur la numérotation des couches.
Remarque
Un numéro de strate définit la proximité d’un serveur de temps avec la source de référence principale.
Plus le nombre est petit, plus le serveur est proche de la source de temps principale. Dans cette hiérarchie, les opérations PDC master à la racine de la forêt deviennent le serveur de temps faisant autorité pour le organization. Nous vous recommandons vivement de configurer le serveur de temps faisant autorité pour collecter l’heure à partir d’une source matérielle. Lorsque vous essayez de configurer le serveur de temps faisant autorité pour qu’il se synchronise avec une source de temps Internet, il n’y a pas d’authentification. Nous vous recommandons également de réduire vos paramètres de correction de temps pour les serveurs et pour les clients autonomes. Lorsque vous suivez ces recommandations, une heure plus précise est fournie au domaine.
Plus d’informations
Un examen des restaurations de temps a montré que les ordinateurs peuvent adopter le temps qui peut être des jours, des mois, des années, voire des dizaines d’années dans le futur ou dans le passé. Les problèmes suivants peuvent se produire lorsque les ordinateurs effectuent une restauration vers l’avant ou vers l’arrière dans le temps :
- Les mots de passe des comptes d’ordinateur, des comptes d’utilisateur et des relations d’approbation peuvent être mis à jour prématurément.
- Les quarantaines peuvent être identifiées par l’événement de réplication NTDS 2042 dans la réplication du service d’annuaire Active Directory.
- L’incompatibilité des mots de passe est restaurée avec autorité pour les comptes d’ordinateur, les comptes d’utilisateur ou les relations d’approbation. La récupération de ces incompatibilités peut nécessiter une réinitialisation manuelle du mot de passe sur tous les comptes et approbations affectés.
Comment se protéger contre le temps qui restaure et les restaurations de temps
Lorsque les ordinateurs et les cycles d’alimentation sont redémarrés, le BIOS conserve l’heure dans l’EPROM local qui se trouve sur la carte mère de l’ordinateur. Lorsque Windows démarre, le noyau extrait l’heure actuelle du BIOS. Cette heure actuelle est utilisée comme heure initiale jusqu’à ce que le service W32Time puisse se synchroniser avec une autre source de temps.
Le service de temps Windows 32 prend en charge deux entrées de Registre : et MaxPosPhaseCorrectionMaxNegPhaseCorrection. Ces entrées limitent les exemples que le service de temps accepte sur un ordinateur local lorsque ces exemples sont envoyés à partir d’un ordinateur distant.
Lorsqu’un ordinateur qui s’exécute dans un état stable reçoit un échantillon de temps de sa source de temps, l’exemple est vérifié par rapport aux limites de correction de phase que les entrées de MaxPosPhaseCorrection Registre et MaxNegPhaseCorrection imposent. Si l’exemple de temps se situe dans les limites appliquées par les deux entrées de Registre, cet exemple est accepté pour un traitement supplémentaire. Si l’exemple de temps n’entre pas dans ces limites, l’exemple de temps est ignoré et le service de temps enregistre le message suivant dans le fichier journal privé W32Time :
TROP GRAND
Si les administrateurs réduisent la valeur des corrections de phases positives et négatives, les administrateurs peuvent réduire la menace que les ordinateurs reçoivent du temps à partir d’exemples de temps non valides pour un ordinateur Windows. En revanche, si les administrateurs réduisent la valeur, les administrateurs peuvent empêcher les ordinateurs d’être en avance ou en retard par rapport aux limites imposées par ces valeurs.
Remarque
Si les valeurs d’entrée de Registre pour les corrections positives et négatives sont réduites, le temps est augmenté ou réduit.
La valeur par défaut des entrées de MaxPosPhaseCorrection Registre et MaxNegPhaseCorrection dans Windows 2000, Windows XP, Windows Server 2003 et Windows Vista est la valeur suivante :
0xFFFFFFF
Cette valeur permet à l’ordinateur de recevoir l’heure contenue dans n’importe quel échantillon de temps, quelle que soit l’inexactitude.
Dans Windows Server 2008, une nouvelle valeur par défaut pour les entrées de Registre MaxPosPhaseCorrection et MaxNegPhaseCorrection a été adoptée. Cette nouvelle valeur par défaut est de 48 heures. Cette valeur de 48 heures peut être représentée comme l’une des valeurs suivantes :
- 2a300 (hexadécimal)
- 172800 (décimal)
Nous vous recommandons de définir les MaxPosPhaseCorrection entrées de Registre et MaxNegPhaseCorrection sur une valeur autre que la valeur suivante :
MAX (0xFFFFFFFF)
Remarque
Lorsque vous définissez la valeur sur une valeur autre que MAX (0xFFFFFFFF), vous pouvez empêcher les ordinateurs d’adopter une heure très inexacte dans les scénarios où l’ordinateur est redémarré ou où la connectivité aux sources de temps externes est interrompue. Par exemple, considérez le cas où les entrées de Registre MaxPosPhaseCorrection et MaxNegPhaseCorrection sont définies pendant 48 heures sur tous les contrôleurs de domaine de la forêt. Si un contrôleur de domaine unique rencontre un saut de temps inhabituel de plus de 48 heures, la valeur que vous définissez pour les entrées de Registre MaxPosPhaseCorrection et MaxNegPhaseCorrection empêche d’autres ordinateurs d’effectuer le même saut de temps. Par conséquent, les ordinateurs qui ne sont pas synchronisés peuvent être séparés des autres ordinateurs jusqu’à ce que l’administrateur puisse examiner et prendre des mesures correctives.
La précision de l’heure est particulièrement importante sur le contrôleur de domaine principal (PDC) racine de la forêt. Étant donné que le contrôleur de domaine principal est la source de temps racine pour le domaine, des modifications d’heure inexactes sur le contrôleur de domaine peuvent potentiellement entraîner un saut de temps à l’échelle du domaine. Si vous imposez des restrictions de correction de phase sur le contrôleur de domaine principal, vous pouvez empêcher d’autres contrôleurs de domaine de la forêt d’accepter la nouvelle heure.
La valeur par défaut de 48 heures au lieu d’une valeur par défaut de 5 minutes ou 15 minutes est basée sur les raisons suivantes :
- La sortie de l’utilitaire W32TM est difficile à lire.
- Actuellement, W32TM ne cible pas le temps sur les ordinateurs membres et sur les serveurs membres.
- Les erreurs et les événements que le système d’exploitation Windows et les applications tierces autonomes consignent sont très incohérents. Les erreurs possibles incluent des codes de retour qui ressemblent au suivant :
- accès refusé
- Le serveur RPC n’est pas disponible
Remarque
Ces erreurs ont une faible corrélation avec l’asymétrie temporelle, car la cause peut empêcher les ordinateurs Windows d’adopter une valeur de temps précise.
- Les bogues de l’heure d’été peuvent entraîner des différences d’heure d’une heure.
- Une mauvaise configuration AM ou PM peut entraîner un décalage horaire de 12 heures.
- Les erreurs de jour ou de date peuvent entraîner une différence de temps de 24 heures.
Ainsi, 48 heures a été le prochain décalage de temps évident après 25 ou 36 heures. Les administrateurs peuvent également réduire la valeur avec les outils appropriés qui signalent l’infrastructure et les tests.
Des recommandations spécifiques en fonction de la version du système d’exploitation et du rôle d’ordinateur sont décrites dans les sections suivantes.
Windows XP Professionnel et toutes les versions de Windows Server 2003
Serveurs de domaine
PDC racine de forêt (serveur de temps faisant autorité)
Nous vous recommandons vivement de configurer le serveur de temps faisant autorité pour collecter l’heure à partir d’une source matérielle. Lorsque vous configurez le serveur de temps faisant autorité pour qu’il se synchronise avec une source de temps Internet, il n’y a pas d’authentification. Vous devez reconfigurer les entrées de Registre suivantes :
MaxPosPhaseCorrectionMaxNegPhaseCorrection
La valeur par défaut de ces deux entrées de Registre est 0xFFFFFFFF. Cette valeur par défaut signifie « Accepter tout changement de temps ». Nous recommandons une valeur de 48 heures. Il est représenté dans le Registre sous la forme 2a300 (hexadécimal) ou 172800 (décimal). Nous vous recommandons de définir la valeur de l’entrée de Registre MaxPollInterval sur 10 ou moins ou de définir la valeur de l’entrée de Registre SpecialPollInterval sur 3600 (1 heure) ou moins.
Contrôleurs de domaine et serveurs membres à l’intérieur du domaine
Les MaxPosPhaseCorrection entrées de Registre et MaxNegPhaseCorrection ont une valeur par défaut de 0xFFFFFFFF. Cette valeur par défaut signifie « Accepter tout changement de temps ». Nous vous recommandons de définir cette valeur sur 48 heures sur tous les contrôleurs de domaine. La valeur de 48 heures peut également être définie sur les serveurs membres qui exécutent des applications basées sur le temps.
Remarque
Pour plus d’informations sur ces entrées de Registre, consultez la section Entrées de Registre Windows Server 2003 et Windows XP Time Service .
Clients autonomes
Les MaxPosPhaseCorrection entrées de Registre et MaxNegPhaseCorrection ont une valeur par défaut de 54 000 (15 heures). En guise de bonne pratique de sécurité, nous vous recommandons de réduire cette valeur par défaut. Nous vous recommandons également de définir la valeur sur 3600 (1 heure) ou une valeur encore plus petite, en fonction de la source de temps, de la condition du réseau, de l’intervalle d’interrogation et des exigences de sécurité.
Entrées de Registre du service de temps Windows Server 2003 et Windows XP
| Type | Détails |
|---|---|
| Entrée de Registre | MaxPosPhaseCorrection |
| Type de valeur | DWORD |
| Sous-clé | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config |
| Notes | Cette entrée spécifie la plus grande correction de temps positive en secondes que le service peut effectuer. Si le service détermine qu’une modification plus grande que nécessaire, il journalise un événement à la place. Cas particulier : 0xFFFFFFFF signifie toujours faire la correction de l’heure. La valeur par défaut pour les membres du domaine est 0xFFFFFFFF. La valeur par défaut pour les clients et serveurs autonomes est 54 000 (15 heures). |
| Entrée de Registre | MaxNegPhaseCorrection |
| Type de valeur | DWORD |
| Sous-clé | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config |
| Notes | Cette entrée spécifie la plus grande correction de temps négative en secondes que le service peut effectuer. Si le service détermine qu’une modification supérieure à celle-ci est nécessaire, il journalise un événement à la place. Cas particulier : -1 signifie toujours faire la correction de l’heure. La valeur par défaut pour les membres du domaine est 0xFFFFFFFF. La valeur par défaut pour les clients et serveurs autonomes est 54 000 (15 heures). |
| Entrée de Registre | MaxPollInterval |
| Type de valeur | DWORD |
| Sous-clé | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config |
| Notes | Cette entrée spécifie le plus grand intervalle, en secondes, activé pour l’intervalle d’interrogation du système. Notez que, bien qu’un système doit interroger selon l’intervalle planifié, un fournisseur peut refuser de produire des échantillons lorsque des échantillons sont demandés. La valeur par défaut pour les membres du domaine est 10. La valeur par défaut pour les clients et serveurs autonomes est 15. |
| Entrée de Registre | SpecialPollInterval |
| Type de valeur | DWORD |
| Sous-clé | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient |
| Notes | Cette entrée spécifie l’intervalle d’interrogation spécial en secondes pour les homologues manuels. Lorsque l’indicateur specialInterval 0x1 est activé, W32Time utilise cet intervalle d’interrogation au lieu d’un intervalle d’interrogation que le système d’exploitation détermine. La valeur par défaut sur les membres du domaine est 3 600. La valeur par défaut sur les clients et serveurs autonomes est 604 800. |
Remarque
Nous vous recommandons d’utiliser l’objet Stratégie globale Rédacteur pour déployer ces paramètres. Pour plus d’informations sur le service de temps Windows dans une forêt Windows Server 2003, consultez Service de temps Windows (W32Time).
Les valeurs de paramètre de service de temps Windows par défaut définies dans l’objet stratégie de groupe (GPO) peuvent ne pas correspondre aux valeurs par défaut définies dans le Registre des contrôleurs de domaine Windows Server 2003. Lorsque vous déployez des valeurs MaxPosPhaseCorrection et MaxNegPhaseCorrection sur des contrôleurs de domaine Windows Server 2003 à l’aide d’un objet de stratégie de groupe, assurez-vous que l’objet de stratégie de groupe ne modifie pas les valeurs des autres paramètres du service de temps Windows dans le Registre. D’autres valeurs de paramètre de service de temps Windows peuvent également devoir être modifiées dans l’objet de stratégie de groupe pour correspondre aux valeurs de Registre par défaut dans les contrôleurs de domaine.
Toutes les versions de Windows 2000 Service Pack 4 (SP4)
Serveurs de domaine
PDC racine de forêt (serveur de temps faisant autorité)
Nous vous recommandons vivement de configurer le serveur de temps faisant autorité pour collecter l’heure à partir d’une source matérielle. Lorsque vous configurez le serveur de temps faisant autorité pour qu’il se synchronise avec une source de temps Internet, il n’y a pas d’authentification en mode manuel. Vous pouvez reconfigurer l’entrée de MaxAllowedClockErrInSecs Registre. La valeur par défaut est 43 200. La valeur recommandée est 900 (15 minutes) ou une valeur encore plus petite, en fonction de la source de temps, des conditions réseau et des exigences de sécurité. Cela dépend également de l’intervalle d’interrogation. Nous vous recommandons de définir la valeur de l’intervalle d’interrogation sur une heure toutes les 24 heures.
Remarque
Pour plus d’informations sur cette entrée de Registre, consultez la section Entrée de Registre Windows Server 2000 SP 4 .
Contrôleurs de domaine et serveurs membres à l’intérieur du domaine
Le type de synchronisation est NT5DS. Le service d’heure se synchronise à partir de la hiérarchie de domaine et le service de temps accepte les modifications de tous les temps. Étant donné que NT5DS accepte tout changement d’heure sans tenir compte du décalage horaire, il est important de configurer une source d’heure racine de forêt fiable dans le sous-réseau de synchronisation de l’heure.
Remarque
La valeur NT5DS indique que le type de synchronisation est obtenu à partir d’une entrée de Registre.
Clients autonomes
L’entrée MaxAllowedClockErrInSecs de Registre a une valeur par défaut de 43 200 (12 heures). En guise de bonne pratique de sécurité, nous vous recommandons de réduire cette valeur par défaut. Nous vous recommandons de définir la valeur sur 3600 (1 heure) ou sur une valeur encore plus petite, en fonction de la source de temps, des conditions réseau, de l’intervalle d’interrogation et des exigences de sécurité.
Entrée de Registre Windows Server 2000 SP 4
| Type | Détails |
|---|---|
| Entrée de Registre | MaxAllowedClockErrInSecs |
| Type de valeur | DWORD |
| Sous-clé | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters |
| Notes | Spécifie la modification maximale de l’horloge activée en secondes. Lorsque l’événement est journalisé, l’heure n’est pas ajustée en fonction de la valeur. Ce comportement se produit pour vous protéger contre toute activité d’horodatage suspecte. La valeur par défaut pour les membres du domaine est 43 200. |
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour