Como configurar o serviço de Tempo do Windows contra uma grande diferença de tempo
Este artigo descreve como configurar o serviço de Tempo do Windows em relação a um deslocamento de tempo grande.
Aplica-se a: Windows 10 — todas as edições, Windows Server 2012 R2
Número de KB original: 884776
Introdução
Os sistemas operacionais Windows incluem a ferramenta Serviço de Tempo (serviço W32Time) usada pelo protocolo de autenticação Kerberos. A autenticação Kerberos funcionará se o intervalo de tempo entre os computadores relevantes estiver dentro da distorção de tempo máxima habilitada. O padrão é 5 minutos. Você também pode desativar a ferramenta Serviço de Tempo. Em seguida, você pode instalar um serviço de tempo de terceiros.
A finalidade da ferramenta Serviço de Tempo é garantir que todos os computadores de uma organização que executam o Microsoft Windows 2000 ou versões posteriores dos sistemas operacionais Windows usem um horário comum. Para garantir que haja um uso de tempo comum apropriado, o Serviço de Tempo usa uma relação hierárquica que controla a autoridade. Por padrão, os computadores baseados no Windows usam a seguinte hierarquia:
Todos os computadores da área de trabalho do cliente nomeiam o controlador de domínio de autenticação como sua fonte de tempo autoritativa.
Em um domínio, todos os servidores seguem o mesmo processo que os computadores da área de trabalho do cliente seguem.
Todos os controladores de domínio em um domínio nomeiam as operações de PDC (controlador de domínio primário) master como sua fonte de tempo.
Todos os mestres de operações PDC seguem a hierarquia de domínios na seleção de sua fonte de tempo. No entanto, os mestres de operações PDC podem usar um controlador de domínio pai baseado na numeração de estratos.
Observação
Um número de estrato define o quão próximo um servidor de tempo é para a fonte de referência primária.
Quanto menor o número, mais próximo o servidor fica da fonte de tempo primária. Nessa hierarquia, as operações PDC master na raiz da floresta se tornam o servidor de tempo autoritativo da organização. É altamente recomendável configurar o servidor de tempo autoritativo para coletar o tempo de uma fonte de hardware. Quando você tenta configurar o servidor de tempo autoritativo para sincronizar com uma fonte de tempo da Internet, não há autenticação. Também recomendamos reduzir suas configurações de correção de tempo para os servidores e para os clientes autônomos. Ao seguir essas recomendações, o tempo mais preciso é fornecido ao domínio.
Mais informações
Uma revisão das reversões de tempo mostrou que os computadores podem adotar tempo que pode ser dias, meses, anos ou até mesmo dezenas de anos no futuro ou no passado. Os seguintes problemas podem ocorrer quando os computadores rolam para frente ou rolam para trás no tempo:
- Senhas em contas de computador, em contas de usuário e em relações de confiança podem ser atualizadas prematuramente.
- As quarentenas podem ser identificadas pelo Evento de Replicação 2042 do NTDS na replicação do serviço de diretório do Active Directory.
- A incompatibilidade de senhas é restaurada com autorização para contas de computador, para contas de usuário ou para relações de confiança. A recuperação de tais incompatibilidades pode exigir redefinições manuais de senha em todas as contas e confianças afetadas.
Como proteger contra o tempo que rola para a frente e reversões de tempo
Quando computadores e ciclos de energia são reiniciados, o BIOS mantém o tempo no EPROM local localizado na placa-mãe do computador. Quando o Windows é iniciado, o kernel puxa o tempo atual do BIOS. Esse tempo atual é usado como a hora inicial até que o serviço W32Time possa ser sincronizado com outra fonte de tempo.
O serviço de tempo do Windows 32 dá suporte a duas entradas de registro, o MaxPosPhaseCorrection e o MaxNegPhaseCorrection. Essas entradas restringem os exemplos que o serviço de tempo aceita em um computador local quando esses exemplos são enviados de um computador remoto.
Quando um computador que está em execução em um estado estável recebe um exemplo de tempo de sua fonte de tempo, o exemplo é verificado nos limites de correção de fase que as MaxPosPhaseCorrection entradas de registro e MaxNegPhaseCorrection impõem. Se o exemplo de tempo estiver dentro dos limites que as duas entradas do registro impõem, esse exemplo será aceito para processamento adicional. Se o exemplo de tempo não estiver dentro desses limites, o exemplo de tempo será ignorado e o serviço de tempo registrará a seguinte mensagem no arquivo de log privado W32Time:
MUITO GRANDE
Se os administradores reduzirem o valor para correções de fase positivas e negativas, os administradores poderão reduzir a ameaça de que os computadores receberão tempo de exemplos de tempo inválidos para um computador baseado em Windows. Por outro lado, se os administradores reduzirem o valor, os administradores poderão impedir que os computadores estejam à frente ou atrás do tempo atual em mais do que os limites impostos por esses valores.
Observação
Se os valores de entrada do registro para correções positivas e negativas forem reduzidos, o tempo será aumentado ou reduzido.
O valor padrão das entradas e MaxNegPhaseCorrection do MaxPosPhaseCorrection registro no Windows 2000, no Windows XP, no Windows Server 2003 e no Windows Vista é o seguinte valor:
0xFFFFFFF
Esse valor permite que o computador receba o tempo contido em qualquer exemplo de tempo, seja qual for a imprecisão.
No Windows Server 2008, um novo valor padrão para as entradas de registro MaxPosPhaseCorrection e MaxNegPhaseCorrection foi adotado. Esse novo valor padrão é de 48 horas. Esse valor de 48 horas pode ser representado como um dos seguintes valores:
- 2a300 (hexadecimal)
- 172800 (decimal)
Recomendamos que as MaxPosPhaseCorrection entradas do registro e MaxNegPhaseCorrection sejam definidas como um valor diferente do seguinte valor:
MAX (0xFFFFFFFF)
Observação
Quando você define o valor como um valor diferente de MAX (0xFFFFFFFF), você pode impedir que os computadores adotem o tempo que é muito impreciso nos cenários em que o computador é reiniciado ou a conectividade com fontes de tempo externas é interrompida. Por exemplo, considere o caso em que você tem as entradas de registro MaxPosPhaseCorrection e MaxNegPhaseCorrection definidas por 48 horas em todos os controladores de domínio na floresta. Se qualquer controlador de domínio único tiver um salto de tempo incomum de mais de 48 horas, o valor definido para as entradas de registro MaxPosPhaseCorrection e MaxNegPhaseCorrection impedirá que outros computadores façam o mesmo salto de tempo. Portanto, os computadores que estão fora de sincronização podem ser mantidos separados dos outros computadores até que o administrador possa investigar e tomar medidas corretivas.
A precisão de tempo é especialmente importante no PDC (controlador de domínio primário raiz da floresta). Como o PDC é a fonte de tempo raiz do domínio, alterações de tempo imprecisas no PDC podem potencialmente causar um salto de tempo em todo o domínio. Se você impor restrições de correção de fase no PDC, poderá impedir que outros controladores de domínio na floresta aceitem a nova hora.
O valor padrão de 48 horas em vez de um valor padrão de 5 minutos ou 15 minutos baseia-se nos seguintes motivos:
- A saída do utilitário W32TM é difícil de ler.
- Atualmente, o W32TM não tem como destino o tempo em computadores membros e em servidores membros.
- Os erros e os eventos que o sistema operacional Windows e o log de aplicativos autônomos de terceiros são altamente inconsistentes. Os possíveis erros incluem códigos retornados que se assemelham ao seguinte:
- acesso negado
- O RPC Server não está disponível
Observação
Esses erros têm uma correlação baixa com a distorção de tempo porque a causa pode impedir que computadores baseados no Windows adotem um valor de tempo preciso.
- Os bugs de horário de verão podem causar diferenças de horário de 1 hora.
- A configuração incorreta de AM ou PM pode causar uma diferença de tempo de 12 horas.
- Erros de dia ou de data podem causar uma diferença de tempo de 24 horas.
Portanto, 48 horas foi a próxima compensação de tempo óbvia após 25 ou 36 horas. Os administradores também podem reduzir o valor com ferramentas corretas que relatam infraestrutura e testes.
Recomendações específicas de acordo com a versão do sistema operacional e a função de computador são descritas nas seções a seguir.
Windows XP Professional e todas as versões do Windows Server 2003
Servidores de domínio
PDC raiz da floresta (servidor de tempo autoritativo)
É altamente recomendável configurar o servidor de tempo autoritativo para coletar o tempo de uma fonte de hardware. Quando você configura o servidor de tempo autoritativo para sincronizar com uma fonte de tempo da Internet, não há autenticação. Você deve reconfigurar as seguintes entradas de registro:
MaxPosPhaseCorrectionMaxNegPhaseCorrection
O valor padrão dessas duas entradas de registro é 0xFFFFFFFF. Esse valor padrão significa "Aceitar qualquer alteração de tempo". Recomendamos um valor de 48 horas. Ele é representado no registro como 2a300 (hexadecimal) ou 172800 (decimal). Recomendamos que você defina o valor da entrada do registro MaxPollInterval como 10 ou menos ou que você defina o valor da entrada do registro SpecialPollInterval como 3600 (1 hora) ou menos.
Controladores de domínio e servidores membros dentro do domínio
As MaxPosPhaseCorrection entradas do registro e MaxNegPhaseCorrection têm um valor padrão de 0xFFFFFFFF. Esse valor padrão significa "Aceitar qualquer alteração de tempo". Recomendamos definir esse valor como 48 horas em todos os controladores de domínio. O valor de 48 horas também pode ser definido em servidores membros que estão executando aplicativos baseados em tempo confidencial.
Observação
Para obter mais informações sobre essas entradas de registro, consulte a seção Entradas do Registro do Windows Server 2003 e do Windows XP Time Service .
Clientes autônomos
As MaxPosPhaseCorrection entradas do registro e MaxNegPhaseCorrection têm um valor padrão de 54.000 (15 horas). Como uma prática recomendada de segurança, recomendamos que você reduza esse valor padrão. Também recomendamos que você defina o valor como 3600 (1 hora) ou um valor ainda menor, dependendo da fonte de tempo, na condição de rede, no intervalo da votação e nos requisitos de segurança.
Entradas do registro do Windows Server 2003 e do Windows XP Time Service
| Tipo | Detalhes |
|---|---|
| Entrada do Registro | MaxPosPhaseCorrection |
| Tipo do Valor | DWORD |
| Subchave | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config |
| Observações | Essa entrada especifica a maior correção de tempo positivo em segundos que o serviço pode fazer. Se o serviço determinar que uma alteração maior do que é necessária, ele registrará um evento em seu lugar. Caso especial: 0xFFFFFFFF significa sempre fazer a correção de tempo. O valor padrão para membros de domínio é 0xFFFFFFFF. O valor padrão para clientes e servidores autônomos é de 54.000 (15 horas). |
| Entrada do Registro | MaxNegPhaseCorrection |
| Tipo do Valor | DWORD |
| Subchave | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config |
| Observações | Essa entrada especifica a maior correção de tempo negativo em segundos que o serviço pode fazer. Se o serviço determinar que uma alteração maior do que isso é necessária, ele registrará um evento em seu lugar. Caso especial: -1 significa sempre fazer a correção de tempo. O valor padrão para membros de domínio é 0xFFFFFFFF. O valor padrão para clientes e servidores autônomos é de 54.000 (15 horas). |
| Entrada do Registro | MaxPollInterval |
| Tipo do Valor | DWORD |
| Subchave | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config |
| Observações | Essa entrada especifica o maior intervalo, em segundos, habilitado para o intervalo de sondagem do sistema. Observe que, embora um sistema precise sondar de acordo com o intervalo agendado, um provedor pode se recusar a produzir amostras quando os exemplos são solicitados. O valor padrão para membros de domínio é 10. O valor padrão para clientes e servidores autônomos é 15. |
| Entrada do Registro | SpecialPollInterval |
| Tipo do Valor | DWORD |
| Subchave | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient |
| Observações | Essa entrada especifica o intervalo de votação especial em segundos para pares manuais. Quando o sinalizador SpecialInterval 0x1 está habilitado, o W32Time usa esse intervalo de pesquisa em vez de um intervalo de pesquisa que o sistema operacional determina. O valor padrão em membros de domínio é 3.600. O valor padrão em clientes e servidores autônomos é 604.800. |
Observação
Recomendamos que você use o objeto Global Policy Editor para implantar essas configurações. Para obter mais informações sobre o serviço Windows Time em uma floresta baseada no Windows Server 2003, consulte Serviço de Tempo do Windows (W32Time).
Os valores padrão do parâmetro de serviço do Windows Time definidos no objeto Política de Grupo (GPO) podem não corresponder aos valores padrão definidos no registro de controladores de domínio baseados no Windows Server 2003. Ao implantar valores MaxPosPhaseCorrection e MaxNegPhaseCorrection em controladores de domínio do Windows Server 2003 usando um GPO, verifique se o GPO não está alterando os valores de outros parâmetros de serviço do Windows Time no registro. Outros valores de parâmetro de serviço do Windows Time também podem ter que ser alterados no GPO para corresponder aos valores padrão do registro nos controladores de domínio.
Todas as versões do Windows 2000 Service Pack 4 (SP4)
Servidores de domínio
PDC raiz da floresta (servidor de tempo autoritativo)
É altamente recomendável configurar o servidor de tempo autoritativo para coletar o tempo de uma fonte de hardware. Quando você configura o servidor de tempo autoritativo para sincronizar com uma fonte de tempo da Internet, não há autenticação no modo manual. Você pode reconfigurar a entrada do MaxAllowedClockErrInSecs registro. O valor padrão é 43.200. O valor recomendado é 900 (15 minutos) ou um valor ainda menor, dependendo da fonte de tempo, das condições de rede e dos requisitos de segurança. Também depende do intervalo da votação. Recomendamos que o valor do intervalo da pesquisa seja definido como uma hora para cada 24 horas.
Observação
Para obter mais informações sobre essa entrada de registro, consulte Seção de entrada do Registro do Windows Server 2000 SP 4 .
Controladores de domínio e servidores membros dentro do domínio
O tipo de sincronização é NT5DS. O serviço de tempo sincroniza da hierarquia de domínio e o serviço de tempo aceita alterações de todos os tempos. Como o NT5DS aceita qualquer alteração de tempo sem considerar o deslocamento de tempo, é importante configurar uma fonte de tempo raiz de floresta confiável na sub-rede de sincronização de tempo.
Observação
O valor NT5DS indica que o tipo de sincronização é obtido de uma entrada de registro.
Clientes autônomos
A MaxAllowedClockErrInSecs entrada do registro tem um valor padrão de 43.200 (12 horas). Como uma prática recomendada de segurança, recomendamos que você reduza esse valor padrão. Recomendamos que você defina o valor como 3600 (1 hora) ou para um valor ainda menor, dependendo da fonte de tempo, das condições de rede, no intervalo da votação e nos requisitos de segurança.
Entrada do registro do Windows Server 2000 SP 4
| Tipo | Detalhes |
|---|---|
| Entrada do Registro | MaxAllowedClockErrInSecs |
| Tipo do Valor | DWORD |
| Subchave | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters |
| Observações | Especifica a alteração máxima do relógio habilitada em segundos. Quando o evento é registrado, a hora não é ajustada com base no valor. Esse comportamento ocorre para ajudar a proteger contra qualquer atividade suspeita de carimbo de horário. O valor padrão para membros de domínio é 43.200. |
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários