Så här konfigurerar du Windows tidstjänst mot en stor tidsförskjutning

  • Artikel

Den här artikeln beskriver hur du konfigurerar Windows-tidstjänsten mot en stor tidsförskjutning.

Gäller för: Windows 10 – alla utgåvor, Windows Server 2012 R2
Ursprungligt KB-nummer: 884776

Inledning

Windows-operativsystem innehåller tidstjänstverktyget (W32Time-tjänsten) som används av Kerberos-autentiseringsprotokollet. Kerberos-autentisering fungerar om tidsintervallet mellan de relevanta datorerna ligger inom den maximala aktiverade tidsförskjutning. Standardvärdet är 5 minuter. Du kan också stänga av tidstjänstverktyget. Sedan kan du installera en tidstjänst från tredje part.

Syftet med tidstjänstverktyget är att se till att alla datorer i en organisation som kör Microsoft Windows 2000 eller senare versioner av Windows-operativsystem använder en gemensam tid. För att säkerställa att det finns en lämplig vanlig tidsanvändning använder tidstjänsten en hierarkisk relation som styr auktoriteten. Normalt används följande hierarki på Windows-datorer:

  • Alla klientskrivbordsdatorer nominerar den autentiserande domänkontrollanten som sin auktoritativa tidskälla.

  • I en domän följer alla servrar samma process som klientskrivbordsdatorerna följer.

  • Alla domänkontrollanter i en domän nominerar den primära domänkontrollantens (PDC) operations master som sin tidskälla.

  • Alla PDC-åtgärdshanterare följer domänhierarkin i valet av tidskälla. PDC-driftshanterare kan dock använda en överordnad domänkontrollant som baseras på stratumnumrering.

    Obs!

    Ett stratumnummer definierar hur nära en tidsserver är den primära referenskällan.

Ju mindre tal, desto närmare är servern den primära tidskällan. I den här hierarkin blir PDC-åtgärdshanteraren i skogens rot den auktoritativa tidsservern för organisationen. Vi rekommenderar starkt att du konfigurerar den auktoritativa tidsservern för att samla in tiden från en maskinvarukälla. När du försöker konfigurera den auktoritativa tidsservern så att den synkroniseras med en Internet-tidskälla finns det ingen autentisering. Vi rekommenderar också att du minskar tidskorrigeringsinställningarna för servrarna och för de fristående klienterna. När du följer dessa rekommendationer ges mer exakt tid till domänen.

Mer information

En genomgång av tidsåterställning har visat att datorer kan anta tid som kan vara dagar, månader, år eller till och med tiotals år i framtiden eller tidigare. Följande problem kan uppstå när datorerna rullas framåt eller bakåt i tiden:

  • Lösenord för datorkonton, användarkonton och förtroenderelationer kan uppdateras i förtid.
  • Karantäner kan identifieras av NTDS Replication Event 2042 i Active Directory-katalogtjänstreplikering.
  • Matchningsfelet för lösenord återställs auktoritativt för datorkonton, för användarkonton eller för förtroenderelationer. Återställningen från sådana matchningar kan kräva manuella lösenordsåterställningar för alla konton och förtroenden som påverkas.

Så här skyddar du mot tidsåterställning och tidsåterställning

När datorer och strömcykler startas om behåller BIOS tid i den lokala EPROM som finns på datorns moderkort. När Windows startar hämtar kerneln den aktuella tiden från BIOS. Den här aktuella tiden används som den första tiden tills W32Time-tjänsten kan synkroniseras med en annan tidskälla.

Tidstjänsten för Windows 32 stöder två registerposter, MaxPosPhaseCorrection och MaxNegPhaseCorrection. Dessa poster begränsar de exempel som tidstjänsten accepterar på en lokal dator när dessa exempel skickas från en fjärrdator.

När en dator som körs i stabilt tillstånd tar emot ett tidsexempel från sin tidskälla kontrolleras exemplet mot faskorrigeringsgränserna som registerposterna MaxPosPhaseCorrection och MaxNegPhaseCorrection tillämpar. Om tidsexemplet ligger inom de gränser som de två registerposterna tillämpar godkänns det här exemplet för ytterligare bearbetning. Om tidsexemplet inte ligger inom dessa gränser ignoreras tidsexemplet och tidstjänsten loggar följande meddelande i den privata loggfilen W32Time:

FÖR STOR

Om administratörer minskar värdet för positiva och negativa faskorrigeringar kan administratörer minska hotet om att datorer får tid från ogiltiga tidsexempel för en Windows-baserad dator. Om administratörer å andra sidan minskar värdet kan administratörer förhindra datorer från att ligga före eller efter den aktuella tiden med mer än de gränser som dessa värden medför.

Obs!

Om registerpostvärdena för positiva och negativa korrigeringar minskas, ökas eller minskas tiden.

Standardvärdet för registerposterna MaxPosPhaseCorrection och MaxNegPhaseCorrection i Windows 2000 i Windows XP i Windows Server 2003 och i Windows Vista är följande värde:
0xFFFFFFF

Det här värdet gör det möjligt för datorn att ta emot den tid som finns i ett tidsexempel, oavsett felaktighet.

I Windows Server 2008 har ett nytt standardvärde för registerposterna MaxPosPhaseCorrection och MaxNegPhaseCorrection antagits. Det här nya standardvärdet är 48 timmar. Det här 48-timmarsvärdet kan representeras som något av följande värden:

  • 2a300 (hexadecimal)
  • 172800 (decimal)

Vi rekommenderar att posterna MaxPosPhaseCorrection och MaxNegPhaseCorrection är inställda på ett annat värde än följande värde:
MAX (0xFFFFFFFF)

Obs!

När du ställer in värdet på ett annat värde än MAX (0xFFFFFFFF) kan du förhindra att datorer inför en tid som är mycket felaktig i scenarier där datorn startas om eller anslutningen till externa tidskällor avbryts. Tänk dig till exempel att registerposterna MaxPosPhaseCorrection och MaxNegPhaseCorrection har angetts i 48 timmar på alla domänkontrollanter i skogen. Om en enskild domänkontrollant upplever ett ovanligt tidshopp på mer än 48 timmar hindrar det värde som du angav för registerposterna MaxPosPhaseCorrection och MaxNegPhaseCorrection andra datorer från att göra samma tidshopp. Därför kan datorer som inte är synkroniserade hållas åtskilda från de andra datorerna tills administratören kan undersöka och vidta åtgärder.

Tidsprecision är särskilt viktigt för skogsrotens primära domänkontrollant (PDC). Eftersom PDC är rottidskällan för domänen kan felaktiga tidsändringar i PDC potentiellt orsaka ett tidshopp för hela domänen. Om du inför faskorrigeringsbegränsningar för PDC kan du förhindra att andra domänkontrollanter i skogen accepterar den nya tiden.

Standardvärdet 48 timmar i stället för standardvärdet 5 minuter eller 15 minuter baseras på följande orsaker:

  • Det är svårt att läsa utdata från W32TM-verktyget.
  • W32TM riktar för närvarande inte in sig på tid på medlemsdatorer och på medlemsservrar.
  • Felen och händelserna som Windows-operativsystemet och fristående programloggar från tredje part är mycket inkonsekventa. Möjliga fel är returkoder som liknar följande:
    • åtkomst nekad
    • RPC Server är inte tillgänglig

    Obs!

    Dessa fel har en låg korrelation till tidsförskjutning eftersom orsaken kan hindra Windows-baserade datorer från att använda ett korrekt tidsvärde.

  • Sommartidsbuggar kan orsaka tidsskillnader på 1 timme.
  • Felaktig konfiguration av AM eller PM kan orsaka en tidsskillnad på 12 timmar.
  • Misstag på dag eller datum kan orsaka en tidsskillnad på 24 timmar.

Så 48 timmar var nästa uppenbara tidsförskjutning efter 25 eller 36 timmar. Administratörer kan också minska värdet med rätt verktyg som rapporterar infrastruktur och testning.

Specifika rekommendationer enligt operativsystemversion och datorroll beskrivs i följande avsnitt.

Windows XP Professional och alla versioner av Windows Server 2003

Domänservrar

Pdc för skogsrot (auktoritativ tidsserver)

Vi rekommenderar starkt att du konfigurerar den auktoritativa tidsservern för att samla in tiden från en maskinvarukälla. När du konfigurerar den auktoritativa tidsservern för synkronisering med en Internet-tidskälla finns det ingen autentisering. Du måste konfigurera om följande registerposter:

  • MaxPosPhaseCorrection
  • MaxNegPhaseCorrection

Standardvärdet för dessa två registerposter är 0xFFFFFFFF. Det här standardvärdet betyder "Acceptera alla tidsändringar". Vi rekommenderar ett värde som är 48 timmar. Det representeras i registret som 2a300 (hexadecimalt) eller 172800 (decimal). Vi rekommenderar att du anger värdet för registerposten MaxPollInterval till 10 eller mindre eller att du anger värdet för registerposten SpecialPollInterval till 3600 (1 timme) eller mindre.

Domänkontrollanter och medlemsservrar i domänen

Registerposterna MaxPosPhaseCorrection och MaxNegPhaseCorrection har standardvärdet 0xFFFFFFFF. Det här standardvärdet betyder "Acceptera alla tidsändringar". Vi rekommenderar att du anger det här värdet till 48 timmar på alla domänkontrollanter. Värdet på 48 timmar kan också anges på medlemsservrar som kör tidskänsliga program.

Obs!

Mer information om dessa registerposter finns i registerposterna Windows Server 2003 och Windows XP Time Service .

Fristående klienter

Registerposterna MaxPosPhaseCorrection och MaxNegPhaseCorrection har ett standardvärde på 54 000 (15 timmar). Som bästa praxis för säkerhet rekommenderar vi att du minskar det här standardvärdet. Vi rekommenderar också att du anger värdet till 3600 (1 timme) eller ett ännu mindre värde, beroende på tidskälla, nätverksvillkor, avsökningsintervall och säkerhetskrav.

Registerposter för Windows Server 2003 och Windows XP Time Service

Typ Information
Registerpost MaxPosPhaseCorrection
Värdetyp DWORD
Undernyckel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
Anteckningar Den här posten anger den största positiva tidskorrigeringen i sekunder som tjänsten kan göra. Om tjänsten fastställer att en ändring är större än vad som krävs loggar den en händelse i stället. Specialfall: 0xFFFFFFFF innebär att alltid göra tidskorrigeringen. Standardvärdet för domänmedlemmar är 0xFFFFFFFF. Standardvärdet för fristående klienter och servrar är 54 000 (15 timmar).
Registerpost MaxNegPhaseCorrection
Värdetyp DWORD
Undernyckel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
Anteckningar Den här posten anger den största negativa tidskorrigeringen i sekunder som tjänsten kan göra. Om tjänsten fastställer att en ändring som är större än detta krävs loggar den en händelse i stället. Specialfall: -1 innebär att alltid göra tidskorrigeringen. Standardvärdet för domänmedlemmar är 0xFFFFFFFF. Standardvärdet för fristående klienter och servrar är 54 000 (15 timmar).
Registerpost MaxPollInterval
Värdetyp DWORD
Undernyckel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
Anteckningar Den här posten anger det största intervallet, i sekunder, som är aktiverat för systemets avsökningsintervall. Observera att även om ett system måste avsöka enligt det schemalagda intervallet kan en leverantör vägra att ta fram exempel när prover begärs. Standardvärdet för domänmedlemmar är 10. Standardvärdet för fristående klienter och servrar är 15.
Registerpost SpecialPollInterval
Värdetyp DWORD
Undernyckel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient
Anteckningar Den här posten anger det särskilda avsökningsintervallet i sekunder för manuella peer-datorer. När flaggan SpecialInterval 0x1 är aktiverad använder W32Time det här avsökningsintervallet i stället för ett avsökningsintervall som operativsystemet fastställer. Standardvärdet för domänmedlemmar är 3 600. Standardvärdet på fristående klienter och servrar är 604 800.

Obs!

Vi rekommenderar att du använder objektet Global policy Editor för att distribuera de här inställningarna. Mer information om Windows-tidstjänsten i en Windows Server 2003-baserad skog finns i Windows Time Service (W32Time).

Standardvärdena för Windows Time Service-parametern som definieras i grupprincip-objektet (GPO) kanske inte matchar standardvärdena som definieras i registret för Windows Server 2003-baserade domänkontrollanter. När du distribuerar MaxPosPhaseCorrection- och MaxNegPhaseCorrection-värden till Windows Server 2003-domänkontrollanter med hjälp av ett grupprincipobjekt kontrollerar du att grupprincipobjektet inte ändrar värdena för andra Windows Time-tjänstparametrar i registret. Andra parametervärden för Windows-tidstjänsten kan också behöva ändras i grupprincipobjektet för att matcha standardregistervärdena i domänkontrollanterna.

Alla versioner av Windows 2000 Service Pack 4 (SP4)

Domänservrar

Pdc för skogsrot (auktoritativ tidsserver)

Vi rekommenderar starkt att du konfigurerar den auktoritativa tidsservern för att samla in tiden från en maskinvarukälla. När du konfigurerar den auktoritativa tidsservern så att den synkroniserar med en Internet-tidskälla finns det ingen autentisering i manuellt läge. Du kan konfigurera om MaxAllowedClockErrInSecs registerposten. Standardvärdet är 43 200. Det rekommenderade värdet är 900 (15 minuter) eller ett ännu mindre värde, beroende på tidskälla, nätverksvillkor och säkerhetskrav. Det beror också på avsökningsintervallet. Vi rekommenderar att avsökningsintervallvärdet anges till en timme per dygn.

Obs!

Mer information om den här registerposten finns i registerposten för Windows Server 2000 SP 4 .

Domänkontrollanter och medlemsservrar i domänen

Synkroniseringstypen är NT5DS. Tidstjänsten synkroniseras från domänhierarkin och tidstjänsten accepterar alla tidsändringar. Eftersom NT5DS accepterar alla tidsändringar utan att ta hänsyn till tidsförskjutningen är det viktigt att konfigurera en tillförlitlig källkälla för skogsrotstid i tidssynkroniseringsundernätet.

Obs!

NT5DS-värdet anger att synkroniseringstypen hämtas från en registerpost.

Fristående klienter

Registerposten MaxAllowedClockErrInSecs har ett standardvärde på 43 200 (12 timmar). Som bästa praxis för säkerhet rekommenderar vi att du minskar det här standardvärdet. Vi rekommenderar att du anger värdet till 3600 (1 timme) eller till ett ännu mindre värde, beroende på tidskälla, nätverksvillkor, avsökningsintervall och säkerhetskrav.

Registerpost för Windows Server 2000 SP 4

Typ Information
Registerpost MaxAllowedClockErrInSecs
Värdetyp DWORD
Undernyckel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
Anteckningar Anger den maximala klockändring som är aktiverad i sekunder. När händelsen loggas justeras inte tiden baserat på värdet. Det här beteendet inträffar för att skydda mot misstänkt tidsstämpelaktivitet. Standardvärdet för domänmedlemmar är 43 200.