Konfigurowanie usługi Czas systemu Windows w celu eliminacji dużych przesunięć czasowych
W tym artykule opisano sposób konfigurowania usługi Czas systemu Windows w przypadku dużego przesunięcia czasu.
Dotyczy: Windows 10 — wszystkie wersje, Windows Server 2012 R2
Oryginalny numer KB: 884776
Wprowadzenie
Systemy operacyjne Windows obejmują narzędzie Time Service (W32Time), które jest używane przez protokół uwierzytelniania Kerberos. Uwierzytelnianie Kerberos będzie działać, jeśli interwał czasu między odpowiednimi komputerami mieści się w maksymalnym włączonym czasie niesymetryczności. Wartość domyślna to 5 minut. Możesz również wyłączyć narzędzie Time Service. Następnie można zainstalować usługę czasową innej firmy.
Celem narzędzia Time Service jest upewnienie się, że wszystkie komputery w organizacji z systemem Microsoft Windows 2000 lub nowszym w systemach operacyjnych Windows używają wspólnego czasu. Aby upewnić się, że istnieje odpowiednie typowe użycie czasu, usługa Time używa hierarchicznej relacji kontrolującej urząd. Komputery z systemem Windows używają domyślnie następującej hierarchii:
Wszystkie komputery stacjonarne klienta nominują uwierzytelniający kontroler domeny jako źródło autorytatywnego czasu.
W domenie wszystkie serwery są zgodne z tym samym procesem, który są obserwowane przez komputery stacjonarne klienta.
Wszystkie kontrolery domeny w domenie nominują główny master operacji podstawowego kontrolera domeny (PDC) jako źródło czasu.
Wszystkie wzorce operacji kontrolera PDC są zgodne z hierarchią domen w wyborze źródła czasu. Jednak wzorce operacji kontrolera PDC mogą używać nadrzędnego kontrolera domeny opartego na numerowaniu warstwowym.
Uwaga
Liczba warstwowa definiuje, jak blisko serwera czasowego znajduje się główne źródło referencyjne.
Im mniejsza liczba, tym bliżej serwera jest źródło czasu podstawowego. W tej hierarchii wzorzec operacji kontrolera PDC w katalogu głównym lasu staje się autorytatywnym serwerem czasu dla organizacji. Zdecydowanie zalecamy skonfigurowanie autorytatywnego serwera czasu w celu zebrania czasu ze źródła sprzętu. Podczas próby skonfigurowania autorytatywnego serwera czasu do synchronizacji ze źródłem czasu internetowego nie ma uwierzytelniania. Zalecamy również skrócenie ustawień korekty czasu dla serwerów i klientów autonomicznych. Gdy zastosujesz się do tych zaleceń, do domeny jest dostarczany dokładniejszy czas.
Więcej informacji
Przegląd wycofywania czasu pokazał, że komputery mogą przyjąć czas, który może być dniem, miesiącem, latem, a nawet dziesiątkami lat w przyszłości lub w przeszłości. Następujące problemy mogą wystąpić, gdy komputery będą się rozwijać lub cofać w czasie:
- Hasła na kontach komputerów, kontach użytkowników i relacjach zaufania można przedwcześnie zaktualizować.
- Kwarantanny mogą być identyfikowane przez zdarzenie replikacji NTDS 2042 w replikacji usługi katalogowej Active Directory.
- Niezgodność haseł jest autorytatywnie przywracana dla kont komputerów, kont użytkowników lub relacji zaufania. Odzyskiwanie po takich niezgodnościach może wymagać ręcznego resetowania hasła na wszystkich kontach i zaufaniach, których dotyczy problem.
Jak chronić przed czasem, który jest przesuwem do przodu i wycofywaniem czasu
Po ponownym uruchomieniu komputerów i cykli zasilania system BIOS zachowuje czas w lokalnym programie EPROM znajdującym się na płycie głównej komputera. Po uruchomieniu systemu Windows jądro pobiera bieżący czas z systemu BIOS. Ta bieżąca godzina jest używana jako początkowy czas, aż usługa W32Time będzie mogła zsynchronizować się z innym źródłem czasu.
Usługa czasowa systemu Windows 32 obsługuje dwa wpisy rejestru: MaxPosPhaseCorrection i MaxNegPhaseCorrection. Te wpisy ograniczają przykłady akceptowane przez usługę czasową na komputerze lokalnym, gdy te przykłady są wysyłane z komputera zdalnego.
Gdy komputer działający w stanie stałym otrzymuje próbkę czasu ze źródła czasu, próbka jest sprawdzana pod kątem granic korekty fazowej, które MaxPosPhaseCorrection nakładają wpisy rejestru i MaxNegPhaseCorrection . Jeśli przykład czasu mieści się w granicach wymuszanych przez dwa wpisy rejestru, ten przykład jest akceptowany do dodatkowego przetwarzania. Jeśli przykład czasu nie mieści się w tych limitach, przykład czasu jest ignorowany, a usługa time rejestruje następujący komunikat w prywatnym pliku dziennika W32Time:
ZA DUŻY
Jeśli administratorzy zmniejszą wartość poprawek fazy dodatniej i ujemnej, administratorzy mogą zmniejszyć zagrożenie, że komputery będą otrzymywać czas z nieprawidłowych przykładów czasu dla komputera z systemem Windows. Z drugiej strony, jeśli administratorzy zmniejszą wartość, administratorzy mogą uniemożliwić komputerom wyprzedzanie lub opóźnienie bieżącego czasu o więcej niż limity, które nakładają te wartości.
Uwaga
Jeśli wartości wpisu rejestru dla poprawek dodatnich i ujemnych zostaną skrócone, czas zostanie zwiększony lub skrócony.
Wartość domyślna MaxPosPhaseCorrection wpisów rejestru i MaxNegPhaseCorrection w systemie Windows 2000, Windows XP, Windows Server 2003 i Windows Vista jest następująca wartość:
0xFFFFFFF
Ta wartość umożliwia komputerowi odbieranie czasu zawartego w dowolnym przykładzie czasu bez względu na niedokładność.
W systemie Windows Server 2008 została przyjęta nowa wartość domyślna dla wpisów rejestru MaxPosPhaseCorrection i MaxNegPhaseCorrection. Ta nowa wartość domyślna to 48 godzin. Ta 48-godzinna wartość może być reprezentowana jako jedna z następujących wartości:
- 2a300 (szesnastkowa)
- 172800 (dziesiętne)
Zalecamy, MaxPosPhaseCorrection aby wpisy rejestru i MaxNegPhaseCorrection były ustawione na wartość inną niż następująca wartość:
MAX (0xFFFFFFFF)
Uwaga
Po ustawieniu wartości na wartość inną niż MAX (0xFFFFFFFF) można uniemożliwić komputerom przyjęcie czasu, który jest bardzo niedokładny w scenariuszach, w których komputer jest ponownie uruchomiony lub łączność z zewnętrznymi źródłami czasu jest zakłócona. Rozważmy na przykład przypadek, w którym masz wpisy rejestru MaxPosPhaseCorrection i MaxNegPhaseCorrection ustawione na 48 godzin na wszystkich kontrolerach domeny w lesie. Jeśli jakikolwiek pojedynczy kontroler domeny doświadcza nietypowego przeskoku czasu wynoszącego ponad 48 godzin, wartość ustawiona dla wpisów rejestru MaxPosPhaseCorrection i MaxNegPhaseCorrection uniemożliwi innym komputerom wykonanie tego samego skoku czasu. W związku z tym komputery, które nie są zsynchronizowane, mogą być oddzielone od innych komputerów, dopóki administrator nie będzie mógł zbadać i podjąć działania naprawcze.
Dokładność czasu jest szczególnie ważna na głównym kontrolerze domeny lasu (PDC). Ponieważ kontroler PDC jest głównym źródłem czasu dla domeny, niedokładne zmiany czasu w kontrolerze PDC mogą potencjalnie spowodować skok czasu w całej domenie. Jeśli nałożysz ograniczenia korekcji fazowej na kontroler PDC, możesz uniemożliwić innym kontrolerom domeny w lesie akceptowanie nowego czasu.
Wartość domyślna 48 godzin zamiast wartości domyślnej wynoszącej 5 minut lub 15 minut jest oparta na następujących przyczynach:
- Dane wyjściowe narzędzia W32TM są trudne do odczytania.
- W32TM obecnie nie ma czasu docelowego na komputerach członkowskich i na serwerach członkowskich.
- Błędy i zdarzenia występujące w systemie operacyjnym Windows i autonomicznym dzienniku aplikacji innych firm są wysoce niespójne. Możliwe błędy obejmują kody powrotne podobne do następujących:
- odmowa dostępu
- Serwer RPC jest niedostępny
Uwaga
Te błędy mają niską korelację z niesymetrycznością czasu, ponieważ przyczyna może uniemożliwić komputerom z systemem Windows przyjęcie dokładnej wartości czasu.
- Usterki czasu letniego mogą powodować 1-godzinne różnice czasu.
- Błędna konfiguracja am lub PM może spowodować 12-godzinną różnicę czasu.
- Błędy dnia lub daty mogą powodować 24-godzinną różnicę czasu.
Tak więc 48 godzin było następnym oczywistym przesunięciem czasu po 25 lub 36 godzinach. Administratorzy mogą również zmniejszyć wartość za pomocą odpowiednich narzędzi, które raportują infrastrukturę i testowanie.
Konkretne zalecenia zgodnie z wersją systemu operacyjnego i rolą komputera zostały opisane w poniższych sekcjach.
Windows XP Professional i wszystkie wersje systemu Windows Server 2003
Serwery domeny
Główny kontroler PDC lasu (autorytatywny serwer czasu)
Zdecydowanie zalecamy skonfigurowanie autorytatywnego serwera czasu w celu zebrania czasu ze źródła sprzętu. Podczas konfigurowania autorytatywnego serwera czasu do synchronizacji ze źródłem czasu internetowego nie ma uwierzytelniania. Należy ponownie skonfigurować następujące wpisy rejestru:
MaxPosPhaseCorrectionMaxNegPhaseCorrection
Wartość domyślna tych dwóch wpisów rejestru to 0xFFFFFFFF. Ta wartość domyślna oznacza "Zaakceptuj każdą zmianę czasu". Zalecamy wartość 48 godzin. Jest on reprezentowany w rejestrze jako 2a300 (szesnastkowy) lub 172800 (dziesiętny). Zalecamy ustawienie wartości wpisu rejestru MaxPollInterval na wartość 10 lub mniejszą lub ustawienie wartości wpisu rejestru SpecialPollInterval na wartość 3600 (1 godzina) lub mniejszą.
Kontrolery domeny i serwery członkowskie w domenie
Wpisy MaxPosPhaseCorrection rejestru i MaxNegPhaseCorrection mają wartość domyślną 0xFFFFFFFF. Ta wartość domyślna oznacza "Zaakceptuj każdą zmianę czasu". Zalecamy ustawienie tej wartości na 48 godzin na wszystkich kontrolerach domeny. Wartość 48 godzin można również ustawić na serwerach członkowskich, na których działają aplikacje zależne od czasu.
Uwaga
Aby uzyskać więcej informacji na temat tych wpisów rejestru, zobacz sekcję Wpisy rejestru usługi czasowej systemu Windows Server 2003 i Windows XP .
Klienci autonomiczni
Wpisy MaxPosPhaseCorrection rejestru i MaxNegPhaseCorrection mają wartość domyślną 54 000 (15 godzin). Jako najlepsze rozwiązanie w zakresie zabezpieczeń zalecamy zmniejszenie tej wartości domyślnej. Zalecamy również ustawienie wartości 3600 (1 godzina) lub jeszcze mniejszej wartości, w zależności od źródła czasu, warunku sieci, interwału sondowania i wymagań dotyczących zabezpieczeń.
Wpisy rejestru usług czasowych systemu Windows Server 2003 i Windows XP
| Wpisać | Szczegóły |
|---|---|
| Wpis rejestru | MaxPosPhaseCorrection |
| Typ wartości: | DWORD |
| Podklucz | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config |
| Uwagi | Ten wpis określa największą dodatnią korektę czasu w sekundach, jaką może wprowadzić usługa. Jeśli usługa ustali, że zmiana jest większa niż jest wymagana, zamiast tego rejestruje zdarzenie. Przypadek specjalny: 0xFFFFFFFF oznacza, aby zawsze wprowadzać korektę czasu. Wartość domyślna dla członków domeny to 0xFFFFFFFF. Wartość domyślna dla klientów autonomicznych i serwerów wynosi 54 000 (15 godzin). |
| Wpis rejestru | MaxNegPhaseCorrection |
| Typ wartości: | DWORD |
| Podklucz | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config |
| Uwagi | Ten wpis określa największą ujemną korektę czasu w sekundach, jaką może dokonać usługa. Jeśli usługa stwierdzi, że zmiana większa niż jest wymagana, zamiast tego rejestruje zdarzenie. Przypadek specjalny: -1 oznacza, że zawsze koryguj czas. Wartość domyślna dla członków domeny to 0xFFFFFFFF. Wartość domyślna dla klientów autonomicznych i serwerów wynosi 54 000 (15 godzin). |
| Wpis rejestru | MaxPollInterval |
| Typ wartości: | DWORD |
| Podklucz | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config |
| Uwagi | Ten wpis określa największy interwał w sekundach, który jest włączony dla interwału sondowania systemu. Należy zauważyć, że chociaż system musi sondować zgodnie z zaplanowanym interwałem, dostawca może odmówić utworzenia próbek w przypadku żądania próbek. Wartość domyślna dla członków domeny to 10. Wartość domyślna dla klientów autonomicznych i serwerów to 15. |
| Wpis rejestru | SpecialPollInterval |
| Typ wartości: | DWORD |
| Podklucz | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient |
| Uwagi | Ten wpis określa specjalny interwał sondowania w sekundach dla ręcznych elementów równorzędnych. Po włączeniu flagi SpecialInterval 0x1 usługa W32Time używa tego interwału sondowania zamiast interwału sondowania określanego przez system operacyjny. Wartość domyślna dla członków domeny to 3600. Wartość domyślna dla klientów i serwerów autonomicznych wynosi 604 800. |
Uwaga
Zalecamy użycie obiektu zasad globalnych Redaktor do wdrożenia tych ustawień. Aby uzyskać więcej informacji na temat usługi Czas systemu Windows w lesie opartym na systemie Windows Server 2003, zobacz Windows Time Service (W32Time).
Domyślne wartości parametrów usługi Czas systemu Windows zdefiniowane w obiekcie zasady grupy (GPO) mogą nie być zgodne z wartościami domyślnymi zdefiniowanymi w rejestrze kontrolerów domeny opartych na systemie Windows Server 2003. Podczas wdrażania wartości MaxPosPhaseCorrection i MaxNegPhaseCorrection na kontrolerach domeny systemu Windows Server 2003 przy użyciu obiektu zasad grupy upewnij się, że obiekt zasad grupy nie zmienia wartości innych parametrów usługi Czas systemu Windows w rejestrze. Inne wartości parametrów usługi Czas systemu Windows mogą również zostać zmienione w obiekcie zasad grupy, aby były zgodne z domyślnymi wartościami rejestru na kontrolerach domeny.
Wszystkie wersje systemu Windows 2000 z dodatkiem Service Pack 4 (SP4)
Serwery domeny
Główny kontroler PDC lasu (autorytatywny serwer czasu)
Zdecydowanie zalecamy skonfigurowanie autorytatywnego serwera czasu w celu zebrania czasu ze źródła sprzętu. Podczas konfigurowania autorytatywnego serwera czasu do synchronizacji ze źródłem czasu internetowego nie ma uwierzytelniania w trybie ręcznym. Można ponownie skonfigurować MaxAllowedClockErrInSecs wpis rejestru. Wartość domyślna to 43 200. Zalecana wartość to 900 (15 minut) lub jeszcze mniejsza wartość, w zależności od źródła czasu, warunków sieciowych i wymagań dotyczących zabezpieczeń. Zależy to również od interwału sondowania. Zalecamy, aby wartość interwału sondowania była ustawiana na jedną godzinę co 24 godziny.
Uwaga
Aby uzyskać więcej informacji na temat tego wpisu rejestru, zobacz Sekcję wpisu rejestru systemu Windows Server 2000 SP 4 .
Kontrolery domeny i serwery członkowskie w domenie
Typ synchronizacji to NT5DS. Usługa czasu synchronizuje się z hierarchii domeny, a usługa czasu akceptuje zmiany wszech czasów. Ponieważ system NT5DS akceptuje każdą zmianę czasu bez uwzględnienia przesunięcia czasu, ważne jest skonfigurowanie źródła czasu głównego lasu niezawodnego w podsieci synchronizacji czasu.
Uwaga
Wartość NT5DS wskazuje, że typ synchronizacji jest uzyskiwany z wpisu rejestru.
Klienci autonomiczni
Wpis MaxAllowedClockErrInSecs rejestru ma wartość domyślną 43 200 (12 godzin). Jako najlepsze rozwiązanie w zakresie zabezpieczeń zalecamy zmniejszenie tej wartości domyślnej. Zalecamy ustawienie wartości na 3600 (1 godzina) lub na jeszcze mniejszą wartość, w zależności od źródła czasu, warunków sieciowych, interwału sondowania i wymagań dotyczących zabezpieczeń.
Wpis rejestru systemu Windows Server 2000 SP 4
| Wpisać | Szczegóły |
|---|---|
| Wpis rejestru | MaxAllowedClockErrInSecs |
| Typ wartości: | DWORD |
| Podklucz | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters |
| Uwagi | Określa maksymalną zmianę zegara włączoną w sekundach. Po zarejestrowaniu zdarzenia czas nie jest dostosowywany na podstawie wartości. To zachowanie ma na celu ochronę przed podejrzanymi działaniami sygnatur czasowych. Wartość domyślna dla członków domeny to 43 200. |
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla