Настройка службы времени Windows при большом смещении времени
В этой статье описывается, как настроить службу времени Windows для большого смещения времени.
Область применения: Windows 10 — все выпуски, Windows Server 2012 R2
Исходный номер базы знаний: 884776
Введение
Операционные системы Windows включают средство службы времени (служба W32Time), которое используется протоколом проверки подлинности Kerberos. Проверка подлинности Kerberos будет работать, если интервал времени между соответствующими компьютерами находится в пределах максимально допустимого интервала времени. Значение по умолчанию — 5 минут. Вы также можете отключить средство "Служба времени". Затем можно установить стороннюю службу времени.
Цель средства службы времени — убедиться, что все компьютеры в организации под управлением Microsoft Windows 2000 или более поздних версий операционных систем Windows используют общее время. Чтобы убедиться в наличии подходящего общего использования времени, служба времени использует иерархическое отношение, которое управляет центром. По умолчанию компьютеры под управлением Windows подчиняются следующей иерархии:
Все клиентские настольные компьютеры назначают контроллер домена для проверки подлинности в качестве авторитетного источника времени.
В домене все серверы следуют тому же процессу, что и клиентские настольные компьютеры.
Все контроллеры домена в домене назначают операции основного контроллера домена (PDC) master в качестве источника времени.
Все мастера операций PDC следуют иерархии доменов при выборе источника времени. Однако мастера операций PDC могут использовать родительский контроллер домена, основанный на нумеровке слоев.
Примечание.
Число страта определяет, насколько близко сервер времени находится к основному источнику ссылок.
Чем меньше число, тем ближе сервер к основному источнику времени. В этой иерархии операции PDC master в корне леса становятся полномочным сервером времени для организации. Настоятельно рекомендуется настроить доверенный сервер времени для сбора времени из аппаратного источника. При попытке настроить доверенный сервер времени для синхронизации с источником времени в Интернете проверка подлинности не выполняется. Мы также рекомендуем сократить параметры коррекции времени для серверов и автономных клиентов. При выполнении этих рекомендаций домену предоставляется более точное время.
Дополнительная информация
Обзор откатов времени показал, что компьютеры могут использовать время, которое может быть днями, месяцами, годами или даже десятками лет в будущем или в прошлом. При накате компьютеров или назад во времени могут возникнуть следующие проблемы:
- Пароли в учетных записях компьютеров, учетных записях пользователей и отношениях доверия могут быть своевременно обновлены.
- Карантины можно определить с помощью события репликации NTDS 2042 в репликации службы каталогов Active Directory.
- Несоответствие паролей достоверно восстанавливается для учетных записей компьютеров, учетных записей пользователей или отношений доверия. Восстановление после таких несоответствий может потребовать сброса паролей вручную во всех затронутых учетных записях и отношениях доверия.
Как защититься от времени, которое откатывается вперед, и откатов времени
При перезапуске компьютеров и циклов питания BIOS сохраняет время в локальном EPROM, расположенном на системной плате компьютера. При запуске Windows ядро извлекает текущее время из BIOS. Это текущее время используется в качестве начального времени, пока служба W32Time не сможет синхронизироваться с другим источником времени.
Служба времени Windows 32 поддерживает две записи реестра: MaxPosPhaseCorrection и MaxNegPhaseCorrection. Эти записи ограничивают выборки, которые служба времени принимает на локальном компьютере при отправке этих примеров с удаленного компьютера.
Когда компьютер, работающий в устойчивом состоянии, получает выборку времени из источника времени, выборка проверяется на соответствие границам фазового исправления, которые MaxPosPhaseCorrection накладывают записи реестра и MaxNegPhaseCorrection . Если выборка времени не соответствует ограничениям, которые применяются двумя записями реестра, этот пример принимается для дополнительной обработки. Если выборка времени не попадает в эти пределы, выборка времени игнорируется, а служба времени регистрирует следующее сообщение в файле частного журнала W32Time:
СЛИШКОМ БОЛЬШОЙ
Если администраторы уменьшают значение для положительных и отрицательных фазовых исправлений, администраторы могут уменьшить угрозу того, что компьютеры будут получать время из недопустимых выборок времени для компьютера под управлением Windows. С другой стороны, если администраторы уменьшают значение, администраторы могут запретить компьютеру находиться впереди или за текущим временем на больше, чем налагаемые этими значениями ограничения.
Примечание.
Если значения записей реестра для положительных и отрицательных исправлений сокращены, время будет увеличено или уменьшено.
По умолчанию для MaxPosPhaseCorrection записей реестра и MaxNegPhaseCorrection в Windows 2000, Windows XP, Windows Server 2003 и Windows Vista используется следующее значение:
0xFFFFFFF
Это значение позволяет компьютеру получать время, содержащееся в любой выборке времени, независимо от неточностей.
В Windows Server 2008 было принято новое значение по умолчанию для записей реестра MaxPosPhaseCorrection и MaxNegPhaseCorrection. Это новое значение по умолчанию — 48 часов. Это 48-часовое значение можно представить как одно из следующих значений:
- 2a300 (шестнадцатеричный)
- 172800 (десятичное)
Рекомендуется задать MaxPosPhaseCorrection для записей реестра и MaxNegPhaseCorrection значение, отличное от следующего:
MAX (0xFFFFFFFF)
Примечание.
Если задать значение, отличное от MAX (0xFFFFFFFF), вы можете запретить компьютерам использовать время, которое является очень неточным в сценариях перезапуска компьютера или прерывания подключения к внешним источникам времени. Например, рассмотрим ситуацию, когда записи реестра MaxPosPhaseCorrection и MaxNegPhaseCorrection настроены на 48 часов на всех контроллерах домена в лесу. Если какой-либо контроллер домена испытывает необычный скачок времени более чем на 48 часов, значение, заданное для записей реестра MaxPosPhaseCorrection и MaxNegPhaseCorrection, не позволит другим компьютерам выполнить этот же переход времени. Таким образом, компьютеры, которые не синхронизированы, можно хранить отдельно от других компьютеров до тех пор, пока администратор не сможет провести расследование и принять меры по исправлению.
Точность времени особенно важна для основного контроллера домена (PDC) корневого леса. Поскольку PDC является корневым источником времени для домена, неточные изменения времени в PDC могут привести к скачку времени на уровне домена. Если вы наложите ограничения на фазовую коррекцию для PDC, вы можете запретить другим контроллерам домена в лесу принимать новое время.
Значение по умолчанию 48 часов вместо значения по умолчанию 5 минут или 15 минут основано на следующих причинах:
- Выходные данные программы W32TM трудно прочитать.
- В настоящее время W32TM не ориентирует время на рядовые компьютеры и рядовые серверы.
- Ошибки и события, регистрируемые операционной системой Windows и автономными сторонними приложениями, очень несогласованны. Возможные ошибки включают коды возврата, похожие на следующие:
- отказано в доступе
- Сервер RPC недоступен
Примечание.
Эти ошибки имеют низкую корреляцию с неравномерностью времени, так как причина может помешать компьютерам Под управлением Windows принять точное значение времени.
- Ошибки летнего времени могут привести к различиям в времени в течение 1 часа.
- Неправильная настройка AM или PM может привести к 12-часовой разнице во времени.
- Ошибки дня или даты могут привести к 24-часовой разнице во времени.
Таким образом, 48 часов было следующее очевидное смещение времени после 25 или 36 часов. Администраторы также могут уменьшить значение с помощью правильных средств, которые сообщают об инфраструктуре и тестировании.
Конкретные рекомендации в соответствии с версией операционной системы и ролью компьютера описаны в следующих разделах.
Windows XP Professional и все версии Windows Server 2003
Серверы домена
Корневой PDC леса (полномочный сервер времени)
Настоятельно рекомендуется настроить доверенный сервер времени для сбора времени из аппаратного источника. При настройке доверенного сервера времени для синхронизации с источником времени в Интернете проверка подлинности отсутствует. Необходимо перенастроить следующие записи реестра:
MaxPosPhaseCorrectionMaxNegPhaseCorrection
Значение по умолчанию для этих двух записей реестра — 0xFFFFFFFF. Это значение по умолчанию означает "Принять любое изменение во время". Рекомендуется значение, равное 48 часам. Он представлен в реестре как 2a300 (шестнадцатеричный) или 172800 (десятичный). Рекомендуется задать для записи реестра MaxPollInterval значение 10 или меньше, а для записи реестра SpecialPollInterval — 3600 (1 час) или меньше.
Контроллеры домена и рядовые серверы внутри домена
Записи MaxPosPhaseCorrection реестра и MaxNegPhaseCorrection имеют значение по умолчанию 0xFFFFFFFF. Это значение по умолчанию означает "Принять любое изменение во время". Рекомендуется установить это значение 48 часов на всех контроллерах домена. Значение 48 часов также можно задать на рядовых серверах, на которых выполняются приложения с учетом времени.
Примечание.
Дополнительные сведения об этих записях реестра см. в разделе Записи реестра Windows Server 2003 и Windows XP Time Service .
Автономные клиенты
Записи MaxPosPhaseCorrection реестра и MaxNegPhaseCorrection имеют значение по умолчанию 54 000 (15 часов). В целях обеспечения безопасности рекомендуется уменьшить это значение по умолчанию. Мы также рекомендуем задать значение 3600 (1 час) или еще меньшее значение в зависимости от источника времени, состояния сети, интервала опроса и требований безопасности.
Записи реестра Службы времени Windows Server 2003 и Windows XP
| Тип | Подробно |
|---|---|
| Запись реестра | MaxPosPhaseCorrection |
| Тип значения | DWORD |
| Подраздел | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config |
| Заметки | Эта запись указывает наибольшее положительное исправление времени в секундах, которое может сделать служба. Если служба определяет, что изменение больше, чем требуется, она регистрирует событие. Особый случай: 0xFFFFFFFF означает всегда вносить исправление времени. Значение по умолчанию для членов домена — 0xFFFFFFFF. Значение по умолчанию для автономных клиентов и серверов — 54 000 (15 часов). |
| Запись реестра | MaxNegPhaseCorrection |
| Тип значения | DWORD |
| Подраздел | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config |
| Заметки | Эта запись указывает наибольшее отрицательное исправление времени в секундах, которое может сделать служба. Если служба определяет, что изменение больше, чем требуется, она регистрирует событие. Особый случай: -1 означает, что всегда вносите исправление времени. Значение по умолчанию для членов домена — 0xFFFFFFFF. Значение по умолчанию для автономных клиентов и серверов — 54 000 (15 часов). |
| Запись реестра | MaxPollInterval |
| Тип значения | DWORD |
| Подраздел | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config |
| Заметки | Эта запись указывает наибольший интервал (в секундах), который включен для интервала опроса системы. Обратите внимание, что, хотя система должна выполнять опрос в соответствии с запланированным интервалом, поставщик может отказаться от создания примеров при запросе выборок. Значение по умолчанию для членов домена — 10. Значение по умолчанию для автономных клиентов и серверов — 15. |
| Запись реестра | SpecialPollInterval |
| Тип значения | DWORD |
| Подраздел | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient |
| Заметки | Эта запись задает специальный интервал опроса в секундах для одноранговых узлов вручную. Если флаг SpecialInterval 0x1 включен, W32Time использует этот интервал опроса вместо интервала опроса, определяемого операционной системой. Значение по умолчанию для членов домена — 3600. Значение по умолчанию на автономных клиентах и серверах — 604 800. |
Примечание.
Для развертывания этих параметров рекомендуется использовать объект глобальной политики Редактор. Дополнительные сведения о службе времени Windows в лесу на основе Windows Server 2003 см. в разделе Служба времени Windows (W32Time).
Значения параметров службы времени Windows по умолчанию, определенные в объекте групповая политика (GPO), могут не соответствовать значениям по умолчанию, определенным в реестре контроллеров домена под управлением Windows Server 2003. При развертывании значений MaxPosPhaseCorrection и MaxNegPhaseCorrection в контроллерах домена Windows Server 2003 с помощью объекта групповой политики убедитесь, что объект групповой политики не изменяет значения других параметров службы времени Windows в реестре. Другие значения параметров службы времени Windows также может потребоваться изменить в объекте групповой политики, чтобы они соответствовали значениям реестра по умолчанию в контроллерах домена.
Все версии Windows 2000 с пакетом обновления 4 (SP4)
Серверы домена
Корневой PDC леса (полномочный сервер времени)
Настоятельно рекомендуется настроить доверенный сервер времени для сбора времени из аппаратного источника. При настройке доверенного сервера времени для синхронизации с источником времени в Интернете проверка подлинности в ручном режиме не выполняется. Вы можете перенастроить MaxAllowedClockErrInSecs запись реестра. Значение по умолчанию — 43 200. Рекомендуемое значение — 900 (15 минут) или еще меньшее значение в зависимости от источника времени, условий сети и требований безопасности. Это также зависит от интервала опроса. Рекомендуется установить значение интервала опроса в один час каждые 24 часа.
Примечание.
Дополнительные сведения об этой записи реестра см. в разделе Записи реестра Windows Server 2000 с пакетом обновления 4 (SP4 ).
Контроллеры домена и рядовые серверы внутри домена
Тип синхронизации — NT5DS. Служба времени синхронизируется из иерархии домена, а служба времени принимает временные изменения. Так как NT5DS принимает любое изменение времени без учета смещения времени, важно настроить надежный источник корневого времени леса в подсети синхронизации времени.
Примечание.
Значение NT5DS указывает, что тип синхронизации получен из записи реестра.
Автономные клиенты
Запись MaxAllowedClockErrInSecs реестра имеет значение по умолчанию 43 200 (12 часов). В целях обеспечения безопасности рекомендуется уменьшить это значение по умолчанию. Рекомендуется задать значение 3600 (1 час) или еще меньшее значение в зависимости от источника времени, условий сети, интервала опроса и требований безопасности.
Запись реестра Windows Server 2000 с пакетом обновления 4 (SP4)
| Тип | Подробно |
|---|---|
| Запись реестра | MaxAllowedClockErrInSecs |
| Тип значения | DWORD |
| Подраздел | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters |
| Заметки | Указывает максимальное изменение часов, которое включено в секундах. Когда событие регистрируется в журнале, время не корректируется в зависимости от значения. Это происходит для защиты от любых подозрительных действий метки времени. Значение по умолчанию для членов домена — 43 200. |
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по