Настройка службы Windows времени с большим смещением времени

Настройка службы Windows времени с большим смещением времени

В этой статье описывается настройка службы Windows времени с большим смещением времени.

Применяется к: Windows 10 — все выпуски, Windows Server 2012 R2 Исходный номер КБ: 884776

Введение

Windows операционные системы включают средство службы времени (служба W32Time), которое используется протоколом проверки подлинности Kerberos. Проверка подлинности Kerberos будет работать, если интервал времени между соответствующими компьютерами находится в пределах максимального интервала времени включения. По умолчанию — 5 минут. Вы также можете отключить средство службы времени. Затем можно установить сторонную службу времени.

Цель средства службы времени состоит в том, чтобы убедиться, что все компьютеры в организации, в организации с Windows 2000 или более поздних версий Windows операционных систем, используют общее время. Чтобы убедиться, что используется соответствующее общее время, служба времени использует иерархические отношения, контролирующие полномочия. По умолчанию Windows компьютеры используют следующую иерархию:

Все клиентские настольные компьютеры назначают контроллер домена проверки подлинности в качестве авторитетного источника времени.

В домене все серверы следуют той же процедуре, что и настольные компьютеры клиента.

Все контроллеры домена в домене назначают основного контроллера домена (PDC) в качестве источника времени.

Все мастера операций PDC следуют иерархии доменов в выборе источника времени. Однако мастера операций PDC могут использовать родительский контроллер домена, основанный на числовом номере стратов.

Номер stratum определяет, насколько близок сервер времени к основному источнику ссылок.

Чем меньше число, тем ближе сервер к основному источнику времени. В этой иерархии мастер операций PDC в корне леса становится авторитетным сервером времени для организации. Мы настоятельно рекомендуем настроить авторитетный сервер времени для сбора времени из аппаратного источника. При попытке настроить авторитетный сервер времени для синхронизации с источником времени в Интернете проверка подлинности не происходит. Мы также рекомендуем уменьшить параметры коррекции времени для серверов и автономных клиентов. Когда вы будете следовать этим рекомендациям, домену будет предоставлено более точное время.

Дополнительная информация

Анализ откатов времени показал, что компьютеры могут использовать время, которое может быть дней, месяцев, лет или даже десятков лет в будущем или в прошлом. При откате или откате компьютеров во времени могут возникать следующие проблемы:

  • Пароли на компьютерных учетных записях, учетных записях пользователей и доверительные отношения могут быть преждевременно обновлены.
  • Карантины можно определить по событию репликации NTDS 2042 в репликации службы каталогов Active Directory.
  • Несоответствие паролей достоверно восстанавливается для учетных записей компьютеров, учетных записей пользователей или для отношений доверия. Для восстановления от таких несоответствий может потребоваться сброс ручного пароля на всех затронутых учетных записях и довериях.

Защита от откатов и откатов времени

При перезапуске компьютеров и циклов питания BIOS сохраняет время в локальном EPROM, расположенном на материнской доске компьютера. Когда Windows начинается, ядро извлекет текущее время из BIOS. Это время используется в качестве начального времени, пока служба W32Time не сможет синхронизироваться с другим источником времени.

Служба Windows 32 времени поддерживает два записи реестра, и MaxPosPhaseCorrection MaxNegPhaseCorrection . Эти записи ограничивают примеры, которые служба времени принимает на локальном компьютере, когда эти образцы отправляются с удаленного компьютера.

Когда компьютер, работающий в стабильном состоянии, получает пример времени из источника времени, образец проверяется на границах фазовой коррекции, которые накладываются записями MaxPosPhaseCorrection MaxNegPhaseCorrection реестра. Если пример времени подпадает под ограничения, которые исполняют два записи реестра, этот пример принимается для дополнительной обработки. Если пример времени не входит в эти ограничения, образец времени игнорируется, а служба времени регистрит следующее сообщение в файле частного журнала W32Time:

Если администраторы уменьшают значение для положительных и отрицательных исправлений фаз, администраторы могут уменьшить угрозу того, что компьютеры будут получать время из недействительных примеров времени для Windows компьютера на основе Windows. С другой стороны, если администраторы уменьшают значение, администраторы могут запретить компьютерам опережать или отставать от текущего времени на большее количество ограничений, налагаемого этими значениями.

Если значения записи реестра для положительных и отрицательных исправлений уменьшаются, время увеличивается или уменьшается.

Значение по умолчанию для записей в MaxPosPhaseCorrection MaxNegPhaseCorrection Windows 2000, Windows XP, Windows Server 2003 и Windows Vista: 0xFFFFFFF

Это значение позволяет компьютеру получать время, которое содержится в любом примере времени, независимо от неточности.

В Windows Server 2008 было принято новое значение по умолчанию для записей реестра MaxPosPhaseCorrection и MaxNegPhaseCorrection. Новое значение по умолчанию — 48 часов. Это 48-часовая величина может быть представлена в качестве одного из следующих значений:

  • 2a300 (hexadecimal)
  • 172800 (десятичных)

Рекомендуется, чтобы записи и записи реестра были задатки значению, которое не является MaxPosPhaseCorrection MaxNegPhaseCorrection следующим значением: MAX (0xFFFFFFFF)

Если вы установите значение, помимо MAX (0xFFFFFFFF), вы можете запретить компьютерам принимать время, которое является очень неточным в сценариях перезапуска компьютера или прерывания подключения к внешним источникам времени. Например, рассмотрим случай, когда записи реестра MaxPosPhaseCorrection и MaxNegPhaseCorrection установлены в течение 48 часов для всех контроллеров домена в лесу. Если какой-либо один контроллер домена испытывает необычный скачок времени более 48 часов, значение, которое вы задайте для записей реестра MaxPosPhaseCorrection и MaxNegPhaseCorrection, не позволит другим компьютерам сделать такой же скачок времени. Поэтому компьютеры, не синхронизированные, могут храниться отдельно от других компьютеров до тех пор, пока администратор не сможет исследовать и принимать меры по исправлению.

Точность времени особенно важна для основного контроллера основного домена леса (PDC). Так как PDC является корневым источником времени для домена, неточные изменения времени в PDC потенциально могут привести к скачку времени для всего домена. Если для PDC налагаются ограничения на исправление фаз, вы можете запретить другим контроллерам домена в лесу принимать новое время.

Значение по умолчанию 48 часов вместо значения по умолчанию 5 минут или 15 минут основано на следующих причинах:

  • Выход из утилиты W32TM трудно читать.
  • W32TM в настоящее время не имеет целевого времени на компьютерах членов и на серверах членов.
  • Ошибки и события, которые Windows и автономный журнал сторонних приложений, крайне несовместимы. Возможные ошибки включают коды возврата, похожие на следующие:
    • отказано в доступе
    • RPC Server недоступен

    Эти ошибки имеют низкую корреляцию со временем перекоса, поскольку причина может Windows компьютеров на основе точных значений времени.

    Таким образом, 48 часов было следующим очевидным смещением времени после 25 или 36 часов. Администраторы также могут уменьшить значение с помощью правильных средств, сообщая об инфраструктуре и тестировании.

    Конкретные рекомендации в зависимости от версии операционной системы и роли компьютера описаны в следующих разделах.

    Windows Xp Professional и все версии Windows Server 2003

    PDC корневого леса (авторитетный сервер времени)

    Мы настоятельно рекомендуем настроить авторитетный сервер времени для сбора времени из аппаратного источника. При настройке авторитетного сервера времени для синхронизации с источником времени в Интернете проверки подлинности не происходит. Необходимо перенастроить следующие записи реестра:

    • MaxPosPhaseCorrection
    • MaxNegPhaseCorrection

    Значение по умолчанию этих двух записей реестра 0xFFFFFFFF. Это значение по умолчанию означает "Принять любое изменение времени". Рекомендуем значение 48 часов. Он представлен в реестре как 2a300 (hexadecimal) или 172800 (десятичных). Рекомендуется установить значение записи реестра MaxPollInterval до 10 или менее или установить значение записи реестра SpecialPollInterval до 3600 (1 час) или менее.

    Контроллеры домена и серверы-члены в домене

    Записи MaxPosPhaseCorrection MaxNegPhaseCorrection и записи реестра по умолчанию имеют значение 0xFFFFFFFF. Это значение по умолчанию означает "Принять любое изменение времени". Рекомендуется установить это значение до 48 часов на всех контроллерах домена. Значение 48 часов также может быть установлено на серверах-членах, которые запускают приложения на основе конфиденциального времени.

    Дополнительные сведения об этих записях реестра см. в разделе Windows Server 2003 и Windows xp Time Service registry.

    Автономные клиенты

    Записи и записи реестра по умолчанию имеют MaxPosPhaseCorrection MaxNegPhaseCorrection значение 54 000 (15 часов). В качестве рекомендации по безопасности рекомендуется уменьшить это значение по умолчанию. Мы также рекомендуем установить значение 3600 (1 час) или еще меньшее значение в зависимости от источника времени, состояния сети, интервала опроса и требований безопасности.

    Windows Записи реестра серверов 2003 и Windows XP Time Service

    Type Сведения Запись реестра MaxPosPhaseCorrection Тип значения DWORD Subkey HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config Примечания. Эта запись указывает самую большую положительную коррекцию времени за секунды, которую может сделать служба. Если служба определяет, что изменение больше требуемой, она регистрит событие. Особый случай: 0xFFFFFFFF означает всегда внести исправление времени. Значение по умолчанию для членов домена 0xFFFFFFFF. Значение по умолчанию для автономных клиентов и серверов — 54 000 (15 часов). Запись реестра MaxNegPhaseCorrection Тип значения DWORD Subkey HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config Примечания. Эта запись указывает самую большую отрицательную коррекцию времени за секунды, которую может сделать служба. Если служба определяет, что изменение больше, чем это требуется, она регистрит событие. Особый случай: -1 означает всегда внести исправление времени. Значение по умолчанию для членов домена 0xFFFFFFFF. Значение по умолчанию для автономных клиентов и серверов — 54 000 (15 часов). Запись реестра MaxPollInterval Тип значения DWORD Subkey HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config Примечания. Эта запись указывает самый большой интервал в секундах, который включен для интервала опроса системы. Обратите внимание, что, несмотря на то, что система должна провести опрос в соответствии с запланированным интервалом, поставщик может отказаться от производства образцов при запросе образцов. Значение по умолчанию для членов домена — 10. Значение по умолчанию для автономных клиентов и серверов — 15. Запись реестра SpecialPollInterval Тип значения DWORD Subkey HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient Примечания. Эта запись указывает специальный интервал опроса в секундах для одноранговых одноранговых служб вручную. Когда включен флаг specialInterval 0x1, W32Time использует этот интервал опроса вместо интервала опроса, который определяет операционная система. Значение по умолчанию для членов домена — 3600. Значение по умолчанию для автономных клиентов и серверов — 604 800.

    Мы рекомендуем использовать редактор объектов глобальной политики для развертывания этих параметров. Дополнительные сведения о службе Windows времени в лесу на Windows Server 2003 см. в Windows Time Service (W32Time).

    Значения Windows службы времени, определенные в объекте групповой политики (GPO), могут не соответствовать значениям по умолчанию, определенным в реестре доменных контроллеров Windows Server 2003. При развертывании значений MaxPosPhaseCorrection и MaxNegPhaseCorrection для контроллеров домена Windows Server 2003 с помощью GPO убедитесь, что GPO не изменяет значения других параметров службы Windows времени в реестре. Другие Windows параметры службы времени также могут быть изменены в GPO, чтобы соответствовать значениям реестра по умолчанию в контроллерах домена.

    Все версии Windows 2000 Пакет обновления 4 (SP4)

    PDC корневого леса (авторитетный сервер времени)

    Мы настоятельно рекомендуем настроить авторитетный сервер времени для сбора времени из аппаратного источника. При настройке авторитетного сервера времени для синхронизации с источником времени в Интернете проверка подлинности в ручном режиме не происходит. Вы можете перенастроить запись MaxAllowedClockErrInSecs реестра. Значение по умолчанию — 43 200. Рекомендуемое значение — 900 (15 минут) или еще меньшее значение в зависимости от источника времени, сетевых условий и требований безопасности. Это также зависит от интервала опроса. Рекомендуется, чтобы интервал опроса был установлен в течение одного часа каждые 24 часа.

    Дополнительные сведения об этой записи в реестре см. в разделе Windows 2000 реестра SP 4.

    Контроллеры домена и серверы-члены в домене

    Тип синхронизации — NT5DS. Служба времени синхронизируется с иерархией домена, а служба времени принимает постоянное изменение. Так как NT5DS принимает любое изменение времени без рассмотрения смещения времени, важно настроить надежный источник корневого времени леса в подсети синхронизации времени.

    Значение NT5DS указывает, что тип синхронизации получен из записи реестра.

    Автономные клиенты

    Запись реестра имеет значение по умолчанию MaxAllowedClockErrInSecs 43 200 (12 часов). В качестве рекомендации по безопасности рекомендуется уменьшить это значение по умолчанию. Рекомендуется установить значение 3600 (1 час) или еще меньшее значение в зависимости от источника времени, сетевых условий, интервала опроса и требований безопасности.