Vorgehensweise konfigurieren des Windows-Zeitdiensts für einen großen Zeit Offset

In diesem Artikel wird beschrieben, wie Sie den Windows-Zeitdienst für einen großen Zeit Offset konfigurieren.

Original Version des Produkts:   Windows 10 – alle Editionen, Windows Server 2012 R2
Ursprüngliche KB-Nummer:   884776

Einführung

Windows-Betriebssysteme umfassen das Zeitdienst Tool (W32Time-Dienst), das vom Kerberos-Authentifizierungsprotokoll verwendet wird. Die Kerberos-Authentifizierung funktioniert, wenn sich das Zeitintervall zwischen den relevanten Computern innerhalb der Neigung der maximalen aktivierten Zeit befindet. Der Standardwert ist 5 Minuten. Sie können auch das Zeitdienst Tool deaktivieren. Anschließend können Sie einen Drittanbieter-Zeitdienst installieren.

Der Zweck des Zeitdienst Tools besteht darin, sicherzustellen, dass alle Computer in einer Organisation, auf denen Microsoft Windows 2000 oder höhere Versionen von Windows-Betriebssystemen installiert sind, eine gemeinsame Zeit verwenden. Um sicherzustellen, dass eine angemessene gemeinsame Zeit Verwendung vorliegt, verwendet der Zeitdienst eine hierarchische Beziehung, die die Autorität steuert. Standardmäßig verwenden Windows-basierte Computer die folgende Hierarchie:

  • Alle Clientdesktopcomputer benennen den authentifizierenden Domänencontroller als autorisierende Zeitquelle.

  • In einer Domäne entsprechen alle Server dem gleichen Prozess wie Clientdesktopcomputer.

  • Alle Domänencontroller in einer Domäne benennen den primären Domänencontroller (PDC)-Betriebsmaster als Zeitquelle.

  • Alle PDC-Betriebsmaster entsprechen der Hierarchie der Domänen in der Auswahl ihrer Zeitquelle. Die PDC-Betriebsmaster können jedoch einen übergeordneten Domänencontroller verwenden, der auf der Schicht Nummerierung basiert.

    Hinweis

    Eine Schichtnummer definiert, wie nah ein Zeitserver für die primäre Referenzquelle ist.

Je kleiner die Zahl, desto näher ist der Server für die primäre Zeitquelle. In dieser Hierarchie wird der PDC-Betriebsmaster am Stamm der Gesamtstruktur zum autorisierenden Zeitserver für die Organisation. Es wird dringend empfohlen, den autorisierenden Zeitserver so zu konfigurieren, dass die Zeit von einer Hardwarequelle erfasst wird. Wenn Sie versuchen, den autorisierenden Zeitserver für die Synchronisierung mit einer Internet Zeitquelle zu konfigurieren, gibt es keine Authentifizierung. Außerdem wird empfohlen, dass Sie die Zeitkorrektureinstellungen für die Server und für die eigenständigen Clients reduzieren. Wenn Sie diese Empfehlungen befolgen, wird der Domäne genauere Zeit gegeben.

Weitere Informationen

Eine Überprüfung der Zeit Rollbacks hat gezeigt, dass Computer Zeit einnehmen können, die in der Zukunft oder in der Vergangenheit Tage, Monate, Jahre oder sogar zehn Jahre sein kann. Die folgenden Probleme können auftreten, wenn Computer einen Rollforward durchführen oder den Rückwärtslauf in der Zeit ausführen:

  • Kennwörter für Computerkonten, für Benutzerkonten und für Vertrauensstellungen können vorzeitig aktualisiert werden.
  • Die Quarantäne kann durch das NTDS-Replikationsereignis 2042 in Active Directory Verzeichnisdienstreplikation identifiziert werden.
  • Die Übereinstimmung von Kennwörtern wird für Computerkonten, für Benutzerkonten oder für Vertrauensstellungen autorisierend wiederhergestellt. Bei der Wiederherstellung von solchen Nichtübereinstimmungen ist möglicherweise manuelles Zurücksetzen von Kennwörtern für alle betroffenen Konten und Vertrauensstellungen erforderlich.

Vorgehensweise schützen gegen Zeit, die vor-und Zeit Rollbacks rollt

Wenn Computer und Energiezyklen neu gestartet werden, behält das BIOS die Zeit im lokalen EPROM auf der Hauptplatine des Computers bei. Wenn Windows gestartet wird, ruft der Kernel die aktuelle Zeit aus dem BIOS ab. Diese aktuelle Uhrzeit wird als Anfangszeit verwendet, bis der W32Time-Dienst mit einer anderen Zeitquelle synchronisiert werden kann.

Der Windows 32-Zeitdienst unterstützt zwei Registrierungseinträge, die MaxPosPhaseCorrection und MaxNegPhaseCorrection . Diese Einträge schränken die Beispiele ein, die der Zeitdienst auf einem lokalen Computer akzeptiert, wenn diese Beispiele von einem Remotecomputer gesendet werden.

Wenn ein Computer, der in einem stationären Zustand läuft, ein Zeit Beispiel von seiner Zeitquelle empfängt, wird das Beispiel anhand der Phasenkorrektur Grenzen überprüft, die die MaxPosPhaseCorrection und MaxNegPhaseCorrection Registrierungseinträge auferlegen. Wenn das Zeit Beispiel innerhalb der Grenzwerte liegt, die von den beiden Registrierungseinträgen erzwungen werden, wird dieses Beispiel zur zusätzlichen Verarbeitung angenommen. Wenn das Zeit Beispiel nicht in diese Grenzwerte fällt, wird das Zeit Beispiel ignoriert, und der Zeitdienst protokolliert die folgende Meldung in der privaten W32Time-Protokolldatei:

zu groß

Wenn Administratoren den Wert für positive und negative Phasen Korrekturen reduzieren, können Administratoren die Gefahr verringern, dass Computer zeitweise von ungültigen Zeit Beispielen für einen Windows-basierten Computer empfangen werden. Wenn Administratoren den Wert jedoch reduzieren, können Administratoren verhindern, dass Computer vor oder hinter der aktuellen Zeit liegen, um mehr als die von diesen Werten auferlegten Beschränkungen.

Hinweis

Wenn die Registrierungseintrags Werte für positive und negative Korrekturen reduziert werden, wird die Zeit erhöht oder verringert.

Der Standardwert für die MaxPosPhaseCorrection und MaxNegPhaseCorrection Registrierungseinträge in Windows 2000, in Windows XP, in Windows Server 2003 und in Windows Vista ist der folgende Wert:
0xFFFFFFF

Dieser Wert ermöglicht es dem Computer, die in einem beliebigen Zeit Beispiel enthaltene Zeit zu empfangen, unabhängig von der Ungenauigkeit.

In Windows Server 2008 wurde ein neuer Standardwert für die Registrierungseinträge MaxPosPhaseCorrection und MaxNegPhaseCorrection übernommen. Dieser neue Standardwert ist 48 Stunden. Dieser 48-Stunden-Wert kann als einer der folgenden Werte dargestellt werden:

  • 2a300 (hexadezimal)
  • 172800 (dezimal)

Es wird empfohlen, dass die MaxPosPhaseCorrection -und MaxNegPhaseCorrection Registrierungseinträge auf einen anderen Wert als den folgenden Wert festgelegt werden:
Max (0xFFFFFFFF)

Hinweis

Wenn Sie den Wert auf einen anderen Wert als Max (0xFFFFFFFF) festlegen, können Sie verhindern, dass Computer Zeit einnehmen, die in den Szenarien, in denen der Computer neu gestartet wird oder die Verbindung mit externen Zeitquellen gestört ist, sehr ungenau ist. Beachten Sie beispielsweise den Fall, in dem die Registrierungseinträge MaxPosPhaseCorrection und MaxNegPhaseCorrection für alle Domänencontroller in der Gesamtstruktur auf 48 Stunden festgelegt sind. Wenn ein einzelner Domänencontroller einen ungewöhnlichen Zeitsprung von mehr als 48 Stunden erfährt, verhindert der Wert, den Sie für die Registrierungseinträge MaxPosPhaseCorrection und MaxNegPhaseCorrection festgelegt haben, dass andere Computer denselben Zeitsprung durchführen. Daher können Computer, die nicht mehr synchronisiert sind, von den anderen Computern getrennt aufbewahrt werden, bis der Administrator untersuchen und Korrekturmaßnahmen durchführen kann.

Die Zeitgenauigkeit ist besonders wichtig für den primären Domänencontroller der Gesamtstruktur (PDC). Da es sich bei dem PDC um die Stamm Zeitquelle für die Domäne handelt, kann es bei ungenauen Zeit Änderungen auf dem PDC möglicherweise zu einem domänenweiten Zeitsprung kommen. Wenn Sie dem PDC Phasenkorrektur Einschränkungen auferlegen, können Sie verhindern, dass andere Domänencontroller in der Gesamtstruktur die neue Zeit akzeptieren.

Der Standardwert von 48 Stunden anstelle eines Standardwerts von 5 Minuten oder 15 Minuten basiert auf den folgenden Gründen:

  • Die Ausgabe aus dem W32tm-Dienstprogramm ist schwer lesbar.
  • W32tm derzeit keine Ziel Zeit auf Mitgliedscomputern und Mitgliedsservern.
  • Die Fehler und Ereignisse, bei denen das Windows-Betriebssystem und das eigenständige Protokoll der Drittanbieteranwendungen hochgradig inkonsistent sind. Zu den möglichen Fehlern gehören Rückgabecodes, die dem folgenden ähneln:
    • Zugriff verweigert
    • RPC-Server ist nicht verfügbar

    Hinweis

    Diese Fehler weisen eine geringe Korrelation mit der Zeitverzerrung auf, da die Ursache möglicherweise verhindert, dass Windows-basierte Computer einen genauen Zeitwert annehmen.

  • Fehler bei der Sommerzeit können zu 1-stündigen Zeitunterschieden führen.
  • Fehlkonfigurationen am oder PM können einen Zeitunterschied von 12 Stunden verursachen.
  • Tages-oder Datums Fehler können einen 24-Stunden-Zeitunterschied verursachen.

48 Stunden waren also der nächste offensichtliche Zeitausgleich nach 25 oder 36 Stunden. Administratoren können den Wert auch mit den richtigen Tools reduzieren, die Infrastruktur und Tests melden.

In den folgenden Abschnitten werden spezifische Empfehlungen entsprechend der Betriebssystemversion und der Computerrolle beschrieben.

Windows XP Professional und alle Versionen von Windows Server 2003

Domänenserver

Gesamtstruktur-Stamm-PDC (autorisierender Zeitserver)

Es wird dringend empfohlen, den autorisierenden Zeitserver so zu konfigurieren, dass die Zeit von einer Hardwarequelle erfasst wird. Wenn Sie den autorisierenden Zeitserver so konfigurieren, dass er mit einer Internet Zeitquelle synchronisiert wird, gibt es keine Authentifizierung. Sie müssen die folgenden Registrierungseinträge neu konfigurieren:

  • MaxPosPhaseCorrection
  • MaxNegPhaseCorrection

Der Standardwert dieser beiden Registrierungseinträge ist 0xFFFFFFFF. Dieser Standardwert bedeutet "jede Zeitänderung annehmen". Es wird ein Wert von 48 Stunden empfohlen. Sie wird in der Registrierung als 2a300 (hexadezimal) oder 172800 (dezimal) dargestellt. Es wird empfohlen, den Wert des Registrierungseintrags MaxPollInterval auf 10 oder niedriger festzulegen oder den Wert des Registrierungseintrags SpecialPollInterval auf 3600 (1 Stunde) oder niedriger festzulegen.

Domänencontroller und Mitgliedsserver innerhalb der Domäne

Die MaxPosPhaseCorrection -und MaxNegPhaseCorrection Registrierungseinträge haben den Standardwert 0xFFFFFFFF. Dieser Standardwert bedeutet "jede Zeitänderung annehmen". Es wird empfohlen, diesen Wert auf allen Domänencontrollern auf 48 Stunden festzulegen. Der Wert 48 Stunden kann auch auf Mitgliedsservern festgelegt werden, bei denen es sich um zeitkritische Anwendungen handelt.

Hinweis

Weitere Informationen zu diesen Registrierungseinträgen finden Sie im Abschnitt Windows Server 2003-und Windows XP-Zeitdienst-Registrierungseinträge .

Eigenständige Clients

Die MaxPosPhaseCorrection -und MaxNegPhaseCorrection Registrierungseinträge haben den Standardwert 54.000 (15 Stunden). Aus Sicherheitsgründen empfiehlt es sich, diesen Standardwert zu verringern. Außerdem wird empfohlen, dass Sie den Wert auf 3600 (1 Stunde) oder einen noch kleineren Wert festlegen, je nach Zeitquelle, Netzwerk Bedingung, Abrufintervall und Sicherheitsanforderungen.

Registrierungseinträge für Windows Server 2003-und Windows XP-Zeitdienst

Typ Details
Registrierungseintrag MaxPosPhaseCorrection
Typ DWORD
Unterschlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
Anmerkungen Dieser Eintrag gibt die größte positive Zeitkorrektur in Sekunden an, die der Dienst vornehmen kann. Wenn der Dienst feststellt, dass eine Änderung größer als erforderlich ist, wird stattdessen ein Ereignis protokolliert. Spezialfall: 0xFFFFFFFF bedeutet, dass immer die Zeitkorrektur vorgenommen wird. Der Standardwert für Domänenmitglieder ist 0xFFFFFFFF. Der Standardwert für eigenständige Clients und Server ist 54.000 (15 Stunden).
Registrierungseintrag MaxNegPhaseCorrection
Typ DWORD
Unterschlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
Anmerkungen Dieser Eintrag gibt die größte negative Zeitkorrektur in Sekunden an, die der Dienst vornehmen kann. Wenn der Dienst feststellt, dass eine Änderung erforderlich ist, die größer ist, wird stattdessen ein Ereignis protokolliert. Spezialfall:-1 bedeutet immer die Zeitkorrektur vornehmen. Der Standardwert für Domänenmitglieder ist 0xFFFFFFFF. Der Standardwert für eigenständige Clients und Server ist 54.000 (15 Stunden).
Registrierungseintrag MaxPollInterval
Typ DWORD
Unterschlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
Anmerkungen Dieser Eintrag gibt das größte Intervall (in Sekunden) an, das für das Systemabruf Intervall aktiviert ist. Beachten Sie, dass ein Anbieter, obwohl ein System entsprechend dem geplanten Intervall abgefragt werden muss, die Erstellung von Beispielen ablehnen kann, wenn Beispiele angefordert werden. Der Standardwert für Domänenmitglieder ist 10. Der Standardwert für eigenständige Clients und Server ist 15.
Registrierungseintrag SpecialPollInterval
Typ DWORD
Unterschlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient
Anmerkungen Dieser Eintrag gibt das spezielle Abfrageintervall in Sekunden für manuelle Peers an. Wenn das SpecialInterval-0x1-Flag aktiviert ist, verwendet W32Time dieses Abfrageintervall anstelle eines Abfrageintervalls, das vom Betriebssystem ermittelt wird. Der Standardwert für Domänenmitglieder lautet 3.600. Der Standardwert für eigenständige Clients und Server ist 604.800.

Hinweis

Es wird empfohlen, dass Sie den globalen Richtlinienobjekt-Editor verwenden, um diese Einstellungen bereitzustellen. Weitere Informationen zum Windows-Zeitdienst in einer Windows Server 2003 basierten Gesamtstruktur finden Sie unter Windows-Zeitdienst (W32Time).

Die Standardparameterwerte für den Windows-Zeitdienst, die im Gruppenrichtlinienobjekt (Group Policy Object, GPO) definiert sind, stimmen möglicherweise nicht mit den Standardwerten überein, die in der Registrierung von Windows Server 2003 basierten Domänencontrollern definiert sind. Wenn Sie MaxPosPhaseCorrection-und MaxNegPhaseCorrection-Werte mithilfe eines GPO auf Windows Server 2003 Domänencontrollern bereitstellen, stellen Sie sicher, dass das GPO die Werte anderer Windows-Zeitdienst Parameter in der Registrierung nicht ändert. Andere Parameterwerte für den Windows-Zeitdienst müssen möglicherweise auch im GPO geändert werden, damit Sie mit den Standard Registrierungswerten in den Domänencontrollern übereinstimmen.

Alle Versionen von Windows 2000 Service Pack 4 (SP4)

Domänenserver

Gesamtstruktur-Stamm-PDC (autorisierender Zeitserver)

Es wird dringend empfohlen, den autorisierenden Zeitserver so zu konfigurieren, dass die Zeit von einer Hardwarequelle erfasst wird. Wenn Sie den autorisierenden Zeitserver für die Synchronisierung mit einer Internet Zeitquelle konfigurieren, erfolgt keine Authentifizierung im manuellen Modus. Sie können den MaxAllowedClockErrInSecs Registrierungseintrag neu konfigurieren. Der Standardwert lautet 43.200. Der empfohlene Wert ist 900 (15 Minuten) oder ein noch kleinerer Wert, je nach Zeitquelle, unter Netzwerkbedingungen und Sicherheitsanforderungen. Es hängt auch vom Abrufintervall ab. Es wird empfohlen, den Wert für das Abrufintervall alle 24 Stunden auf eine Stunde festzulegen.

Hinweis

Weitere Informationen zu diesem Registrierungseintrag finden Sie unter Windows Server 2000 SP 4 Registry Entry section.

Domänencontroller und Mitgliedsserver innerhalb der Domäne

Der Synchronisierungs lautet NT5DS. Der Zeitdienst synchronisiert von der Domänenhierarchie und der Zeitdienst akzeptiert alle Zeit Änderungen. Da NT5DS jede Zeitänderung ohne Berücksichtigung des Zeitversatzes akzeptiert, ist es wichtig, eine zuverlässige Gesamtstruktur-Stamm Zeitquelle im Zeit Synchronisierungs-Subnetz einzurichten.

Hinweis

Der NT5DS-Wert gibt an, dass der Synchronisierungs aus einem Registrierungseintrag abgerufen wird.

Eigenständige Clients

Der MaxAllowedClockErrInSecs Registrierungseintrag hat einen Standardwert von 43.200 (12 Stunden). Aus Sicherheitsgründen empfiehlt es sich, diesen Standardwert zu verringern. Es wird empfohlen, den Wert auf 3600 (1 Stunde) oder einen noch kleineren Wert, abhängig von der Zeitquelle, auf Netzwerkbedingungen, auf Abrufintervall und auf Sicherheitsanforderungen festzulegen.

Registrierungseintrag für Windows Server 2000 SP 4

Typ Details
Registrierungseintrag MaxAllowedClockErrInSecs
Typ DWORD
Unterschlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
Anmerkungen Gibt die maximale Uhrzeit Änderung an, die in Sekunden aktiviert ist. Wenn das Ereignis protokolliert wird, wird die Uhrzeit nicht basierend auf dem Wert angepasst. Dieses Verhalten tritt auf, um einen Schutz vor verdächtigen Zeitstempel Aktivitäten zu ermöglichen. Der Standardwert für Domänenmitglieder lautet 43.200.