如何针对Windows时间偏移配置实时服务

10/10/2020

本文内容

本文介绍如何针对较大的时间Windows配置实时服务。

适用于：  Windows 10 - 所有版本，Windows Server 2012 R2

原始 KB 编号：   884776

简介

Windows包括 Kerberos 身份验证协议 (W32Time) 服务包的时间服务工具。 如果相关计算机之间的时间间隔在最大启用时间倾斜范围内，Kerberos 身份验证将正常工作。 默认值为 5 分钟。 还可以关闭时间服务工具。 然后，可以安装第三方时间服务。

时间服务工具的目的是确保组织中运行 Microsoft Windows 2000 或更高版本的 Windows 操作系统的所有计算机都使用公用时间。 要确保有适当的常见时间用法，时间服务使用控制权威的分层关系。 默认情况下，Windows的计算机使用以下层次结构：

所有客户端计算机都指定验证域控制器作为其权威时间源。

在域中，所有服务器都遵循客户端计算机遵循的相同过程。

域中的所有域控制器将主域控制器 (PDC) 主域控制器作为时间源。

所有 PDC 操作主操作都遵循域在选择其时间源中的层次结构。 但是，PDC 操作主控形状可以使用基于层数编号的父域控制器。

备注

层数定义时间服务器与主引用源的接近。

数字越小，服务器与主要时间源的距离越近。 在此层次结构中，林根目录的 PDC 操作主机将成为组织的权威时间服务器。 强烈建议将权威时间服务器配置为从硬件源收集时间。 尝试将权威时间服务器配置为与 Internet 时间源同步时，不会进行身份验证。 我们还建议您减少服务器和独立客户端的时间更正设置。 遵循这些建议时，会为域提供更准确的时间。

更多信息

对时间回滚的回顾表明，计算机可以采用未来或过去的天数、月数、年数甚至数十年的时间。 当计算机在时间上向前或向后滚动时，可能会出现以下问题：

计算机帐户、用户帐户和信任关系的密码可能会提前更新。

隔离可以通过 Active Directory 目录服务复制中的 NTDS 复制事件 2042 标识。

对于计算机帐户、用户帐户或信任关系，密码不匹配是权威还原的。 从此类不匹配情况恢复可能需要在所有受影响的帐户和信任上手动重置密码。

如何防止回滚和回滚的时间

重新启动计算机和电源周期时，BIOS 将时间保留在本地 EPROM 中，该 EPROM 位于计算机的主板上。 启动Windows时，内核从 BIOS 提取当前时间。 当前时间用作初始时间，直到 W32Time 服务可以与其他时间源同步。

The Windows 32 time service supports two registry entries， the MaxPosPhaseCorrection and MaxNegPhaseCorrection . 这些条目限制从远程计算机发送这些示例时服务在本地计算机上接受的示例。

当运行稳定状态的计算机收到来自其时间源的时间示例时，将针对 和 注册表项施加的阶段更正边界检查 MaxPosPhaseCorrection MaxNegPhaseCorrection 该示例。 如果时间示例在两个注册表项强制实施的限制范围内，则接受此示例进行其他处理。 如果时间示例不在这些限制范围内，将忽略时间示例，并且时间服务在 W32Time 专用记录中记录以下日志文件：

太大

如果管理员减小正阶段和负阶段更正的值，管理员可以减少计算机从基于正阶段和负阶段纠正的无效时间示例Windows的威胁。 另一方面，如果管理员降低此值，则管理员可能会阻止计算机在当前时间之前或之后超过这些值施加的限制。

备注

如果正更正和负更正的注册表项值减少，则时间将增加或减少。

MaxPosPhaseCorrection MaxNegPhaseCorrection Windows 2000、Windows XP、Windows Server 2003 和 Windows Vista 中的 和 注册表项的默认值为以下值：

0xFFFFFFF

此值使计算机能够接收包含在任何时间示例中的时间，无论错误如何。

在 Windows Server 2008 中，已采用 MaxPosPhaseCorrection 和 MaxNegPhaseCorrection 注册表项的新默认值。 此新默认值为 48 小时。 此 48 小时值可以表示为以下值之一：

2a300 (十六进制)

172800 (十进制)

我们建议将 和 注册表项设置为除以下 MaxPosPhaseCorrection MaxNegPhaseCorrection 值外的值：

MAX (0xFFFFFFFF)

备注

将该值设置为 MAX (0xFFFFFFFF) 值时，可以防止计算机在重新启动计算机或中断与外部时间源的连接的情况下采用非常不准确的时间。 例如，考虑在林中所有域控制器上将 MaxPosPhaseCorrection 和 MaxNegPhaseCorrection 注册表项设置为 48 小时的情况。 如果任何单个域控制器遇到超过 48 小时的异常时间跳转，您为 MaxPosPhaseCorrection 和 MaxNegPhaseCorrection 注册表项设置的值将阻止其他计算机进行相同的时间跳转。 因此，可以保持不同步的计算机与其他计算机分开，直到管理员可以进行调查并采取纠正措施。

对于 PDC 服务器中的林根主域控制器，时间 (尤为重要) 。 由于 PDC 是域的根时间源，因此 PDC 上的不准确时间更改可能会导致域范围的时间跳转。 如果对 PDC 施加阶段更正限制，可以防止林中其他域控制器接受新时间。

默认值 48 小时而不是默认值 5 分钟或 15 分钟基于以下原因：

W32TM 实用工具的输出难以读取。

W32TM 当前不面向成员计算机和成员服务器上的时间。

操作系统和独立第三Windows应用程序日志的错误和事件高度不一致。 可能的错误包括类似于以下代码的返回代码：

访问被拒绝

RPC 服务器不可用

备注

这些错误与时间扭曲相关度较低，因为原因Windows计算机采用准确的时间值。

夏令时错误可能导致 1 小时时间差异。

AM 或 PM 错误配置可能导致 12 小时时间差。

日期或日期错误可能导致 24 小时时间差。

因此，48 小时是 25 或 36 小时后的下一个明显时间偏移。 管理员还可使用报告基础结构和测试的正确工具降低价值。

以下各节介绍了根据操作系统版本和计算机角色的特定建议。

WindowsXP Professional和 Windows Server 2003 的所有版本

域服务器

林根 PDC (权威时间服务器)

强烈建议将权威时间服务器配置为从硬件源收集时间。 将权威时间服务器配置为与 Internet 时间源同步时，没有身份验证。 必须重新配置以下注册表项：

MaxPosPhaseCorrection

MaxNegPhaseCorrection

这两个注册表项的默认值为 0xFFFFFFFF。 此默认值表示"接受任何时间更改"。 我们建议使用 48 小时的值。 它在注册表中表示为 2a300 (十六进制) 172800 (十进制) 。 建议您将 MaxPollInterval 注册表项的值设置为 10 或更少，或者将 SpecialPollInterval 注册表项的值设置为 3600 (1 小时或更少) 。

域内的域控制器和成员服务器

和 MaxPosPhaseCorrection MaxNegPhaseCorrection 注册表项的默认值为 0xFFFFFFFF。 此默认值表示"接受任何时间更改"。 我们建议在所有域控制器上将此值设置为 48 小时。 还可以在运行基于时间敏感应用程序的成员服务器上设置 48 小时的值。

独立客户端

和 MaxPosPhaseCorrection MaxNegPhaseCorrection 注册表项的默认值为 54，000 (15 小时) 。 作为安全性最佳操作，建议您减小此默认值。 我们还建议您将此值设置为 3600 (1 小时) 或更小的值，具体取决于时间源、网络条件、轮询间隔和安全要求。

WindowsServer 2003 和 Windows XP Time Service 注册表项

类型

详细信息

注册表项

MaxPosPhaseCorrection

值类型

DWORD

子项

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config

注释

此项指定服务可进行的最大正时间更正(秒)。 如果服务确定更改大于所需大小，它将改为记录事件。 特殊情况：0xFFFFFFFF始终进行时间更正。 域成员的默认值为 0xFFFFFFFF。 独立客户端和服务器的默认值为 54，000 (15 小时) 。

注册表项

MaxNegPhaseCorrection

值类型

DWORD

子项

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config

注释

此项指定服务可以进行的最大负时间更正(以秒数表示)。 如果服务确定更改大于此要求，它将改为记录事件。 特殊情况：-1 表示始终进行时间更正。 域成员的默认值为 0xFFFFFFFF。 独立客户端和服务器的默认值为 54，000 (15 小时) 。

注册表项

MaxPollInterval

值类型

DWORD

子项

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config

注释

此项指定为系统轮询间隔启用的最大间隔(秒)。 请注意，尽管系统必须按照计划的间隔进行轮询，但提供程序可以在请求样本时拒绝生成示例。 域成员的默认值为 10。 独立客户端和服务器的默认值为 15。

注册表项

SpecialPollInterval

值类型

DWORD

子项

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient

注释

此项指定手动对等的特殊轮询间隔(以秒为单位)。 启用 SpecialInterval 0x1标志时，W32Time 将使用此轮询间隔，而不是操作系统确定的轮询间隔。 域成员的默认值为 3，600。 独立客户端和服务器的默认值为 604，800。

备注

建议您使用全局策略对象编辑器来部署这些设置。 有关基于 Windows Server 2003 的林中的 Windows 时间服务，请参阅 Windows Time Service (W32Time)。

组策略对象 (GPO) 中定义的默认 Windows Time 服务参数值可能与基于 Windows Server 2003 的域控制器的注册表中定义的默认值不匹配。 使用 GPO 将 MaxPosPhaseCorrection 和 MaxNegPhaseCorrection 值部署到 Windows Server 2003 域控制器时，请确保 GPO 不会更改注册表中其他 Windows Time 服务参数的值。 其他Windows时间服务参数值可能还必须在 GPO 中进行更改，以匹配域控制器中的默认注册表值。

所有版本的 Windows 2000 Service Pack 4 (SP4)

域服务器

林根 PDC (权威时间服务器)

强烈建议将权威时间服务器配置为从硬件源收集时间。 将权威时间服务器配置为与 Internet 时间源同步时，手动模式下没有身份验证。 可以重新配置 MaxAllowedClockErrInSecs 注册表项。 默认值为 43，200。 建议的值是 900 (15 分钟) 或更小的值，具体取决于时间源、网络条件和安全要求。 它还取决于轮询间隔。 我们建议将轮询间隔值设置为每 24 小时一小时。

备注

有关此注册表项详细信息，请参阅 Windows Server 2000 SP 4 注册表项部分。

域内的域控制器和成员服务器

同步类型为 NT5DS。 时间服务从域层次结构同步，而时间服务接受所有时间更改。 由于 NT5DS 接受任何时间更改，而不考虑时间偏移，因此在时间同步子网中设置可靠的林根时间源非常重要。

备注

NT5DS 值指示从注册表项获取同步类型。

独立客户端

注册表 MaxAllowedClockErrInSecs 项的默认值为 43，200 (12 小时) 。 作为安全性最佳操作，建议您减小此默认值。 建议将此值设置为 3600 (1 小时) 或更小的值，具体取决于时间源、网络条件、轮询间隔和安全要求。

WindowsServer 2000 SP 4 注册表项

类型

详细信息

注册表项

MaxAllowedClockErrInSecs

值类型

DWORD

子项

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters

注释

指定启用的最大时钟更改(以秒数表示)。 记录事件时，不会根据值调整时间。 发生此行为有助于防范任何可疑时间戳活动。 域成员的默认值为 43，200。