Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article explique comment configurer le service de temps Windows par rapport à un décalage de temps important.
S’applique à : Windows Server (toutes les versions prises en charge), client Windows (toutes les versions prises en charge)
Numéro de base de connaissances d’origine : 884776
Introduction
Les systèmes d’exploitation Windows incluent l’outil Time Service (service W32Time) utilisé par le protocole d’authentification Kerberos. L’authentification Kerberos fonctionne si l’intervalle de temps entre les ordinateurs appropriés est dans le délai maximal activé. La valeur par défaut est 5 minutes. Vous pouvez également désactiver l’outil Time Service. Ensuite, vous pouvez installer un service de temps tiers.
L’objectif de l’outil Time Service est de s’assurer que tous les ordinateurs d’une organisation exécutant Microsoft Windows Server 2012 ou versions ultérieures des systèmes d’exploitation Windows utilisent un temps commun. Pour vous assurer qu’il existe une utilisation courante du temps, le service de temps utilise une relation hiérarchique qui contrôle l’autorité. Par défaut, les ordinateurs Windows utilisent la hiérarchie suivante :
Tous les ordinateurs de bureau clients désignent le contrôleur de domaine d’authentification comme source de temps faisant autorité.
Dans un domaine, tous les serveurs suivent le même processus que les ordinateurs de bureau clients.
Tous les contrôleurs de domaine d’un domaine désignent le maître d’opérations du contrôleur de domaine principal (PDC) comme source de temps.
Tous les maîtres d’opérations PDC suivent la hiérarchie des domaines dans la sélection de leur source de temps. Toutefois, les maîtres d’opérations PDC peuvent utiliser un contrôleur de domaine parent basé sur la numérotation de couches.
Remarque
Un numéro de strate définit la fermeture d’un serveur de temps à la source de référence principale.
Plus le nombre est réduit, plus le serveur est proche de la source de temps principale. Dans cette hiérarchie, le maître des opérations PDC à la racine de la forêt devient le serveur de temps faisant autorité pour l’organisation. Nous vous recommandons vivement de configurer le serveur de temps faisant autorité pour collecter l’heure à partir d’une source matérielle. Lorsque vous essayez de configurer le serveur de temps faisant autorité pour la synchronisation avec une source de temps Internet, aucune authentification n’est effectuée. Nous vous recommandons également de réduire vos paramètres de correction de temps pour les serveurs et pour les clients autonomes. Lorsque vous suivez ces recommandations, un temps plus précis est fourni au domaine.
Plus d’informations
Un examen des restaurations temporelles a montré que les ordinateurs peuvent adopter le temps qui peut être des jours, des mois, des années ou même des dizaines d’années à l’avenir ou dans le passé. Les problèmes suivants peuvent se produire lorsque les ordinateurs se restaurent ou se restaurent en arrière dans le temps :
- Les mots de passe sur les comptes d’ordinateur, les comptes d’utilisateur et les relations d’approbation peuvent être mis à jour prématurément.
- Les quarantaines peuvent être identifiées par l’événement de réplication NTDS 2042 dans la réplication du service d’annuaire Active Directory.
- L’incompatibilité des mots de passe est restaurée avec autorité pour les comptes d’ordinateur, pour les comptes d’utilisateur ou pour les relations d’approbation. La récupération de ces incompatibilités peut nécessiter des réinitialisations manuelles de mot de passe sur tous les comptes et approbations affectés.
Comment protéger contre le temps qui restaure les restaurations et les restaurations temporelles
Lorsque les ordinateurs et les cycles d’alimentation sont redémarrés, le BIOS conserve le temps dans le EPROM local situé sur la carte mère de l’ordinateur. Au démarrage de Windows, le noyau extrait l’heure actuelle à partir du BIOS. Cette heure actuelle est utilisée comme heure initiale jusqu’à ce que le service W32Time puisse se synchroniser avec une autre source de temps.
Le service de temps Windows prend en charge deux entrées de Registre, le MaxPosPhaseCorrection et le MaxNegPhaseCorrection. Ces entrées limitent les exemples que le service de temps accepte sur un ordinateur local lorsque ces exemples sont envoyés à partir d’un ordinateur distant.
Lorsqu’un ordinateur en cours d’exécution dans un état stable reçoit un échantillon de temps à partir de sa source d’heure, l’exemple est vérifié par rapport aux limites de correction de phase que les entrées de Registre et MaxNegPhaseCorrection les MaxPosPhaseCorrection entrées de Registre imposent. Si l’exemple de temps se situe dans les limites que les deux entrées de Registre appliquent, cet exemple est accepté pour un traitement supplémentaire. Si l’exemple de temps ne se trouve pas dans ces limites, l’exemple de temps est ignoré et le service de temps enregistre le message suivant dans le fichier journal privé W32Time :
TROP GRAND
Si les administrateurs réduisent la valeur des corrections de phase positive et négative, les administrateurs peuvent réduire la menace que les ordinateurs recevront du temps à partir d’exemples de temps non valides pour un ordinateur Windows. En revanche, si les administrateurs réduisent la valeur, les administrateurs peuvent empêcher les ordinateurs d’être à l’avance ou derrière l’heure actuelle en plus des limites imposées par ces valeurs.
Remarque
Si les valeurs d’entrée du Registre pour les corrections positives et négatives sont réduites, le temps sera augmenté ou réduit.
La valeur par défaut pour les MaxPosPhaseCorrection entrées de MaxNegPhaseCorrection Registre dans (membres du domaine) Windows 10, Windows Server 2012 et versions ultérieures de Windows est la valeur suivante :
0xFFFFFFF
Cette valeur permet à l’ordinateur de recevoir l’heure contenue dans n’importe quel échantillon de temps, quelle que soit l’inexactitude.
Dans Windows Server 2008 qui sont des contrôleurs de domaine, une nouvelle valeur par défaut pour les entrées de Registre MaxPosPhaseCorrection et MaxNegPhaseCorrection a été adoptée. Cette nouvelle valeur par défaut est de 48 heures. Cette valeur de 48 heures peut être représentée comme l’une des valeurs suivantes :
- 2a300 (hexadécimal)
- 172800 (décimal)
Nous vous recommandons de définir les MaxPosPhaseCorrection entrées et MaxNegPhaseCorrection les entrées de Registre sur une valeur autre que la valeur suivante :
MAX (0xFFFFFFFF)
Remarque
Lorsque vous définissez la valeur sur une valeur autre que MAX (0xFFFFFFFF), vous pouvez empêcher les ordinateurs d’adopter le temps qui est très incorrect dans les scénarios où l’ordinateur est redémarré ou la connectivité aux sources de temps externes est interrompue. Par exemple, considérez le cas dans lequel vous avez les entrées de Registre MaxPosPhaseCorrection et MaxNegPhaseCorrection définies pendant 48 heures sur tous les contrôleurs de domaine de la forêt. Si un contrôleur de domaine unique rencontre un saut de temps inhabituel de plus de 48 heures, la valeur que vous définissez pour les entrées de Registre MaxPosPhaseCorrection et MaxNegPhaseCorrection empêche les autres ordinateurs d’effectuer le même saut de temps. Par conséquent, les ordinateurs qui ne sont pas synchronisés peuvent être conservés à l’écart des autres ordinateurs jusqu’à ce que l’administrateur puisse examiner et prendre des mesures correctives.
La précision du temps est particulièrement importante sur le contrôleur de domaine principal racine de forêt (PDC). Étant donné que le contrôleur de domaine est la source de temps racine du domaine, les modifications de temps inexactes sur le contrôleur de domaine peuvent entraîner un saut de temps à l’échelle du domaine. Si vous imposez des restrictions de correction de phase sur le contrôleur de domaine, vous pouvez empêcher d’autres contrôleurs de domaine de la forêt d’accepter la nouvelle heure.
La valeur par défaut de 48 heures au lieu d’une valeur par défaut de 5 minutes ou 15 minutes est basée sur les raisons suivantes :
- La sortie de l’utilitaire W32TM est difficile à lire.
- Actuellement, W32TM ne cible pas l’heure sur les ordinateurs membres et sur les serveurs membres.
- Les erreurs et les événements que le système d’exploitation Windows et le journal des applications tierces autonomes sont très incohérents. Les erreurs possibles incluent les codes de retour qui ressemblent à ce qui suit :
- accès refusé
- Le serveur RPC n’est pas disponible
Remarque
Ces erreurs ont une faible corrélation avec l’asymétrie temporelle, car la cause peut empêcher les ordinateurs Windows d’adopter une valeur de temps précise.
- Les bogues d’heure d’été peuvent entraîner des différences de temps de 1 heure.
- La configuration incorrecte d’AM ou PM peut entraîner une différence de temps de 12 heures.
- Les erreurs de jour ou de date peuvent entraîner une différence de temps de 24 heures.
Ainsi, 48 heures étaient le prochain décalage de temps évident après 25 ou 36 heures. Les administrateurs peuvent également réduire la valeur avec les outils appropriés qui signalent l’infrastructure et les tests.
Des recommandations spécifiques en fonction de la version du système d’exploitation et du rôle d’ordinateur sont décrites dans les sections suivantes.
Windows 10, Windows Server 2012 et versions ultérieures de Windows
Serveurs de domaine
PDC racine de forêt (serveur de temps faisant autorité)
Nous vous recommandons vivement de configurer le serveur de temps faisant autorité pour collecter l’heure à partir d’une source matérielle. Lorsque vous configurez le serveur de temps faisant autorité pour la synchronisation avec une source de temps Internet, aucune authentification n’est effectuée. Vous devez reconfigurer les entrées de Registre suivantes :
MaxPosPhaseCorrectionMaxNegPhaseCorrection
La valeur par défaut de ces deux entrées de Registre est 2a300 (hexadécimal) ou 172800 (décimale). Cette valeur par défaut signifie « Accepter les modifications de temps dans la plage de 48 heures ». Nous vous recommandons de définir la valeur de l’entrée de Registre MaxPollInterval sur 10 ou moins ou de définir la valeur de l’entrée de Registre SpecialPollInterval sur 3600 (1 heure) ou moins.
Contrôleurs de domaine et serveurs membres à l’intérieur du domaine
Les MaxPosPhaseCorrection entrées de Registre ont MaxNegPhaseCorrection une valeur par défaut de 2a300 (hexadécimal) ou 172800 (décimale) pour les contrôleurs de domaine. Cette valeur par défaut signifie « Accepter les modifications de temps dans la plage de 48 heures ». Alors que sur les serveurs membres, la valeur par défaut est 0xFFFFFFFF. La valeur de 48 heures peut également être définie sur les serveurs membres qui exécutent des applications basées sur le temps.
Remarque
Pour plus d’informations sur ces entrées de Registre, consultez les entrées de Registre time Service dans Windows 10, Windows Server 2012 et versions ultérieures de la section Windows .
Clients autonomes
Les entrées du Registre et MaxNegPhaseCorrection les MaxPosPhaseCorrection entrées ont une valeur par défaut de 54 000 (15 heures). En guise de bonne pratique de sécurité, nous vous recommandons de réduire cette valeur par défaut. Nous vous recommandons également de définir la valeur sur 3600 (1 heure) ou une valeur encore plus petite, en fonction de la source de temps, de la condition réseau, de l’intervalle de sondage et des exigences de sécurité.
Entrées de Registre du service de temps dans Windows 10, Windows Server 2012 et versions ultérieures de Windows
| Type | Détails |
|---|---|
| Entrée de Registre | MaxPosPhaseCorrection |
| Type de valeur | DWORD |
| Sous-clé | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config |
| Remarques | Cette entrée spécifie la plus grande correction de temps positive en secondes que le service peut effectuer. Si le service détermine qu’une modification est supérieure à celle requise, elle journalise un événement à la place. Cas particulier : 0xFFFFFFFF signifie toujours effectuer la correction du temps. La valeur par défaut pour les membres du domaine est 0xFFFFFFFF. La valeur par défaut pour les clients et serveurs autonomes est de 54 000 (15 heures). |
| Entrée de Registre | MaxNegPhaseCorrection |
| Type de valeur | DWORD |
| Sous-clé | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config |
| Remarques | Cette entrée spécifie la correction de temps négative la plus importante en secondes que le service peut effectuer. Si le service détermine qu’une modification supérieure à celle-ci est nécessaire, il journalise un événement à la place. Cas particulier : -1 signifie toujours effectuer la correction du temps. La valeur par défaut pour les membres du domaine est 0xFFFFFFFF. La valeur par défaut pour les clients et serveurs autonomes est de 54 000 (15 heures). |
| Entrée de Registre | MaxPollInterval |
| Type de valeur | DWORD |
| Sous-clé | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config |
| Remarques | Cette entrée spécifie le plus grand intervalle, en secondes, qui est activé pour l’intervalle d’interrogation du système. Notez que, même si un système doit interroger selon l’intervalle planifié, un fournisseur peut refuser de produire des échantillons lorsque des échantillons sont demandés. La valeur par défaut pour les membres du domaine est 10. La valeur par défaut pour les serveurs et les clients autonomes est 15. |
| Entrée de Registre | SpecialPollInterval |
| Type de valeur | DWORD |
| Sous-clé | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient |
| Remarques | Cette entrée spécifie l’intervalle de sondage spécial en secondes pour les homologues manuels. Lorsque l’indicateur specialInterval 0x1 est activé, W32Time utilise cet intervalle de sondage au lieu d’un intervalle de sondage déterminé par le système d’exploitation. La valeur par défaut sur les membres du domaine est 3 600. La valeur par défaut sur les serveurs et les clients autonomes est 604 800. |
Remarque
Nous vous recommandons d’utiliser l’Éditeur d’objet stratégie globale pour déployer ces paramètres. Pour plus d’informations sur le service de temps Windows dans une forêt Windows Server 2012, consultez Service de temps Windows (W32Time).
Les valeurs de paramètre de service de temps Windows par défaut définies dans l’objet de stratégie de groupe (GPO) peuvent ne pas correspondre aux valeurs par défaut définies dans le Registre des contrôleurs de domaine windows Server 2012. Lorsque vous déployez des valeurs MaxPosPhaseCorrection et MaxNegPhaseCorrection sur des contrôleurs de domaine Windows Server 2012 à l’aide d’un objet de stratégie de groupe, assurez-vous que l’objet de stratégie de groupe ne modifie pas les valeurs des autres paramètres de service de temps Windows dans le Registre. D’autres valeurs de paramètre de service de temps Windows peuvent également être modifiées dans l’objet de stratégie de groupe pour correspondre aux valeurs de Registre par défaut dans les contrôleurs de domaine.
Toutes les éditions de Windows Server 2012 et versions ultérieures de Windows
Serveurs de domaine
PDC racine de forêt (serveur de temps faisant autorité)
Nous vous recommandons vivement de configurer le serveur de temps faisant autorité pour collecter l’heure à partir d’une source matérielle. Lorsque vous configurez le serveur de temps faisant autorité pour la synchronisation avec une source de temps Internet, il n’existe aucune authentification en mode manuel. Nous vous recommandons de définir la valeur d’intervalle de sondage sur une heure toutes les 24 heures.
Contrôleurs de domaine et serveurs membres à l’intérieur du domaine
Le type de synchronisation est NT5DS. Le service de temps se synchronise à partir de la hiérarchie de domaine et le service de temps accepte toutes les modifications à temps. Étant donné que NT5DS accepte tout changement de temps sans tenir compte du décalage horaire, il est important de configurer une source de temps racine de forêt fiable dans le sous-réseau de synchronisation de temps.
Remarque
La valeur NT5DS indique que le type de synchronisation est obtenu à partir d’une entrée de Registre.