How to configure an authoritative time server in Windows Server

This article describes how to configure the Windows Time service and troubleshoot when the Windows Time service doesn’t work correctly.

Original product version: В Windows Server 2012 Standard, Windows Server 2012 Essentials
Original KB number: В 816042

To configure an internal time server to synchronize with an external time source, use the following method:

To configure the PDC in the root of an Active Directory forest to synchronize with an external time source, follow these steps:

Change the server type to NTP. To do this, follow these steps:

Select Start > Run, type regedit, and then select OK.

Locate and then select the following registry subkey:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters

In the pane on the right, right-click Type, and then select Modify.

In Edit Value, type NTP in the Value data box, and then select OK.

Set AnnounceFlags to 5. To do this, follow these steps:

Locate and then select the following registry subkey: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config

In the pane on the right, right-click AnnounceFlags, and then select Modify.

In Edit DWORD Value, type 5 in the Value data box, and then select OK.

• If an authoritative time server that is configured to use an AnnounceFlag value of 0x5 does not synchronize with an upstream time server, a client server may not correctly synchronize with the authoritative time server when the time synchronization between the authoritative time server and the upstream time server resumes. Therefore, if you have a poor network connection or other concerns that may cause time synchronization failure of the authoritative server to an upstream server, set the AnnounceFlag value to 0xA instead of to 0x5.
• If an authoritative time server that is configured to use an AnnounceFlag value of 0x5 and to synchronize with an upstream time server at a fixed interval that is specified in SpecialPollInterval , a client server may not correctly synchronize with the authoritative time server after the authoritative time server restarts. Therefore, if you configure your authoritative time server to synchronize with an upstream NTP server at a fixed interval that is specified in SpecialPollInterval , set the AnnounceFlag value to 0xA instead of 0x5.

Enable NTPServer. To do this, follow these steps:

Locate and then select the following registry subkey:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer

In the pane on the right, right-click Enabled, and then select Modify.

In Edit DWORD Value, type 1 in the Value data box, and then select OK.

Specify the time sources. To do this, follow these steps:

Locate and then click the following registry subkey:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters

In the pane on the right, right-click NtpServer, and then select Modify.

In Edit Value, type Peers in the Value data box, and then select OK.

Peers is a placeholder for a space-delimited list of peers from which your computer obtains time stamps. Each DNS name that is listed must be unique. You must append ,0x1 to the end of each DNS name. If you do not append ,0x1 to the end of each DNS name, the changes that you make in step 5 will not take effect.

Configure the time correction settings. To do this, follow these steps:

Locate and then click the following registry subkey: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config

In the pane on the right, right-click MaxPosPhaseCorrection, and then select Modify.

In Edit DWORD Value, click to select Decimal in the Base box.

In Edit DWORD Value, type TimeInSeconds in the Value data box, and then select OK.

TimeInSeconds is a placeholder for a reasonable value, such as 1 hour (3600) or 30 minutes (1800). The value that you select will depend on the poll interval, network condition, and external time source.
The default value of MaxPosPhaseCorrection is 48 hours in Windows Server 2008 R2 or later.

Locate and then click the following registry subkey:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config

In the pane on the right, right-click MaxNegPhaseCorrection, and then select Modify.

In Edit DWORD Value, click to select Decimal in the Base box.

In Edit DWORD Value, type TimeInSeconds in the Value data box, and then select OK.

TimeInSeconds is a placeholder for a reasonable value, such as 1 hour (3600) or 30 minutes (1800). The value that you select will depend on the poll interval, network condition, and external time source.
The default value of MaxNegPhaseCorrection is 48 hours in Windows Server 2008 R2 or later.

Close Registry Editor.

At the command prompt, type the following command to restart the Windows Time service, and then press Enter:

Troubleshooting

For the Windows Time service to function correctly, the networking infrastructure must function correctly. The most common problems that affect the Windows Time service include the following:

• There is a problem with TCP/IP connectivity, such as a dead gateway.
• The Name Resolution service is not working correctly.
• The network is experiencing high volume delays, especially when synchronization occurs over high-latency wide area network (WAN) links.
• The Windows Time service is trying to synchronize with inaccurate time sources.

We recommend that you use the Netdiag.exe utility to troubleshoot network-related issues. Netdiag.exe is part of the Windows Server 2003 Support Tools package. See Tools Help for a complete list of command-line parameters that you can use with Netdiag.exe. If your problem is still not solved, you can turn on the Windows Time service debug log. Because the debug log can contain very detailed information, we recommend that you contact Microsoft Customer Support Services when you turn on the Windows Time service debug log.

In special cases, charges that are ordinarily incurred for support calls may be canceled if a Microsoft Support Professional determines that a specific update will resolve your problem. The usual support costs will apply to additional support questions and issues that do not qualify for the specific update in question.

More information

Windows Server includes W32Time, the Time Service tool that is required by the Kerberos authentication protocol. The Windows Time service makes sure that all computers in an organization that are running the Microsoft Windows 2000 Server operating system or later versions use a common time.

To guarantee appropriate common time usage, the Windows Time service uses a hierarchical relationship that controls authority, and the Windows Time service does not allow for loops. By default, Windows-based computers use the following hierarchy:

• All client desktop computers nominate the authenticating domain controller as their in-bound time partner.
• All member servers follow the same process that client desktop computers follow.
• All domain controllers in a domain nominate the primary domain controller (PDC) operations master as their in-bound time partner.
• All PDC operations masters follow the hierarchy of domains in the selection of their in-bound time partner.

In this hierarchy, the PDC operations master at the root of the forest becomes authoritative for the organization. We highly recommend that you configure the authoritative time server to obtain the time from a hardware source. When you configure the authoritative time server to sync with an Internet time source, there is no authentication. We also recommend that you reduce your time correction settings for your servers and stand-alone clients. These recommendations provide more accuracy and security to your domain.

References

For more information about Windows Time service, see:

For more information about the Windows Time service, see Windows Time Service (W32Time).

Изменение системного времени — параметр политики безопасности Change the system time — security policy setting

Область применения Applies to

В этой статье описываются лучшие методики, расположение, значения, **** управление политиками и вопросы безопасности, которые следует учитывать при изменении параметра политики безопасности системного времени. Describes the best practices, location, values, policy management, and security considerations for the Change the system time security policy setting.

Справочные материалы Reference

Этот параметр политики определяет, какие пользователи могут настраивать время на внутренних часах устройства. This policy setting determines which users can adjust the time on the device’s internal clock. Это право позволяет пользователю компьютера изменять дату и время, связанные с записями в журналах событий, транзакциях базы данных и файловой системе. This right allows the computer user to change the date and time associated with records in the event logs, database transactions, and the file system. Это право также требуется процессу, который выполняет синхронизацию времени. This right is also required by the process that performs time synchronization. Этот параметр не влияет на способность пользователя изменять часовой пояс или другие характеристики системного времени. This setting does not impact the user’s ability to change the time zone or other display characteristics of the system time. Сведения о назначении права на изменение часовой пояс см. в подмене часовой пояс. For info about assigning the right to change the time zone, see Change the time zone.

Константа: SeSystemtimePrivilege Constant: SeSystemtimePrivilege

Возможные значения Possible values

• Определяемый пользователей список учетных записей User-defined list of accounts
• Не определено Not Defined

Рекомендации Best practices

• Ограничив право пользователя на изменение системного времени пользователями, у них есть законная необходимость изменить системное время. Restrict the Change the system time user right to users with a legitimate need to change the system time.

Location Location

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment

Значения по умолчанию Default values

По умолчанию члены групп администраторов и локальных служб имеют это право на рабочих станциях и серверах. By default, members of the Administrators and Local Service groups have this right on workstations and servers. Члены групп «Администраторы», «Операторы сервера» и «Локальные службы» имеют это право на контроллерах домена. Members of the Administrators, Server Operators, and Local Service groups have this right on domain controllers.

В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. The following table lists the actual and effective default policy values. Значения по умолчанию также можно найти на странице свойств политики. Default values are also listed on the policy’s property page.

Тип сервера или объект групповой политики Server type or GPO	Значение по умолчанию Default value
Default Domain Policy Default Domain Policy	Не определено Not Defined
Политика контроллера домена по умолчанию Default Domain Controller Policy	Администраторы Administrators Операторы сервера Server Operators Локализованная служба Local Service
Параметры по умолчанию для автономного сервера Stand-Alone Server Default Settings	Администраторы Administrators Локализованная служба Local Service
Эффективные параметры по умолчанию для DC DC Effective Default Settings	Администраторы Administrators Операторы сервера Server Operators Локализованная служба Local Service
Действующие параметры по умолчанию для рядового сервера Member Server Effective Default Settings	Администраторы Administrators Локализованная служба Local Service
Действующие параметры по умолчанию для клиентского компьютера Client Computer Effective Default Settings	Администраторы Administrators Локализованная служба Local Service

Управление политикой Policy management

В этом разделе описываются функции, средства и рекомендации, которые помогут вам управлять этой политикой. This section describes features, tools and guidance to help you manage this policy.

Перезапуск устройства не требуется для того, чтобы этот параметр политики был эффективным. A restart of the device is not required for this policy setting to be effective.

Изменения прав пользователя вступают в силу при его следующем входе в учетную запись. Any change to the user rights assignment for an account becomes effective the next time the owner of the account logs on.

Групповая политика Group Policy

Параметры применяются в следующем порядке с помощью объекта групповой политики (GPO), который будет перезаписывать параметры на локальном компьютере при следующем обновлении групповой политики: Settings are applied in the following order through a Group Policy Object (GPO), which will overwrite settings on the local computer at the next Group Policy update:

1. Параметры локальной политики Local policy settings
2. Параметры политики сайта Site policy settings
3. Параметры политики домена Domain policy settings
4. Параметры политики подразделения OU policy settings

Если локальный параметр затеняется, это означает, что в настоящее время этот параметр контролируется GPO. When a local setting is greyed out, it indicates that a GPO currently controls that setting.

Вопросы безопасности Security considerations

В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации. This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.

Уязвимость Vulnerability

Пользователи, которые могут изменить время на компьютере, могут вызвать несколько проблем. Users who can change the time on a computer could cause several problems. Например: For example:

• Отметки времени в записях журнала событий могут быть неточны Time stamps on event log entries could be made inaccurate
• Отметки времени для созданных или измененных файлов и папок могут быть неправильными Time stamps on files and folders that are created or modified could be incorrect
• Компьютеры, принадлежащие домену, могут не иметь возможности самостоятельной проверки подлинности Computers that belong to a domain might not be able to authenticate themselves
• Пользователи, которые пытаются войти в домен с устройств с неточным временем, могут не иметь возможности проверки подлинности. Users who try to log on to the domain from devices with inaccurate time might not be able to authenticate.

Кроме того, так как протокол проверки подлинности Kerberos требует, чтобы часы запрашивающего и аутентификация синхронизировались в течение определенного администратором периода отступа, злоумышленник, который изменяет время устройства, может привести к тому, что компьютер не сможет получить или предоставить билеты протокола Kerberos. Also, because the Kerberos authentication protocol requires that the requester and authenticator have their clocks synchronized within an administrator-defined skew period, an attacker who changes a device’s time may cause that computer to be unable to obtain or grant Kerberos protocol tickets.

Риск таких событий снижается на большинстве контроллеров домена, серверов-членов и компьютеров конечных пользователей, так как служба времени Windows автоматически синхронизирует время с контроллерами домена следующими способами: The risk from these types of events is mitigated on most domain controllers, member servers, and end-user computers because the Windows Time Service automatically synchronizes time with domain controllers in the following ways:

• Все настольные клиентские устройства и серверы-члены используют контроллер домена для проверки подлинности в качестве партнера по входящий времени. All desktop client devices and member servers use the authenticating domain controller as their inbound time partner.
• Все контроллеры домена в домене назначают основного мастера операций эмулятора контроллера домена (PDC) в качестве партнера по работе с входящие данными времени. All domain controllers in a domain nominate the primary domain controller (PDC) emulator operations master as their inbound time partner.
• Все хозяини операций эмулятора PDC следуют иерархии доменов в выборе партнера по входящие времени. All PDC emulator operations masters follow the hierarchy of domains in the selection of their inbound time partner.
• Хозяин операций эмулятора PDC в корне домена является полномочного для организации. The PDC emulator operations master at the root of the domain is authoritative for the organization. Поэтому рекомендуется настроить этот компьютер для синхронизации с надежным внешним сервером времени. Therefore, we recommend that you configure this computer to synchronize with a reliable external time server.

Эта уязвимость становится гораздо более серьезной, если злоумышленник может изменить системное время, а затем остановить службу времени Windows или перенастроить ее для синхронизации с сервером времени, который не является точным. This vulnerability becomes much more serious if an attacker is able to change the system time and then stop the Windows Time Service or reconfigure it to synchronize with a time server that is not accurate.

Противодействие Countermeasure

Ограничив право пользователя на изменение системного времени пользователями, которые действительно должны изменить системное время, например членамИ ИТ-группы. Restrict the Change the system time user right to users with a legitimate need to change the system time, such as members of the IT team.

Возможное влияние Potential impact

Это не должно влиять на работу, так как синхронизация времени для большинства организаций должна быть полностью автоматизирована для всех компьютеров, принадлежащих домену. There should be no impact because time synchronization for most organizations should be fully automated for all computers that belong to the domain. Компьютеры, не принадлежащие домену, должны быть настроены для синхронизации с внешним источником, например веб-службой. Computers that do not belong to the domain should be configured to synchronize with an external source, such as a web service.