W32Time не учитывает настройки MaxPosPhaseCorrection.

Question

W32Time не учитывает настройки MaxPosPhaseCorrection.

У меня возникла проблема со службой W32Time на Windows Server 2019, которая не соблюдает ограничение по умолчанию для положительных смещений времени (MaxPosPhaseCorrection/MaxNegPhaseCorrection = 15 дней). Сервер работает на AWS как не присоединенный к домену, а служба времени настроена на использование службы синхронизации времени Amazon.

Иногда сервис Amazon возвращает неверные данные для синхронизации, на несколько недель или даже на месяц меньше фактического значения. W32Time сообщает о большой разнице в журнале событий в качестве предупреждения и по-прежнему смещает время сервера за пределы лимита. Затем через пару часов восстанавливает время сервера до нормального значения.

Есть какие-нибудь советы о том, как контролировать такое поведение?

2

windows time-synchronization aws-ec2 w32time

Источник

kirill_l 11 авг '23 в 16:38

1 ответ

Другие вопросы по тегам windows time-synchronization aws-ec2 w32time

Greg Askew 11 авг '23 в 18:13 2023-08-11 18:13 · Answer 1 · 2023-08-11 18:13

Это может быть связано с функцией Windows Server 2016+. Если синхронизация времени временно недоступна, используйте отметку времени из пакетов TLS. К сожалению, иногда временная метка содержит случайные данные, вставленные другими приложениями для других целей, и на нее не следует полагаться.

Безопасное распределение времени

Эта функция определяет приблизительное текущее время исходя из исходящих SSL-соединений. Это значение времени используется для мониторинга локальных системных часов и исправления любых грубых ошибок. В развертываниях с надежными источниками времени и хорошо контролируемыми компьютерами, которые включают мониторинг смещений времени, вы можете отказаться от использования функции безопасного заполнения времени и вместо этого полагаться на существующую инфраструктуру.

Вы можете отключить эту функцию, выполнив следующие действия:

Установите для параметра реестра UtilizeSSLTimeData значение 0:

reg add HKLM\SYSTEM\CurrentControlSet\Services\w32time\Config /v UtilizeSslTimeData /t REG_DWORD /d 0 /f

Если по какой-либо причине вы не можете немедленно перезагрузить компьютер, вы можете уведомить службу W32time об обновлении конфигурации. Это останавливает мониторинг и принудительное соблюдение времени на основе данных о времени, собранных из SSL-соединений.

W32tm.exe /config /update

https://learn.microsoft.com/en-us/windows-server/networking/windows-time-service/windows-server-2016-improvements

https://learn.microsoft.com/en-us/archive/blogs/w32time/secure-time-seeding-improving-time-keeping-in-windows

https://learn.microsoft.com/en-us/troubleshoot/windows-server/identity/turn-on-debug-logging-in-windows-time-service