STS (Secure Time Seeding) 機能に関する推奨事項について

Last Update:
Active DirectoryWindows Time Service
feedback 共有

本記事はマイクロソフト社員によって公開されております。

こんにちは。Windows Commercial Support Directory Services チームです。

今回は、STS (Secure Time Seeding) 機能に関する推奨事項についてご紹介いたします。
なお、本記事は、以下の弊社公開情報を基に、日本語で概要をおまとめしたものでございます。ご不明点等ございましたらサポート チームまでお問い合わせください。

Secure Time Seeding recommendations for Windows Server

STS (Secure Time Seeding) 機能について

STS (Secure Time Seeding) 機能は、Windows OS における時刻同期メカニズムの 1 つであり、
コンピューターの外向きの SSL/TLS 接続から取得される時刻メタデータを使用して、その情報を基にシステム時刻の大きな誤差を検出および修正する機能です。
STS 機能の主な目的は、ハードウェアの不具合やその他の要因によって発生する大きな時刻ずれが原因で、SSL/TLS が正常に機能しなくなるような場合にシステム時刻を修正することです。

機能としては、Windows Server 2016, Windows Server 2019, Windows Server 2022 の全てのエディション、
Windows 11 を含む Windows 10 バージョン 1511 以降にリリースされたすべてのクライアント OS , Windows IOT リリース、および その他すべての Windows OS SKU で既定で有効化されております。
一方で、後述の STS によって時刻ずれが発生する問題のフィードバックに基づき、Windows Server 2025 では既定でSTS が無効化されております。

STS によって時刻ずれが発生する問題について

Windows Server OS の導入環境において、STS が原因と考えられる時刻ずれに関する複数のインシデント報告がお客様から寄せられており、それらの問題には以下の共通点があることが確認できています。

・Windows Server OS のさまざまなリリース/バージョンを実行している一部の環境で発生する
・STS 機能が導入された期間と比較すると事象発生率は低い
・影響を受けたマシンでは STS が有効化されている
・W32time サービスがシステム時刻をランダムな誤った値に設定し、ずれは数日から数週間、場合によっては数年におよぶ
・STS による問題は多くの場合、意図的に再現することができない

記載のとおり、STS における時刻ずれについては意図的に再現させることが困難でございますが、
原因としては、コンピューターが外部の SSL/TLS 接続先から受け取った時刻メタデータに異常があり、そのデータが STS に渡されたことが考えられます。
なお、STS が有効な環境で必ず時刻ずれが発生してしまうというわけではなく、
弊社サポートとしても、現時点でお客様から、STS による時刻ずれが発生したというお問い合わせを大量にお寄せいただいているわけではございません。

Windows Server OS での STS の無効化について

STS により、不用意に時刻ずれが発生することを抑制することを目的とし、
STS が有効であるコンピューターでは、STS 機能の無効化を検討いただくことを推奨しております。
具体的な手順については以下にお纏めいたしましたので、ご活用いただけますと幸いでございます。

レジストリで設定する方法

※ レジストリを直接設定される場合、予めバックアップを取得の上、操作には十分お気を付けください。

  1. 対象サーバーに管理者権限を持つユーザーでログオンします。

  2. レジストリエディターより、以下のレジストリを設定します。

キー: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
名前: UtilizeSslTimeData
種類: REG_DWORD
値: 0 (無効)

  1. 対象のサーバーを再起動します。

グループ ポリシーで設定する方法

  1. ドメインのグループ ポリシーもしくは、ローカルのグループ ポリシーにて、以下のポリシーを設定します。

ポリシー パス:[コンピューターの構成] > [管理用テンプレート] > [システム] > [Windows タイム サービス]
ポリシー: グローバル構成設定
設定値:有効
オプション:UtilizeSslTimeData = 0

※ UtilizeSslTimeData 以外のその他の値については、ご利用環境の構成に従って変更をお願いいたします。

  1. 対象のコンピューターにポリシーが適用されましたら、OS を再起動します。

よくお寄せいただくご質問

Windows Server OS 以外の OS でも STS による時刻ずれが発生することはありますか?

はい。Windows Server 以外の OS SKU(たとえば、Windows 10 バージョン 1511 以降のリリース、Windows 10 クライアント SKU、Windows 10 IoT、Windows 11 クライアント SKU、Windows 11 IoT など)を実行しているマシンでも、STS に関連する時刻の問題が発生する可能性がわずかながら存在します。
こうした問題の発生を防ぐには、影響を受けるマシンで STS 機能を無効にすることが唯一の対策となります。

過去に発生した時刻ずれが STS によって発生したものか判断することはできますか?

STS による時刻ずれが発生したことは、イベント ログなどの OS が既定で残すログでは確認することができません。
確認するためには、時刻ずれが発生した際の Windows タイム サービスのデバッグ ログを採取する必要がございます。
そのため、デバッグ ログを常時採取し続けている環境以外では、過去に遡って STS による時刻ずれが発生したことを判断することはかないません。

更新履歴

2025/6/18 : 本ブログの公開
2025/7/16 : グループ ポリシーで設定する方法における補足事項を追記