Artikel-ID: 884776 - Geändert am: Mittwoch, 12. Dezember 2007 - Version: 9.1

Konfigurieren des Windows-Zeitdienstes zum Verhindern eines großen Zeitoffsets

Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
884776  (http://support.microsoft.com/kb/884776/EN-US/ ) Configuring the Windows Time service against a large time offset
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.

Auf dieser Seite

Alles erweitern | Alles schließen

Einführung

Windows enthält W32Time, das Zeitdienst-Programm, das vom Kerberos-Authentifizierungsprotokoll verwendet wird. Für Kerberos ist es nicht erforderlich, dass das Zeitdienst-Programm ausgeführt wird. Wenn Sie das Zeitdienst-Programm deaktivieren, funktioniert Kerberos weiterhin ordnungsgemäß, solange die Zeitdifferenz zwischen den entsprechenden Computern innerhalb der maximal erlaubten Abweichung bleibt. Sie können das Zeitdienst-Programm auch deaktivieren und anschließend den Zeitdienst eines Fremdanbieters installieren.

Der Zeitdienst soll sicherstellen, dass alle Computer in einer Organisation, die mit Microsoft Windows 2000 oder höher arbeiten, eine gemeinsame Zeit verwenden. Um die korrekte Verwendung einer gemeinsamen Zeit zu gewährleisten, verwendet der Zeitdienst eine hierarchische Beziehung zur Kontrolle der Autorität. Der Zeitdienst lässt keine Schleifen zu. Windows-Computer verwenden standardmäßig die folgende Hierarchie:
  • Alle Client-Desktopcomputer nominieren den authentifizierenden Domänencontroller als ihren eingehenden Zeitpartner.
  • Alle Mitgliedsserver folgen demselben Prozess wie die Client-Desktopcomputer.
  • Alle Domänencontroller in einer Domäne nominieren den PDC-Betriebsmaster (PDC = primärer Domänencontroller) als ihren eingehenden Zeitpartner.
  • Alle PDC-Betriebsmaster folgen bei der Auswahl ihrer eingehenden Zeitpartner der Domänenhierarchie, können jedoch auch einen übergeordneten Domänencontroller auf der Basis der Stratum-Nummerierung verwenden.
In dieser Hierarchie nimmt der PDC-Betriebsmaster am Gesamtstrukturstamm die Rolle des autorisierenden Zeitservers für die Organisation ein. Der autorisierende Zeitserver sollte möglichst darauf konfiguriert werden, die Uhrzeit von einer Hardwarequelle zu beziehen. Wenn Sie den autorisierenden Zeitserver für die Synchronisierung mit einer Internetzeitquelle konfigurieren, findet keine Authentifizierung statt. Sie sollten außerdem niedrigere Zeitkorrektureinstellungen für Ihre Server und eigenständigen Clients wählen. Diese Empfehlungen ermöglichen eine höhere Genauigkeit für Ihre Domäne.
Zum Anfang

Weitere Informationen

Microsoft Windows XP Professional und Microsoft Windows Server 2003, alle Versionen

Domänenserver

Gesamtstrukturstamm-PDC (autorisierender Zeitserver)
Der autorisierende Zeitserver sollte möglichst darauf konfiguriert werden, die Uhrzeit von einer Hardwarequelle zu beziehen. Wenn Sie den autorisierenden Zeitserver für die Synchronisierung mit einer Internetzeitquelle konfigurieren, findet keine Authentifizierung statt. Sie müssen die Registrierungseinträge MaxPosPhaseCorrection und MaxNegPhaseCorrection neu konfigurieren. Ihr Standardwert lautet 0xFFFFFFFF (alle Zeitänderungen akzeptieren). Der empfohlene Wert ist 900 (15 Minuten) oder noch weniger, abhängig von der Zeitquelle, den Netzwerkbedingungen und den Sicherheitsanforderungen. Der Wert hängt außerdem vom Pollintervall ab. Microsoft empfiehlt, den Wert des Registrierungseintrags MaxPollInterval auf 10 oder weniger oder den Wert des Registrierungseintrags SpecialPollInterval auf 3600 (1 Stunde) oder weniger zu setzen. Weitere Informationen zu diesen Registrierungseinträgen finden Sie im Abschnitt "Registrierungsschlüssel für den Zeitdienst in Windows Server 2003 und Windows XP".
Domänencontroller und Mitgliedsserver innerhalb der Domäne
Die Registrierungseinträge MaxPosPhaseCorrection und MaxNegPhaseCorrection haben den Standardwert 0xFFFFFFFF (alle Zeitänderungen akzeptieren). Dieser Standardwert ist in Ordnung. Zusätzliche Sicherheitsmaßnahmen innerhalb Ihrer Domäne zum Schutz gegen Benutzerfehler sind jedoch sinnvoll. Abhängig von Ihren Anforderungen können Sie die Standardwerte belassen oder ändern.

Eigenständige Clients

Die Registrierungsschlüssel MaxPosPhaseCorrection und MaxNegPhaseCorrection haben den Standardwert 54.000 (15 Stunden). Als Sicherheitsvorkehrung empfiehlt es sich, diesen Wert zu reduzieren. Microsoft empfiehlt, den Wert auf 3600 (1 Stunde) oder noch weniger einzustellen, abhängig von der Zeitquelle, den Netzwerkbedingungen, dem Pollintervall und den Sicherheitsanforderungen.

Registrierungsschlüssel für den Zeitdienst in Windows Server 2003 und Windows XP

Tabelle minimierenTabelle vergrößern
RegistrierungseintragMaxPosPhaseCorrection
PfadHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
HinweiseDieser Eintrag gibt die größte positive Zeitkorrektur in Sekunden an, die der Dienst durchführt. Wenn der Dienst feststellt, dass eine größere Änderung erforderlich ist, protokolliert er ein Ereignis. Sonderfall: 0xFFFFFFFF bedeutet, dass immer eine Zeitkorrektur vorgenommen werden soll. Der Standardwert für Domänenmitglieder ist 0xFFFFFFFF. Der Standardwert für eigenständige Clients und Server ist 54.000 (15 Stunden).
Tabelle minimierenTabelle vergrößern
RegistrierungseintragMaxNegPhaseCorrection
PfadHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
HinweiseDieser Eintrag gibt die größte negative Zeitkorrektur in Sekunden an, die der Dienst durchführt. Wenn der Dienst feststellt, dass eine größere Änderung erforderlich ist, protokolliert er stattdessen ein Ereignis. Sonderfall: -1 bedeutet, dass immer eine Zeitkorrektur stattfinden soll. Der Standardwert für Domänenmitglieder ist 0xFFFFFFFF. Der Standardwert für eigenständige Clients und Server ist 54.000 (15 Stunden).
Tabelle minimierenTabelle vergrößern
RegistrierungseintragMaxPollInterval
PfadHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
HinweiseDieser Eintrag gibt das größte zulässige Pollintervall für das System in Sekunden an. Beachten Sie, dass ein System die Abfragen zwar gemäß dem festgelegten Intervall durchführen muss, ein Anbieter Abfragen jedoch zurückweisen kann. Der Standardwert für Domänenmitglieder ist 10. Der Standardwert für eigenständige Clients und Server ist 15.
Tabelle minimierenTabelle vergrößern
RegistrierungseintragSpecialPollInterval
PfadHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient
HinweiseDieser Eintrag gibt das spezielle Pollintervall in Sekunden für manuell konfigurierte Peers an. Wenn das Flag "SpecialInterval 0x1" aktiviert ist, verwendet W32Time dieses Pollintervall anstelle eines durch das Betriebssystem vorgegebenen Intervalls. Der Standardwert für Domänenmitglieder ist 3.600. Der Standardwert für eigenständige Clients und Server ist 604.800.
Weitere Informationen zum Windows-Zeitdienst in einer Windows Server 2003-Gesamtstruktur finden Sie auf folgender Website:
http://technet2.microsoft.com/windowsserver/en/library/A0FCD250-E5F7-41B3-B0E8-240F8236E2101033.mspx (http://technet2.microsoft.com/windowsserver/en/library/A0FCD250-E5F7-41B3-B0E8-240F8236E2101033.mspx)
Zum Anfang

Windows 2000 Service Pack 4 (SP4), alle Versionen

Domänenserver

Gesamtstrukturstamm-PDC (autorisierender Zeitserver)
Der autorisierende Zeitserver sollte möglichst darauf konfiguriert werden, die Uhrzeit von einer Hardwarequelle zu beziehen. Wenn Sie den autorisierenden Zeitserver für die Synchronisierung mit einer Internetzeitquelle konfigurieren, findet keine Authentifizierung für den manuellen Modus statt. Sie müssen den Registrierungseintrag MaxAllowedClockErrInSecs neu konfigurieren. Der Standardwert ist 43.200. Der empfohlene Wert ist 900 (15 Minuten) oder noch weniger, abhängig von der Zeitquelle, den Netzwerkbedingungen und den Sicherheitsanforderungen. Der Wert hängt außerdem vom Pollintervall ab. Microsoft empfiehlt ein Pollintervall von einer Stunde (Period = 24). Weitere Informationen zu diesem Registrierungseintrag finden Sie im Abschnitt "Registrierungsschlüssel für Windows Server 2000 SP 4" in diesem Artikel.
Domänencontroller und Mitgliedsserver innerhalb der Domäne
Der Synchronisierungstyp ist NT5DS. Der Zeitdienst führt die Synchronisierung auf Basis der Domänenhierarchie durch und akzeptiert alle Zeitänderungen. Da NT5DS alle Zeitänderungen akzeptiert, ohne den Zeitoffset zu berücksichtigen, ist es sehr wichtig, eine zuverlässige Gesamtstruktur-Zeitquelle im Zeitsynchronisierungs-Subnetz einzurichten.

Eigenständige Clients

Der Registrierungseintrag MaxAllowedClockErrInSecs hat den Standardwert 43.200 (12 Stunden). Als Sicherheitsvorkehrung empfiehlt es sich, diesen Wert zu reduzieren. Microsoft empfiehlt, diesen Wert auf 3600 (1 Stunde) oder noch weniger einzustellen, abhängig von der Zeitquelle, den Netzwerkbedingungen, dem Pollintervall und den Sicherheitsanforderungen.
Registrierungsschlüssel für Windows Server 2000 SP 4
Tabelle minimierenTabelle vergrößern
RegistrierungseintragMaxAllowedClockErrInSecs
PfadHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
HinweiseGibt die maximal zulässige Uhrzeitänderung in Sekunden an. Protokolliert ein auftretendes Ereignis und führt zum Schutz gegen verdächtige Zeitstempel keine Zeitanpassung durch. Der Standardwert für Domänenmitglieder ist 43.200.
Zum Anfang
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows XP Professional
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Service Pack 4
Zum Anfang
Keywords: 
kbhowto kbinfo kbsecurity KB884776
Zum Anfang
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
 

Get Help Now

Contact a support professional by E-mail, Online, or Phone

SPRACHE AUSWÄHLEN