Sådan konfigureres tjenesten Windows-tid til at undgå en stor tidsforskydning

Oversættelser af artikler Oversættelser af artikler
Artikel-id: 884776 - Få vist de produkter, som denne artikel refererer til.
Udvid alle | Skjul alle

På denne side

INTRODUKTION

Windows indeholder tjenesten W32Time, det tidstjenesteværktøj, der kræves til Kerberos-godkendelsesprotokol. Kerberos kræver ikke, at tidstjenesteværktøjet kører hele tiden. Du kan deaktivere tidstjenesteværktøjet, og Kerberos vil stadig fungere, hvis tidsforskydningen mellem de relevante computere ikke overskrider den tilladte maksimumtidsforskydning. Du kan også deaktivere tidstjenesteværktøjet og derefter installere en tidstjeneste fra tredjepart.

Formålet med tidstjenesteværktøjet er at sikre, at der bruges fælles tid på alle de computere i organisationen, der kører Microsoft Windows 2000 eller nyere versioner. Tjenesten Tid benytter hierarkiske relationer til styring af godkendelser for at sikre, at der er passende brug af fælles tid. Ydermere tillader tjenesten Tid ikke løkker. Som standard bruger Windows-baserede computere følgende hierarki:
  • Alle stationære klientcomputere udpeger den godkendende domænecontroller som deres partner for indgående tid.
  • Alle medlemsservere følger samme proces som de stationære klientcomputere.
  • Alle domænecontrollere i et domæne udpeger Operations Master for den primære domænecontroller (PDC) som deres partner for indgående tid.
  • Alle PDC Operations Masters følger domænehierarkiet ved valg af partner for indgående tid, men kan bruge en overordnet domænecontroller baseret på et lags nummerering.
I dette hierarki bliver PDC Operations Master i roden af området den autoritative tidsserver for organisationen. Det anbefales, at du konfigurerer den autoritative tidsserver til at hente tiden fra en hardwarekilde. Når du konfigurerer den autoritative tidsserver til at blive synkroniseret med en tidskilde fra internettet, er der ingen godkendelse. Det anbefales desuden, at du vælger lavere indstillinger af tidskorrektion for servere og enkeltstående klienter. Hvis du følger disse anbefalinger, betyder det større præcision i domænet.

Yderligere Information

Microsoft Windows XP Professional og Microsoft Windows Server 2003, alle versioner

Domæneservere

PDC (autoritativ tidsserver)
Vi anbefaler, at du konfigurerer den autoritative tidsserver til at hente tiden fra en hardwarekilde. Når du konfigurerer den autoritative tidsserver til at blive synkroniseret med en tidskilde fra internettet, er der ingen godkendelse. Du skal omkonfigurere registreringsdatabaseposterne
MaxPosPhaseCorrection
og
MaxNegPhaseCorrection
. Standardværdien er 0xFFFFFFFF (accepter enhver tidsændring). Den anbefalede værdi er 900 (15 minutter) eller endnu lavere, afhængigt af tidskilde, netværkstilstand og sikkerhedskrav. Værdien afhænger også af forespørgselsintervallet. Det anbefales, at du angiver værdien for registreringsdatabaseposten
MaxPollInterval
til 10 eller derunder, eller at du angiver værdien for registreringsdatabaseposten
SpecialPollInterval
til 3.600 (1 time) eller derunder. Yderligere oplysninger om disse registreringsdatabasenøgler finder du i afsnittet "Registreringsdatabasenøgler i tjenesten Tid under Windows Server 2003 og Windows XP".
Domænecontrollere og medlemsservere i domænet
Registreringsdatabaseposterne
MaxPosPhaseCorrection
og
MaxNegPhaseCorrection
har en standardværdi på 0xFFFFFFFF (accepter alle tidsændringer). Denne standardværdi er god nok. Imidlertid ønsker du øget sikkerhed inden for domænet for at opnå bedre beskyttelse mod menneskelige fejl. Afhængigt af, hvad du vil opnå, kan du bibeholde eller ændre standardværdierne.

Enkeltstående klienter

Registreringsdatabaseposterne
MaxPosPhaseCorrection
og
MaxNegPhaseCorrection
har en standardværdi på 54.000 (15 timer). Du kan sænke denne værdi som den bedste måde at opnå sikkerhed. Det anbefales, at du sætter værdien til 3.600 (1 time) eller endnu lavere, afhængigt af tidskilde, netværkstilstand og sikkerhedskrav.

Registreringsdatabasenøgler i tjenesten Tid under Windows Server 2003 og Windows XP" i denne artikel

Skjul tabellenUdvid tabellen
Registreringsdatabasepost
MaxPosPhaseCorrection
Sti
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
Bemærk!Denne post angiver den maksimale positive tidskorrektion i sekunder, som tjenesten foretager. Hvis det afgøres af tjenesten, at der kræves en større ændring, registrerer tjenesten en hændelse. Særligt tilfælde: 0xFFFFFFFF betyder, at der altid foretages tidskorrektion. Standardværdien for domænemedlemmer er 0xFFFFFFFF. Standardværdien for enkeltstående klientmaskiner og servere er 54.000 eller 15 timer.
Skjul tabellenUdvid tabellen
Registreringsdatabasepost
MaxNegPhaseCorrection
Sti
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
Bemærk!Denne post angiver den maksimale negative tidskorrektion i sekunder, som tjenesten foretager. Hvis det afgøres af tjenesten, at der kræves en større ændring, registrerer tjenesten en hændelse i stedet for. Særligt tilfælde: -1 betyder, at der altid foretages tidskorrektion. Standardværdien for domænemedlemmer er 0xFFFFFFFF. Standardværdien for enkeltstående klientmaskiner og servere er 54.000 eller 15 timer.
Skjul tabellenUdvid tabellen
Registreringsdatabasepost
MaxPollInterval
Sti
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
Bemærk!Denne post angiver det maksimale interval (i logførte sekunder), der er tilladt som systemets forespørgselsinterval. Bemærk, at mens et system skal udføre forespørgsler i overensstemmelse med det planlagte interval, kan en provider afslå at komme med eksempler, når der bliver anmodet om det. Standardværdien for domænemedlemmer er 10. Standardværdien for enkeltstående klientmaskiner og servere er 15.
Skjul tabellenUdvid tabellen
Registreringsdatabasepost
SpecialPollInterval
Sti
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient
Bemærk!Denne post angiver det særlige forespørgselsinterval i sekunder for manuelle peers. Når 0x1-flaget for SpecialInterval er aktiveret, bruger W32Time dette forespørgselsinterval i stedet for et forespørgselsinterval, der bestemmes af operativsystemet. Standardværdien for domænemedlemmer er 3.600. Standardværdien for enkeltstående klientmaskiner og servere er 604.800.
Du kan finde flere oplysninger om Windows-tidstjenesten i et Windows Server 2003-baseret system på følgende websted:
http://technet2.microsoft.com/windowsserver/en/library/A0FCD250-E5F7-41B3-B0E8-240F8236E2101033.mspx

Windows 2000 SP4 (Service Pack 4), alle versioner

Domæneservere

PDC ved roden af området (autoritativ tidsserver)
Det anbefales, at du konfigurerer den autoritative tidsserver til at indhente klokkeslættet fra en hardwarekilde. Når du konfigurerer den autoritative tidsserver til at blive synkroniseret med en tidskilde fra internettet, er der ingen godkendelse for manuel kode. Du skal omkonfigurere registreringsdatabaseposten
MaxAllowedClockErrInSecs
. Standardværdien er 43.200. Den anbefalede værdi er 900 (15 minutter) eller endnu lavere, afhængigt af tidskilde, netværkstilstand og sikkerhedskrav. Værdien afhænger også af forespørgselsintervallet. Det anbefales, at forespørgselsintervallet er en time (Period = 24). Yderligere oplysninger om denne registreringsdatabasenøgle funder du i afsnittet "Registreringsdatabasepost for Windows Server SP 4" senere i denne artikel.
Domænecontrollere og medlemsservere i domænet
Synkroniseringstypen er NT5DS. Tjenesten Tid synkroniserer fra domænehierarkiet og accepterer alle tidsændringer. Fordi NT5DS accepterer enhver tidsændring uden hensyn til tidsforskydningen, er det meget vigtigt at indstille en pålidelig tidskilde for roden i området i undernettet for tidssynkronisering.

Enkeltstående klienter

Registreringsdatabaseposten
MaxAllowedClockErrInSecs
har en standardværdi på 43.200 (12 timer). Du kan sænke denne værdi som den bedste måde at opnå sikkerhed. Det anbefales, at værdien er til 3.600 (1 time) eller endnu lavere, afhængigt af tidskilde, netværkstilstand, forespørgselsinterval og sikkerhedskrav.
Registreringsdatabasenøgle i Windows Server 2000 SP 4
Skjul tabellenUdvid tabellen
Registreringsdatabasepost
MaxAllowedClockErrInSecs
Sti
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
Bemærk!Angiver den maksimalt tilladte tidsændring i sekunder. Logfør en eventuelt opstået hændelse og ikke nogen tidsjustering som hjælp til beskyttelse mod eventuelle mistænkelige tidsstempler. Standardværdien for domænemedlemmer er 43.200.

Egenskaber

Artikel-id: 884776 - Seneste redigering: 24. april 2008 - Redigering: 9.2
Oplysningerne i denne artikel gælder:
  • Microsoft Windows XP Professional
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows 2000 Advanced Server SP4
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional SP4
  • Microsoft Windows 2000 Server SP4
Nøgleord: 
kbsecurity kbhowto kbinfo KB884776

Send feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com