Kuidas konfigureerida Windowsi kellaajateenuse suure ajalise nihkega

Artiklite tõlked Artiklite tõlked
Artikli ID: 884776 - Vaadake tooteid, millega see artikkel seostub.
Laienda kõik | Ahenda kõik

Sellel veebilehel

SISSEJUHATUS

Windowsi operatsioonisüsteeme sisaldab kellaajateenuse tööriista (W32Time teenus), mida kasutab Kerberose autentimisprotokolli. Kerberose autentimine töötab kui ajavahemik, mille jooksul asjakohast arvutite vahel jääb maksimaalne lubatud aeg kallutus. Vaikimisi on 5 minutit. Saate lülitada kellaajateenuse tööriista. Seejärel saate installida kolmanda osapoole kellaajateenuse.

Kellaajateenuse tööriista eesmärk on veenduda, et kõik arvutid organisatsioonis, kus töötab Microsoft Windows 2000 või uuemate versioonidega Windows operatsioonisüsteemide kasutaksid sama kellaaega. Veenduge, et on õige ühtse kellaaja kasutamine, aeg teenus kasutab hierarhilist seost, mis reguleerib volitusi. Windows-põhiste arvutite kasutavad vaikimisi järgmist hierarhiat:
  • Kõik kliendi lauaarvutid nimetada autentiva domeenikontrolleri kellaajaserveri allikana.
  • Domeeni, järgige kõiki servereid klientlauaarvutid järgige sama protsessi.
  • Kõik domeeni domeenikontrollerid nimetada esmase domeeni domeenikontrolleri (PDC) toiminguülema aeg allikana.
  • Kõik PDC järgivad nende kellaajaallikat valimisel domeenide hierarhiat. Siiski PDC operatsioonide meistrid võivad kasutada kihtnummerdamisel põhinevat ülemdomeenikontrollerit.

    Märkus Kihi number määratleb, kuidas tihe aeg server on peamine teabeallikas. Mida väiksem arv, seda lähemal on esmase aeg allikas server.
Selles hierarhias on domeenikogumi PDC metsa juure muutub organisatsiooni autoriteetse ajaserveri. Soovitame tungivalt konfigureerida autoriteetse ajaserveri koguma aeg riistvara allikast. Kui proovite konfigureerida autoriteetse ajaserveri sünkroonseks Interneti kellaaja-allikaga, siis autentimist ei toimu. Samuti soovitame, et te vähendada serverite ja autonoomsete klientide kellaaja täpsustamise sätteid. Kui te järgite neid soovitusi, täpsem kord on ette nähtud domeenile.

Lisateave

Aeg rollbacks on selgunud et arvutid võivad vastu võtta aeg, mis võib olla päeva, kuud, aastat või isegi mitukümmend aastat tulevikus või minevikus. Järgmisi küsimusi võib tekkida, kui arvutid rulli edasi või rulli ajas tahapoole:
  • Paroole arvuti kontod, kasutaja kontod ja usalduse seosed saab ennetähtaegselt värskendada.
  • Karantiini võimalik identifitseerida poolt NTDS-i replikatsiooni sündmus 2042 Active Directory kataloogi teenus kopeerimine.
  • Paroolid ei ühti autoriteetselt taastatakse arvuti kontod, kasutajakontode või usaldusfondi suhteid. Sellised vastuolud toibumine võib nõuda käsitsi parooli lähtestab kõik kontod ja usub, et on mõjutatud.

Kuidas kaitsta aeg, mis liigub edasi ja aeg rollbacks

Kui arvutid ja võimu tsüklit uuesti BIOS väidab aega kohalike EPROM, mis asub arvuti emaplaadiga. Kui Windows käivitub, tõmbab tuuma BIOS praeguse kellaaja. See praegune aeg kasutatakse esialgse aja kuni W32Time teenus saab sünkroonida kuni teise kellaaja-allikaga.

Windows 32 kellaajateenuse toetab kahe registri kanded, mille MaxPosPhaseCorrection ja selle MaxNegPhaseCorrection tuleb ümber konfigureerida. Need kanded piirata proovid, mis kellaajateenuse juurdomeen aktsepteerib kohalikus arvutis, kui need proovid saadetakse kaugarvutist.

Kui arvuti, kus töötab statsionaarne olek saab aega proovi oma kellaajaallikat, kontrollitakse proovi etapi korrigeerimine piirid, mis registrikirjed MaxPosPhaseCorrection ja MaxNegPhaseCorrection tuleb ümber konfigureerida kehtestada. Kui aeg proovi jääb piiridesse, mis kahe registrikannete jõustama, see valim on menetlusse võetud täiendavate. Kui aeg proovi ei kuulu nendesse piiridesse, aeg proovi ignoreeritakse ja aeg teenus logib järgmise sõnumi W32Time erasektori logifaili:
*TOO BIG*
Kui administraatorid vähendada hinna ja positiivne ja negatiivne faas parandused, administraatorid vähendada ohtu, et arvutid saavad aega sobimatu aeg proovide jaoks Windowsi-põhise arvutiga. Teiselt poolt, kui administraatorite vähendada väärtuse, Administraatorid võivad takistada arvutid on ees või taga praegune aeg rohkem kui need väärtused kehtestada piirangud.

Märkus Positiivseid ja negatiivseid korrektsioone kanne registriväärtused vähenemisel aeg suurenes või vähenes.

MaxPosPhaseCorrection ja MaxNegPhaseCorrection tuleb ümber konfigureerida registrikannete opsüsteemis Windows 2000, Windows XP, Windows Server 2003 ja Windows Vista jaoks on vaikeväärtus on järgmine väärtus:
0xFFFFFFF
See väärtus võimaldab arvutil saada korda, mis sisaldub mis tahes ajal proovis, sõltumata ebatäpsus.

Windows Server 2008, on vastu võtnud uue vaikeväärtuse registrikirjed MaxPosPhaseCorrection ja MaxNegPhaseCorrection tuleb ümber konfigureerida. See uus vaikeväärtus on 48 tundi. See 48-tunnise väärtus saab esindajad, kas järgmised väärtused:
  • 2a300 (kuueteistkümnendsüsteemis)
  • 172800 (kümnend)
Me soovitame, et registrikirjed MaxPosPhaseCorrection ja MaxNegPhaseCorrection tuleb ümber konfigureerida on seatud väärtus, mis pole järgmine väärtus:
MAX (0XFFFFFFFF)
Märkus Kui seate väärtuse MAX (0xFFFFFFFF), saate takistada arvutid vastuvõtmise ajal, see on väga ebatäpne, stsenaariume, kus arvuti taaskäivitamist või välise kellaajaallikad ühendumise on häiritud. Võtame näiteks juhtumi, kus olete selle MaxPosPhaseCorrection ja MaxNegPhaseCorrection tuleb ümber konfigureerida registrikannete seada 48 tunni jooksul kõik domeeni domeenikontrollerid metsa. Kui kõik ühe domeenikontrolleri kogemusi ebatavaline aeg hüpata üle 48 tunni, väärtus, et seate selle MaxPosPhaseCorrection ja MaxNegPhaseCorrection tuleb ümber konfigureerida registrikannete takistada teiste arvutitega tehes samal ajal hüpata. Arvutid, mis on sünkroonitud saab seetõttu hoida peale teiste arvutite, kuni administraator saab uurida ja võtta parandusmeetmeid.

Aja täpsus on eriti oluline metsa juure esmase domeenikontrolleri (PDC). Kuna PDC on domeeni juur kellaajaallikat, ebatäpne aeg muutub PDC võib potentsiaalselt põhjustada domeeni kogu aeg hüpata. Kui te kehtestada faasi korrigeerimise piirangud PDC, saate takistada muud domeenikontrollerid metsa vastu uus aeg.

48 Tunni asemel vaikimisi väärtus 5 minutit või 10 minutit vaikimisi väärtus põhineb järgmistel põhjustel:
  • Väljund W32TM kasulikkust on raske lugeda.
  • W32TM praegu suunatud liige arvutid ja liikmesserverid.
  • Tõrked ja sündmused, mis eraldi kolmanda osapoole rakenduste ja operatsioonisüsteemi Windows sisse logida on väga vastuolulised. Võimalike vigade hulka kuuluvad edasi-tagasi koodid, mis sarnaneb järgmisega:
    • juurdepääs võrguprinterile on keelatud
    • RPC Server pole saadaval
    Märkus Need vead on madal korrelatsioon viltune ajale, sest põhjuseks võivad takistada Windows-põhiste arvutite vastuvõtmise täpne aeg väärtus.
  • Suveaja vead võivad põhjustada 1-tunnise ajanihe.
  • AM või PM vale konfiguratsioon võib põhjustada 12-tunnise ajavahega.
  • Päev või kuupäev vigu võib põhjustada 24-tunnine ajavahe.
Seega oli 48 tundi järgmise ilmne ajal nihe 25 või 36 tunni pärast. Administraatorid võib vähendada ka õiged tööriistad, mis infrastruktuuri ja katsete aruande väärtust.

Konkreetseid soovitusi vastavalt operatsioonisüsteemi versiooni ja arvuti roll on kirjeldatud järgmistes jaotistes.

Windows XP Professional ja kõik versioonid Windows Server 2003

Domeeni serverite

Juurdomeeni PDC (autoriteetse ajaserveri)
Soovitame tungivalt konfigureerida autoriteetse ajaserveri koguma aeg riistvara allikast. Kui konfigureerite autoriteetse ajaserveri sünkroonseks Interneti kellaaja-allikaga, siis autentimist ei toimu. Tuleb konfigureerida järgmine registri kanded:
  • MaxPosPhaseCorrection
  • MaxNegPhaseCorrection tuleb ümber konfigureerida
Nende kahe registrikirjete vaikeväärtus on 0xFFFFFFFF. Seda vaikeväärtust tähendab "Aktsepteerida igal ajal muuta." Soovitame väärtust, mis on 48 tundi. See on esindatud registris 2a300 (kuueteistkümnendsüsteemis) või 172800 (kümnendarv). Me soovitame, et seate registrikirje 10 või vähem või mis sulle seatud registrikirje SpecialPollInterval väärtust 3600 (1 tund) või vähem MaxPollInterval väärtus.
Domeenikontrollerid ja liikmesserverid domeeni sees
Registrikirjed MaxPosPhaseCorrection ja MaxNegPhaseCorrection tuleb ümber konfigureerida on vaikeväärtus 0xFFFFFFFF. Seda vaikeväärtust tähendab "Aktsepteerida igal ajal muuta." Soovitame seada selle väärtuse 48 tunniga kõik domeeni domeenikontrollerid. 48 Tunni väärtust saab seada ka liige serverites, kus töötab aeg tundlik-põhiste rakenduste.

Märkus Nende registrikirjete kohta lisateabe saamiseks vt jaotises "Windows Server 2003 ja Windows XP kellaajateenuse registrikirjed".

Autonoomsete klientide

Registrikirjed MaxPosPhaseCorrection ja MaxNegPhaseCorrection tuleb ümber konfigureerida on vaikeväärtus on 54,000 (15 tundi). Kui turvalisuse põhitõde, soovitame teil vähendada seda vaikeväärtust. Samuti soovitame määrata väärtus 3600 (1 tund) või isegi väiksem väärtus, sõltuvalt kellaajaallikast, võrgu tingimustest, pollidevahelise intervalli ja turvalisuse nõuded.

Windows Server 2003 ja Windows XP kellaajateenuse registrikirjed

Ahenda see tabelLaienda see tabel
RegistrikirjeMaxPosPhaseCorrection
Väärtuse tüüpDWORD
Alamvõtme
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
MärkmedSee kirje määrab suurima positiivse kellaajaparanduse sekundites, mille teenus saab teha. Kui teenus määratleb, et muutus suuremaks, kui see on vajalik, selle sündmuse logisse. Erijuhtum: 0xFFFFFFFF tähendab alati parandada aeg. Domeeni liikmete jaoks on vaikeväärtus on 0xFFFFFFFF. Autonoomsete klientarvutite ja serverite jaoks on vaikeväärtus on 54,000 (15 tundi).
Ahenda see tabelLaienda see tabel
RegistrikirjeMaxNegPhaseCorrection tuleb ümber konfigureerida
Väärtuse tüüpDWORD
Alamvõtme
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
MärkmedSee kirje määrab suurima negatiivse kellaajaparanduse sekundites, mille teenus saab teha. Kui teenus määratleb, et muutus suuremaks, kui see on vajalik, selle sündmuse logisse. Erijuhtum: -1 tähendab alati parandada aeg. Domeeni liikmete jaoks on vaikeväärtus on 0xFFFFFFFF. Autonoomsete klientarvutite ja serverite jaoks on vaikeväärtus on 54,000 (15 tundi).
Ahenda see tabelLaienda see tabel
RegistrikirjeMaxPollInterval
Väärtuse tüüpDWORD
Alamvõtme
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
MärkmedSee kirje määrab suurima intervalli sekundites, mis süsteemi pollidevahelise intervalli jaoks lubatud. Teade, et kuigi süsteem peab pollima vastavalt määratud intervallile, osutaja keelduda proovide proovide nõudmisel. Domeeni liikmete jaoks on vaikeväärtus on 10. Autonoomsete klientarvutite ja serverite jaoks on vaikeväärtus on 15.
Ahenda see tabelLaienda see tabel
RegistrikirjeSpecialPollInterval
Väärtuse tüüpDWORD
Alamvõtme
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient
MärkmedSee kirje määrab pollidevahelise intervalli sekundites käsitsi määratu partnerite jaoks. Kui lipp SpecialInterval 0x1 on lubatud, kasutab W32Time opsüsteemi määratlev pollidevahelise intervalli asemel intervalli. Domeeni liikmete vaikeväärtus on 3600. Autonoomsete klientarvutite ja serverite vaikeväärtus on 604,800.
Märkus Soovitame kasutada globaalse rühmapoliitika objekti redaktori juurutada neid sätteid. Windows Server 2003-ga metsa Windowsi kellaajateenuse kohta lisateabe saamiseks külastage järgmist Microsoft TechNeti Web site:
http://technet.microsoft.com/en-us/Library/cc773061.aspx
Windowsi kellaajateenuse teenuse parameetrite vaikeväärtused, mida on määratletud rühmapoliitika objekt (GPO) ei pruugi ühtida registri Windows Server 2003-põhiste domeenikontrollerite määratletud vaikeväärtusi. Kui juurutate MaxPosPhaseCorrection ja MaxNegPhaseCorrection tuleb ümber konfigureerida väärtuste Windows Server 2003 domeenikontrolleritesse rühmapoliitika objekti abil, veenduge, et soovitud rühmapoliitika objekti ei muutu muud Windowsi kellaajateenuse teenuse parameetrid registri väärtused. Muud Windowsi kellaajateenuse teenuse parameetri väärtused võib olla vaja muuta registri vaikeväärtused et domeenikontrollerid sobitada GPO.

Kõik versioonid Windows 2000 hoolduspaketi Service Pack 4 (SP4)

Domeeni serverite

Juurdomeeni PDC (autoriteetse ajaserveri)
Soovitame tungivalt konfigureerida autoriteetse ajaserveri koguma aeg riistvara allikast. Kui konfigureerite autoriteetse ajaserveri sünkroonseks Interneti kellaaja-allikaga, siis autentimist ei toimu käsitsi re?iim. Peate konfigureerima registrikirje MaxAllowedClockErrInSecs. Vaikimisi väärtus on 43,200. Soovitatav väärtus on 900 (15 minutit) või isegi väiksem väärtus sõltuvalt kellaajaallikast, võrgu tingimustest ja turvanõuded. See sõltub ka pollidevahelise intervalli. Me soovitame, et küsitlus intervalli väärtuseks on seatud üks tund iga 24 tunni järel.

Märkus Selle registrikirje lisateavet jaotisest "Windows Server 2000 SP 4 registri kanne".
Domeenikontrollerid ja liikmesserverid domeeni sees
Sünkroonimise tüüp on NT5DS. Teenust time service sünkroonib domeeni hierarhia ja kellaajateenuse juurdomeen võtab kogu aeg muutub. Sest NT5DS võtab vastu igal ajal muuta aja nihe arvestamata, on väga oluline luua usaldusväärse metsamajandamise juur kellaajaallikast ja aja sünkroonimise alamvõrgu.

Märkus NT5DS väärtus näitab, et sünkroonimise tüüp on saadud registri kande.

Autonoomsete klientide

Registrikirje MaxAllowedClockErrInSecs on vaikeväärtus on 43,200 (12 tundi). Kui turvalisuse põhitõde, soovitame teil vähendada seda vaikeväärtust. Me soovitame, et seate 3600 (1 tund) või isegi väiksem väärtus sõltuvalt kellaajaallikast, võrgu tingimustest, pollidevahelise intervalli ja turvanõuded.
Windows Server 2000 SP 4. registrikande
Ahenda see tabelLaienda see tabel
RegistrikirjeMaxAllowedClockErrInSecs
Väärtuse tüüpDWORD
Alamvõtme
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
MärkmedMäärab suurima kella muutus, mis on lubatud sekundiga. Kui sündmus on logitud, korrigeeritakse aeg väärtuse. Selline käitumine ilmneb millegagi kahtlane aeg templi eest kaitsmiseks. Domeeni liikmete jaoks on vaikeväärtus on 43,200.

Atribuudid

Artikli ID: 884776 - Viimati läbi vaadatud: 25. aprill 2013 - Redaktsioon: 2.0
Kehtib järgmise lõigu kohta:
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Web Edition
Märksõnad: 
kbsecurity kbhowto kbinfo kbmt KB884776 KbMtet
Masintõlgitud
NB! Artikkel on tõlgitud Microsofti masintõlketarkvaraga ja seda saab parandada Kogukonnapõhise tõlkeraamistiku (CTF) tehnoloogiaga. Microsoft pakub masintõlgitud, kogukonna järeltöödeldud ja inimtõlgitud artikleid, et anda mitmekeelne juurdepääs kõigile meie teabebaasi artiklitele. Masintõlgitud ja järeltöödeldud artiklites võib olla sõnavara-, süntaksi- ja/või grammatikavigu. Microsoft ei vastuta mingite ebatäpsuste, tõrgete ega kahjude eest, mis on tulenenud sisu valest tõlkest või selle kasutamisest meie klientide poolt. Lisateavet CTF-i kohta leiate aadressilt http://support.microsoft.com/gp/machine-translation-corrections.
Artikli ingliskeelse versiooni kuvamiseks klõpsake siin: 884776

Andke tagasisidet

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com