כיצד להגדיר את שירות הזמן של Windows כנגד היסט שעה גדול

תרגומי מאמרים תרגומי מאמרים
Article ID: 884776 - View products that this article applies to.
הרחב הכל | כווץ הכל

On This Page

מבוא

מערכות ההפעלה Windows כוללות כלי שירות הזמן (השירות W32Time) בו נעשה שימוש על-ידי פרוטוקול האימות Kerberos. אימות Kerberos יפעלו אם מרווח הזמן בין המחשבים הרלוונטיים בתוך הטיה זמן מרבי זמין. ברירת המחדל היא 5 דקות. באפשרותך גם לבטל את כלי שירות הזמן. לאחר מכן, באפשרותך להתקין את שירות הזמן של צד שלישי.

המטרה של כלי שירות הזמן היא להבטיח כי כל המחשבים בארגון הפועלים Microsoft Windows 2000 או גירסאות מאוחרות יותר של מערכות ההפעלה של Windows משתמשים בזמן משותף. כדי לוודא כי קיים שימוש משותף הולם בזמן, שירות הזמן משתמש במערך יחסים היררכי לבקרת הסמכות. כברירת מחדל, מחשבים מבוססי Windows משתמשים בהיררכיה הבאה:
  • כל שולחן העבודה מחשבי הלקוח השולחניים קובעים את בקר התחום המאמת שלהם כמקור זמן סמכותי.
  • בקבוצת מחשבים, כל השרתים מבצעים תהליך זהה לזה של המחשבים השולחניים.
  • כל בקרי התחום בתחום קובעים את קבוצת המחשבים הראשי מנהל הפעולות של בקר (PDC) שלהם כמקור זמן.
  • כל תבניות הבסיס של פעולות PDC מצייתים להיררכיית התחומים בבחירת מקור הזמן שלהם. עם זאת, מנהל הפעולות של PDC עשויים להשתמש בבקר אב המבוסס על מספור רבדים.

    הערה מספר הרובד מגדיר את מידת הקירבה שרת זמן הוא מקור ההפניה הראשית. ככל שהמספר קטן יותר, מקרוב את השרת היא מקור הזמן הראשי.
בהיררכיה זו, פעולות של בקר ה-pdc שבבסיס היער הופך שרת השעון הסמכותי עבור הארגון. מומלץ מאוד שתגדיר את שרת השעון הסמכותי כדי לאסוף את השעה ממקור חומרה. כאשר אתה מנסה להגדיר את שרת השעון הסמכותי לסינכרון עם מקור זמן באינטרנט, לא מתבצע אימות. כמו כן, מומלץ לצמצם את הגדרות תיקוני הזמן עבור השרתים ועבור לקוחות עצמאיים. בעת ביצוע המלצות אלה, זמן מדויק יותר מסופק לקבוצת המחשבים.

מידע נוסף

סקירה של מתקין זמן מלמדת כי המחשבים יכולים מאמצים את הזמן שבו ניתן ימים, חודשים, שנים או אפילו עשרות שנים בעתיד או בעבר. הבעיות הבאות עלולה להתרחש כאשר מחשבים קדימה או לגלגל אחורה בזמן:
  • ניתן לעדכן סיסמאות חשבונות מחשב על חשבונות משתמשים וכן על יחסי אמון מוקדם מדי.
  • ניתן לזהות את להסגר על-ידי 2042 אירוע שכפול NTDS שכפול של שירות הספריות של Active Directory.
  • אי-התאמה של סיסמאות משוחזר באופן סמכותי עבור חשבונות מחשב, עבור חשבונות משתמשים, או עבור יחסי אמון. השחזור מתוך אי-התאמות כזה עשוי לדרוש איפוסי סיסמה ידנית על כל חשבונות והאמון המושפעות.

כיצד להגן מפני פעם מחזירה מתקין קדימה ואת זמן

בעת הפעלה מחדש מחזורי חשמל ומחשבים, ה-BIOS מתחזק בזמן EPROM המקומי הנמצא בלוח האם של המחשב. בעת הפעלת Windows, הליבה מושכת את השעה הנוכחית מתוך ה-BIOS. זה הזמן הנוכחי משמש זמן התחלתי עד השירות W32Time לסנכרן למעלה עם מקור זמן אחר.

שירות הזמן של Windows 32 תומך שני ערכי הרישום, את MaxPosPhaseCorrection ואת את MaxNegPhaseCorrection. ערכים אלה להגביל את הדוגמאות המקבלת שירות הזמן של המחשב המקומי כאשר דוגמאות אלה נשלחים ממחשב מרוחק.

כאשר מחשב שבו פועל במצב יציב מקבל מדגם זמן מתוך מקור הזמן שלו, לדוגמה נבדקת מול לגבולות תיקון שלב המציבות ערכי הרישום MaxPosPhaseCorrection ו- MaxNegPhaseCorrection. דוגמת הזמן נופל במסגרת מגבלות האוכפים ערכי הרישום שני, דוגמה זו התקבלה לצורך עיבוד נוסף. אם דוגמת הזמן אינו נמצא בתוך גבולות אלה, דוגמת הזמן מתעלמת, ורושם שירות הזמן של ההודעה הבאה בקובץ יומן רישום של פרטי W32Time:
*TOO BIG*
אם מנהלים להקטין את הערך עבור תיקונים שלב חיוביות ושליליות, מנהלים להפחית את האיום מחשבים יקבלו זמן מתוך הדוגמאות זמן לא חוקי עבור מחשב מבוסס Windows. לעומת זאת, אם מנהלים להקטין את הערך, מנהלים עלול למנוע מחשבים מפני מראש או מאחורי השעה הנוכחית לפי יותר מגבלות שלאכוף ערכים אלה.

הערה אם ערך הרישום לערכים חיוביים ושליליים תיקונים יופחתו, יתבצע זמן גדל או קטן.

ערך ברירת המחדל עבור MaxPosPhaseCorrection ו- MaxNegPhaseCorrection ערכי הרישום ב- Windows 2000, ב- Windows XP, Windows Server 2003, ו ב- Windows Vista הוא הערך הבא:
0xFFFFFFF
ערך זה מאפשרת למחשב לקבל את הזמן הכלול בדוגמה של זמן, ללא קשר אי-הדיוק.

ב- Windows Server 2008, ערך ברירת המחדל החדש של ערכי הרישום MaxPosPhaseCorrection ו- MaxNegPhaseCorrection כבר אימצה. ערך ברירת מחדל חדש זה הוא 48 שעות. ערך 48 שעות זה יכול להיות מיוצג ככל אחד מהערכים הבאים:
  • 2a300 (הקסדצימאלי)
  • 172800 (עשרוני)
אנו ממליצים להגדיר את ערכי הרישום MaxPosPhaseCorrection ו- MaxNegPhaseCorrection כדי ערך שאינו ערך הבא:
MAX (0XFFFFFFFF)
הערה כאשר אתה מגדיר את הערך לערך שונה מ- MAX (0xFFFFFFFF), באפשרותך למנוע מחשבים משעה adopting אשר אינה מדויקת מאוד בתרחישים שבהם המחשב יופעל מחדש או משובשות הקישוריות למקורות זמן חיצוני. לדוגמה, בחן את האירוע שבו יש לך את MaxPosPhaseCorrection ולקבוע ערכי הרישום MaxNegPhaseCorrection עבור 48 שעות על כל בקרי קבוצות המחשבים ביער. אם נתקל בכל בקר קבוצת מחשבים יחידה מועד חריג קפיצה של יותר מ- 48 שעות, הערך שאתה מגדיר עבור MaxPosPhaseCorrection ואת ערכי הרישום MaxNegPhaseCorrection ימנע ממחשבים אחרים לבצע באותו הזמן לקפוץ. לכן, ניתן לשמור המחשבים שנמצאים מסונכרנת מלבד מחשבים אחרים עד המנהל יכולים לחקור ולנקוט פעולה מתקנת.

דיוק זמן חשוב במיוחד על בקר קבוצת המחשבים הראשי (PDC) הבסיס של היער. מכיוון ה-PDC הוא מקור הזמן הבסיס עבור קבוצת המחשבים, שינויים זמן לא מדויקים על ה-PDC שעלולים לגרום על קפיצת זמן בכל התחום. אם עליך לאכוף הגבלות תיקון שלב על ה-PDC, באפשרותך למנוע אחרים בקרי קבוצות מחשבים ביער קבלת מועד חדש.

ערך ברירת המחדל של 48 שעות במקום ערך ברירת מחדל של 5 דקות או 15 דקות מבוסס על הסיבות הבאות:
  • הפלט של כלי W32TM הוא קשה לקריאה.
  • W32TM כעת לא הקצו זמן במחשבים חברים ו בשרתים עמיתים.
  • השגיאות ואירועי מערכת ההפעלה של Windows ויישומים של ספקים חיצוניים עצמאי ביומן אינם עקביים מאוד. שגיאות אפשריות כוללות קודי ההחזרה הדומה להודעה הבאה:
    • הגישה נדחתה
    • שרת RPC אינו זמין
    הערה שגיאות אלה יש מתאם נמוך לזמן ההטיה מכיוון הגורם עשוי למנוע מחשבים מבוססי Windows adopting ערך זמן מדויק.
  • שעון קיץ באגים יכול לגרום ההבדלים 1 שעות.
  • לפנה"צ או אחה"צ בתצורה שגויה עלולה לגרום הפרש של 12 שעות.
  • טעויות יום או תאריך עלול לגרום בהפרש זמן של 24 שעות.
לכן, 48 שעות היה היסט זמן ברור הבא לאחר 25 או 36 שעות. מנהלים ניתן גם להקטין את הערך עם כלים הנכון שבו הדוח תשתית ובדיקה.

המלצות ספציפיות לפי מערכת ההפעלה גירסת מחשב התפקיד מתוארים בסעיפים הבאים.

כל הגירסאות של Windows Server 2003 ו- Windows XP Professional

שרתי מחשבים

בסיס היער PDC (שרת שעון סמכותי)
מומלץ מאוד שתגדיר את שרת השעון הסמכותי כדי לאסוף את השעה ממקור חומרה. כאשר מגדירים את שרת השעון הסמכותי לסינכרון עם מקור זמן באינטרנט, לא מתבצע אימות. עליך להגדיר מחדש את ערכי הרישום הבאים:
  • MaxPosPhaseCorrection
  • MaxNegPhaseCorrection
ערך ברירת המחדל של ערכי רישום שני אלה הוא 0xFFFFFFFF. ערך ברירת מחדל זה פירושו "מקבל כל שינוי זמן". אנו ממליצים ערך 48 שעות. פעולה זו מיוצגת במערכת הרישום 2a300 (הקסדצימאלי) או 172800 (עשרוני). אנו ממליצים להגדיר את הערך של MaxPollInterval ערך רישום 10 או פחות או זה לך להגדיר את הערך של ערך הרישום SpecialPollInterval 3600 (שעה אחת) או פחות.
בקרי קבוצות מחשבים ושרתים עמיתים בתוך התחום
ערכי הרישום MaxPosPhaseCorrection ו- MaxNegPhaseCorrection יש ערך ברירת מחדל של 0xFFFFFFFF. ערך ברירת מחדל זה פירושו "מקבל כל שינוי זמן". אנו ממליצים הגדרת הערך כ- 48 שעות בכל בקרי התחום. ניתן להגדיר את הערך 48 שעות גם בשרתים עמיתים פועלים יישומים מבוססי הרגישים של זמן.

הערה לקבלת מידע נוסף אודות ערכי רישום אלה, עיין בסעיף "Windows Server 2003 ו- Windows XP זמן ערכי רישום של שירות".

מחשבי לקוח עצמאיים

ערכי הרישום MaxPosPhaseCorrection ו- MaxNegPhaseCorrection יש ערך ברירת מחדל של 54,000 (15 שעות). כשיטת מומלצת לאבטחה, מומלץ לצמצם את ערך ברירת מחדל זה. כמו כן, מומלץ להגדיר את הערך 3600 (שעה אחת) או ערך קטנים עוד יותר, בהתאם למקור הזמן, על תנאי הרשת במרווח זמן התשאול וכן על דרישות האבטחה.

ערכי הרישום של Windows Server 2003, שירות הזמן של Windows XP

כווץ את הטבלההרחב את הטבלה
ערך הרישוםMaxPosPhaseCorrection
סוג ערךDWORD
מפתח משנה
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
הערותערך זה מציין את תיקון הזמן החיובי הגדול ביותר בשניות שיכולות להפוך השירות. אם השירות קובע כי נדרש שינוי גדול יותר, נרשם אירוע במקום זאת. מקרה מיוחד: משמעו תמיד יש לבצע תיקון זמן 0xFFFFFFFF. ערך ברירת המחדל עבור חברי התחום הוא 0xFFFFFFFF. ערך ברירת המחדל עבור מחשבי לקוח עצמאיים הוא 54,000 (15 שעות).
כווץ את הטבלההרחב את הטבלה
ערך הרישוםMaxNegPhaseCorrection
סוג ערךDWORD
מפתח משנה
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
הערותערך זה מציין את תיקון הזמן השלילי הגדול ביותר בשניות שיכולות להפוך השירות. אם השירות קובע כי נדרש שינוי גדול יותר, נרשם אירוע במקום זאת. מקרה מיוחד:-1 מציין שתמיד יש לבצע תיקון זמן. ערך ברירת המחדל עבור חברי התחום הוא 0xFFFFFFFF. ערך ברירת המחדל עבור מחשבי לקוח עצמאיים הוא 54,000 (15 שעות).
כווץ את הטבלההרחב את הטבלה
ערך הרישוםMaxPollInterval
סוג ערךDWORD
מפתח משנה
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
הערותערך זה מציין את המרווח הגדול ביותר, בשניות, שבו מופעלת עבור מרווח תשאול המערכת. שים לב, למרות שמערכת חייבת לבצע תשאול בהתאם למרווח המתוזמן, ספק יכול לסרב להפיק דוגמאות כשמתבקש דוגמאות. ערך ברירת המחדל עבור חברי התחום הוא 10. ערך ברירת המחדל עבור מחשבי לקוח עצמאיים ושרתים הוא 15.
כווץ את הטבלההרחב את הטבלה
ערך הרישוםSpecialPollInterval
סוג ערךDWORD
מפתח משנה
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient
הערותערך זה מציין את מרווח התשאול המיוחד בשניות עבור מחשבים עמיתים ידניים. כאשר הדגל SpecialInterval 0x1 מופעל, W32Time משתמש במרווח תשאול זה במקום במרווח תשאול הקובע מערכת ההפעלה. ערך ברירת המחדל בחברי תחום הוא 3,600. ערך ברירת המחדל על מחשבי לקוח עצמאיים הוא 604,800.
הערה אנו ממליצים לך להשתמש באובייקט מדיניות כללית עורך לפרוס הגדרות אלה. לקבלת מידע נוסף אודות שירות הזמן של Windows ביער מבוסס Windows Server 2003, בקר באתר האינטרנט של Microsoft TechNet הבא:
http://technet.microsoft.com/en-us/library/cc773061.aspx
ייתכן פרמטר ערכים של שירות הזמן של Windows ברירת המחדל המוגדרים באובייקט המדיניות הקבוצתית (GPO) אינם תואמים את ערכי ברירת המחדל המוגדרים במערכת הרישום של בקרי קבוצות מחשבים מבוססי Windows Server 2003. כאשר אתה פורס ערכי MaxPosPhaseCorrection ו- MaxNegPhaseCorrection על בקרי תחום של Windows Server 2003 באמצעות אובייקט מדיניות קבוצתית, ודא כי ה-GPO לא שינוי ערכי פרמטרים אחרים של שירות הזמן של Windows ברישום. ערכי פרמטר של שירות הזמן של Windows אחרים ייתכן שיהיה גם אפשרות לשנות את ה-GPO כדי להתאים את ערכי ברירת המחדל של הרישום בבקרי התחום.

כל הגירסאות של Windows 2000 Service Pack 4 (SP4)

שרתי מחשבים

בסיס היער PDC (שרת שעון סמכותי)
מומלץ מאוד שתגדיר את שרת השעון הסמכותי כדי לאסוף את השעה ממקור חומרה. כאשר מגדירים את שרת השעון הסמכותי לסינכרון עם מקור זמן באינטרנט, קיימת ללא אימות במצב ידני. עליך להגדיר מחדש את ערך הרישום MaxAllowedClockErrInSecs. ערך ברירת המחדל הוא 43,200. הערכים המומלצים הוא 900 (15 דקות) או ערך קטנים עוד יותר, בהתאם למקור הזמן, על תנאי רשת ומידע על דרישות האבטחה. הדבר תלוי גם מרווח התשאול. אנו ממליצים כי הערך מרווח זמן תשאול מוגדר כשעה אחת עבור כל 24 שעות.

הערה לקבלת מידע נוסף אודות ערך רישום זה, עיין בסעיף "Windows Server 2000 SP 4 ערך הרישום".
בקרי קבוצות מחשבים ושרתים עמיתים בתוך התחום
סוג סינכרון הוא NT5DS. שירות הזמן מסנכרן מתוך בהיררכיית התחום ומקבל שירות הזמן של כל השינויים זמן. מכיוון NT5DS מקבל כל שינוי זמן ללא שוקל היסט שעה, חשוב מאוד להגדיר את מקור זמן בסיס אמין היער ברשת המשנה של סינכרון הזמן.

הערה הערך NT5DS מציין סוג הסנכרון מתקבל מתוך ערך רישום.

מחשבי לקוח עצמאיים

ערך הרישום MaxAllowedClockErrInSecs יש ערך ברירת מחדל של 43,200 (12 שעות). כשיטת מומלצת לאבטחה, מומלץ לצמצם את ערך ברירת מחדל זה. אנו ממליצים להגדיר את הערך 3600 (שעה אחת) או ערך קטנים עוד יותר, בהתאם למקור הזמן, על תנאי הרשת, במרווח זמן התשאול ומידע על דרישות האבטחה.
ערך הרישום של Windows Server 2000 SP 4
כווץ את הטבלההרחב את הטבלה
ערך הרישוםMaxAllowedClockErrInSecs
סוג ערךDWORD
מפתח משנה
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
הערותמציין את שינוי השעון המרבי הזמין בשניות. כאשר האירוע נרשם, הזמן אינו מותאם בהתבסס על הערך. אופן פעולה זה מתרחש כדי לסייע בהגנה מפני כל פעילות חותמת זמן חשודים. ערך ברירת המחדל עבור חברי התחום הוא 43,200.

מאפיינים

Article ID: 884776 - Last Review: יום חמישי 25 אפריל 2013 - Revision: 2.0
המידע במאמר זה חל על:
מילות מפתח 
kbsecurity kbhowto kbinfo kbmt KB884776 KbMthe
תרגום מכונה
חשוב: מאמר זה תורגם באמצעות תוכנת תרגום מכונה של Microsoft וייתכן שנערך לאחר מכן על-ידי קהילת Microsoftבאמצעות טכנולוגייתCommunity Translation Framework (CTF) או באמצעות תרגום אנושי. Microsoft מציעה לך גם מאמרים בתרגום אנושי, מאמרים בתרגום מכונה ומאמרים שנערכו על ידי הקהילה כדי לאפשר גישה למאמרים הקיימים במאגר הידע (Knowledge Base) שלMicrosoft בשפות שונות. מאמרים מתורגמים יכולים להכיל שגיאות באוצר המילים, בתחביר או בדקדוק. Microsoft אינה אחראית לחוסר דיוק, שגיאות או נזקים שייגרמו כתוצאה מטעויות בתכנים או משימוש בתכנים על ידי לקוחותיה.
כותרת מאמר זה באנגלית: 884776

ספק משוב

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com