De Windows Time-service configureren bij een groot tijdverschil

Vertaalde artikelen Vertaalde artikelen
Artikel ID: 884776 - Bekijk de producten waarop dit artikel van toepassing is.
Alles uitklappen | Alles samenvouwen

Op deze pagina

Inleiding

Windows 2000 bevat W32Time, het tijdserviceprogramma dat noodzakelijk is voor het Kerberos-verificatieprotocol. Het doel van het Time-servicehulpprogramma is te zorgen dat alle computers binnen een organisatie waarop Microsoft Windows 2000 of hoger wordt uitgevoerd, van dezelfde tijd gebruikmaken. Om ervoor te zorgen dat op de juiste manier dezelfde tijd wordt gebruikt, wordt door de Time-service een hiërarchische relatie gebruikt waarmee autoriteit wordt gecontroleerd. Daarnaast worden door de Time-service geen lussen toegestaan. Bij Windows-computers wordt standaard de volgende hiërarchie gebruikt:
  • Alle desktop-clientcomputers benoemen de domeincontroller waardoor de verificatie wordt uitgevoerd, als inkomende tijdspartner.
  • Alle lidservers volgen dezelfde procedure als de desktop-clientcomputers.
  • Alle domeincontrollers in een domein benoemen de PDC-operations-master (Primary Domain Controller) als inkomende tijdspartner.
  • Alle PDC-operationsmasters volgen de hiërarchie van domeinen in de selectie van hun inkomende tijdspartner, maar kunnen een bovenliggende domeincontroller op basis van stratumnummering gebruiken.
In deze hiërarchie wordt de PDC-operations-master aan de basis van het forest de gemachtigde tijdserver voor de organisatie. Het wordt ten zeerste aangeraden de gemachtigde tijdserver zodanig te configureren dat de tijd wordt opgehaald van een hardwarebron. Als u de gemachtigde tijdserver configureert voor synchronisatie met een internettijdsbron, is er geen verificatie. U wordt ook aangeraden de instellingen voor tijdcorrectie voor uw servers en zelfstandige clients te verlagen. Via deze aanbevelingen is een hogere nauwkeurigheid voor uw domein mogelijk.

Meer informatie

Microsoft Windows XP Professional en Microsoft Windows Server 2003, alle edities

Domeinservers

Forestbasis-PDC (gemachtigde tijdserver)
Het wordt ten zeerste aangeraden de gemachtigde tijdserver zodanig te configureren dat de tijd wordt opgehaald van een hardwarebron. Als u de gemachtigde tijdserver configureert voor synchronisatie met een internettijdsbron, is er geen verificatie. U moet de registervermeldingen
MaxPosPhaseCorrection
en
MaxNegPhaseCorrection
opnieuw configureren. De standaardwaarde hiervoor is 0xFFFFFFFF (elke tijdwijziging accepteren). De aanbevolen waarde is 900 (15 minuten) of nog lager, afhankelijk van tijdsbron, netwerktoestand en beveiligingseisen. Dit is ook afhankelijk van het pollinginterval. U wordt aangeraden de waarde van de registervermelding
MaxPollInterval
in te stellen op 10 of lager, of de waarde van de registervermelding
SpecialPollInterval
in te stellen op 3600 (1 uur) of lager. Meer informatie over deze registervermeldingen vindt u in de sectie 'Registervermeldingen van Windows Server 2003 en Windows XP Time-service'.
Domeincontrollers en lidservers binnen het domein
De registervermeldingen
MaxPosPhaseCorrection
en
MaxNegPhaseCorrection
hebben de standaardwaarde 0xFFFFFFFF (elke tijdwijziging accepteren). Deze standaardwaarde voldoet. Het is echter beter te zorgen voor extra beveiliging binnen uw domein om het te beveiligen tegen menselijke fouten. Afhankelijk van wat u wilt bereiken, kunt u de standaardwaarden laten staan of deze wijzigen.

Zelfstandige clients

De registervermeldingen
MaxPosPhaseCorrection
en
MaxNegPhaseCorrection
hebben de standaardwaarde 54.000 (15 uur). Om de beveiliging te verbeteren, verlaagt u deze standaardwaarde. Het wordt aangeraden de waarde in te stellen op 3600 (1 uur) of nog lager, afhankelijk van tijdsbron, netwerktoestand, pollinginterval en beveiligingseisen.

Registervermeldingen van Windows Server 2003 en Windows XP Time-service

Deze tabel samenvouwenDeze tabel uitklappen
Registervermelding
MaxPosPhaseCorrection
Pad
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
OpmerkingenMet deze vermelding wordt de grootste positieve tijdcorrectie in seconden opgegeven die door de service wordt gemaakt. Als de service vaststelt dat er een grotere wijziging dan deze waarde nodig is, wordt een gebeurtenis geregistreerd in het logboek. Speciaal geval: 0xFFFFFFFF betekent dat er altijd een tijdcorrectie wordt gemaakt. De standaardwaarde voor domeinleden is 0xFFFFFFFF. De standaardwaarde voor zelfstandige clients en servers is 54.000 (15 uur).
Deze tabel samenvouwenDeze tabel uitklappen
Registervermelding
MaxNegPhaseCorrection
Pad
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
OpmerkingenMet deze vermelding wordt de grootste negatieve tijdcorrectie in seconden opgegeven die door de service wordt gemaakt. Als de service vaststelt dat er een grotere wijziging dan deze waarde nodig is, wordt in plaats daarvan een gebeurtenis geregistreerd in het logboek. Speciaal geval: -1 betekent dat er altijd een tijdcorrectie wordt gemaakt. De standaardwaarde voor domeinleden is 0xFFFFFFFF. De standaardwaarde voor zelfstandige clients en servers is 54.000 (15 uur).
Deze tabel samenvouwenDeze tabel uitklappen
Registervermelding
MaxPollInterval
Pad
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
OpmerkingenMet deze vermelding wordt het grootste interval, in logseconden, opgegeven dat is toegestaan voor het systeempollinginterval. Hoewel een systeem moet controleren volgens het geplande interval, kan een provider weigeren metingen te geven wanneer daarom wordt gevraagd. De standaardwaarde voor domeinleden is 10. De standaardwaarde voor zelfstandige clients en servers is 15.
Deze tabel samenvouwenDeze tabel uitklappen
Registervermelding
SpecialPollInterval
Pad
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient
OpmerkingenMet deze vermelding wordt het speciale pollinginterval in seconden opgegeven voor handmatige peers. Als de vlag 0x1 van SpecialInterval is ingeschakeld, gebruikt W32Time dit pollinginterval in plaats van een pollinginterval dat is bepaald door het besturingssysteem. De standaardwaarde op domeinleden is 3600. De standaardwaarde op zelfstandige clients en servers is 604.800.
Als u meer informatie wilt over de Windows Time-service in een Windows Server 2003-forest, gaat u naar de volgende website:
http://technet2.microsoft.com/windowsserver/en/library/A0FCD250-E5F7-41B3-B0E8-240F8236E2101033.mspx

Windows 2000 Service Pack 4 (SP4), alle edities

Domeinservers

Forestbasis-PDC (gemachtigde tijdserver)
Het wordt ten zeerste aangeraden de gemachtigde tijdserver zodanig te configureren dat de tijd wordt opgehaald van een hardwarebron. Als u de gemachtigde tijdserver configureert voor synchronisatie met een internettijdsbron, is er geen verificatie voor de handmatige modus. U moet de registervermelding
MaxAllowedClockErrInSecs
opnieuw configureren. De standaardwaarde is 43.200. De aanbevolen waarde is 900 (15 minuten) of nog lager, afhankelijk van tijdsbron, netwerktoestand en beveiligingseisen. Dit is ook afhankelijk van het pollinginterval. Het wordt aanbevolen het pollinginterval in te stellen op één uur (Period = 24). Zie de sectie 'Registersleutel voor Windows Server 2000 SP 4' verderop in dit artikel voor meer informatie over deze registervermelding.
Domeincontrollers en lidservers binnen het domein
Het synchronisatietype is NT5DS. Er wordt gesynchroniseerd vanuit de domeinhiërarchie en alle tijdwijzigingen worden geaccepteerd. Omdat met NT5DS alle tijdwijzigingen worden geaccepteerd ongeacht de tijdafwijking, is het uiterst belangrijk dat u een betrouwbare tijdsbron voor de forest-basis instelt in het subnetwerk voor tijdsynchronisatie.

Zelfstandige clients

De registervermelding
MaxAllowedClockErrInSecs
heeft de standaardwaarde 43.200 (12 uur). Om de beveiliging te verbeteren, verlaagt u deze standaardwaarde. Het wordt aangeraden de waarde in te stellen op 3600 (1 uur) of nog lager, afhankelijk van tijdsbron, netwerktoestand, pollinginterval en beveiligingseisen.
Registersleutel voor Windows Server 2000 SP 4
Deze tabel samenvouwenDeze tabel uitklappen
Registervermelding
MaxAllowedClockErrInSecs
Pad
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
OpmerkingenHiermee wordt de maximaal toegestane wijziging van de klok in seconden opgegeven. Bij verdachte tijdstempels wordt een gebeurtenis geregistreerd en wordt de tijd niet aangepast. De standaardwaarde voor domeinleden is 43.200.

Eigenschappen

Artikel ID: 884776 - Laatste beoordeling: dinsdag 20 juni 2006 - Wijziging: 8.3
De informatie in dit artikel is van toepassing op:
  • Microsoft Windows XP Professional
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows 2000 Advanced Server SP4
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional SP4
  • Microsoft Windows 2000 Server SP4
Trefwoorden: 
kbsecurity kbhowto kbinfo KB884776

Geef ons feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com