Konfigurowanie usługi Czas systemu Windows w celu eliminacji dużych przesunięć czasowych

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 884776 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Rozwiń wszystko | Zwiń wszystko

Na tej stronie

WPROWADZENIE

W usłudze Czas systemu Windows uwzględniono narzędzie W32Time wymagane przez protokół uwierzytelniania Kerberos. Korzystając z narzędzia usługi Czas, można upewnić się, że wszystkie komputery w organizacji, na których jest uruchomiony system Microsoft Windows 2000 lub nowsza wersja systemu Windows, używają tego samego źródła czasu. Aby zapewnić, że jest to właściwe wykorzystanie źródła czasu, usługa Czas stosuje hierarchiczne relacje kontrolujące uprawnienia. Ponadto usługa Czas nie zezwala na tworzenie pętli. Domyślnie komputery z systemem Windows stosują następującą hierarchię:
  • Dla wszystkich komputerów klienckich typu desktop uwierzytelniający kontroler domeny jest partnerem czasu przychodzącego.
  • Wszystkie serwery członkowskie wykonują ten sam proces co komputery klienckie typu desktop.
  • Wszystkie kontrolery domeny w domenie wyznaczają wzorzec operacji podstawowego kontrolera domeny jako swojego partnera czasu przychodzącego.
  • Wszystkie wzorce operacji podstawowego kontrolera domeny zachowują hierarchię domen w wyborze partnera czasu przychodzącego, ale mogą także używać nadrzędnego kontrolera domeny na podstawie numeru warstwy.
W tej hierarchii wzorzec operacji podstawowego kontrolera domeny w katalogu głównym lasu staje się autorytatywnym serwerem czasu dla organizacji. Zdecydowanie zalecane jest konfigurowanie autorytatywnego serwera czasu do pobierania czasu ze źródła sprzętowego. W przypadku konfigurowania autorytatywnego serwera czasu do synchronizacji ze źródłem czasu w Internecie uwierzytelnianie nie jest przeprowadzane. Zalecane jest również obniżenie ustawień związanych z korekcją czasu dla serwerów i klientów autonomicznych. Te zalecenia zapewniają większą precyzję w domenie.

Więcej informacji

Systemy Microsoft Windows XP Professional i Microsoft Windows Server 2003, wszystkie wydania

Serwery domeny

Kontroler PDC katalogu głównego lasu (autorytatywny serwer czasu)
Zdecydowanie zalecane jest skonfigurowanie autorytatywnego serwera czasu do pobierania czasu ze źródła sprzętowego. W przypadku konfigurowania autorytatywnego serwera czasu do synchronizacji ze źródłem czasu w Internecie uwierzytelnianie nie jest przeprowadzane. You must reconfigure the
MaxPosPhaseCorrection
and
MaxNegPhaseCorrection
registry entries. Wartość domyślna jest równa 0xFFFFFFFF (akceptacja dowolnej zmiany czasu). Zalecana wartość jest równa 900 (15 minut) lub nawet niższa, zależnie od źródła czasu, stanu sieci i wymagań dotyczących zabezpieczeń. Istotny jest również interwał sondowania. We recommend that you set the value of the
MaxPollInterval
registry entry to 10 or less, or that you set value of the
SpecialPollInterval
registry entry to 3600 (1 hour) or less. For more information about these registry entries, see the "Windows Server 2003 and Windows XP Time Service registry keys" section.
Domain controllers and member servers inside the domain
The
MaxPosPhaseCorrection
and
MaxNegPhaseCorrection
registry entries have a default value of 0xFFFFFFFF (accept any time change). Ta wartość domyślna jest odpowiednia. Niezbędne są jednak dodatkowe zabezpieczenia w domenie, ułatwiające ochronę przed błędami ludzkimi. Depending upon what you want to achieve, you may either leave or modify the default values.

Stand-alone clients

The
MaxPosPhaseCorrection
and
MaxNegPhaseCorrection
registry entries have a default value of 54,000 (15 hours). Zgodnie z najważniejszymi wskazówkami dotyczącymi zabezpieczeń należy obniżyć wartość domyślną. Zalecane jest ustawienie wartości 3600 (1 godzina) lub nawet niższej, zależnie od źródła czasu, stanu sieci, interwału sondowania i wymagań dotyczących zabezpieczeń.

Klucze rejestru usługi Czas systemu Windows Server 2003 i Windows XP

Zwiń tę tabelęRozwiń tę tabelę
Wpis rejestru
MaxPosPhaseCorrection
Ścieżka
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
UwagaTen klucz określa największą dodatnią korektę czasu w sekundach, wprowadzaną przez tę usługę. Jeżeli usługa ustali, że konieczne jest wprowadzenie większej zmiany, rejestruje odpowiednie zdarzenie w dzienniku. W szczególnym wypadku (0xFFFFFFFF) korekta czasu jest zawsze wprowadzana. Wartość domyślna dla członków domeny jest równa 0xFFFFFFFF. Wartość domyślna dla klientów i serwerów autonomicznych jest równa 54 000 (15 godzin).
Zwiń tę tabelęRozwiń tę tabelę
Wpis rejestru
MaxNegPhaseCorrection
Ścieżka
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
UwagaTen klucz określa największą ujemną korektę czasu w sekundach, wprowadzaną przez tę usługę. Jeżeli usługa ustali, że konieczne jest wprowadzenie większej zmiany, rejestruje odpowiednie zdarzenie w dzienniku. W szczególnym wypadku W szczególnym wypadku (-1) korekta czasu jest zawsze wprowadzana. Wartość domyślna dla członków domeny jest równa 0xFFFFFFFF. Wartość domyślna dla klientów i serwerów autonomicznych jest równa 54 000 (15 godzin).
Zwiń tę tabelęRozwiń tę tabelę
Wpis rejestru
MaxPollInterval
Ścieżka
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
UwagaTen wpis określa największy dopuszczalny systemowy interwał sondowania (w sekundach). Należy zauważyć, że system musi sondować zgodnie z zaplanowanym interwałem, jednak dostawca może odmówić utworzenia żądanych próbek. Wartość domyślna dla członków domeny jest równa 10. Wartość domyślna dla klientów i serwerów autonomicznych jest równa 15.
Zwiń tę tabelęRozwiń tę tabelę
Wpis rejestru
SpecialPollInterval
Ścieżka
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient
UwagaTen wpis określa specjalny interwał sondowania w sekundach dla manualnych obiektów równorzędnych. Po włączeniu flagi SpecialInterval 0x1 usługa W32Time używa tego interwału sondowania zamiast interwału sondowania określonego przez system operacyjny. Wartość domyślna dla członków domeny jest równa 3600. Wartość domyślna dla klientów i serwerów autonomicznych jest równa 604 800.
Aby uzyskać dodatkowe informacje dotyczące usługi Czas systemu Windows w lesie z systemem Windows Server 2003, odwiedź następującą witrynę sieci Web:
http://technet2.microsoft.com/windowsserver/en/library/A0FCD250-E5F7-41B3-B0E8-240F8236E2101033.mspx

System Windows 2000 z dodatkiem Service Pack 4 (SP4), wszystkie wydania

Serwery domeny

Kontroler PDC katalogu głównego lasu (autorytatywny serwer czasu)
Zdecydowanie zalecane jest skonfigurowanie autorytatywnego serwera czasu do pobierania czasu ze źródła sprzętowego. W przypadku konfigurowania autorytatywnego serwera czasu do synchronizacji ze źródłem czasu w Internecie uwierzytelnianie nie jest przeprowadzane w trybie manualnym. You must reconfigure the
MaxAllowedClockErrInSecs
registry entry. Wartość domyślna jest równa 43 200. Wartość zalecana jest równa 900 (15 minut) lub nawet niższa, zależnie od źródła czasu, stanu sieci i wymagań dotyczących zabezpieczeń. Istotny jest również interwał sondowania. Zalecane jest ustawienie interwału sondowania równego jednej godzinie (Period = 24). Więcej informacji dotyczących tego wpisu rejestru można znaleźć w sekcji „Klucz rejestru systemu Windows Server 2000 z dodatkiem SP 4” w dalszej części tego artykułu.
Kontrolery domeny i serwery członkowskie w domenie
Typ synchronizacji to NT5DS. Usługa czasu synchronizuje na podstawie hierarchii domeny i akceptuje wszystkie zmiany czasu. W przypadku typu synchronizacji NT5DS akceptowane są wszystkie zmiany czasu bez uwzględniania przesunięcia czasowego, dlatego należy koniecznie skonfigurować niezawodne źródło czasu w katalogu głównym lasu w podsieci synchronizacji czasu.

Klienci autonomiczni

Wpis rejestru
MaxAllowedClockErrInSecs
ma wartość domyślną 43 200 (12 godzin). Zgodnie z najważniejszymi wskazówkami dotyczącymi zabezpieczeń należy obniżyć wartość domyślną. Zalecana jest wartość 3600 (1 godzina) lub nawet niższa, zależnie od źródła czasu, stanu sieci, interwału sondowania i wymagań dotyczących zabezpieczeń.
Klucz rejestru systemu Windows Server 2000 z dodatkiem SP 4
Zwiń tę tabelęRozwiń tę tabelę
Wpis rejestru
MaxAllowedClockErrInSecs
Ścieżka
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
UwagaOkreśla maksymalną dopuszczalną zmianę zegara w sekundach. W takim przypadku rejestrowane jest zdarzenie w dzienniku, a czas nie jest dostosowywany w celu ułatwienia ochrony przed podejrzaną sygnaturą czasową. Wartość domyślna dla członków domeny jest równa 43 200.

Właściwości

Numer ID artykułu: 884776 - Ostatnia weryfikacja: 20 czerwca 2006 - Weryfikacja: 8.1
Informacje zawarte w tym artykule dotyczą:
  • Microsoft Windows XP Professional
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Service Pack 4
Słowa kluczowe: 
kbhowto kbinfo kbsecurity KB884776

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com