Configurar o serviço 'Hora do Windows' contra grandes diferenças de hora

Traduções de Artigos Traduções de Artigos
Artigo: 884776 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

INTRODUÇÃO

O Windows inclui W32Time, o serviço Hora do Windows (Windows Time), requerido pelo protocolo de autenticação Kerberos. O objectivo deste serviço é garantir que todos os computadores com Microsoft Windows 2000, ou versões posteriores, de uma organização utilizam uma hora comum. Para garantir a utilização adequada de uma hora comum, o serviço utiliza uma relação hierárquica que controla a autoridade. Além disso, o serviço de hora não permite ciclos. Por predefinição, os computadores baseados em Windows utilizam a seguinte hierarquia:
  • Todos os computadores pessoais cliente nomeiam o controlador de domínio de autenticação como sendo o respectivo parceiro de hora de entrada.
  • Todos os servidores membro seguem o mesmo processo que os computadores pessoais cliente.
  • Todos os controladores de um domínio nomeiam o mestre de operações do controlador de domínio principal (PDC, Primary Domain Controller) como sendo o respectivo parceiro de hora de entrada.
  • Todos os mestres de operações do PDC seguem a hierarquia de domínios na selecção do respectivo parceiro de hora de entrada, mas podem utilizar um controlador de domínio principal com base no nível hierárquico.
Nesta hierarquia, o mestre de operações do PDC da raiz da floresta torna-se no servidor de hora autoritário para a organização. Recomendamos vivamente que configure o servidor de hora autoritário de forma a obter a hora a partir de hardware. Quando configura o servidor de hora autoritário de forma a sincronizar-se com uma origem de hora da Internet, não existe autenticação. Recomendamos também que reduza as definições de correcção de hora dos servidores e clientes autónomos. Estas recomendações proporcionam maior exactidão ao domínio.

Mais Informação

Microsoft Windows XP Professional e Microsoft Windows Server 2003, todas as edições

Servidores de domínio

PDC da raiz da floresta (servidor de hora autoritário)
Recomendamos vivamente que configure o servidor de hora autoritário de forma a obter a hora a partir de hardware. Quando configura o servidor de hora autoritário de forma a sincronizar-se com uma origem de hora da Internet, não existe autenticação. Tem de reconfigurar as entradas de registo
MaxPosPhaseCorrection
e
MaxNegPhaseCorrection
. O respectivo valor predefinido é 0xFFFFFFFF (aceitar qualquer alteração de hora). Recomendamos que o valor seja definido como 900 (15 minutos) ou com um valor menor, consoante a origem de hora, condições de rede e requisitos de segurança. Também depende do intervalo de consulta. Recomendamos que defina o valor da entrada de registo
MaxPollInterval
como 10, ou um valor menor, ou que defina o valor da entrada
SpecialPollInterval
como 3.600 (1 hora) ou menos. Para obter mais informações sobre estas entradas de registo, consulte a secção "Chaves de registo do serviço de hora do Windows Server 2003 e Windows XP".
Controladores de domínio e servidores membro pertencentes ao domínio
As entradas de registo
MaxPosPhaseCorrection
e
MaxNegPhaseCorrection
têm um valor predefinido de 0xFFFFFFFF (aceitar qualquer alteração de hora). Este valor predefinido serve. No entanto, o utilizador pretende segurança adicional no domínio para protecção contra erro humano. Consoante os objectivos, poderá modificar ou não os valores predefinidos.

Clientes autónomos

As entradas de registo
MaxPosPhaseCorrection
e
MaxNegPhaseCorrection
têm um valor predefinido de 54.000 (15 horas). Como procedimento recomendado de segurança, diminua este valor predefinido. Recomendamos que defina o valor como 3.600 (1 hora) ou menos, consoante a origem de hora, condições de rede, intervalo de consulta e requisitos de segurança.

Chaves de registo do serviço de hora do Windows Server 2003 e Windows XP

Reduzir esta tabelaExpandir esta tabela
Entrada do registo
MaxPosPhaseCorrection
Caminho
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
NotasEsta entrada especifica o maior valor positivo de correcção de hora em segundos utilizado pelo serviço. Se o serviço determinar que é necessária uma alteração maior, regista um evento. Caso especial: 0xFFFFFFFF significa fazer sempre correcção de hora. O valor predefinido para membros de domínio é 0xFFFFFFFF. O valor predefinido para clientes e servidores autónomos é 54.000 (15 horas).
Reduzir esta tabelaExpandir esta tabela
Entrada do registo
MaxNegPhaseCorrection
Caminho
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
NotasEsta entrada especifica o maior valor negativo de correcção de hora em segundos utilizado pelo serviço. Se o serviço determinar que é necessária uma alteração maior, regista um evento sem efectuar a alteração. Caso especial: -1 significa fazer sempre correcção de hora. O valor predefinido para membros de domínio é 0xFFFFFFFF. O valor predefinido para clientes e servidores autónomos é 54.000 (15 horas).
Reduzir esta tabelaExpandir esta tabela
Entrada do registo
MaxPollInterval
Caminho
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
NotasEsta entrada especifica o maior intervalo, em segundos de registo, permitido para o intervalo de consulta do sistema. Repare que um sistema tem de efectuar consultas segundo o intervalo agendado, mas um fornecedor pode recusar gerar amostras quando solicitado. O valor predefinido para membros de domínio é 10. O valor predefinido para clientes e servidores autónomos é 15.
Reduzir esta tabelaExpandir esta tabela
Entrada do registo
SpecialPollInterval
Caminho
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient
NotasEsta entrada especifica o intervalo de consulta especial em segundos para peers manuais. Quando o sinalizador SpecialInterval 0x1 estiver activado, o W32Time utiliza este intervalo de consulta em vez de um intervalo de consulta determinado pelo sistema operativo. O valor predefinido em membros de domínio é 3.600. O valor predefinido em clientes e servidores autónomos é 604.800.
Para obter informações adicionais sobre o serviço Hora do Windows numa floresta baseada no Windows Server 2003, visite o seguinte Web site:
http://technet2.microsoft.com/windowsserver/en/library/A0FCD250-E5F7-41B3-B0E8-240F8236E2101033.mspx

Windows 2000 Service Pack 4 (SP4), todas as edições

Servidores de domínio

PDC da raiz da floresta (servidor de hora autoritário)
Recomendamos vivamente que configure o servidor de hora autoritário de forma a obter a hora a partir de hardware. Quando configura o servidor de hora autoritário de forma a sincronizar-se com uma origem de hora da Internet, não existe autenticação para modo manual. Tem de reconfigurar as entradas de registo
MaxAllowedClockErrInSecs
. O valor predefinido é 43.200. O valor recomendado é 900 (15 minutos) ou menor, consoante a origem de hora, condições de rede e requisitos de segurança. Também depende do intervalo de consulta. Recomendamos o intervalo de consulta de uma hora (Period = 24). A secção "Chave de registo do Windows Server 2000 SP 4", mais adiante neste artigo, tem mais informações sobre esta chave de registo.
Controladores de domínio e servidores membro pertencentes ao domínio
O tipo de sincronização é NT5DS. O serviço de hora sincroniza-se a partir da hierarquia de domínio e aceita todas as alterações de hora. Dado que o NT5DS aceitará qualquer alteração sem considerar a diferença da hora, é muito importante configurar uma origem de hora fiável na raiz da floresta na sub-rede de sincronização de hora.

Clientes autónomos

A entrada de registo
MaxAllowedClockErrInSecs
tem um valor predefinido de 43.200 (12 horas). Como procedimento recomendado de segurança, diminua este valor predefinido. Recomendamos o valor 3.600 (1 hora) ou menor, consoante a origem de hora, condições de rede, intervalo de consulta e requisitos de segurança.
Chave de registo do Windows Server 2000 SP 4
Reduzir esta tabelaExpandir esta tabela
Entrada do registo
MaxAllowedClockErrInSecs
Caminho
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
NotasEspecifica a alteração máxima de relógio permitida em segundos. Regista um evento se ocorrer e não efectua ajustes de hora para ajudar a proteger contra carimbos de hora suspeitos. O valor predefinido para membros de domínio é 43.200.

Propriedades

Artigo: 884776 - Última revisão: 26 de setembro de 2006 - Revisão: 8.1
A informação contida neste artigo aplica-se a:
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Service Pack 4
Palavras-chave: 
kbhowto kbinfo kbsecurity KB884776

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com