Como configurar o Serviço de tempo do Windows com uma grande diferença de horário

ID do artigo: 884776 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Nesta página

INTRODUÇÃO

O Windows contém o W32Time, a ferramenta de Serviço de tempo necessária para o protocolo de autenticação Kerberos. A finalidade da ferramenta de Serviço de tempo é garantir que todos os computadores com o Microsoft Windows 2000 ou versões mais recentes em uma organização usem um horário comum. Para assegurar o uso de um horário comum, o Serviço de tempo usa uma relação hierárquica que controla a autoridade. Além disso, o Serviço de tempo não permite loops. Por padrão, os computadores com base no Windows usam a seguinte hierarquia:
  • Todos os computadores desktop cliente designam o controlador de domínio de autenticação como seu parceiro de horário de entrada.
  • Todos os servidores membro seguem o mesmo processo dos computadores desktop cliente.
  • Todos os controladores de domínio em um domínio designam o controlador de domínio primário como seu parceiro de horário de entrada.
  • Todos os mestres de operações do controlador de domínio primário seguem a hierarquia de domínio para selecionar seus parceiros de horário de entrada, mas podem usar um controlador de domínio com base em uma enumeração de camada.
Nessa hierarquia, o mestre de operações PDC na raiz da floresta se torna o servidor de horário autoritativo da organização. É altamente aconselhável configurar o servidor de horário autoritativo para obter o horário por uma fonte de hardware. Ao configurar o servidor de horário autoritativo para permanecer sincronizado com uma fonte de tempo da Internet, não há autenticação. Também é recomendável que você diminua as configurações da correção de tempo dos servidores e dos clientes independentes. Essas recomendações oferecem maior precisão ao domínio.
Voltar para o início | Submeter comentários

Mais Informações

Microsoft Windows XP Professional e Microsoft Windows Server 2003, todas as edições

Servidores de domínio

PDC raiz (servidor de horário autoritativo)
É altamente recomendável que o servidor de horário autoritativo seja configurado para obter o horário a partir de uma fonte de hardware. Ao configurar o servidor de horário autoritativo para permanecer sincronizado com uma fonte de tempo da Internet, não há autenticação. É necessário reconfigurar as entradas do Registro
MaxPosPhaseCorrection
e
MaxNegPhaseCorrection
. O valor padrão é 0xFFFFFFFF (aceita alterações a qualquer momento). O valor recomendado é de 900 (15 minutos) ou menos, dependendo da fonte do tempo, das condições de rede e dos requisitos de segurança. Isso também depende do intervalo de chamada seletiva. Recomendamos que o valor da entrada do Registro
MaxPollInterval
seja definido para 10 ou menos ou que o valor da entrada do Registro
SpecialPollInterval
seja definido como 3600 (1 hora) ou menos. Para obter mais informações sobre essas entradas do Registro, consulte a seção "Chaves do Registro do serviço de tempo do Windows Server 2003 e do Windows XP".
Controladores de domínio e servidores membro no domínio
As entradas do Registro
MaxPosPhaseCorrection
e
MaxNegPhaseCorrection
possuem o valor padrão igual a 0xFFFFFFFF (aceita alterações a qualquer momento). Esse valor padrão está correto. No entanto, é necessária uma segurança adicional no domínio para poder evitar erros humanos. Dependendo do que deseja obter, é possível deixar ou modificar os valores padrão.

Clientes independentes

As entradas do Registro
MaxPosPhaseCorrection
e
MaxNegPhaseCorrection
possuem o valor padrão de 54.000 (15 horas). Como prática recomendada de segurança, diminua o valor padrão. Recomendamos que este valor seja definido para 3600 (1 hora) ou menos, dependendo da fonte de tempo, das condições de rede, do intervalo de chamada seletiva e dos requisitos de segurança.

Chaves do Registro do serviço de tempo do Windows Server 2003 e do Windows XP

Recolher esta tabelaExpandir esta tabela
Entrada do Registro
MaxPosPhaseCorrection
Caminho
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
ObservaçõesEsta entrada especifica a maior correção positiva (em segundos) feita pelo serviço. Se o serviço determinar que uma alteração maior do que essa é necessária, um evento será registrado. Caso especial: 0xFFFFFFFF significa que a correção do tempo deve sempre ser feita. O valor padrão para os membros do domínio é de 0xFFFFFFFF. Já o valor padrão para os clientes independentes e os servidores é 54.000 (15 horas).
Recolher esta tabelaExpandir esta tabela
Entrada do Registro
MaxNegPhaseCorrection
Caminho
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
ObservaçõesEsta entrada especifica a maior correção negativa (em segundos) feita pelo serviço. Se o serviço identificar que uma alteração maior do que essa é necessária, um evento será registrado. Caso especial: -1 significa que a correção do tempo deve sempre ser feita, o valor padrão para membros do domínio é 0xFFFFFFFF. Já o valor padrão para os clientes independentes e os servidores é 54.000 (15 horas).
Recolher esta tabelaExpandir esta tabela
Entrada do Registro
MaxPollInterval
Caminho
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
ObservaçõesEsta entrada especifica o maior intervalo, em segundos no log, permitido para o intervalo de chamada seletiva. Observe que, enquanto um sistema deve fazer a chamada seletiva de acordo com o intervalo programado, um provedor pode se recusar a produzir amostras quando solicitado. O valor padrão para os membros do domínio é de 10. Já para clientes independentes e servidores é de 15.
Recolher esta tabelaExpandir esta tabela
Entrada do Registro
SpecialPollInterval
Caminho
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient
ObservaçõesEsta entrada especifica o intervalo de consulta (em segundos) para níveis correspondentes manuais. Quando o sinalizador SpecialInterval 0x1 é habilitado, o W32Time usa esse intervalo de consulta no lugar do estabelecido pelo sistema operacional. O valor padrão em membros do domínio é igual a 3.600. Já para clientes independentes e servidores é de 604.800.
Para obter informações adicionais sobre o Serviço de tempo do Windows em uma floresta com o Windows Server 2003, visite o seguinte site (em inglês):
http://technet2.microsoft.com/windowsserver/en/library/A0FCD250-E5F7-41B3-B0E8-240F8236E2101033.mspx
(http://technet2.microsoft.com/windowsserver/en/library/A0FCD250-E5F7-41B3-B0E8-240F8236E2101033.mspx)

Windows 2000 Service Pack 4 (SP4), todas as edições

Servidores de domínio

PDC raiz da floresta (servidor de horário autoritativo)
É aconselhável configurar o servidor de horário autoritativo para obter o horário de uma fonte de hardware. Ao configurar a sincronização do servidor de horário autoritativo com a fonte de tempo, não há autenticação no modo manual. É necessário configurar a entrada do Registro
MaxAllowedClockErrInSecs
novamente. O valor padrão é de 43.200. O valor recomendado é de 900 (15 minutos) ou menos, dependendo da fonte do tempo, das condições de rede e dos requisitos de segurança. Isso também depende do intervalo de chamada seletiva. É aconselhável que o intervalo de chamada seletiva seja de uma hora (Período = 24). É possível encontrar informações adicionais sobre essa entrada de Registro na seção "Chave do Registro do Windows Server 2000 SP 4" deste artigo.
Controladores de domínio e servidores membro no domínio
O tipo de sincronização é NT5DS. O serviço de tempo é sincronizado pela hierarquia de domínio e aceita alterações a qualquer momento. Como o NT5DS aceitará as alterações feitas a qualquer momento, sem considerar a diferença de horário, é muito importante definir uma fonte de tempo confiável na raiz da floresta na sub-rede de sincronização.

Clientes independentes

A entrada do Registro
MaxAllowedClockErrInSecs
tem um valor padrão igual a 43.200 (12 horas). Como prática recomendada de segurança, diminua o valor padrão. Recomendamos que o valor seja definido como 3600 (1 hora) ou menos, dependendo da fonte de tempo, das condições de rede, do intervalo de chamada seletiva e dos requisitos de segurança.
Chave do Registro do Windows Server 2000 SP 4
Recolher esta tabelaExpandir esta tabela
Entrada do Registro
MaxAllowedClockErrInSecs
Caminho
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
ObservaçõesEspecifica a alteração máxima permitida do relógio (em segundos). Registra um evento, caso ocorra um, e ajusta o tempo para ajudar a proteger contra possíveis carimbos de data e hora suspeitos. O valor padrão para membros do domínio é de 43.200.
Voltar para o início | Submeter comentários

Propriedades

ID do artigo: 884776 - Última revisão: sábado, 10 de março de 2007 - Revisão: 9.1
A informação contida neste artigo aplica-se a:
  • Microsoft Windows XP Professional
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Service Pack 4
Palavras-chave: 
kbhowto kbinfo kbsecurity KB884776
Voltar para o início | Submeter comentários

Submeter comentários

 
Voltar para o inícioVoltar para o início