Konfigurera Windows tidstjänst så att en stor tidsförskjutning förhindras

Artikelöversättning Artikelöversättning
Artikel-id: 884776 - Visa produkter som artikeln gäller.
Visa alla | Dölj alla

På den här sidan

INLEDNING

I Windows ingår W32Time, tidstjänstverktyget som krävs av Kerberos-autentiseringsprotokollet. Syftet med tidstjänstverktyget är att säkerställa att samma tid används på alla datorer med Microsoft Windows 2000 eller senare i en organisation. För att uppnå detta utnyttjas ett hierarkiskt förhållande som styr auktoriteten. Dessutom tillåts inte slingor. Normalt används följande hierarki på Windows-datorer:
  • På alla stationära klientdatorer nomineras den autentiserande domänkontrollanten som partner för inkommande tid.
  • På alla medlemsservrar sker samma sak som på de stationära klientdatorerna.
  • På alla domänkontrollanter i en domän nomineras PDC-verksamhetshanteraren som partner för inkommande tid.
  • Alla PDC-verksamhetshanterare följer domänhierarkin vid val av partner för inkommande tid, men en överordnad domänkontrollant kan användas baserat på stratumnivå.
I den här hierarkin blir skogsrotens PDC-verksamhetshanterare auktoritär tidsserver för organisationen. Vi rekommenderar starkt att den auktoritära tidsservern konfigureras för hämtning av tid från en maskinvarukälla. När den auktoritära tidsservern konfigureras för synkronisering med en Internettidskälla förekommer ingen autentisering. Vi rekommenderar också att du minskar tidskorrigeringen för servrar och fristående klienter. På så vis blir domänen mer exakt.

Mer Information

Microsoft Windows XP Professional och Microsoft Windows Server 2003, alla utgåvor

Domänservrar

Skogsrots-PDC (auktoritär tidsserver)
Vi rekommenderar starkt att den auktoritära tidsservern konfigureras för hämtning av tid från en maskinvarukälla. När den auktoritära tidsservern konfigureras för synkronisering med en Internettidskälla förekommer ingen autentisering. Du måste konfigurera om registerposterna
MaxPosPhaseCorrection
och
MaxNegPhaseCorrection
. Standardvärdet är 0xFFFFFFFF (acceptera alla tidsändringar). Det rekommenderade värdet bör vara 900 (15 minuter) eller ännu mindre, beroende på tidskällan, nätverkets tillstånd och säkerhetskrav. Värdet beror också på avsökningsintervallet. Vi rekommenderar att du ställer in värdet för registerposten
MaxPollInterval
på 10 eller mindre, eller att du ställer in värdet för registerposten
SpecialPollInterval
på 3600 (1 timme) eller mindre. Mer information om de här registerposterna finns i "Registernycklar i tidstjänsten för Windows Server 2003 och Windows XP".
Domänkontrollanter och medlemsservrar inom domänen
Registerposterna
MaxPosPhaseCorrection
och
MaxNegPhaseCorrection
har standardvärdet 0xFFFFFFFF (acceptera alla tidsändringar). Det här standardvärdet fungerar bra, men det kan vara önskvärt med ytterligare domänsäkerhet som skydd mot mänskliga fel. Beroende på dina mål kan du använda standardvärdena som de är eller ändra dem.

Fristående klienter

Registerposterna
MaxPosPhaseCorrection
och
MaxNegPhaseCorrection
har standardvärdet 54 000 (15 timmar). Av säkerhetsskäl bör det minskas. Vi rekommenderar att du ställer in värdet på 3600 (1 timme) eller ännu mindre, beroende på tidskällan, nätverkets tillstånd, avsökningsintervallet och säkerhetskraven.

Registernycklar i tidstjänsten för Windows Server 2003 och Windows XP

Dölj tabellenVisa tabellen
Registerpost
MaxPosPhaseCorrection
Sökväg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
Obs!Den här posten anger tjänstens största positiva tidskorrigering i sekunder. Om det krävs en större förändring loggas en händelse. Specialfall: 0xFFFFFFFF innebär att en tidskorrigering alltid ska göras. Standardvärdet för domänmedlemmar är 0xFFFFFFFF. Standardvärdet för fristående klienter och servrar är 54 000 (15 timmar).
Dölj tabellenVisa tabellen
Registerpost
MaxNegPhaseCorrection
Sökväg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
Obs!Den här posten anger tjänstens största negativa tidskorrigering i sekunder. Om det krävs en större förändring loggas en händelse i stället. Specialfall: -1 innebär att en tidskorrigering alltid ska göras. Standardvärdet för domänmedlemmar är 0xFFFFFFFF. Standardvärdet för fristående klienter och servrar är 54 000 (15 timmar).
Dölj tabellenVisa tabellen
Registerpost
MaxPollInterval
Sökväg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
Obs!Den här posten anger det största intervallet, i loggsekunder, som tillåts för systemavsökningsintervallet. Från en dator måste avsökningen ske enligt det schemalagda intervallet, men en provider kan avvisa samplingsförfrågningar. Standardvärdet för domänmedlemmar är 10, för fristående klienter och servrar 15.
Dölj tabellenVisa tabellen
Registerpost
SpecialPollInterval
Sökväg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient
Obs!Den här posten anger det särskilda avsökningsintervallet i sekunder för manuella peer-datorer. När flaggan SpecialInterval 0x1 är aktiverad används det här avsökningsintervallet i W32Time i stället för ett avsökningsintervall som bestäms i operativsystemet. Standardvärdet för domänmedlemmar är 3 600, för fristående klienter och servrar 604 800.
Mer information om Windows tidstjänst i en Windows Server 2003-skog finns på följande webbplats:
http://technet2.microsoft.com/windowsserver/en/library/A0FCD250-E5F7-41B3-B0E8-240F8236E2101033.mspx

Windows 2000 Service Pack 4 (SP4), alla utgåvor

Domänservrar

Skogsrots-PDC (auktoritär tidsserver)
Vi rekommenderar starkt att den auktoritära tidsservern konfigureras för hämtning av tid från en maskinvarukälla. När den auktoritära tidsservern konfigureras för synkronisering med en Internettidskälla förekommer ingen autentisering för manuellt läge. Du måste konfigurera om registerposten
MaxAllowedClockErrInSecs
. Standardvärdet är 43 200. Det rekommenderade värdet är 900 (15 minuter) eller ännu lägre, beroende på tidskällan, nätverkets tillstånd och säkerhetskrav. Värdet beror också på avsökningsintervallet. Vi rekommenderar ett avsökningsintervall på en timme (Period = 24). Mer information om den här registerposten finns i "Registernyckel för Windows Server 2000 SP 4" nedan.
Domänkontrollanter och medlemsservrar inom domänen
Synkroniseringstypen är NT5DS. Tidstjänsten synkroniseras från domänhierarkin och accepterar alla tidsändringar. Eftersom alla tidsändringar accepteras i NT5DS oberoende av tidsförskjutningen är det mycket viktigt att ange en tillförlitlig tidskälla för skogsroten i undernätet för tidssynkronisering.

Fristående klienter

Registerposten
MaxAllowedClockErrInSecs
har standardvärdet 43 200 (12 timmar). Av säkerhetsskäl bör det minskas. Vi rekommenderar att du ställer in värdet på 3600 (1 timme) eller ännu mindre, beroende på tidskällan, nätverkets tillstånd, avsökningsintervallet och säkerhetskraven.
Registernyckel för Windows Server 2000 SP 4
Dölj tabellenVisa tabellen
Registerpost
MaxAllowedClockErrInSecs
Sökväg
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
Obs!Anger högsta tillåtna tidsändring i sekunder. Logga händelser om de inträffar, men använd ingen tidsjustering som skyddar misstänkta tidsstämplar. Standardvärdet för domänmedlemmar är 43 200.

Egenskaper

Artikel-id: 884776 - Senaste granskning: den 20 juni 2006 - Revision: 9.1
Informationen i denna artikel gäller:
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows 2000 Advanced Server SP4
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional SP4
  • Microsoft Windows 2000 Server SP4
Nyckelord: 
kbsecurity kbhowto kbinfo KB884776

Ge feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com