วิธีการกำหนดค่าเซอร์วิส Windows Time กับออฟเซตของเวลาที่มีขนาดใหญ่

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 884776 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

บทนำ

ระบบปฏิบัติการ windows รวมเครื่องมือเวลาบริการ (รับบริการ W32Time) ที่ใช้โพรโทคอลการรับรองความถูกต้องของ Kerberos การรับรองความถูกต้อง kerberos จะทำงานถ้าช่วงเวลาระหว่างเครื่องคอมพิวเตอร์ที่เกี่ยวข้องที่อยู่ภายใน skew เวลาการเปิดใช้งานสูงสุด ค่าเริ่มต้นเป็น 5 นาที คุณยังสามารถเปิดใช้งานปิดเครื่องมือบริการเวลา แล้ว คุณสามารถติดตั้งบริการเวลาอื่น

วัตถุประสงค์ของเครื่องมือบริการเวลาจะตรวจสอบให้แน่ใจว่า คอมพิวเตอร์ทั้งหมดในองค์กรที่ใช้ Microsoft Windows 2000 หรือระบบปฏิบัติการ Windows รุ่นที่ใหม่กว่า ใช้เวลาทั่วไป เมื่อต้องการตรวจสอบให้แน่ใจว่า ไม่มีการใช้เวลาทั่วไป บริการเวลาใช้ความสัมพันธ์ลำดับชั้นที่ควบคุมการรับรอง โดยค่าเริ่มต้น คอมพิวเตอร์ที่ใช้ Windows ใช้โครงสร้างแบบลำดับขั้นต่อไปนี้::
  • ไคลเอ็นต์เดสก์ท็อปคอมพิวเตอร์ทั้งหมด nominate ตัวควบคุมโดเมน authenticating เป็นแหล่งเวลาที่มีสิทธิ์ของตนเอง
  • ในโดเมน เซิร์ฟเวอร์ทั้งหมดทำตามกระบวนการเดียวกันกับที่คอมพิวเตอร์เดสก์ท็อปของไคลเอ็นต์ตาม
  • ตัวควบคุมโดเมนทั้งหมดในโดเมน nominate โดเมนหลักงานหลักของตัวควบคุม (PDC) เป็นแหล่งเวลาของตนเอง
  • ต้นแบบการทำงาน PDC ทั้งหมดตามลำดับชั้นของโดเมนในการเลือกของแหล่งเวลาของตนเอง อย่างไรก็ตาม ต้นแบบการทำงาน PDC อาจใช้ตัวควบคุมโดเมนหลักตามการกำหนดหมายเลข stratum

    หมายเหตุ:หมายเลข stratum กำหนดวิธีการปิดกับเซิร์ฟเวอร์เวลาเป็นแหล่งข้อมูลอ้างอิงหลัก หมายเลขที่มีขนาดเล็ก closer ที่เซิร์ฟเวอร์เป็นแหล่งเวลาที่หลัก
ในลำดับชั้นนี้ PDC งานหลักที่รากของฟอเรสต์กลายเป็น ไทม์เซิร์ฟสำหรับองค์กร ขอแนะนำอย่างยิ่งให้ให้ คุณกำหนดค่าไทม์เซิร์ฟการรวบรวมเวลาจากแหล่งฮาร์ดแวร์ เมื่อคุณพยายามกำหนดค่าไทม์เซิร์ฟทำการซิงค์กับแหล่งเวลาที่มีอินเทอร์เน็ต คุณจะไม่มีการรับรองความถูกต้อง ขอแนะนำยังให้คุณลดตั้งค่าการแก้ไขเวลาของคุณในเซิร์ฟเวอร์ และไคลเอนต์แบบสแตนด์อโลน เมื่อคุณทำตามคำแนะนำเหล่านี้ เวลาที่ถูกต้องมากมีให้กับโดเมน

ข้อมูลเพิ่มเติม

ทบทวนของเวลา rollbacks ได้แสดงว่า คอมพิวเตอร์สามารถ adopt เวลาที่สามารถวัน เดือน ปี หรือ tens คู่ของปีในอนาคตหรือ ในอดีต ปัญหาต่อไปนี้สามารถเกิดขึ้นเมื่อคอมพิวเตอร์ย้อนไปข้างหน้า หรือย้อนย้อนหลังเวลา:
  • รหัสผ่าน บนคอมพิวเตอร์บัญชี บัญชีผู้ใช้ และความสัมพันธ์ที่เชื่อถือสามารถถูกปรับปรุงก่อนกำหนด
  • สามารถระบุ โดย 2042 เหตุการณ์จำลองแบบ NTDS quarantines ในการจำลองแบบของบริการไดเรกทอรี Active Directory
  • ไม่ตรงกันของรหัสผ่านที่จะคืนค่า authoritatively สำหรับบัญชีผู้ใช้คอมพิวเตอร์ สำหรับบัญชีผู้ใช้ หรือ สำหรับความสัมพันธ์ที่เชื่อถือ กู้คืนข้อมูลจาก mismatches เช่นอาจต้องการรหัสผ่านด้วยตนเองถูกตั้งค่าใหม่ในบัญชีทั้งหมดและ trusts ที่ได้รับผลกระทบ

วิธีการป้องกันค่าเวลาย้อนไปข้างหน้า และเวลา rollbacks

เมื่อคอมพิวเตอร์และรอบพลังงานถูกเริ่มใหม่ BIOS เก็บรักษาเวลาใน EPROM ท้องถิ่นที่อยู่บนแผงวงจรหลักของคอมพิวเตอร์ เมื่อ Windows เริ่มทำงาน เคอร์เนล pulls เวลาปัจจุบันจาก BIOS This current time is used as the initial time until the W32Time service can sync up with another time source.

The Windows 32 time service supports two registry entries, the MaxPosPhaseCorrection and the MaxNegPhaseCorrection. These entries restrict the samples that the time service accepts on a local computer when those samples are sent from a remote computer.

When a computer that is running in a steady state receives a time sample from its time source, the sample is checked against the phase correction boundaries that the MaxPosPhaseCorrection and MaxNegPhaseCorrection registry entries impose. If the time sample falls within the limits that the two registry entries enforce, this sample is accepted for additional processing. If the time sample does not fall within these limits, the time sample is ignored, and the time service logs the following message in the W32Time private log file:
*TOO BIG*
If administrators reduce the value for positive and negative phase corrections, administrators can reduce the threat that computers will receive time from invalid time samples for a Windows-based computer. On the other hand, if administrators reduce the value, administrators may prevent computers from being ahead or behind the current time by more than the limits these values impose.

หมายเหตุ:If the registry entry values for positive and negative corrections are reduced, time will be increased or decreased.

The default value for the MaxPosPhaseCorrection and MaxNegPhaseCorrection registry entries in Windows 2000, in Windows XP, in Windows Server 2003, and in Windows Vista is the following value:
0xFFFFFFF
This value enables the computer to receive the time that is contained in any time sample, regardless of inaccuracy.

In Windows Server 2008, a new default value for the MaxPosPhaseCorrection and MaxNegPhaseCorrection registry entries has been adopted. This new default value is 48 hours. This 48-hour value can be represented as either of the following values:
  • 2a300 (hexadecimal)
  • 172800 (decimal)
We recommend that the MaxPosPhaseCorrection and MaxNegPhaseCorrection registry entries are set to a value that is other than the following value:
MAX (0xFFFFFFFF)
หมายเหตุ:When you set the value to a value other than MAX (0xFFFFFFFF), you can prevent computers from adopting time that is very inaccurate in the scenarios where the computer is restarted or the connectivity to external time sources is disrupted. For example, consider the case in which you have the MaxPosPhaseCorrection and MaxNegPhaseCorrection registry entries set for 48 hours on all domain controllers in the forest. If any single domain controller experiences an unusual time jump of more than 48 hours, the value that you set for the MaxPosPhaseCorrection and MaxNegPhaseCorrection registry entries will prevent other computers from making the same time jump. Therefore, computers that are out of sync can be kept apart from the other computers until the administrator can investigate and take corrective action.

Time accuracy is especially important on the forest root primary domain controller (PDC). Because the PDC is the root time source for the domain, inaccurate time changes on the PDC can potentially cause a domain-wide time jump. If you impose phase correction restrictions on the PDC, you can prevent other domain controllers in the forest from accepting the new time.

The default value of 48 hours instead of a default value of 5 minutes or 15 minutes is based on the following reasons:
  • Output from W32TM utility is difficult to read.
  • W32TM currently does not target time on member computers and on member servers.
  • The errors and the events that the Windows operating system and stand-alone third-party applications log are highly inconsistent. Possible errors include return codes that resembles the following:
    • access denied
    • RPC Server is unavailable
    หมายเหตุ:These errors have a low correlation to the time skew because the cause may prevent Windows-based computers from adopting an accurate time value.
  • Daylight saving time bugs can cause 1-hour time differences.
  • AM or PM misconfiguration can cause a 12-hour time difference.
  • Day or date mistakes can cause a 24-hour time difference.
Therefore, 48 hours was the next obvious time offset after 25 or 36 hours. Administrators can also reduce the value with correct tools that report infrastructure and testing.

Specific recommendations according to operating system version and computer role are described in the following sections.

Windows XP Professional and all versions of Windows Server 2003

Domain servers

Forest root PDC (authoritative time server)
We highly recommend that you configure the authoritative time server to collect the time from a hardware source. When you configure the authoritative time server to sync with an Internet time source, there is no authentication. You must reconfigure the following registry entries:
  • MaxPosPhaseCorrection
  • MaxNegPhaseCorrection
The default value of these two registry entries is 0xFFFFFFFF. This default value means "Accept any time change." We recommend a value that is 48 hours. This is represented in the registry as 2a300 (hexadecimal) or 172800 (decimal). We recommend that you set the value of the MaxPollInterval registry entry to 10 or less or that you set the value of the SpecialPollInterval registry entry to 3600 (1 hour) or less.
Domain controllers and member servers inside the domain
The MaxPosPhaseCorrection and MaxNegPhaseCorrection registry entries have a default value of 0xFFFFFFFF. This default value means "Accept any time change." We recommend setting this value to 48 hours on all domain controllers. The 48 hours value can also be set on member servers that are running time sensitive-based applications.

หมายเหตุ:For more information about these registry entries, see the "Windows Server 2003 and Windows XP Time Service registry entries" section.

Stand-alone clients

รายการรีจิสทรี MaxPosPhaseCorrection และ MaxNegPhaseCorrection มีค่าเริ่มต้นของ 54,000 (15 ชั่วโมง) เป็นการรักษาความปลอดภัยพึง เราขอแนะนำให้ คุณลดค่าเริ่มต้นนี้ นอกจากนี้ควรให้ คุณกำหนดค่า 3600 (1 ชั่วโมง) หรือมีค่าที่แม้แต่น้อย ขึ้นอยู่กับแหล่งเวลา บนเครือข่ายเงื่อนไข ช่วงโพล และความต้องการรักษาความปลอดภัย

รายการของรีจิสทรีของ windows Server 2003 และบริการของ Windows XP เวลา

ยุบตารางนี้ขยายตารางนี้
รายการรีจิสทรีMaxPosPhaseCorrection
ชนิดค่าdword
คีย์ย่อย:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
หมายเหตุรายการนี้ระบุการแก้ไขเวลาเป็นค่าบวกมากที่สุดในหน่วยวินาทีที่ทำให้บริการ ถ้ามีการให้บริการกำหนดว่า การเปลี่ยนแปลงขนาดใหญ่กว่านี้จำเป็น มันล็อกเหตุการณ์แทน กรณีพิเศษ: 0xFFFFFFFF หมายความว่า จะทำการแก้ไขเวลาเสมอ ค่าเริ่มต้นสำหรับสมาชิกของโดเมนคือ 0xFFFFFFFF ค่าเริ่มต้นสำหรับไคลเอนต์แบบเอกเทศและเซิร์ฟเวอร์เป็น 54,000 (15 ชั่วโมง)
ยุบตารางนี้ขยายตารางนี้
รายการรีจิสทรีMaxNegPhaseCorrection
ชนิดค่าdword
คีย์ย่อย:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
หมายเหตุรายการนี้ระบุการแก้ไขเวลาเป็นค่าลบที่มากที่สุดในหน่วยวินาทีที่ทำให้บริการ ถ้ามีการให้บริการกำหนดว่า การเปลี่ยนแปลงขนาดใหญ่กว่านี้จำเป็น มันล็อกเหตุการณ์แทน กรณีพิเศษ: -1 หมายความว่า ทำการแก้ไขเวลาเสมอ ค่าเริ่มต้นสำหรับสมาชิกของโดเมนคือ 0xFFFFFFFF ค่าเริ่มต้นสำหรับไคลเอนต์แบบเอกเทศและเซิร์ฟเวอร์เป็น 54,000 (15 ชั่วโมง)
ยุบตารางนี้ขยายตารางนี้
รายการรีจิสทรีMaxPollInterval
ชนิดค่าdword
คีย์ย่อย:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
หมายเหตุรายการนี้ระบุช่วงเวลาที่มากที่สุด ในหน่วยวินาที ที่เปิดใช้งานสำหรับช่วงเวลาของระบบ polling ขอให้สังเกตว่า ถึงแม้ว่าระบบต้องสำรวจตามช่วงที่กำหนดเวลาไว้ที่ ตัวให้บริการสามารถ refuse การผลิตตัวอย่างเมื่อมีการร้องขอตัวอย่าง ค่าเริ่มต้นสำหรับสมาชิกของโดเมนคือ 10 ค่าเริ่มต้นสำหรับไคลเอนต์แบบเอกเทศและเซิร์ฟเวอร์เป็น 15
ยุบตารางนี้ขยายตารางนี้
รายการรีจิสทรีSpecialPollInterval
ชนิดค่าdword
คีย์ย่อย:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient
หมายเหตุรายการนี้ระบุช่วงโพลพิเศษเป็นวินาทีสำหรับ peers ด้วยตนเอง เมื่อมีการใช้ค่าสถานะ SpecialInterval 0x1, W32Time ใช้ช่วงโพลนี้แทนของช่วงโพลที่ระบบปฏิบัติการกำหนด ค่าเริ่มต้นบนสมาชิกโดเมนคือ 3,600 ค่าเริ่มต้นบนไคลเอนต์แบบเอกเทศและเซิร์ฟเวอร์เป็น 604,800
หมายเหตุ:เราขอแนะนำให้ คุณใช้วัตถุตัวแก้ไขนโยบายสากลที่ใช้งานการตั้งค่าเหล่านี้ สำหรับข้อมูลเพิ่มเติมเกี่ยวกับเซอร์วิส Windows Time ในฟอเรสต์ที่ใช้ Windows Server 2003 แวะไป Microsoft TechNet เว็บไซต์ต่อไปนี้:
http://technet.microsoft.com/en-us/library/cc773061.aspx
Windows Time บริการพารามิเตอร์ค่าเริ่มต้นที่กำหนดไว้ใน Group Policy object (GPO) อาจไม่ตรงกับค่าเริ่มต้นที่กำหนดไว้ในรีจิสทรีของตัวควบคุมโดเมนที่ใช้ Windows Server 2003 When you deploy MaxPosPhaseCorrection and MaxNegPhaseCorrection values to Windows Server 2003 domain controllers by using a GPO, make sure that the GPO is not changing the values of other Windows Time service parameters in the registry. Other Windows Time service parameter values may also have to be changed in the GPO to match the default registry values in the domain controllers.

All versions of Windows 2000 Service Pack 4 (SP4)

Domain servers

Forest root PDC (authoritative time server)
ขอแนะนำอย่างยิ่งให้ให้ คุณกำหนดค่าไทม์เซิร์ฟการรวบรวมเวลาจากแหล่งฮาร์ดแวร์ When you configure the authoritative time server to sync with an Internet time source, there is no authentication in manual mode. You must reconfigure the MaxAllowedClockErrInSecs registry entry. The default value is 43,200. The recommended value is 900 (15 minutes) or an even smaller value, depending on time source, on network conditions, and on security requirements. This also depends on the poll interval. We recommend that the poll interval value is set to one hour for every 24 hours.

หมายเหตุ:For more information about this registry entry see the "Windows Server 2000 SP 4 registry entry" section.
Domain controllers and member servers inside the domain
The synchronization type is NT5DS. The time service synchronizes from the domain hierarchy and the time service accepts all time changes. Because NT5DS accepts any time change without considering the time offset, it is very important to set up a reliable forest root time source in the time sync subnet.

หมายเหตุ:The NT5DS value indicates that the synchronization type is obtained from a registry entry.

Stand-alone clients

The MaxAllowedClockErrInSecs registry entry has a default value of 43,200 (12 hours). As a security best practice, we recommend that you reduce this default value. We recommend that you set the value to 3600 (1 hour) or to an even smaller value, depending on time source, on network conditions, on poll interval, and on security requirements.
Windows Server 2000 SP 4 registry entry
ยุบตารางนี้ขยายตารางนี้
Registry EntryMaxAllowedClockErrInSecs
Value Typedword
Subkey
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
หมายเหตุSpecifies the maximum clock change that is enabled in seconds. When the event is logged, the time is not adjusted based on the value. This behavior occurs to help protect against any suspicious time stamp activity. The default value for domain members is 43,200.

คุณสมบัติ

หมายเลขบทความ (Article ID): 884776 - รีวิวครั้งสุดท้าย: 11 กันยายน 2554 - Revision: 4.0
ใช้กับ
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Web Edition
Keywords: 
kbsecurity kbhowto kbinfo kbmt KB884776 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:884776

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com