Makale numarası: 884776 - Son Gözden Geçirme: 12 Mart 2008 Çarşamba - Gözden geçirme: 9.1

Windows Zaman hizmetini büyük saat farkına göre yapılandırma

Bu makalenin geçerli olduğu ürünleri görün.
Sistem İpucuBu makale, kullandığınızdan farklı bir işletim sistemine yöneliktir. Sizinle ilgili olmayabilecek makale içeriği devre dışı bırakıldı.

Bu Sayfada

Hepsini aç | Hepsini kapa

GİRİŞ

Windows'da Kerberos kimlik doğrulama protokolünün kullandığı Zaman Hizmeti aracı olan W32Time hizmeti bulunmaktadır. Kerberos, Zaman Hizmeti'nin çalışır durumda olmasını gerektirmez. Zaman Hizmeti aracını kapatabilirsiniz; ilgili bilgisayarlar arasındaki saat farkı, izin verilen en büyük saat farkından küçük olduğu sürece Kerberos çalışır. Zaman Hizmeti aracını kapatıp üçüncü taraf bir zaman hizmeti de yükleyebilirsiniz.

Zaman Hizmeti aracının amacı bir kuruluştaki Microsoft Windows 2000 veya daha yeni sürümlerini çalıştıran tüm bilgisayarların aynı saati kullanmalarını sağlamaktır. Doğru ortak saatin kullanıldığından emin olmak için Zaman Hizmeti yetkiyi denetleyen hiyerarşik bir ilişki kullanır. Ayrıca, Zaman Hizmeti döngülere izin vermez. Varsayılan olarak, Windows tabanlı bilgisayarlar aşağıdaki hiyerarşiyi kullanır:
  • Tüm istemci masaüstü bilgisayarlar, kimlik doğrulaması yapan etki alanı denetleyicisini gelen saat ortağı olarak belirler.
  • Tüm üye sunucular istemci masaüstü bilgisayarlarla aynı süreci izler.
  • Bir etki alanındaki tüm etki alanı denetleyicileri, birincil etki alanı denetleyicisi (PDC) işlem yöneticisini gelen saat ortakları olarak belirler.
  • Tüm PDC işlem yöneticileri, gelen saat ortaklarının seçimine uygun etki alanı hiyerarşisini izler, ancak katman numaralandırmasına bağlı olarak bir ana etki alanı denetleyicisi kullanabilir.
Bu hiyerarşide, ormanın kökündeki PDC işlem yöneticisi kuruluş için yetkili saat sunucusu olur. Yetkili saat sunucusunu saati donanım kaynağından alacak şekilde yapılandırmanız önerilmektedir. Yetkili saat sunucusunu Internet saat kaynağıyla eşitlenecek şekilde yapılandırırsanız, kimlik doğrulaması yapılmaz. Ayrıca, sunucularınız ve tek başına istemcileriniz için saat düzeltme ayarlarını düşürmeniz de önerilmektedir. Bu öneriler etki alanınız için daha fazla kesinlik sağlamaya yöneliktir.
Üste

Daha fazla bilgi

Microsoft Windows XP Professional ve Microsoft Windows Server 2003, tüm sürümleri

Etki alanı sunucuları

Orman kök PDC'si (yetkili saat sunucusu)
Yetkili saat sunucusunu, saati bir donanım kaynağından alacak biçimde yapılandırmanız önerilir. Yetkili saat sunucusunu Internet saat kaynağıyla eşitlenecek şekilde yapılandırırsanız, kimlik doğrulaması yapılmaz.
MaxPosPhaseCorrection
ve
MaxNegPhaseCorrection
kayıt defteri girdilerini yeniden yapılandırmanız gerekir. Varsayılan değerler olarak 0xFFFFFFFF (tüm saat değişikliklerini kabul et) kullanılır. Saat kaynağına, ağ durumuna ve güvenlik gereksinimine bağlı olarak önerilen değer 900 (15 dakika) veya daha düşük bir değerdir. Bu ayrıca yoklama aralığına da bağlıdır.
MaxPollInterval
kayıt defteri girdisinin değerini 10 veya daha az ya da
SpecialPollInterval
kayıt defteri girdisinin değerini 3600 (1 saat) veya daha az olarak ayarlamanız önerilir. Bu kayıt defteri girdileri hakkında daha fazla bilgi için, "Windows Server 2003 ve Windows XP Zaman Hizmeti kayıt defteri anahtarları" bölümüne bakın.
Etki alanındaki etki alanı denetleyicileri ve üye sunucular
MaxPosPhaseCorrection
ve
MaxNegPhaseCorrection
kayıt defteri girdileri, varsayılan olarak 0xFFFFFFFF (saat değişikliklerini kabul et) değerini alır. Bu varsayılan değer uygundur. Ancak, insan hatalarına karşı korunmak için etki alanında ek güvenlik istenir. Amacınıza bağlı olarak, varsayılan değerleri olduğu gibi bırakabilir veya değiştirebilirsiniz.

Tek başına istemciler

MaxPosPhaseCorrection
ve
MaxNegPhaseCorrection
kayıt defteri girdileri, varsayılan olarak 54.000 (15 saat) değerini alır. Güvenlik en iyi uygulaması olarak, bu varsayılan değeri azaltın. Saat kaynağına, ağ durumuna, yoklama aralığına ve güvenlik gereksinimine göre değeri 3600 (1 saat) veya daha düşük bir değere ayarlamanız önerilmektedir.

Windows Server 2003 ve Windows XP Zaman Hizmeti kayıt defteri anahtarları

Bu tabloyu kapaBu tabloyu aç
Kayıt Defteri Girdisi
MaxPosPhaseCorrection
Yol
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
NotlarBu girdi hizmetin gerçekleştireceği olası en büyük pozitif saat düzeltmesini saniye cinsinden belirtir. Hizmet bu değerden daha büyük bir değişiklik gerektiğini belirlerse, günlüğe olay kaydeder. Özel durum: 0xFFFFFFFF her zaman saat düzeltmesini gerçekleştir anlamına gelir. Etki alanı üyeleri için varsayılan değer olarak 0xFFFFFFFF kullanılır. Tek başına istemciler ve sunucular için varsayılan değer olarak 54.000 (15 saat) kullanılır.
Bu tabloyu kapaBu tabloyu aç
Kayıt Defteri Girdisi
MaxNegPhaseCorrection
Yol
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
NotlarBu girdi hizmetin gerçekleştireceği olası en büyük negatif saat düzeltmesini saniye cinsinden belirtir. Hizmet bu değerden daha büyük bir değişiklik gerektiğini belirlerse, değişiklik yapmak yerine günlüğe olay kaydeder. Özel durum: -1 her zaman saat düzeltmesini gerçekleştir anlamına gelir ve etki alanı üyeleri için varsayılan değer olarak 0xFFFFFFFF kullanılır. Tek başına istemciler ve sunucular için varsayılan değer olarak 54.000 (15 saat) kullanılır.
Bu tabloyu kapaBu tabloyu aç
Kayıt Defteri Girdisi
MaxPollInterval
Yol
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
NotlarBu girdi sistem yoklama aralığı için izin verilen en büyük aralığı saniye cinsinden belirtir. Sistemin zamanlanan aralıklarda yoklama gerçekleştirmesi gerekirken, sağlayıcının, istendiğinde örnek oluşturmayı reddedebileceğine dikkat edin. Etki alanı üyeleri için varsayılan değer 10'dur. Tek başına istemciler ve sunucular için varsayılan değer 15'dir.
Bu tabloyu kapaBu tabloyu aç
Kayıt Defteri Girdisi
SpecialPollInterval
Yol
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient
NotlarBu girdi el ile eşitlenen eşler için özel yoklama aralığını saniye cinsinden belirtir. SpecialInterval 0x1 bayrağı etkinleştirildiğinde, W32Time işletim sistemi tarafından belirlenen yoklama aralığı yerine bu yoklama aralığını kullanır. Etki alanı üyelerinin varsayılan değeri 3.600'dür. Tek başına istemcilerin ve sunucuların varsayılan değer, 604.800'dür.
Windows Server 2003 tabanlı bir ormanda Windows Zaman hizmeti hakkında ek bilgi için, aşağıdaki Web sitesini ziyaret edin:
http://technet2.microsoft.com/windowsserver/en/library/A0FCD250-E5F7-41B3-B0E8-240F8236E2101033.mspx (http://technet2.microsoft.com/windowsserver/en/library/A0FCD250-E5F7-41B3-B0E8-240F8236E2101033.mspx)
Üste

Windows 2000 Service Pack 4 (SP4), tüm sürümler

Etki alanı sunucuları

Orman kök PDC'si (yetkili zaman sunucusu)
Yetkili zaman sunucusunu, saati donanım kaynağından alacak şekilde yapılandırmanız önerilmektedir. Yetkili saat sunucusunu Internet saat kaynağıyla eşitlenecek şekilde yapılandırırsanız, el ile modu için kimlik doğrulaması yapılmaz.
MaxAllowedClockErrInSecs
kayıt defteri girdisini yeniden yapılandırmanız gerekir. Varsayılan değer 43.200'dür. Saat kaynağına, ağ durumuna ve güvenlik gereksinimine bağlı olarak önerilen değer 900 (15 dakika) veya daha düşük bir değerdir. Bu ayrıca yoklama aralığına da bağlıdır. Yoklama aralığının bir saat (Dönem = 24) olması önerilmektedir. Bu kayıt defteri anahtarı hakkında daha fazla bilgi, bu makalenin ilerisindeki "Windows Server 2000 SP 4 Kayıt Defteri Anahtarı" bölümünde bulunabilir.
Etki alanındaki denetleyiciler ve üye sunucular
Eşitleme türü NT5DS'dir. Zaman hizmeti etki alanı hiyerarşisinden eşitler ve tüm değişiklikleri kabul eder. NT5DS zaman farkını göz önüne almadan tüm saat değişikliklerini kabul edeceğinden, saat eşitleme alt ağında güvenilir bir orman kök saat kaynağı oluşturmak çok önemlidir.

Tek başına istemciler

MaxAllowedClockErrInSecs
kayıt defteri girdisi için varsayılan değer olarak 43.200 (12 saat) kullanılır. Güvenlik en iyi uygulaması olarak, bu varsayılan değeri azaltın. Saat kaynağına, ağ durumuna, yoklama aralığına ve güvenlik gereksinimine göre değerin 3.600 (1 saat) veya daha düşük olması önerilmektedir.
Windows Server 2000 SP 4 kayıt defteri anahtarı
Bu tabloyu kapaBu tabloyu aç
Kayıt Defteri Girdisi
MaxAllowedClockErrInSecs
Yol
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
Notlarİzin verilen en fazla saat değişikliğini saniye cinsinden belirtir. Bu durum oluşursa günlüğe olay kaydedilir ve şüpheli zaman damgalarının önlenmesine yardımcı olmak için saat değişikliği yapılmaz. Etki alanı üyeleri için varsayılan değer olarak 43.200 kullanılır.
Üste
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Service Pack 4
Üste
Anahtar Kelimeler: 
kbsecurity kbhowto kbinfo KB884776
Üste