配置 Windows 时间服务以防出现大的时间偏移

文章翻译 文章翻译
文章编号: 884776 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

简介

Windows 包含 W32Time,它是 Kerberos 身份验证协议所需的时间服务工具。时间服务工具的目的是确保组织中运行 Microsoft Windows 2000 或更高版本的所有计算机都使用公共时间。为确保适当地使用公共时间,时间服务使用层级关系来控制权威,而且不允许出现循环。默认情况下,基于 Windows 的计算机使用下面的层级:
  • 所有客户端桌面计算机都提名身份验证域控制器作为其入站时间伙伴。
  • 所有成员服务器都遵循与客户端桌面计算机相同的过程。
  • 域中的所有域控制器都提名主要域控制器 (PDC) 操作主机作为其入站时间伙伴。
  • 所有 PDC 操作主机在选择其入站时间伙伴时都遵循域的层次结构,但可能使用基于层次编号的父域控制器。
在此层级中,位于目录林根的 PDC 操作主机成为组织的权威时间服务器。我们强烈建议您将权威时间服务器配置为从硬件源获取时间。当您将权威时间服务器配置为与 Internet 时间源同步时,不会有任何身份验证。我们还建议您降低服务器和独立客户端的时间校准设置。这些建议可以为您的域提供更准确的时间。

更多信息

Microsoft Windows XP Professional 和 Microsoft Windows Server 2003(所有版本)

域服务器

目录林根 PDC(权威时间服务器)
我们强烈建议您将权威时间服务器配置为从硬件源获取时间。当您将权威时间服务器配置为与 Internet 时间源同步时,不会有任何身份验证。您必须重新配置
MaxPosPhaseCorrection
MaxNegPhaseCorrection
这两个注册表项。它们的默认值是 0xFFFFFFFF(接受任何时间更改)。根据时间源、网络状况和安全要求的不同,建议将该值设置为 900(15 分钟)或更低。该值还取决于轮询间隔。建议您将
MaxPollInterval
注册表项的值设置为 10 或更低,或者将
SpecialPollInterval
注册表项的值设置为 3600(1 小时)或更低。有关这两个注册表项的更多信息,请参阅“Windows Server 2003 和 Windows XP 时间服务注册表项”一节。
域中的域控制器和成员服务器
MaxPosPhaseCorrection
MaxNegPhaseCorrection
这两个注册表项的默认值是 0xFFFFFFFF(接受任何时间更改)。此默认值可以满足需要。不过,您需要域中有更多的安全措施来帮助防止发生人为错误。根据您的需要,您可以保留也可以修改这些默认值。

独立客户端

MaxPosPhaseCorrection
MaxNegPhaseCorrection
这两个注册表项的默认值是 54,000(15 小时)。作为保障安全的最佳做法,应减小此默认值。根据时间源、网络状况、轮询间隔和安全要求的不同,建议将该值设置为 3600(1 小时)或更低。

Windows Server 2003 和 Windows XP 时间服务注册表项

收起该表格展开该表格
注册表项
MaxPosPhaseCorrection
路径
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
注释该项指定服务可进行的最大正时间校准量(以秒为单位)。如果服务确定某个更改幅度大于所需的幅度,它将记录一个事件。特殊情况:0xFFFFFFFF 表示总是校准时间。域成员的默认值是 0xFFFFFFFF。独立客户端和服务器的默认值是 54,000(15 小时)。
收起该表格展开该表格
注册表项
MaxNegPhaseCorrection
路径
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
注释该项指定服务可进行的最大负时间校准量(以秒为单位)。如果服务确定某个更改幅度大于所需的幅度,它将转而记录一个事件。特殊情况:-1 表示总是校准时间。域成员的默认值是 0xFFFFFFFF。独立客户端和服务器的默认值是 54,000(15 小时)。
收起该表格展开该表格
注册表项
MaxPollInterval
路径
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
注释该项指定系统轮询间隔所允许的最大间隔(单位是用对数形式表示的秒)。请注意,尽管系统必须根据预定的间隔进行轮询,但是提供程序可以根据请求拒绝生成示例。域成员的默认值是 10。独立客户端和服务器的默认值是 15。
收起该表格展开该表格
注册表项
SpecialPollInterval
路径
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient
注释该项指定手动对等端的特殊轮询间隔(以秒为单位)。当启用 SpecialInterval 0x1 标志时,W32Time 将使用此轮询间隔而非操作系统确定的轮询间隔。域成员的默认值是 3,600。独立客户端和服务器的默认值是 604,800。
有关基于 Windows Server 2003 的目录林中的 Windows 时间服务的其他信息,请访问下面的网站:
http://technet2.microsoft.com/windowsserver/en/library/A0FCD250-E5F7-41B3-B0E8-240F8236E2101033.mspx

Windows 2000 Service Pack 4 (SP4)(所有版本)

域服务器

目录林根 PDC(权威时间服务器)
我们强烈建议您将权威时间服务器配置为从硬件源获取时间。当您将权威时间服务器配置为与 Internet 时间源同步时,将不为手动模式进行身份验证。您必须重新配置
MaxAllowedClockErrInSecs
注册表项。其默认值是 43,200。根据时间源、网络状况和安全要求的不同,建议将该值设置为 900(15 分钟)或更低。该值还取决于轮询间隔。建议将轮询间隔设置为 1 小时 (Period = 24)。有关该注册表项的更多信息,可查看下文中的“Windows Server 2000 SP4 注册表项”一节。
域中的域控制器和成员服务器
同步类型为 NT5DS。时间服务从域层级进行同步,并接受所有时间更改。由于 NT5DS 接受所有时间更改而不考虑时间偏移,因此在时间同步子网中设置可靠的目录林根时间源非常重要。

独立客户端

MaxAllowedClockErrInSecs
注册表项的默认值是 43,200(12 小时)。作为保障安全的最佳做法,应减小此默认值。根据时间源、网络状况、轮询间隔和安全要求的不同,建议将该值设置为 3600(1 小时)或更低。
Windows Server 2000 SP4 注册表项
收起该表格展开该表格
注册表项
MaxAllowedClockErrInSecs
路径
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
注释指定允许的最大时钟更改量(以秒为单位)。如果达到该更改量,将记录一个事件,而且不会调整时间来帮助保护任何可疑的时间戳。域成员的默认值是 43,200。

属性

文章编号: 884776 - 最后修改: 2007年2月13日 - 修订: 8.2
这篇文章中的信息适用于:
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Service Pack 4
关键字:?
kbhowto kbinfo kbsecurity KB884776
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com