設定 Windows Time 服務,以防止大規模的時間位移

文章翻譯 文章翻譯
文章編號: 884776 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

簡介

Windows 包含了 W32Time,這是 Kerberos 驗證通訊協定所需要的「Time 服務」工具。「Time 服務」工具主要是用來確保組織中執行 Microsoft Windows 2000 或更新版本的所有電腦,均使用共同的時間。 為了確保能適當使用共同的時間,「Time 服務」採用可控制授權的階層關係。此外,「Time 服務」並不允許迴圈。根據預設,Windows 電腦使用下列階層:
  • 所有的用戶端桌上型電腦會宣告驗證的網域控制站做為自己的輸入計時協力電腦。
  • 所有成員伺服器會遵照用戶端桌上型電腦所遵循的相同程序。
  • 網域中的所有網域控制站會宣告網域主控站 (PDC) 操作主機做為自己的輸入計時協力電腦。
  • 所有 PDC 操作主機都會依照網域輸入時間協力廠商選擇的網域階層,但可能會根據階層編號使用父系網域控制站。
在這種階層中,樹系根目錄中的 PDC 操作主機會成為組織的授權時間伺服器。強烈建議您設定授權時間伺服器,以收集硬體來源的時間。當您設定授權時間伺服器與網際網路時間來源同步處理時,並不需要經過驗證。此外,我們也建議您降低伺服器及獨立用戶端的時間更正設定。這些建議可以使您的網域設定更加正確。

其他相關資訊

所有版本的 Microsoft Windows XP Professional 和 Microsoft Windows Server 2003

網域伺服器

樹系根目錄 PDC (授權時間伺服器)
強烈建議您設定授權時間伺服器,以收集硬體來源的時間。當您設定授權時間伺服器與網際網路時間來源同步處理時,並不需要經過驗證。您必須重新設定
MaxPosPhaseCorrection
MaxNegPhaseCorrection
登錄項目。其預設值為 0xFFFFFFFF (接受任何時間變更)。建議值為 900 (15 分鐘) 或者更低,視時間來源、網路情況及安全性需求而定。此外,也需要考慮到輪詢間隔。我們建議您,將
MaxPollInterval
登錄項目的值設定為 10 或更低,或將
SpecialPollInterval
登錄項目的值設定為 3600 (1 小時) 或更低。如需有關這些登錄項目的詳細資訊,請參閱<Windows Server 2003 和 Windows XP Time 服務登錄機碼>一節。
網域內的網域控制站和成員伺服器
MaxPosPhaseCorrection
MaxNegPhaseCorrection
登錄項目的預設值為 0xFFFFFFFF (接受任意時間變更)。這是理想的預設值。但您想要加強網域內部的安全性,以防範人為的錯誤。根據您想要達成的目標,您可以保留或修改預設值。

獨立用戶端

MaxPosPhaseCorrection
MaxNegPhaseCorrection
登錄項目的預設值為 54,000 (15 個小時)。就符合安全性的最佳做法而言,請降低此預設值。建議您將此值設定為 3600 (1 小時) 或更低,視時間來源、網路情況、輪詢間隔及安全性需求而定。

Windows Server 2003 和 Windows XP Time 服務登錄機碼

摺疊此表格展開此表格
登錄項目
MaxPosPhaseCorrection
Path
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
注意此項目會指定服務所做出的最大正值時間修正 (以秒計算)。如果服務判定需要變更為較大的值,就會記錄成事件。特殊案例:0xFFFFFFFF 代表一律進行時間修正。網域成員的預設值為 0xFFFFFFFF。獨立用戶端及伺服器的預設值為 54,000 (15 小時)。
摺疊此表格展開此表格
登錄項目
MaxNegPhaseCorrection
Path
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
注意此項目會指定服務所做出的最大負值時間修正 (以秒計算)。如果服務判定需要變更為較大的值,就會記錄成事件。特殊案例:-1 代表一律進行時間修正。網域成員的預設值為 0xFFFFFFFF。獨立用戶端及伺服器的預設值為 54,000 (15 小時)。
摺疊此表格展開此表格
登錄項目
MaxPollInterval
Path
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
注意此項目會指定所允許的最大時間間隔 (以秒計算),做為系統輪詢間隔。請注意,儘管系統必須依照排定的時間間隔進行輪詢,但提供者還是可以在接到要求時,拒絕產生範例。網域成員的預設值為 10。獨立用戶端及伺服器的預設值為 15。
摺疊此表格展開此表格
登錄項目
SpecialPollInterval
Path
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient
注意此項目會為手動的對等裝置指定特殊的輪詢間隔 (以秒計算)。當 SpecialInterval 0x1 旗標啟用時,W32Time 就會使用此輪詢間隔,而不會使用由作業系統決定的輪詢間隔。網域成員的預設值為 3,600。獨立用戶端及伺服器的預設值為 604,800。
如需有關 Windows Server 2003 樹系上 Windows Time 服務的詳細資訊,請造訪下列網站:
http://technet2.microsoft.com/windowsserver/en/library/A0FCD250-E5F7-41B3-B0E8-240F8236E2101033.mspx

所有版本的 Windows 2000 Service Pack 4 (SP4)

網域伺服器

樹系根目錄 PDC (授權時間伺服器)
強烈建議您設定授權時間伺服器,以收集硬體來源的時間。當您設定授權時間伺服器與網際網路時間來源同步處理時,不需對手動模式進行驗證。您必須重新設定
MaxAllowedClockErrInSecs
登錄項目。預設值為 43,200。建議值為 900 (15 分鐘) 或者更低,視時間來源、網路情況及安全性需求而定,此外,也需要考慮到輪詢間隔。建議您將輪詢間隔設定為一小時 (週期 = 24)。在本文稍後的<Windows Server 2000 SP 4 登錄機碼>一節中可找到此登錄項目的其他相關資訊。
網域內的網域控制站和成員伺服器
同步處理類型是 NT5DS。時間服務會由網域階層開始同步化,並接受所有時間變更。由於 NT5DS 會在不考慮時間位移的情況下接受任何時間變更,因此,在時間同步化子網路中設定可靠的樹系根目錄時間來源,是非常重要的。

獨立用戶端

MaxAllowedClockErrInSecs
登錄項目的預設值為 43,200 (12 小時)。就符合安全性的最佳做法而言,請降低此預設值。建議您將此值設定為 3600 (1 小時) 或更低,視時間來源、網路情況及安全性需求而定。
Windows Server 2000 SP 4 登錄機碼
摺疊此表格展開此表格
登錄項目
MaxAllowedClockErrInSecs
Path
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
注意指定所允許的最大時鐘變更 (以秒計算)。如果確實發生了,並且無法調整時間以防止任何可疑的時間戳記,請記錄為事件。網域成員的預設值為 43,200。

屬性

文章編號: 884776 - 上次校閱: 2006年11月22日 - 版次: 8.1
這篇文章中的資訊適用於:
  • Microsoft Windows XP Professional
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Service Pack 4
關鍵字:?
kbhowto kbinfo kbsecurity KB884776
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com