Konfigurace služby Systémový čas systému Windows proti velkému časovému posunu

ÚVOD

Systém Windows obsahuje službu W32Time, neboli Systémový čas, která je využívána ověřovacím protokolem Kerberos. Protokol Kerberos nevyžaduje, aby služba Systémový čas byla spuštěná. Můžete službu Systémový čas vypnout a protokol Kerberos bude i nadále fungovat, pokud rozdíl času mezi relevantními počítači bude v rámci povoleného limitu. Také můžete vypnout službu Systémový čas a nainstalovat časovou službu od jiného výrobce.Účelem služby Systémový čas je zajistit, aby všechny počítače v organizaci se systémem Microsoft Windows 2000 nebo novějším používaly společný čas. Služba Systémový čas zajišťuje správné používání společného času pomocí hierarchického vztahu, který řídí oprávnění. Služba Systémový čas také nedovoluje smyčky. Ve výchozím nastavení používají počítače se systémem Windows následující hierarchii:
  • Všechny klientské počítače nominují ověřovací řadič domény jako svého partnera pro příchozí čas.
  • Všechny členské servery postupují podle stejného procesu, podle kterého postupují klientské počítače.
  • Všechny řadiče domény v doméně nominují hlavní operační server primárního řadiče domény jako svého partnera pro příchozí čas.
  • Všechny hlavní operační servery primárních řadičů domény postupují při výběru svého partnera pro příchozí čas podle hierarchie domén, ale mohou použít nadřazený řadič domény podle číslování vrstev.
V této hierarchii se hlavní operační server primárního řadiče domény v kořenu doménové struktury stává autoritativním časovým serverem organizace. Velmi doporučujeme nakonfigurovat tento autoritativní časový server tak, aby získával čas z hardwarového zdroje. Pokud nakonfigurujete autoritativní časový server na synchronizaci s internetovým zdrojem času, nebude k dispozici ověření. Také doporučujeme, abyste snížili nastavení oprav času pro servery a samostatné klienty. Tato doporučení poskytnou doméně větší přesnost.

Další informace

Systém Microsoft Windows XP Professional a Microsoft Windows Server 2003, všechny verze

Doménové servery

Primární řadič domény kořenu doménové struktury (autoritativní časový server)
Velmi doporučujeme nakonfigurovat tento autoritativní časový server tak, aby získával čas z hardwarového zdroje. Pokud nakonfigurujete autoritativní časový server na synchronizaci s internetovým zdrojem času, nebude k dispozici ověření. Je třeba překonfigurovat položky registru MaxPosPhaseCorrection a MaxNegPhaseCorrection. Jejich výchozí hodnota je 0xFFFFFFFF (přijmout každou změnu času). Doporučená hodnota je 900 (15 minut) nebo nižší, podle zdroje času, stavu sítě a požadavku na zabezpečení. Závisí také na intervalu dotazování. Doporučujeme nastavit hodnotu položky registru MaxPollInterval na 10 nebo méně nebo nastavit hodnotu položky registru SpecialPollInterval na 3 600 (1 hodinu) nebo méně. Informace o těchto položkách registru najdete v části Klíče registru služby Systémový čas v systému Windows Server 2003 a systému Windows XP.
Řadiče domény a členské servery uvnitř domény
Položky registru MaxPosPhaseCorrection a MaxNegPhaseCorrection mají výchozí hodnotu 0xFFFFFFFF (přijmout každou změnu času). Tato výchozí hodnota je v pořádku. V doméně však požadujete další zabezpečení proti lidským chybám. Podle toho, čeho chcete dosáhnout, můžete výchozí hodnoty ponechat nebo změnit.

Samostatní klienti

Položky registru MaxPosPhaseCorrection a MaxNegPhaseCorrection mají výchozí hodnotu 54 000 (15 hodin). Za účelem lepšího zabezpečení tuto výchozí hodnotu snižte. Doporučená hodnota je 3 600 (1 hodina) nebo nižší, podle zdroje času, stavu sítě, intervalu dotazování a požadavku na zabezpečení.

Klíče registru služby Systémový čas v systému Windows Server 2003 a systému Windows XP

Položka registruMaxPosPhaseCorrection
CestaHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
PoznámkyTato položka určuje nejvyšší kladnou opravu času v sekundách, kterou služba provádí. Pokud služba určí, že je potřebná větší změna, zaznamená do protokolu událost. Zvláštní případ: 0xFFFFFFFF znamená vždy provést opravu času. Výchozí hodnota pro členy domény je 0xFFFFFFFF. Výchozí hodnota pro samostatné klienty a servery je 54 000 (15 hodin).
Položka registruMaxNegPhaseCorrection
CestaHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
PoznámkyTato položka určuje nejvyšší zápornou opravu času v sekundách, kterou služba provádí. Pokud služba určí, že je potřebná větší změna, zaznamená místo toho do protokolu událost. Zvláštní případ: -1 znamená vždy provést opravu času. Výchozí hodnota pro členy domény je 0xFFFFFFFF. Výchozí hodnota pro samostatné klienty a servery je 54 000 (15 hodin).
Položka registruMaxPollInterval
CestaHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
PoznámkyTato položka určuje největší interval, v sekundách protokolu, povolený pro interval dotazování systému. Všimněte si, že zatímco systém musí provádět dotazování podle plánovaného intervalu, poskytovatel může odmítnout vytvoření ukázek na požádání. Výchozí hodnota pro členy domény je 10. Výchozí hodnota pro samostatné klienty a servery je 15.
Položka registruSpecialPollInterval
CestaHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient
PoznámkyTato položka určuje speciální interval dotazování v sekundách pro ručně nastavené druhé strany. Je-li povolen příznak SpecialInterval 0x1, použije služba W32Time tento interval dotazování místo intervalu dotazování určeného operačním systémem. Výchozí hodnota pro členy domény je 3 600. Výchozí hodnota pro samostatné klienty a servery je 604 800.
Další informace o službě Systémový čas v doménové struktuře systému Windows Server 2003 naleznete na následujícím webu:

Windows 2000 Service Pack 4 (SP4), všechny edice

Doménové servery

Primární řadič domény kořenu doménové struktury (autoritativní časový server)
Velmi doporučujeme nakonfigurovat tento autoritativní časový server tak, aby získával čas z hardwarového zdroje. Pokud nakonfigurujete autoritativní časový server na synchronizaci s internetovým zdrojem času, nebude k dispozici ověření ručního režimu. Je nutné překonfigurovat položku registru MaxAllowedClockErrInSecs. Výchozí hodnota je 43 200. Doporučená hodnota je 900 (15 minut) nebo i nižší, podle zdroje času, stavu sítě a požadavku na zabezpečení. Závisí také na intervalu dotazování. Doporučujeme nastavit interval dotazování na jednu hodinu (Období = 24). Další informace o této položce registru najdete v části Klíč registru serveru Windows Server 2000 s aktualizací SP 4 dále v tomto článku.
Řadiče domény a členské servery uvnitř domény
Typ synchronizace je NT5DS. Časová služba provádí synchronizaci z doménové hierarchie a přijme všechny změny času. Synchronizace NT5DS přijme všechny změny času, aniž by brala v úvahu časový posun, proto je velmi důležité nastavit spolehlivý zdroj času kořenu doménové struktury v podsíti synchronizace času.

Samostatní klienti

Položka registru MaxAllowedClockErrInSecs má výchozí hodnotu 43 200 (12 hodin). Za účelem lepšího zabezpečení tuto výchozí hodnotu snižte. Doporučená hodnota je 3 600 (1 hodina) nebo nižší, podle časového zdroje, stavu sítě, intervalu dotazování a požadavku na zabezpečení.
Klíč registru pro Windows Server 2000 SP4
Položka registruMaxAllowedClockErrInSecs
CestaHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
PoznámkyUrčuje maximální povolenou změnu hodin v sekundách. Pokud k tomu dojde, bude do protokolu zaznamenána událost a nedojde k úpravě času, což přispěje k ochraně před podezřelými časovými razítky. Výchozí hodnota pro členy domény je 43 200.
Vlastnosti

ID článku: 884776 - Poslední kontrola: 7. 1. 2008 - Revize: 1

Váš názor