Sådan konfigureres tjenesten Windows-tid til at undgå en stor tidsforskydning

INTRODUKTION

Windows indeholder tjenesten W32Time, det tidstjenesteværktøj, der kræves til Kerberos-godkendelsesprotokol. Kerberos kræver ikke, at tidstjenesteværktøjet kører hele tiden. Du kan deaktivere tidstjenesteværktøjet, og Kerberos vil stadig fungere, hvis tidsforskydningen mellem de relevante computere ikke overskrider den tilladte maksimumtidsforskydning. Du kan også deaktivere tidstjenesteværktøjet og derefter installere en tidstjeneste fra tredjepart.



Formålet med tidstjenesteværktøjet er at sikre, at der bruges fælles tid på alle de computere i organisationen, der kører Microsoft Windows 2000 eller nyere versioner. Tjenesten Tid benytter hierarkiske relationer til styring af godkendelser for at sikre, at der er passende brug af fælles tid. Ydermere tillader tjenesten Tid ikke løkker. Som standard bruger Windows-baserede computere følgende hierarki:
  • Alle stationære klientcomputere udpeger den godkendende domænecontroller som deres partner for indgående tid.
  • Alle medlemsservere følger samme proces som de stationære klientcomputere.
  • Alle domænecontrollere i et domæne udpeger Operations Master for den primære domænecontroller (PDC) som deres partner for indgående tid.
  • Alle PDC Operations Masters følger domænehierarkiet ved valg af partner for indgående tid, men kan bruge en overordnet domænecontroller baseret på et lags nummerering.
I dette hierarki bliver PDC Operations Master i roden af området den autoritative tidsserver for organisationen. Det anbefales, at du konfigurerer den autoritative tidsserver til at hente tiden fra en hardwarekilde. Når du konfigurerer den autoritative tidsserver til at blive synkroniseret med en tidskilde fra internettet, er der ingen godkendelse. Det anbefales desuden, at du vælger lavere indstillinger af tidskorrektion for servere og enkeltstående klienter. Hvis du følger disse anbefalinger, betyder det større præcision i domænet.

Yderligere Information

Microsoft Windows XP Professional og Microsoft Windows Server 2003, alle versioner

Domæneservere

PDC (autoritativ tidsserver)
Vi anbefaler, at du konfigurerer den autoritative tidsserver til at hente tiden fra en hardwarekilde. Når du konfigurerer den autoritative tidsserver til at blive synkroniseret med en tidskilde fra internettet, er der ingen godkendelse. Du skal omkonfigurere registreringsdatabaseposterne MaxPosPhaseCorrection og MaxNegPhaseCorrection. Standardværdien er 0xFFFFFFFF (accepter enhver tidsændring). Den anbefalede værdi er 900 (15 minutter) eller endnu lavere, afhængigt af tidskilde, netværkstilstand og sikkerhedskrav. Værdien afhænger også af forespørgselsintervallet. Det anbefales, at du angiver værdien for registreringsdatabaseposten MaxPollInterval til 10 eller derunder, eller at du angiver værdien for registreringsdatabaseposten SpecialPollInterval til 3.600 (1 time) eller derunder. Yderligere oplysninger om disse registreringsdatabasenøgler finder du i afsnittet "Registreringsdatabasenøgler i tjenesten Tid under Windows Server 2003 og Windows XP".
Domænecontrollere og medlemsservere i domænet
Registreringsdatabaseposterne MaxPosPhaseCorrection og MaxNegPhaseCorrection har en standardværdi på 0xFFFFFFFF (accepter alle tidsændringer). Denne standardværdi er god nok. Imidlertid ønsker du øget sikkerhed inden for domænet for at opnå bedre beskyttelse mod menneskelige fejl. Afhængigt af, hvad du vil opnå, kan du bibeholde eller ændre standardværdierne.

Enkeltstående klienter

Registreringsdatabaseposterne MaxPosPhaseCorrection og MaxNegPhaseCorrection har en standardværdi på 54.000 (15 timer). Du kan sænke denne værdi som den bedste måde at opnå sikkerhed. Det anbefales, at du sætter værdien til 3.600 (1 time) eller endnu lavere, afhængigt af tidskilde, netværkstilstand og sikkerhedskrav.

Registreringsdatabasenøgler i tjenesten Tid under Windows Server 2003 og Windows XP" i denne artikel

RegistreringsdatabasepostMaxPosPhaseCorrection
StiHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
Bemærk!Denne post angiver den maksimale positive tidskorrektion i sekunder, som tjenesten foretager. Hvis det afgøres af tjenesten, at der kræves en større ændring, registrerer tjenesten en hændelse. Særligt tilfælde: 0xFFFFFFFF betyder, at der altid foretages tidskorrektion. Standardværdien for domænemedlemmer er 0xFFFFFFFF. Standardværdien for enkeltstående klientmaskiner og servere er 54.000 eller 15 timer.
RegistreringsdatabasepostMaxNegPhaseCorrection
StiHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
Bemærk!Denne post angiver den maksimale negative tidskorrektion i sekunder, som tjenesten foretager. Hvis det afgøres af tjenesten, at der kræves en større ændring, registrerer tjenesten en hændelse i stedet for. Særligt tilfælde: -1 betyder, at der altid foretages tidskorrektion. Standardværdien for domænemedlemmer er 0xFFFFFFFF. Standardværdien for enkeltstående klientmaskiner og servere er 54.000 eller 15 timer.
RegistreringsdatabasepostMaxPollInterval
StiHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
Bemærk!Denne post angiver det maksimale interval (i logførte sekunder), der er tilladt som systemets forespørgselsinterval. Bemærk, at mens et system skal udføre forespørgsler i overensstemmelse med det planlagte interval, kan en provider afslå at komme med eksempler, når der bliver anmodet om det. Standardværdien for domænemedlemmer er 10. Standardværdien for enkeltstående klientmaskiner og servere er 15.
RegistreringsdatabasepostSpecialPollInterval
StiHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient
Bemærk!Denne post angiver det særlige forespørgselsinterval i sekunder for manuelle peers. Når 0x1-flaget for SpecialInterval er aktiveret, bruger W32Time dette forespørgselsinterval i stedet for et forespørgselsinterval, der bestemmes af operativsystemet. Standardværdien for domænemedlemmer er 3.600. Standardværdien for enkeltstående klientmaskiner og servere er 604.800.
Du kan finde flere oplysninger om Windows-tidstjenesten i et Windows Server 2003-baseret system på følgende websted:

Windows 2000 SP4 (Service Pack 4), alle versioner

Domæneservere

PDC ved roden af området (autoritativ tidsserver)
Det anbefales, at du konfigurerer den autoritative tidsserver til at indhente klokkeslættet fra en hardwarekilde. Når du konfigurerer den autoritative tidsserver til at blive synkroniseret med en tidskilde fra internettet, er der ingen godkendelse for manuel kode. Du skal omkonfigurere registreringsdatabaseposten MaxAllowedClockErrInSecs. Standardværdien er 43.200. Den anbefalede værdi er 900 (15 minutter) eller endnu lavere, afhængigt af tidskilde, netværkstilstand og sikkerhedskrav. Værdien afhænger også af forespørgselsintervallet. Det anbefales, at forespørgselsintervallet er en time (Period = 24). Yderligere oplysninger om denne registreringsdatabasenøgle funder du i afsnittet "Registreringsdatabasepost for Windows Server SP 4" senere i denne artikel.
Domænecontrollere og medlemsservere i domænet
Synkroniseringstypen er NT5DS. Tjenesten Tid synkroniserer fra domænehierarkiet og accepterer alle tidsændringer. Fordi NT5DS accepterer enhver tidsændring uden hensyn til tidsforskydningen, er det meget vigtigt at indstille en pålidelig tidskilde for roden i området i undernettet for tidssynkronisering.

Enkeltstående klienter

Registreringsdatabaseposten MaxAllowedClockErrInSecs har en standardværdi på 43.200 (12 timer). Du kan sænke denne værdi som den bedste måde at opnå sikkerhed. Det anbefales, at værdien er til 3.600 (1 time) eller endnu lavere, afhængigt af tidskilde, netværkstilstand, forespørgselsinterval og sikkerhedskrav.
Registreringsdatabasenøgle i Windows Server 2000 SP 4
RegistreringsdatabasepostMaxAllowedClockErrInSecs
StiHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
Bemærk!Angiver den maksimalt tilladte tidsændring i sekunder. Logfør en eventuelt opstået hændelse og ikke nogen tidsjustering som hjælp til beskyttelse mod eventuelle mistænkelige tidsstempler. Standardværdien for domænemedlemmer er 43.200.
Egenskaber

Artikel-id: 884776 – Seneste udgave 17. jul. 2008 – Udgave 1

Feedback