Ρύθμιση της υπηρεσίας ώρας των Windows ως προς μια μεγάλη χρονική μετάθεση

ΕΙΣΑΓΩΓΗ

Τα Windows περιλαμβάνουν την υπηρεσία W32Time, το εργαλείο υπηρεσίας ώρας που χρησιμοποιείται από το πρωτόκολλο ελέγχου ταυτότητας Kerberos. Το πρωτόκολλο Kerberos δεν απαιτεί την εκτέλεση του εργαλείου της υπηρεσίας ώρας. Μπορείτε να απενεργοποιήσετε το εργαλείο της υπηρεσίας ώρας και το πρωτόκολλο Kerberos θα λειτουργεί, αν η χρονική διαφορά μεταξύ των σχετικών υπολογιστών είναι εντός της μέγιστης επιτρεπόμενης χρονικής απόκλισης. Μπορείτε επίσης να απενεργοποιήσετε το εργαλείο της υπηρεσίας ώρας και κατόπιν να εγκαταστήσετε μια υπηρεσία ώρας άλλου κατασκευαστή.

Ο σκοπός του εργαλείου υπηρεσίας ώρας είναι να διασφαλίσει ότι όλοι οι υπολογιστές που εκτελούν τα Microsoft Windows 2000 ή νεότερες εκδόσεις σε μια επιχείρηση χρησιμοποιούν κοινή ώρα. Για να διασφαλιστεί ότι υπάρχει κατάλληλη χρήση της κοινής ώρας, η υπηρεσία ώρας χρησιμοποιεί μια ιεραρχική σχέση που ελέγχει την αρχή. Επίσης, η υπηρεσία ώρας δεν επιτρέπει επαναλήψεις. Από προεπιλογή, οι υπολογιστές που βασίζονται στα Windows χρησιμοποιούν την ακόλουθη ιεραρχία:
  • Όλοι οι επιτραπέζιοι υπολογιστές-πελάτες εξουσιοδοτούν τον ελεγκτή τομέα ελέγχου ταυτότητας ως το συνεργάτη ώρας των εισερχομένων τους.
  • Όλοι οι διακομιστές-μέλη ακολουθούν την ίδια διαδικασία που ακολουθούν και οι επιτραπέζιοι υπολογιστές-πελάτες.
  • Όλοι οι ελεγκτές τομέα σε έναν τομέα εξουσιοδοτούν τον κύριο υπολογιστή λειτουργιών του πρωτεύοντος ελεγκτή τομέα (PDC) ως το συνεργάτη ώρας των εισερχομένων τους.
  • Όλοι οι κύριοι υπολογιστές λειτουργιών PDC ακολουθούν την ιεραρχία τομέων στην επιλογή του συνεργάτη ώρας εισερχομένων τους, αλλά μπορεί να χρησιμοποιούν ένα γονικό ελεγκτή τομέα με βάση την αρίθμηση διαστρωμάτωσης.
Σε αυτήν την ιεραρχία, ο κύριος υπολογιστής λειτουργιών PDC στον ριζικό κατάλογο του συμπλέγματος γίνεται ο επίσημος διακομιστής ώρας για την επιχείρηση. Συνιστάται να ρυθμίσετε τις παραμέτρους του επίσημου διακομιστή ώρας, ώστε να λαμβάνει την ώρα από μια προέλευση υλικού. Όταν ρυθμίζετε τις παραμέτρους του επίσημου διακομιστή ώρας, ώστε να συγχρονίζεται με μια προέλευση ώρας Internet, δεν υπάρχει έλεγχος ταυτότητας. Συνιστάται επίσης να μειώσετε τις ρυθμίσεις διόρθωσης ώρας για τους διακομιστές σας και τους αυτόνομους υπολογιστές-πελάτες. Αυτές οι συστάσεις παρέχουν περισσότερη ακρίβεια στον τομέα σας.

Περισσότερες πληροφορίες

Microsoft Windows XP Professional και Microsoft Windows Server 2003, όλες οι εκδόσεις

Διακομιστές τομέα

PDC ριζικού καταλόγου συμπλέγματος (επίσημος διακομιστής ώρας)
Συνιστάται να ρυθμίσετε τις παραμέτρους του επίσημου διακομιστή ώρας, ώστε να λαμβάνει την ώρα από μια προέλευση υλικού. Όταν ρυθμίζετε τις παραμέτρους του επίσημου διακομιστή ώρας, ώστε να συγχρονίζεται με μια προέλευση ώρας Internet, δεν υπάρχει έλεγχος ταυτότητας. Πρέπει να ρυθμίσετε πάλι τις παραμέτρους των καταχωρήσεων μητρώου
MaxPosPhaseCorrection και MaxNegPhaseCorrection. Η προεπιλεγμένη τιμή τους είναι 0xFFFFFFFF (αποδοχή οποιασδήποτε αλλαγής ώρας). Η συνιστώμενη τιμή είναι 900 (15 λεπτά) ή ακόμα χαμηλότερη, ανάλογα με την προέλευση της ώρας, την κατάσταση του δικτύου και την απαίτηση ασφαλείας. Αυτό εξαρτάται επίσης από το διάστημα σταθμοσκόπησης. Συνιστάται να ρυθμίσετε την τιμή της καταχώρησης μητρώου MaxPollInterval σε 10 ή λιγότερο, ή να ρυθμίσετε την τιμή της καταχώρησης μητρώου
SpecialPollInterval σε 3600 (1 ώρα) ή λιγότερο. Για περισσότερες πληροφορίες σχετικά με αυτές τις καταχωρήσεις μητρώου, ανατρέξτε στην ενότητα "Κλειδιά μητρώου υπηρεσίας ώρας του Windows Server 2003 και των Windows XP".
Ελεγκτές τομέα και διακομιστές-μέλη μέσα στον τομέα
Οι καταχωρήσεις μητρώου MaxPosPhaseCorrection και
MaxNegPhaseCorrection έχουν την προεπιλεγμένη τιμή 0xFFFFFFFF (αποδοχή οποιασδήποτε αλλαγής ώρας). Αυτή η προεπιλεγμένη τιμή είναι κατάλληλη. Ωστόσο, χρειάζεστε πρόσθετη ασφάλεια μέσα στον τομέα σας, για να συμβάλλετε στην προστασία από το ανθρώπινο σφάλμα. Ανάλογα με τις επιδιώξεις σας, μπορείτε να αφήσετε τις προεπιλεγμένες τιμές ως έχουν ή να τις τροποποιήσετε.

Αυτόνομοι υπολογιστές-πελάτες

Οι καταχωρήσεις μητρώου MaxPosPhaseCorrection και
MaxNegPhaseCorrection έχουν προεπιλεγμένη τιμή 54.000 (15 ώρες). Ως βέλτιστη πρακτική ασφαλείας, μειώστε αυτήν την προεπιλεγμένη τιμή. Συνιστάται να ρυθμίσετε την τιμή σε 3600 (1 ώρα) ή ακόμα χαμηλότερη, ανάλογα με την προέλευση της ώρας, την κατάσταση του δικτύου, το διάστημα σταθμοσκόπησης και την απαίτηση ασφαλείας.

Κλειδιά μητρώου υπηρεσίας ώρας του Windows Server 2003 και των Windows XP

Καταχώρηση μητρώουMaxPosPhaseCorrection
ΔιαδρομήHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
ΣημειώσειςΑυτή η καταχώρηση καθορίζει τη μεγαλύτερη θετική διόρθωση ώρας σε δευτερόλεπτα, την οποία εκτελεί η υπηρεσία. Εάν η υπηρεσία καθορίσει ότι απαιτείται μεγαλύτερη τροποποίηση από αυτήν, καταγράφει ένα συμβάν. Ειδική περίπτωση: Η τιμή 0xFFFFFFFF σημαίνει να γίνεται πάντα διόρθωση ώρας. Η προεπιλεγμένη τιμή για τα μέλη του τομέα είναι 0xFFFFFFFF. Η προεπιλεγμένη τιμή για τους αυτόνομους υπολογιστές-πελάτες και τους διακομιστές είναι 54.000 (15 ώρες).
Καταχώρηση μητρώουMaxNegPhaseCorrection
ΔιαδρομήHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
ΣημειώσειςΑυτή η καταχώρηση καθορίζει τη μεγαλύτερη αρνητική διόρθωση ώρας σε δευτερόλεπτα, την οποία εκτελεί η υπηρεσία. Εάν η υπηρεσία καθορίσει ότι απαιτείται μεγαλύτερη τροποποίηση από αυτήν, καταγράφει ένα συμβάν. Ειδική περίπτωση: Η τιμή -1 σημαίνει να γίνεται πάντα διόρθωση ώρας. Η προεπιλεγμένη τιμή για τα μέλη του τομέα είναι 0xFFFFFFFF. Η προεπιλεγμένη τιμή για τους αυτόνομους υπολογιστές-πελάτες και τους διακομιστές είναι 54.000 (15 ώρες).
Καταχώρηση μητρώουMaxPollInterval
ΔιαδρομήHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
ΣημειώσειςΑυτή η καταχώρηση καθορίζει το μεγαλύτερο χρονικό διάστημα, σε δευτερόλεπτα καταγραφής, που επιτρέπεται για το διάστημα σταθμοσκόπησης συστήματος. Σημειώστε ότι, ενώ ένα σύστημα πρέπει να εκτελέσει σταθμοσκόπηση σύμφωνα με το προγραμματισμένο διάστημα, μια υπηρεσία παροχής μπορεί να αρνηθεί να παραγάγει δείγματα όταν ζητηθούν. Η προεπιλεγμένη τιμή για τα μέλη του τομέα είναι 10. Η προεπιλεγμένη τιμή για αυτόνομους υπολογιστές-πελάτες και διακομιστές είναι 15.
Καταχώρηση μητρώουSpecialPollInterval
ΔιαδρομήHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient
ΣημειώσειςΑυτή η καταχώρηση καθορίζει το ειδικό διάστημα σταθμοσκόπησης σε δευτερόλεπτα για μη αυτόματους ομοτίμους. Όταν η σημαία SpecialInterval 0x1 είναι ενεργοποιημένη, το W32Time χρησιμοποιεί αυτό το διάστημα σταθμοσκόπησης αντί για ένα διάστημα σταθμοσκόπησης που ορίζεται από το λειτουργικό σύστημα. Η προεπιλεγμένη τιμή στα μέλη του τομέα είναι 3.600. Η προεπιλεγμένη τιμή σε αυτόνομους υπολογιστές-πελάτες και διακομιστές είναι 604.800.
Για πρόσθετες πληροφορίες σχετικά με την υπηρεσία ώρας των Windows σε ένα σύμπλεγμα που βασίζεται στον Windows Server 2003, επισκεφθείτε την ακόλουθη τοποθεσία στο Web (στα αγγλικά):

Windows 2000 Service Pack 4 (SP4), όλες οι εκδόσεις

Διακομιστές τομέα

PDC ριζικού καταλόγου συμπλέγματος (επίσημος διακομιστής ώρας)
Συνιστάται να ρυθμίσετε τις παραμέτρους του επίσημου διακομιστή ώρας, ώστε να λαμβάνει την ώρα από μια προέλευση υλικού. Κατά τη ρύθμιση του συγχρονισμού του επίσημου διακομιστή ώρας με την προέλευση ώρας Internet, δεν υπάρχει έλεγχος ταυτότητας για τη μη αυτόματη λειτουργία. Πρέπει να ρυθμίσετε ξανά τις παραμέτρους της καταχώρησης μητρώου
MaxAllowedClockErrInSecs. Η προεπιλεγμένη τιμή είναι 43.200. Η συνιστώμενη τιμή είναι 900 (15 λεπτά) ή ακόμα χαμηλότερη, ανάλογα με την προέλευση της ώρας, την κατάσταση του δικτύου και την απαίτηση ασφαλείας. Αυτό εξαρτάται επίσης από το διάστημα σταθμοσκόπησης. Συνιστάται το διάστημα σταθμοσκόπησης να είναι μία ώρα (Περίοδος = 24). Περισσότερες πληροφορίες σχετικά με αυτήν την καταχώρηση μητρώου υπάρχουν στην ενότητα "Κλειδί μητρώου του Windows Server 2000 SP 4" στη συνέχεια αυτού του άρθρου.
Ελεγκτές τομέα και διακομιστές-μέλη μέσα στον τομέα
Ο τύπος συγχρονισμού είναι NT5DS. Η υπηρεσία ώρας συγχρονίζεται από την ιεραρχία τομέα και αποδέχεται όλες τις αλλαγές ώρας. Επειδή το NT5DS θα αποδεχθεί οποιαδήποτε αλλαγή ώρας χωρίς να υπολογίσει τη χρονική μετάθεση, είναι πολύ σημαντικό να ορίσετε μια αξιόπιστη προέλευση ώρας ριζικού καταλόγου συμπλέγματος στο δευτερεύον δίκτυο συγχρονισμού ώρας.

Αυτόνομοι υπολογιστές-πελάτες

Η καταχώρηση μητρώου MaxAllowedClockErrInSecs έχει προεπιλεγμένη τιμή 43.200 (12 ώρες). Ως βέλτιστη πρακτική ασφαλείας, μειώστε αυτήν την προεπιλεγμένη τιμή. Συνιστάται να ρυθμίσετε την τιμή σε 3600 (1 ώρα) ή ακόμα χαμηλότερη, ανάλογα με την προέλευση της ώρας, την κατάσταση του δικτύου, το διάστημα σταθμοσκόπησης και την απαίτηση ασφαλείας.
Κλειδί μητρώου του Windows Server 2000 SP 4
Καταχώρηση μητρώουMaxAllowedClockErrInSecs
ΔιαδρομήHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
ΣημειώσειςΚαθορίζει τη μέγιστη επιτρεπόμενη αλλαγή ρολογιού σε δευτερόλεπτα. Καταγραφή συμβάντος εάν παρουσιαστεί και χωρίς ρύθμιση ώρας για προστασία από ύποπτες σημάνσεις χρόνου. Η προεπιλεγμένη τιμή για τα μέλη του τομέα είναι 43.200.
Ιδιότητες

Αναγνωριστικό άρθρου: 884776 - Τελευταία αναθεώρηση: 9 Ιαν 2008 - Αναθεώρηση: 1

Σχόλια