Windows-aikapalvelun määrittäminen estämään suuret aikasiirtymät

Lisätietoja yleisistä Windows 2000:een liittyvistä ongelmista löydät seuraavalta sivulta.

Windows 2000:n tuen päättymisen ratkaisukeskus.

ESITTELY

Windows sisältää Kerberos-todennusprotokollan vaatiman W32Time-aikapalvelutyökalun. Aikapalvelutyökalun tehtävä on varmistaa, että kaikki organisaation tietokoneet, joissa on Microsoft Windows 2000 tai uudempi käyttöjärjestelmäversio, käyttävät samaa aikaa. Aikapalvelu käyttää hierarkkista hallintasuhdetta varmistaakseen, että käytössä on sama yhteinen aika. Aikapalvelu ei salli silmukoita. Oletusarvon mukaan Windows-tietokoneet noudattavat seuraavaa hierarkiaa:
  • Kaikki asiakastietokoneet nimeävät todentavan toimialueen ohjauskoneen ajan määrittäväksi kumppanikseen.
  • Kaikki jäsenpalvelimet noudattavat samaa prosessia kuin asiakastietokoneet.
  • Kaikki toimialueen ohjauskoneet nimeävät toimialueen Operations Master -pääohjauskoneen ajan määrittäväksi kumppanikseen.
  • Kaikki toimialueen Operations Master -pääohjauskoneet noudattavat ajan määrittävien kumppaniensa valintojen toimialueiden hierarkiaa, mutta ne voivat käyttää toimialueen pääohjauskonetta kerroksen numeroinnin perusteella.
Tässä hierarkiassa toimialuepuuryhmän päätason toimialueeseen kuuluvasta Operations Master -pääohjauskoneesta tulee organisaation hallitseva aikapalvelin. Microsoft suosittelee, että määrität hallitsevan aikapalvelimen hakemaan ajan laitteistolähteestä. Kun määrität hallitsevan aikapalvelimen synkronoimaan Internet-aikalähteen kanssa, todennusta ei suoriteta. Microsoft suosittelee myös, että pienennät palvelinten ja erillisten asiakkaiden aikakorjausasetuksia. Näiden suositusten mukaan toimiminen tekee toimialueessasi käytettävästä ajasta tarkemman.

Enemmän tietoa

Microsoft Windows XP Professional ja Microsoft Windows Server 2003, kaikki versiot

Toimialuepalvelimet

Toimialuepuuryhmän päätasolla oleva toimialueen pääohjauskone (hallitseva aikapalvelin)
Microsoft suosittelee, että määrität hallitsevan aikapalvelimen hakemaan ajan laitteistolähteestä. Kun määrität hallitsevan aikapalvelimen synkronoimaan Internet-aikalähteen kanssa, todennusta ei suoriteta. Sinun on määritettävä rekisterimerkinnät MaxPosPhaseCorrection ja MaxNegPhaseCorrection uudelleen. Niiden oletusarvo on 0xFFFFFFFF (hyväksy mikä tahansa aikamuutos). Suositeltu arvo on enintään 900 (15 minuuttia) aikalähteen, verkon tilan ja tietoturvavaatimuksen mukaan. Tämä riippuu myös kyselyaikavälistä. Microsoft suosittelee, että määrität rekisterimerkinnän MaxPollInterval arvoksi enintään 10 tai rekisterimerkinnänSpecialPollInterval arvoksi enintään 3 600 (1 tunti). Lisätietoja näistä rekisterimerkinnöistä on Windows Server 2003:n ja Windows XP:n aikapalvelun rekisteriavaimet -osassa.
Toimialueen ohjauskoneet ja jäsenpalvelimet
Rekisterimerkintöjen MaxPosPhaseCorrection ja MaxNegPhaseCorrection oletusarvo on 0xFFFFFFFF (hyväksy mikä tahansa aikamuutos). Oletusarvoa voidaan käyttää. Toimialueen tietoturvaa kannattaa kuitenkin parantaa, jotta vältytään inhimillisiltä virheiltä. Voit joko muokata oletusarvoja tai jättää ne entiselleen tilanteestasi riippuen.

Erilliset asiakaskoneet

Rekisterimerkintöjen MaxPosPhaseCorrection ja MaxNegPhaseCorrection oletusarvo on 54 000 (15 tuntia). Tietoturvan kannalta paras käytäntö on pienentää tätä oletusarvoa. Microsoft suosittelee, että määrität arvoksi enintään 3 600 (1 tunti) aikalähteen, verkon tilan, kyselyaikavälin ja tietoturvavaatimuksen mukaan.

Windows Server 2003:n ja Windows XP:n aikapalvelun rekisteriavaimet

Rekisterin merkintäMaxPosPhaseCorrection
PolkuHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
HuomautuksiaTämä merkintä määrittää palvelun tekemän suurimman positiivisen aikakorjauksen sekunteina. Jos palvelu määrittää, että vaaditaan tätä suurempi muutos, se kirjaa tapahtuman. Erikoistapauksessa 0xFFFFFFFF aikakorjaus tehdään aina. Toimialueen jäsenten oletusarvo on 0xFFFFFFFF. Erillisten asiakkaiden ja palvelinten oletusarvo on 54 000 (15 tuntia).
Rekisterin merkintäMaxNegPhaseCorrection
PolkuHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
HuomautuksiaTämä merkintä määrittää palvelun tekemän suurimman negatiivisen aikakorjauksen sekunteina. Jos palvelu määrittää, että vaaditaan tätä suurempi muutos, se kirjaa tapahtuman muutoksen tekemisen sijaan. Erikoistapauksessa -1 aikakorjaus tehdään aina. Toimialueen jäsenten oletusarvo on 0xFFFFFFFF. Erillisten asiakkaiden ja palvelinten oletusarvo on 54 000 (15 tuntia).
Rekisterin merkintäMaxPollInterval
PolkuHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
HuomautuksiaTämä merkintä määrittää suurimman sallitun järjestelmäkyselyiden aikavälin lokisekunteina. Huomaa, että vaikka järjestelmän on suoritettava kyselyt ajoitetun aikavälin mukaisesti, palvelu voi kieltäytyä toimittamasta pyydettyjä näytteitä. Toimialueen jäsenten oletusarvo on 10. Erillisten asiakkaiden ja palvelinten oletusarvo on 15.
Rekisterin merkintäSpecialPollInterval
PolkuHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient
HuomautuksiaTämä merkintä määrittää erityisen manuaalisten vertaiskoneiden kyselyiden aikavälin sekunteina. Kun lippu SpecialInterval 0x1 on käytössä, W32Time käyttää tätä kyselyaikaväliä käyttöjärjestelmän määrittämän kyselyaikavälin sijaan. Toimialueen jäsenten oletusarvo on 3 600. Erillisten asiakkaiden ja palvelinten oletusarvo on 604 800.
Lisätietoja Windows Server 2003 -toimialuepuuryhmän Windows-aikapalvelusta on seuraavassa Web-sivustossa:

Windows 2000 Service Pack 4 (SP4), kaikki versiot

Toimialuepalvelimet

Toimialuepuuryhmän päätasolla oleva toimialueen pääohjauskone (hallitseva aikapalvelin)
Microsoft suosittelee, että määrität hallitsevan aikapalvelimen hakemaan ajan laitteistolähteestä. Kun määrität hallitsevan aikapalvelimen synkronoimaan Internet-aikalähteen kanssa, todennusta ei suoriteta manuaalisessa tilassa. Sinun on määritettävä rekisterimerkintä MaxAllowedClockErrInSecs uudelleen. Oletusarvo on 43 200. Suositeltu arvo on enintään 900 (15 minuuttia) aikalähteen, verkon tilan ja tietoturvavaatimuksen mukaan. Tämä riippuu myös kyselyaikavälistä. Microsoft suosittelee, että kyselyaikaväliksi määritetään yksi tunti (Period = 24). Lisätietoja tästä rekisterimerkinnästä on tämän artikkelin Windows Server 2000 SP4:n rekisteriavain -osassa.
Toimialueen ohjauskoneet ja jäsenpalvelimet
Synkronointityyppi on NT5DS. Aikapalvelu synkronoi toimialuehierarkian kanssa ja hyväksyy kaikki aikamuutokset. Koska NT5DS hyväksyy minkä tahansa aikamuutoksen ottamatta aikasiirtymää huomioon, on erittäin tärkeää määrittää luotettava toimialuepuuryhmän päätason aikalähde aikasynkronointialiverkossa.

Erilliset asiakaskoneet

Rekisterimerkinnän MaxAllowedClockErrInSecs oletusarvo on 43 200 (12 tuntia). Tietoturvan kannalta paras käytäntö on pienentää tätä oletusarvoa. Microsoft suosittelee, että määrität arvoksi enintään 3 600 (1 tunti) aikalähteen, verkon tilan, kyselyaikavälin ja tietoturvavaatimuksen mukaan.
Windows Server 2000 SP4:n rekisteriavain
Rekisterin merkintäMaxAllowedClockErrInSecs
PolkuHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
HuomautuksiaMäärittää suurimman sallitun kellomuutoksen sekunneissa. Kirjaa tapahtuman sen tapahtuessa eikä säädä aikaa, mikä auttaa suojautumaan epäilyttäviltä aikaleimoilta. Toimialueen jäsenten oletusarvo on 43 200.
Ominaisuudet

Artikkelin tunnus: 884776 – Viimeisin tarkistus: 11.9.2011 – Versio: 1

Palaute