Olet tällä hetkellä offline-tilassa. Internet-yhteyden muodostamista uudelleen odotetaan

Windows-aikapalvelun määrittäminen estämään suuret aikasiirtymät

Windows XP:n tuki on päättynyt

Microsoft lopetti Windows XP:n tuen 8.4.2014. Tämä muutos on vaikuttanut ohjelmistopäivityksiin ja suojausasetuksiin. Lue lisätietoja muutoksen vaikutuksesta ja suojauksen varmistamisesta.

Windows Server 2003:n tuki päättyi 14.7.2015

Microsoft lopetti Windows Server 2003:n tuen 14.7.2015. Tämä muutos on vaikuttanut ohjelmistopäivityksiin ja suojausasetuksiin. Lue lisätietoja muutoksen vaikutuksesta ja suojauksen varmistamisesta.

Ilmoitus
Lisätietoja yleisistä Windows 2000:een liittyvistä ongelmista löydät seuraavalta sivulta.

Windows 2000:n tuen päättymisen ratkaisukeskus.
ESITTELY
Windows sisältää Kerberos-todennusprotokollan vaatiman W32Time-aikapalvelutyökalun. Aikapalvelutyökalun tehtävä on varmistaa, että kaikki organisaation tietokoneet, joissa on Microsoft Windows 2000 tai uudempi käyttöjärjestelmäversio, käyttävät samaa aikaa. Aikapalvelu käyttää hierarkkista hallintasuhdetta varmistaakseen, että käytössä on sama yhteinen aika. Aikapalvelu ei salli silmukoita. Oletusarvon mukaan Windows-tietokoneet noudattavat seuraavaa hierarkiaa:
  • Kaikki asiakastietokoneet nimeävät todentavan toimialueen ohjauskoneen ajan määrittäväksi kumppanikseen.
  • Kaikki jäsenpalvelimet noudattavat samaa prosessia kuin asiakastietokoneet.
  • Kaikki toimialueen ohjauskoneet nimeävät toimialueen Operations Master -pääohjauskoneen ajan määrittäväksi kumppanikseen.
  • Kaikki toimialueen Operations Master -pääohjauskoneet noudattavat ajan määrittävien kumppaniensa valintojen toimialueiden hierarkiaa, mutta ne voivat käyttää toimialueen pääohjauskonetta kerroksen numeroinnin perusteella.
Tässä hierarkiassa toimialuepuuryhmän päätason toimialueeseen kuuluvasta Operations Master -pääohjauskoneesta tulee organisaation hallitseva aikapalvelin. Microsoft suosittelee, että määrität hallitsevan aikapalvelimen hakemaan ajan laitteistolähteestä. Kun määrität hallitsevan aikapalvelimen synkronoimaan Internet-aikalähteen kanssa, todennusta ei suoriteta. Microsoft suosittelee myös, että pienennät palvelinten ja erillisten asiakkaiden aikakorjausasetuksia. Näiden suositusten mukaan toimiminen tekee toimialueessasi käytettävästä ajasta tarkemman.
Enemmän tietoa

Microsoft Windows XP Professional ja Microsoft Windows Server 2003, kaikki versiot

Toimialuepalvelimet

Toimialuepuuryhmän päätasolla oleva toimialueen pääohjauskone (hallitseva aikapalvelin)
Microsoft suosittelee, että määrität hallitsevan aikapalvelimen hakemaan ajan laitteistolähteestä. Kun määrität hallitsevan aikapalvelimen synkronoimaan Internet-aikalähteen kanssa, todennusta ei suoriteta. Sinun on määritettävä rekisterimerkinnät
MaxPosPhaseCorrection
ja
MaxNegPhaseCorrection
uudelleen. Niiden oletusarvo on 0xFFFFFFFF (hyväksy mikä tahansa aikamuutos). Suositeltu arvo on enintään 900 (15 minuuttia) aikalähteen, verkon tilan ja tietoturvavaatimuksen mukaan. Tämä riippuu myös kyselyaikavälistä. Microsoft suosittelee, että määrität rekisterimerkinnän
MaxPollInterval
arvoksi enintään 10 tai rekisterimerkinnän
SpecialPollInterval
arvoksi enintään 3 600 (1 tunti). Lisätietoja näistä rekisterimerkinnöistä on Windows Server 2003:n ja Windows XP:n aikapalvelun rekisteriavaimet -osassa.
Toimialueen ohjauskoneet ja jäsenpalvelimet
Rekisterimerkintöjen
MaxPosPhaseCorrection
ja
MaxNegPhaseCorrection
oletusarvo on 0xFFFFFFFF (hyväksy mikä tahansa aikamuutos). Oletusarvoa voidaan käyttää. Toimialueen tietoturvaa kannattaa kuitenkin parantaa, jotta vältytään inhimillisiltä virheiltä. Voit joko muokata oletusarvoja tai jättää ne entiselleen tilanteestasi riippuen.

Erilliset asiakaskoneet

Rekisterimerkintöjen
MaxPosPhaseCorrection
ja
MaxNegPhaseCorrection
oletusarvo on 54 000 (15 tuntia). Tietoturvan kannalta paras käytäntö on pienentää tätä oletusarvoa. Microsoft suosittelee, että määrität arvoksi enintään 3 600 (1 tunti) aikalähteen, verkon tilan, kyselyaikavälin ja tietoturvavaatimuksen mukaan.

Windows Server 2003:n ja Windows XP:n aikapalvelun rekisteriavaimet

Rekisterin merkintä
MaxPosPhaseCorrection
Polku
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
HuomautuksiaTämä merkintä määrittää palvelun tekemän suurimman positiivisen aikakorjauksen sekunteina. Jos palvelu määrittää, että vaaditaan tätä suurempi muutos, se kirjaa tapahtuman. Erikoistapauksessa 0xFFFFFFFF aikakorjaus tehdään aina. Toimialueen jäsenten oletusarvo on 0xFFFFFFFF. Erillisten asiakkaiden ja palvelinten oletusarvo on 54 000 (15 tuntia).
Rekisterin merkintä
MaxNegPhaseCorrection
Polku
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
HuomautuksiaTämä merkintä määrittää palvelun tekemän suurimman negatiivisen aikakorjauksen sekunteina. Jos palvelu määrittää, että vaaditaan tätä suurempi muutos, se kirjaa tapahtuman muutoksen tekemisen sijaan. Erikoistapauksessa -1 aikakorjaus tehdään aina. Toimialueen jäsenten oletusarvo on 0xFFFFFFFF. Erillisten asiakkaiden ja palvelinten oletusarvo on 54 000 (15 tuntia).
Rekisterin merkintä
MaxPollInterval
Polku
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
HuomautuksiaTämä merkintä määrittää suurimman sallitun järjestelmäkyselyiden aikavälin lokisekunteina. Huomaa, että vaikka järjestelmän on suoritettava kyselyt ajoitetun aikavälin mukaisesti, palvelu voi kieltäytyä toimittamasta pyydettyjä näytteitä. Toimialueen jäsenten oletusarvo on 10. Erillisten asiakkaiden ja palvelinten oletusarvo on 15.
Rekisterin merkintä
SpecialPollInterval
Polku
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient
HuomautuksiaTämä merkintä määrittää erityisen manuaalisten vertaiskoneiden kyselyiden aikavälin sekunteina. Kun lippu SpecialInterval 0x1 on käytössä, W32Time käyttää tätä kyselyaikaväliä käyttöjärjestelmän määrittämän kyselyaikavälin sijaan. Toimialueen jäsenten oletusarvo on 3 600. Erillisten asiakkaiden ja palvelinten oletusarvo on 604 800.
Lisätietoja Windows Server 2003 -toimialuepuuryhmän Windows-aikapalvelusta on seuraavassa Web-sivustossa:

Windows 2000 Service Pack 4 (SP4), kaikki versiot

Toimialuepalvelimet

Toimialuepuuryhmän päätasolla oleva toimialueen pääohjauskone (hallitseva aikapalvelin)
Microsoft suosittelee, että määrität hallitsevan aikapalvelimen hakemaan ajan laitteistolähteestä. Kun määrität hallitsevan aikapalvelimen synkronoimaan Internet-aikalähteen kanssa, todennusta ei suoriteta manuaalisessa tilassa. Sinun on määritettävä rekisterimerkintä
MaxAllowedClockErrInSecs
uudelleen. Oletusarvo on 43 200. Suositeltu arvo on enintään 900 (15 minuuttia) aikalähteen, verkon tilan ja tietoturvavaatimuksen mukaan. Tämä riippuu myös kyselyaikavälistä. Microsoft suosittelee, että kyselyaikaväliksi määritetään yksi tunti (Period = 24). Lisätietoja tästä rekisterimerkinnästä on tämän artikkelin Windows Server 2000 SP4:n rekisteriavain -osassa.
Toimialueen ohjauskoneet ja jäsenpalvelimet
Synkronointityyppi on NT5DS. Aikapalvelu synkronoi toimialuehierarkian kanssa ja hyväksyy kaikki aikamuutokset. Koska NT5DS hyväksyy minkä tahansa aikamuutoksen ottamatta aikasiirtymää huomioon, on erittäin tärkeää määrittää luotettava toimialuepuuryhmän päätason aikalähde aikasynkronointialiverkossa.

Erilliset asiakaskoneet

Rekisterimerkinnän
MaxAllowedClockErrInSecs
oletusarvo on 43 200 (12 tuntia). Tietoturvan kannalta paras käytäntö on pienentää tätä oletusarvoa. Microsoft suosittelee, että määrität arvoksi enintään 3 600 (1 tunti) aikalähteen, verkon tilan, kyselyaikavälin ja tietoturvavaatimuksen mukaan.
Windows Server 2000 SP4:n rekisteriavain
Rekisterin merkintä
MaxAllowedClockErrInSecs
Polku
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
HuomautuksiaMäärittää suurimman sallitun kellomuutoksen sekunneissa. Kirjaa tapahtuman sen tapahtuessa eikä säädä aikaa, mikä auttaa suojautumaan epäilyttäviltä aikaleimoilta. Toimialueen jäsenten oletusarvo on 43 200.
Ominaisuudet

Artikkelin tunnus: 884776 – Viimeisin tarkistus: 09/11/2011 07:56:00 – Versio: 10.0

Microsoft Windows XP Professional, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition

  • kbsecurity kbhowto kbinfo KB884776
Palaute