A Windows időszolgáltatás beállítása az időeltolódás korlátozására

A Windows XP támogatása megszűnt

A Microsoft 2014. április 8-án megszüntette a Windows XP terméktámogatását. Ez a változás kihatással van a szoftverfrissítésekre és a biztonsági beállításokra. Megtudhatja, hogy ez milyen következményekkel jár és hogyan tarthatja fenn rendszere védelmét.

2015. július 14-én véget ért a Windows Server 2003 támogatása

2015. július 14-én a Microsoft megszüntette a Windows Server 2003 támogatását. Ez a változás kihatással van a szoftverfrissítésekre és a biztonsági beállításokra. Megtudhatja, hogy ez milyen következményekkel jár és hogyan tarthatja fenn rendszere védelmét.

BEVEZETŐ
A Windows operációs rendszer tartalmazza a W32Time nevű szolgáltatást, vagyis a Kerberos hitelesítési protokoll használatához szükséges időszolgáltatást. Az időszolgáltatási eszköz célja annak biztosítása, hogy a szervezetnél használt Microsoft Windows 2000 vagy későbbi operációs rendszert futtató számítógépek ugyanazt az időt használják. A közös idő használatának biztosítása végett az időszolgáltatás egy hierarchikus kapcsolatrendszer segítségével meghatározza, hogy mely számítógépek mérvadók. Ezenfelül az időszolgáltatás megakadályozza a hurkok kialakulását. Alapértelmezés szerint a Windows alapú számítógépek a következő hierarchiát használják:
  • Minden asztali ügyfélszámítógép a hitelesítést végző tartományvezérlőt tekinti bejövő időpartnerének.
  • A tagkiszolgálók az asztali ügyfélszámítógépek módszerét követik.
  • A tartományok összes tartományvezérlője a műveleti főkiszolgálói szerepkört ellátó elsődleges tartományvezérlőt tekinti bejövő időpartnerének.
  • Minden műveleti főkiszolgálói szerepkört ellátó elsődleges tartományvezérlő a tartományok hierarchiáját követi bejövő időpartnere megválasztásakor, de a hierarchiabeli rétegzés szerint használhat szülő szerepkörű tartományvezérlőt is.
Ebben a hierarchiában tehát az erdő gyökértartományában található, műveleti főkiszolgálói szerepkörű elsődleges tartományvezérlő a szervezet mérvadó kiszolgálója. A mérvadó időkiszolgálót erősen ajánlott úgy beállítani, hogy hardveres forrásról olvassa be az időt. Ha ugyanis a mérvadó kiszolgálót internetes időforrással való szinkronizálásra állítja be, a hitelesítés elmarad. Ajánlott továbbá csökkenteni az időigazítási beállításokat a kiszolgálókon és az önálló ügyfeleken. Ezen előírásokat szem előtt tartva megnövelhető a tartomány pontossága.
További információ

Microsoft Windows XP Professional és Microsoft Windows Server 2003, minden kiadás

Tartományi kiszolgálók

Az erdő gyökérszintjén lévő elsődleges tartományvezérlő (mérvadó időkiszolgáló):
A mérvadó időkiszolgálót erősen ajánlott úgy beállítani, hogy hardveres forrásról olvassa be az időt. Ha ugyanis a mérvadó kiszolgálót internetes időforrással való szinkronizálásra állítja be, a hitelesítés elmarad. Ebben az esetben át kell állítani a
MaxPosPhaseCorrection
és
MaxNegPhaseCorrection
rendszerleíróadatbázis-bejegyzéseket. Alapértelmezett értékük 0xFFFFFFFF (ekkor bármekkora változás elfogadható). A javasolt érték 900 (vagyis 15 perc) vagy még kevesebb (az időforrástól, a hálózati feltételektől és a biztonsági igényektől függően). Ez függ a lekérdezési időköztől is. Azt javasoljuk, hogy állítsa a
MaxPollInterval
bejegyzést 10 vagy kisebb értékre, vagy pedig a
SpecialPollInterval
bejegyzést 3600 (1 óra) vagy kisebb értékre. Ezekről a rendszerleíróadatbázis-bejegyzésekről további részleteket „A Windows Server 2003 és a Windows XP időszolgáltatásának rendszerleíró kulcsai” című szakasz tartalmaz.
Tartományvezérlők és tagkiszolgálók a tartományon belül:
A
MaxPosPhaseCorrection
és
MaxNegPhaseCorrection
rendszerleíróadatbázis-bejegyzés alapértelmezett értéke 0xFFFFFFFF (ekkor bármekkora változás elfogadható). Ez az alapértelmezett érték megfelelő. Érdemes azonban további biztonsági intézkedéseket tenni a tartományban az emberi hibák okozta veszélyek kivédése érdekében. Az elérni kívánt céltól függően meghagyhatja vagy módosíthatja az alapértelmezett értékeket.

Önálló ügyfelek

A
MaxPosPhaseCorrection
és
MaxNegPhaseCorrection
rendszerleíróadatbázis-bejegyzések alapértelmezett értéke 54 000 (15 óra). Gyakorlati tanácsként azt ajánljuk, hogy csökkentse ezt az alapértelmezett értéket. Ajánlott a 3600 (1 óra) vagy még kisebb értéket beállítani az időforrástól, hálózati kapcsolattól, lekérdezési időköztől és a biztonsági igényektől függően.

A Windows Server 2003 és a Windows XP időszolgáltatásának rendszerleíró kulcsai

Bejegyzés
MaxPosPhaseCorrection
Elérési út
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
MegjegyzésekEz a bejegyzés a szolgáltatás által elvégezhető legnagyobb pozitív időigazítást adja meg másodpercben. Ha a szolgáltatás azt állapítja meg, hogy a megadottnál nagyobb mértékű változtatás szükséges, eseménynapló-bejegyzést hoz létre. Speciális érték: a 0xFFFFFFFF érték beállítása esetén bármekkora időigazítás lehetséges. Tartomány tagjaként működő számítógépek esetén az alapértelmezett érték 0xFFFFFFFF. Önálló ügyfelek és kiszolgálók esetén az alapértelmezett érték 54 000 (vagyis 15 óra).
Bejegyzés
MaxNegPhaseCorrection
Elérési út
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
MegjegyzésekEz a bejegyzés a szolgáltatás által elvégezhető legnagyobb negatív időigazítást adja meg másodpercben. Ha a szolgáltatás azt állapítja meg, hogy a megadottnál nagyobb mértékű változtatás szükséges, eseménynapló-bejegyzést hoz létre helyette. Speciális érték: a -1 érték esetén bármekkora időigazítás lehetséges. Tartományvezérlők esetén az alapértelmezett érték 0xFFFFFFFF. Önálló ügyfelek és kiszolgálók esetén az alapértelmezett érték 54 000 (vagyis 15 óra).
Bejegyzés
MaxPollInterval
Elérési út
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
MegjegyzésekEz a bejegyzés a rendszer lekérdezési időközének legnagyobb lehetséges értékét adja meg másodpercben. Érdemes tudni, hogy miközben a rendszernek az ütemezett időközönként kell lekérdezést végeznie, a szolgáltató visszautasíthatja a kért minták létrehozását. Tartományhoz csatlakoztatott számítógépek esetén az alapértelmezett érték 10, önálló ügyfelek és kiszolgálók esetén pedig 15.
Bejegyzés
SpecialPollInterval
Elérési út
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient
MegjegyzésekEz a bejegyzés a manuálisan beállított partnerek speciális lekérdezési időközét adja meg. Ha a SpecialInterval 0x1 jelző engedélyezett, a W32Time ezt a lekérdezési időközt használja az operációs rendszer által meghatározott helyett. Tartományhoz csatlakoztatott számítógépek esetén az alapértelmezett érték 3600, önálló ügyfelek és kiszolgálók esetén pedig 604 800.
A Windows Server 2003 alapú erdőkben futó Windows időszolgáltatásra vonatkozó további információkat a Microsoft következő webhelyén találja:

Windows 2000 Service Pack 4 (SP4), minden kiadás

Tartományi kiszolgálók

Az erdő gyökérszintjén lévő elsődleges tartományvezérlő (mérvadó időkiszolgáló)
A mérvadó kiszolgálót erősen ajánlott úgy beállítani, hogy hardveres forrásról olvassa be az időt. Ha ugyanis a mérvadó kiszolgálót internetes időforrással való szinkronizálásra állítja be, a hitelesítés manuális mód esetén elmarad. Ebben az esetben át kell állítani a
MaxAllowedClockErrInSecs
rendszerleíróadatbázis-bejegyzést. Az alapértelmezett érték 43 200. A javasolt érték 900 (vagyis 15 perc) vagy még kevesebb (az időforrástól, a hálózati feltételektől és a biztonsági igényektől függően). Ez függ a lekérdezési időköztől is. Ajánlott egy órára állítani a lekérdezési időközt (Period = 24). Erről a rendszerleíróadatbázis-bejegyzésről további információt alább, „A Windows Server 2000 SP 4 rendszerleíró kulcsa” című szakaszban talál.
Tartományvezérlők és tagkiszolgálók a tartományon belül:
A szinkronizálási típus az NT5DS. Az időszolgáltatás a tartományi hierarchiából szinkronizál, és elfogad minden időváltozást. Mivel az NT5DS típus minden időváltoztatást lehetővé tesz az eltolódás vizsgálata nélkül, elengedhetetlen egy megbízható időforrás beállítása az erdő gyökérszintjén (az időszinkronizálási alhálózaton).

Önálló ügyfelek

A
MaxAllowedClockErrInSecs
rendszerleíróadatbázis-bejegyzés alapértelmezett értéke 43 200 (12 óra). Gyakorlati tanácsként azt ajánljuk, hogy csökkentse ezt az alapértelmezett értéket. Ajánlott a 3600 (1 óra) vagy még kisebb értéket beállítani az időforrástól, hálózati kapcsolattól, lekérdezési időköztől és a biztonsági igényektől függően.
A Windows Server 2000 SP 4 időszolgáltatásának rendszerleíró kulcsai
Bejegyzés
MaxAllowedClockErrInSecs
Elérési út
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
MegjegyzésekEz a bejegyzés határozza meg a legnagyobb lehetséges időváltoztatást. A gyanús időbélyegzők elleni védelem érdekében a megadott értéknél nagyobb változás esetén a szolgáltatás egy naplóbejegyzést hoz létre, és nem végez időigazítást. Tartomány tagjaként működő számítógépek esetén az alapértelmezett érték 43 200.
Tulajdonságok

Cikkazonosító: 884776 - Utolsó ellenőrzés: 06/20/2006 08:12:00 - Verziószám: 8.3

Microsoft Windows XP Professional, Microsoft Windows Server 2003, 64-Bit Datacenter Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition, Microsoft Windows 2000 Advanced Server SP4, Microsoft Windows 2000 Datacenter Server, Microsoft Windows 2000 Professional SP4, Microsoft Windows 2000 Server SP4

  • kbhowto kbinfo kbsecurity KB884776
Visszajelzés