Šiuo metu esate neprisijungę, laukiama, kol iš naujo prisijungsite prie interneto

Kaip sukonfigūruoti Windows laiko tarnybą prieš daug laiko poslinkis

Nutrauktas „Windows XP“ palaikymas

Nuo 2014 m. balandžio 8 d. „Microsoft“ nutraukė „Windows XP“ palaikymą. Tai paveikė programinės įrangos naujinimus ir saugą. Sužinokite, ką tai reiškia jums ir kaip užtikrinti kompiuterio saugą.

2015 m. liepos 14 d. buvo nutrauktas „Windows Server 2003“ palaikymas

2015 m. liepos 14 d. „Microsoft“ nutraukė „Windows Server 2003“ palaikymą. Tai paveikė programinės įrangos naujinimus ir saugą. Sužinokite, ką tai reiškia jums ir kaip užtikrinti kompiuterio saugą.

SVARBU: šis straipsnis išverstas naudojant „Microsoft“ mašininio vertimo programinę įrangą ir gali būti pataisytas naudojant „Community Translation Framework“ (CTF) technologiją. „Microsoft“ siūlo mašinos išverstus, bendruomenės suredaguotus ir žmogaus išverstus straipsnius siekdama daugeliu kalbų suteikti prieigą prie visų savo žinių bazės straipsnių. Mašinos išverstuose ir vėliau paredaguotuose straipsniuose gali būti žodyno, sintaksės ir / arba gramatikos klaidų. „Microsoft“ neatsako už jokius netikslumus, klaidas arba žalą, klientų patirtą dėl neteisingo turinio vertimo arba naudojimosi juo. Daugiau apie CTF žr. http://support.microsoft.com/gp/machine-translation-corrections.

Spustelėkite čia, norėdami pamatyti šio straipsnio versiją anglų kalba: 884776
ĮVADAS
Windows operacinės sistemos apima laiko tarnybos įrankis ("W32Time" tarnybą), naudojama Kerberos autentifikavimo protokolui. Kerberos autentifikavimo veiks, jei laiko tarpas tarp atitinkamų kompiuteriai yra didžiausias leido laiką nerija. Pagal nutylėjimą yra 5 minučių. Jūs taip pat gali išjungti laiko tarnybos įrankis. Tada, jūs galite įdiegti trečiosios šalies laiko tarnybą.

Laiko tarnybos įrankis tikslas yra įsitikinti, kad visi organizacijos kompiuterių, kuriuose veikia Microsoft Windows 2000 ar vėlesnės versijos Windows operacinių sistemų naudoti bendro laiko. Įsitikinkite, kad nėra tinkamą bendro laiko naudojimą, laiko tarnyboje naudojamas hierarchinis ryšys, valdantis įgaliojimą. Pagal numatytuosius nustatymus kompiuteriuose su Windows naudoja šią hierarchiją:
  • Visi kliento Staliniai kompiuteriai paskirti nustato autentifikavimo domeno valdiklį kaip jų patikimas laiko šaltinis.
  • Domene, visuose serveriuose atlikite tą patį procesą, kad kliento Staliniai kompiuteriai.
  • Visi domeno valdikliai paskiria pagrindinį domeno valdiklį (PDC) operacijų ruošinį kaip savo laiko šaltiniu.
  • Visi PDC operacijų sekti domenų pasirenkant jų laiko šaltinio hierarchija. Tačiau, PDC operacijų gali naudoti pagrindinio domeno valdiklį pagal sluoksnio numeravimą.

    Pastaba Kai sluoksnio apibrėžia, kaip arti laiko serverį yra pagrindinis informacijos šaltinis. Kuo šis skaičius mažesnis, kuo arčiau serveris yra pagrindinis laiko šaltiniu.
Pagal šią hierarchiją PDC operacijų miško šaknis tampa pagrindinį laiko serverį organizacijos. Mes labai rekomenduojame, kad jūs konfigūruoti tinkamesnį laiko serverį rinkti laiko nuo aparatūros šaltinis. Kai bandote sukonfigūruoti patikimą laiko serverį, skirtą sinchronizuoti su interneto laiko šaltiniu, yra autentiškumo nustatyti nereikia. Taip pat rekomenduojame, kad jūs sumažinti savo laiko koregavimo parametrai serveriai ir atskiras klientų. Kai po šių rekomendacijų, domeno skiriama daugiau tikslios laiko.
Daugiau informacijos
Laiko rollbacks apžvalga parodė, kad kompiuteriai gali priimti laiko, kad gali būti dienų, mėnesių, metų ar net dešimčių metų ateityje ar praeityje. Dėl šių problemų gali atsirasti, kai kompiuteriai riedėti į priekį arba ratuką atgal laiku:
  • Slaptažodžiai kompiuterio abonementai, vartotojų abonementai ir pasitikėjimo santykius galima per anksti atnaujinti.
  • Karantinas galima nustatyti NTDS dubliavimas įvykio 2042 dubliuojant Active Directory katalogo paslaugos.
  • Slaptažodžiai nesutampa autoritetingų atkuriama kompiuterio sąskaitų, vartotojų abonementai, arba pasitikėjimo santykius. Išieškant iš tokių neatitikimų gali prireikti rankinis slaptažodį iš naujo nustato visus sąskaitų ir tikisi, kad turi įtakos.

Kaip apsisaugoti nuo laiko, kad ritininis į priekį ir laiko rollbacks

Kai kompiuterių ir galios ciklai yra iš naujo, BIOS palaiko laikas vietos EPROM, esantį prie kompiuterio pagrindinės plokštės. Kai paleidžiama sistema Windows, branduolio išsitraukia dabartinį laiką iš BIOS. Šiuo metu yra naudojamas kaip pradinė laiko kol "W32Time" tarnybą galima sinchronizuoti su kitos laiko šaltiniu.

Windows 32 metu paslauga palaiko du registro įrašus, kad MaxPosPhaseCorrection ir MaxNegPhaseCorrection. Šie įrašai apriboti mėginius, kad laiko tarnyba priima vietiniame kompiuteryje kai tie pavyzdžiai siunčiami iš nuotolinio kompiuterio.

Kai kompiuteryje, kuriame veikia nuostoviosios būsenos gauna aibės laikas nuo laiko šaltinį, mėginio tikrinamas fazių pataisos ribos, kurios registro įrašus MaxPosPhaseCorrection ir MaxNegPhaseCorrection nustatyti. Jei laiko mėginio patenka apie apribojimus, kurie du registro įrašus vykdyti, Šis pavyzdys yra priimtina papildomo apdorojimo. Jei laiko mėginio nepatenka tarp šių ribų, laiko mėginys yra ignoruojami, o laiku paslauga įeina šį pranešimą "W32Time" privačių žurnalo faile:
*TOO BIG*
Jei administratoriai sumažinti vertės, teigiamas ir neigiamas etapas pataisymus, administratoriai gali sumažinti grėsmę, kad kompiuteriai gaus laikas nuo laiko mėginiai kompiuteryje su Windows. Kita vertus, jei administratoriai sumažinti vertės, administratoriai gali užkirsti kelią kompiuterius yra į priekį arba už dabartinį laiką daugiau nei dydžiams nustatyti ribas.

Pastaba Jei registro įrašo apie teigiamus ir neigiamus koregavimus, sumažėja, laikas bus didinami arba mažinami.

Numatytoji reikšmė MaxPosPhaseCorrection ir MaxNegPhaseCorrection registro įrašų Windows 2000, Windows XP, Windows Server 2003 ir Windows Vista yra šią reikšmę:
0xFFFFFFF
Ši vertė įgalina kompiuterį gauti laiko, esanti bet laiko mėginyje, nepaisant netikslumų.

Windows Server 2008, priimtą naują numatytąją reikšmę registro įrašus MaxPosPhaseCorrection ir MaxNegPhaseCorrection. Ši nauja numatytoji reikšmė yra 48 valandos. Šis 48 valandų vertės gali būti atstovaujama kaip vieną iš šių verčių:
  • 2a300 (šešioliktainis)
  • 172800 (dešimtainis)
Mes rekomenduojame, kad registro įrašus MaxPosPhaseCorrection ir MaxNegPhaseCorrection nustatyti vertę, kuri yra ne šią reikšmę:
MAX (0XFFFFFFFF)
Pastaba Jei vertę nustatysite MAX (0xFFFFFFFF) reikšmė, jums gali užkirsti kelią kompiuterius, priimdama laiko, kad yra labai netiksli, scenarijus, kai kompiuteris yra iš naujo arba sutrinka ryšį su išoriniu laiko šaltinių. Pavyzdžiui, mano atveju, kuriame jūs turite į MaxPosPhaseCorrection ir MaxNegPhaseCorrection registro įrašus, nustatytų 48 valandas visi domeno valdikliai miške. Jei bet koks vieno domeno valdiklyje laiku šokti daugiau nei 48 valandas, reikšmę, kurią nustatote į MaxPosPhaseCorrection ir MaxNegPhaseCorrection registro įrašus neleis kitiems kompiuteriams padaryti pačiu šokinėti. Todėl, kompiuterių, kurie yra out of sync gali būti saugomi be kitų kompiuterių tol, kol administratorius gali tirti ir imtis ištaisomųjų veiksmų.

Laiko tikslumas yra ypač svarbios miško šaknis pirminiu domeno valdikliu (PDC). Nes PDC yra šaknies laiko šaltiniai domeno, netikslūs laiko pakeitimai dėl PDC gali sukelti domeno mastu laiko šuolis. Jei jums nustatyti etapo korekcijos apribojimus PDC, jums gali užkirsti kelią kitų domeno kontrolierių miške priimti naujas laikas.

Numatytoji reikšmė – 48 valandų vietoj numatytoji reikšmė – 5 minučių arba 15 minučių sudaro šių priežasčių:
  • Galingumas nuo W32TM naudingumas yra sunku skaityti.
  • W32TM šiuo metu būti nukreipti valstybės kompiuteriuose ir valstybės serveriuose.
  • Klaidas ir įvykius, kurie Windows operacinės sistemos ir atskiras programas žurnalo yra labai nesuderinami. Galimas klaidas yra grąžinimo kodus, panašų į šį:
    • prieiga uždrausta
    • RPC serveris nepasiekiamas
    Pastaba Šios klaidos yra silpno ryšio su tuo metu nerijos nes priežastis gali užkirsti kelią Windows kompiuteriai priimti tik tikslaus laiko vertę.
  • Vasaros / žiemos laiką klaidas gali sukelti 1 valandą laiko skirtumus.
  • AM arba PM neteisinga gali sukelti 12 valandų laiko skirtumas.
  • Dieną ar datą klaidų gali sukelti 24 valandų laiko skirtumas.
Todėl 48 valandas buvo kitas akivaizdus laiko poslinkis po 25 ar 36 valandas. Administratoriai taip pat gali sumažinti vertę teisingas priemones, kad pranešti apie infrastruktūros ir bandymai.

Konkrečios rekomendacijos pagal operacinės sistemos versija ir kompiuterio vaidmenį aprašyti tolesniuose skirsniuose.

Windows XP Professional ir visos versijos Windows Server 2003

Domeno serveriai

Miško šakniai PDC (pagrindinį laiko serverį)
Mes labai rekomenduojame, kad jūs konfigūruoti tinkamesnį laiko serverį rinkti laiko nuo aparatūros šaltinis. Sukonfigūravus patikimą laiko serverį, skirtą sinchronizuoti su interneto laiko šaltiniu, yra autentiškumo nustatyti nereikia. Jums reikia iš naujo sukonfigūruoti šie registro įrašai:
  • MaxPosPhaseCorrection
  • MaxNegPhaseCorrection
Šie du registro įrašus numatytoji reikšmė yra 0xFFFFFFFF. Ši numatytoji reikšmė – tai "Priimti betkada." Mes rekomenduojame reikšmę, kuri yra 48 valandos. Tai is sudarė registre kaip 2a300 (šešioliktainis) arba 172800 (trupmena). Mes rekomenduojame, kad jūs nustatyti registro įrašą 10 ar mažiau arba kad jums nustatyti SpecialPollInterval registro įrašo vertė 3600 (1 val.) arba mažiau MaxPollInterval vertė.
Domeno valdikliai ir valstybės serveriai viduje domeno
Registro įrašus MaxPosPhaseCorrection ir MaxNegPhaseCorrection yra numatytoji reikšmė – 0xFFFFFFFF. Ši numatytoji reikšmė – tai "Priimti betkada." Mes rekomenduojame nustatyti šios vertės iki 48 valandų visi domeno valdikliuose. 48 Valandų vertės taip pat galima nustatyti valstybės serveriuose, kuriuose veikia laiko jautrus grindžiamas taikomąsias programas.

Pastaba Daugiau informacijos apie šiuos registro įrašus, ieškokite skyriuje "Windows Server 2003 ir Windows XP laiko aptarnavimo registro įrašus".

Atskiras klientų

Registro įrašus MaxPosPhaseCorrection ir MaxNegPhaseCorrection yra numatytoji reikšmė – 54,000 (15 valandų). Kaip saugiausias, mes rekomenduojame, kad jūs sumažinti šią numatytąją vertę. Mes taip pat rekomenduojame nustatyti vertę, 3600 (1 val.) arba net mažesnės vertės, priklausomai nuo to laiko šaltiniu, tinklo būklę, apklausos intervalą, ir saugumo reikalavimus.

Windows Server 2003 ir Windows XP laiko tarnybos registro įrašus

Registro įrašoMaxPosPhaseCorrection
Vertės tipasDWORD
Dalinis raktas
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
PastabosŠis įrašas nurodo didžiausią teigiamą laiko korekcija per kelias sekundes, kad paslauga gali padaryti. Jei Tarnyba nustato, kad didesnis nei šis pakeitimas yra būtinas, ji rąstų renginio vietoje. Ypatingas atvejis: 0xFFFFFFFF reiškia, kad visada laiko korekcija. Numatytoji domeno narių reikšmė yra 0xFFFFFFFF. Numatytoji reikšmė atskiras klientų ir serverių yra 54,000 (15 valandų).
Registro įrašoMaxNegPhaseCorrection
Vertės tipasDWORD
Dalinis raktas
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
PastabosŠis įrašas nurodo didžiausią neigiamą laiko korekcija per kelias sekundes, kad paslauga gali padaryti. Jei Tarnyba nustato, kad didesnis nei šis pakeitimas yra būtinas, ji rąstų renginio vietoje. Ypatingas atvejis: -1 reiškia visada laiko korekcija. Numatytoji domeno narių reikšmė yra 0xFFFFFFFF. Numatytoji reikšmė atskiras klientų ir serverių yra 54,000 (15 valandų).
Registro įrašoMaxPollInterval
Vertės tipasDWORD
Dalinis raktas
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
PastabosŠis įrašas nurodo didžiausią intervalas, per kelias sekundes, kad įgalintas tarp apklausų. Atkreipkite dėmesį, kad, nors sistema turi apklausa pagal reguliaraus intervalą, teikėjas gali atsisakyti pateikti pavyzdžių kai yra reikalauti augalų bandinių. Numatytoji domeno narių reikšmė yra 10. Numatytoji reikšmė atskiras klientų ir serverių yra 15.
Registro įrašoSpecialPollInterval
Vertės tipasDWORD
Dalinis raktas
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient
PastabosŠis įrašas nurodo specialų apklausos intervalą sekundėmis rankiniu būdu bendraamžių. Įgalinus SpecialInterval 0x1 vėliava, "W32Time" naudoja šį apklausų intervalą vietoj operacinės sistemos nustato, kad. Numatytoji reikšmė domeno narius yra 3600. Numatytoji reikšmė atskiras klientų ir serverių yra 604,800.
Pastaba Mes rekomenduojame naudoti pasaulinės politikos objektas redaktorius panaudoti šiuos parametrus. Daugiau informacijos apie "Windows" laiko tarnybos Windows Server 2003 pagrindu miško, apsilankykite šioje Microsoft TechNet Web svetainėje:Numatytąjį "Windows" laiko tarnybos parametrų vertėmis, kurie apibrėžti grupės strategijos objektas (GPO) gali neatitikti numatytąsias vertes, nurodytus registro, Windows Server 2003 domeno valdikliams. Kai diegiate MaxPosPhaseCorrection ir MaxNegPhaseCorrection reikšmes į Windows Server 2003 domeno valdikliai naudojant GPO, įsitikinkite, kad GPO yra ne keisti kitus "Windows" laiko tarnybos parametrus registro reikšmės. Kitos "Windows" laiko tarnybos parametrų reikšmės taip pat gali būti pakeistas GPO atitiktų numatytuosius parametrus registro reikšmės domeno valdiklių.

Visos versijos Windows 2000 4 pakeitimų paketui (SP4)

Domeno serveriai

Miško šakniai PDC (pagrindinį laiko serverį)
Mes labai rekomenduojame, kad jūs konfigūruoti tinkamesnį laiko serverį rinkti laiko nuo aparatūros šaltinis. Sukonfigūravus patikimą laiko serverį, skirtą sinchronizuoti su interneto laiko šaltiniu, yra be autentifikavimo rankiniu režimu. Turite iš MaxAllowedClockErrInSecs registro įrašą. Numatytoji reikšmė yra 43,200. Rekomenduojama reikšmė yra 900 (15 minučių) arba net mažos vertės, priklausomai nuo to laiko šaltiniu, tinklo sąlygų, ir saugumo reikalavimus. Tai taip pat priklauso nuo apklausos intervalą. Mes rekomenduojame, kad apklausa intervalo reikšmė yra nustatyti vieną valandą kas 24 valandas.

Pastaba Daugiau informacijos apie šį registro įrašą rasite "Windows Server 2000 SP 4 registro įrašo" skyriuje.
Domeno valdikliai ir valstybės serveriai viduje domeno
Kurių sinchronizavimo tipas yra NT5DS. Tarnybos metu sinchronizuoja pagal domeno hierarchiją ir laiko tarnyba priima visus pasikeitimus. Nes NT5DS priima betkada neatsižvelgus laikas kompensuoti, tai labai svarbu parengti patikimą miško šaknies laiko šaltiniai laiko sinchronizavimo potinklyje.

Pastaba NT5DS reikšmė nurodo, kad sinchronizavimo tipu yra gaunamas iš registro įrašą.

Atskiras klientų

MaxAllowedClockErrInSecs registro įrašas yra numatytoji reikšmė – 43,200 (12 valandų). Kaip saugiausias, mes rekomenduojame, kad jūs sumažinti šią numatytąją vertę. Mes rekomenduojame, kad nustatyti vertę 3600 (1 val.) arba net mažos vertės, priklausomai nuo to laiko šaltiniu, tinklo sąlygų, apklausos intervalą, ir saugumo reikalavimus.
Windows Server 2000 SP 4 registro įrašo
Registro įrašoMaxAllowedClockErrInSecs
Vertės tipasDWORD
Dalinis raktas
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
PastabosNurodo didžiausią laikrodis pakeisti, kad įgalintas per kelias sekundes. Kai Įvykio užregistravimo, nėra nustatomas pagal vertę laikas. Taip atsitinka siekiant užtikrinti apsaugą nuo įtartinų laiko spaudu veikla. Numatytoji domeno narių reikšmė 43,200.

Įspėjimas: šis straipsnis išverstas automatiškai

Savybės

Straipsnio ID: 884776 – Paskutinė peržiūra: 04/25/2013 07:45:00 – Peržiūra: 2.0

Microsoft Windows XP leidimas profesionalams, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003 Datacenter Edition, Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows Server 2003 Standard Edition, Microsoft Windows Server 2003 Web Edition

  • kbsecurity kbhowto kbinfo kbmt KB884776 KbMtlt
Atsiliepimai
g style="display:none;" onerror="var m=document.createElement('meta');m.name='ms.dqp0';m.content='true';document.getElementsByTagName('head')[0].appendChild(m);" onload="var m=document.createElement('meta');m.name='ms.dqp0';m.content='false';document.getElementsByTagName('head')[0].appendChild(m);" src="http://c1.microsoft.com/c.gif?">