Konfigurere Windows-tidstjenesten mot en større tidsforskyvning

INNLEDNING

Windows-operativsystemet inneholder tidstjenesteverktøyet (W32Time-tjenesten) som brukes av godkjenningsprotokollen Kerberos. Kerberos-godkjenning fungerer hvis tidsintervallet mellom de aktuelle datamaskinene ligger innenfor maksgrensen for tidsforskyvning. Standard er 5 minutter. Du kan også slå av tidstjenesteverktøyet. Da kan du installere en tredjeparts tidstjeneste.

Hensikten med tidstjenesteverktøyet er å sikre at alle datamaskiner i en organisasjon som kjører Microsoft Windows 2000 eller senere versjoner av Windows-operativsystemer, bruker samme dato og klokkeslett. Tidstjenesten bruker en hierarkisk relasjon som kontrollerer autoritet, for å sikre at alle har samme og riktige dato og klokkeslett. Som standard bruker Windows-baserte datamaskiner følgende hierarki:
 • Alle stasjonære klientmaskiner nominerer godkjenningsdomenekontrolleren som sin autoritative tidskilde.
 • På et domene følger alle serverne den samme prosessen som de stasjonære klientmaskinene følger.
 • Alle domenekontrollere i et domene nominerer PDC-driftsovervåkeren (primær domenekontroller) som sin tidskilde.
 • Alle PDC-driftsovervåkere følger domenehierarkiet ved valg av sin tidskilde. Det kan derimot hende at PDC-driftsovervåkerne bruker en overordnet domenekontroller basert på rangeringsnummerering.

  Obs!  Et rangeringstall definerer hvor nær hovedreferansekilden en tidsserver er. Dess lavere tallet er, dess nærmere hovedtidskilden er serveren.
I dette hierarkiet blir PDC-driftsovervåkeren i skogroten den autoritative tidsserveren for organisasjonen. Vi anbefaler på det sterkeste at du konfigurerer den autoritative tidsserveren til å hente tiden fra en maskinvarekilde. Når du prøver å konfigurere den autoritative tidsserveren slik at den synkroniseres med en tidskilde på Internett, brukes ingen form for godkjenning. Vi anbefaler også at du reduserer tidskorrigeringsinnstillingene for servere og frittstående klienter. Hvis du følger disse anbefalingene, får domenet en mer nøyaktig dato og klokkeslett.

Mer informasjon

En gjennomgang av tidstilbakerulling har vist at datamaskiner kan ta i bruk datoer og klokkeslett som er dager, måneder, år og til og med tiår frem i tid eller tilbake i tid. Følgende problemer kan oppstå når datamaskiner ruller fremover eller tilbake i tid:
 • Passord for datamaskinkontoer, for brukerkontoer og for klareringsforhold kan bli oppdatert for tidlig.
 • Karantener kan identifiseres av NTDS-replikeringshendelse 2042 i replikering av Active Directory-katalogtjenesten.
 • Denne mangelen på passordsamsvar gjenopprettes på autoritativt hold for datamaskinkontoer, brukerkontoer, eller for klareringsforhold. Denne gjenopprettingen av manglende passordsamsvar kan kreve at du tilbakestiller passord for alle kontoer og klareringstjenester som berøres.

Slik beskytter du mot fremoverrulling og tilbakerulling av tid

Når datamaskiner og strømsykluser startes på nytt, opprettholder BIOS datoen og klokkeslettet i den lokale EPROMen som er plassert på datamaskinens hovedkort. Når Windows starter, tar kjernen gjeldende dato og klokkeslett fra BIOSen. Denne gjeldende datoen og dette klokkeslettet blir brukt innledningsvis frem til W32Time-tjenesten kan synkroniseres med en annen tidskilde.


Windows 32 time-tjenesten støtter to registeroppføringer, MaxPosPhaseCorrection og MaxNegPhaseCorrection. Disse oppføringene begrenser eksemplene som tidstjenesten aksepterer på en lokal datamaskin når eksemplene sendes fra en ekstern datamaskin.

Når en datamaskin som kjører stabilt, mottar et tidseksempel fra tidskilden, kontrolleres eksemplet mot fasekorrigeringsgrensene som registeroppføringene MaxPosPhaseCorrection og MaxNegPhaseCorrection pålegger. Hvis eksemplet faller innenfor grensene som de to registeroppføringene fremtvinger, aksepteres eksemplet for videre behandling. Hvis tidseksemplet ikke faller innenfor disse grensene, ignoreres det, og tidstjenesten logger følgende melding i den private loggfilen for W32Time:
*TOO BIG* 
Hvis administratorer reduserer verdien for positive og negative fasekorrigeringer, kan de redusere sjansen for at datamaskiner mottar dato og klokkeslett fra ugyldige tidseksempler for en Windows-basert datamaskin. På den andre siden, hvis administratorer reduserer verdien, kan de forhindre datamaskiner fra å være foran eller bak gjeldende dato og klokkeslett med mer enn grensene som pålegges av disse verdiene.

Obs!  Hvis registeroppføringsverdiene for positive og negative korrigeringer reduseres, vil dato og klokkeslett settes frem eller tilbake i tid.

Standardverdien for registeroppføringene MaxPosPhaseCorrection og MaxNegPhaseCorrection i Windows 2000, Windows XP, Windows Server 2003 og Windows Vista er følgende:
0xFFFFFFF
Denne verdien gjør at datamaskinen mottar dato og klokkeslett i et tidseksempel, selv om det er unøyaktig.

I Windows Server 2008 er det tatt i bruk en ny standardverdi for registeroppføringene MaxPosPhaseCorrection og MaxNegPhaseCorrection. Denne nye standardverdien er 48 timer. Den kan representeres som en av følgende verdier:
 • 2a300 (heksadesimal)
 • 172800 (desimal)
Vi anbefaler at registeroppføringene MaxPosPhaseCorrection og MaxNegPhaseCorrection settes til en verdi som er en annen enn følgende verdi:
MAX (0xFFFFFFFF)
Obs!  Når du setter verdien til noe annet enn MAX (0xFFFFFFFF), kan du forhindre datamaskiner i å ta i bruk en dato og et klokkeslett som er veldig unøyaktig, i situasjoner hvor datamaskinen startes på nytt eller tilkoblingen til eksterne tidskilder avbrytes. Ta for eksempel tilfellet hvor du har satt registeroppføringene MaxPosPhaseCorrection og MaxNegPhaseCorrection til 48 timer på alle domenekontrollerne i skogen. Hvis én enkelt domenekontroller opplever et uvanlig tidshopp på mer enn 48 timer, vil verdien du satte for registeroppføringene MaxPosPhaseCorrection og MaxNegPhaseCorrection forhindre at det samme tidshoppet skjer på andre datamaskiner. Dermed kan datamaskiner som er usynkroniserte, holdes unna de andre datamaskinene til administratoren kan undersøke dem og foreta en korrigerende handling.

Tidsnøyaktighet er spesielt viktig for den primære domenekontrolleren i skogroten (PDC). Siden PDCen er rottidskilden for domenet, kan unøyaktige endringer av dato og klokkeslett i PDCen forårsake et tidshopp i hele domenet. Hvis du innfører fasekorrigeringsbegrensninger i PDCen, kan du forhindre at andre domenekontrollere i skogen aksepterer den nye datoen og klokkeslettet.

Standardverdien på 48 timer i stedet for en standardverdi på 5 eller 15 minutter er basert på følgende grunner:

 • Utdata fra W32TM-verktøyet er vanskelig å lese.
 • W32TM målretter seg for øyeblikket ikke mot dato og klokkeslett på medlemsmaskiner og -servere.
 • Feilene og hendelsene som logges av Windows-operativsystemet og frittstående tredjepartsapplikasjoner, er høyst inkonsekvente. Mulige feil inkluderer returkoder som ligner på følgende:
  • ingen tilgang
  • RPC-serveren er ikke tilgjengelig
  Obs!  Disse feilene har liten sammenheng med tidsforskyvningen fordi årsaken kan forhindre Windows-baserte datamaskiner i å ta i bruk en nøyaktig tidsverdi.
 • Feil i forbindelse med sommertid kan føre til tidsforskjeller på 1 time.
 • Feilkonfigurering av AM eller PM kan føre til en tidsforskjell på 12 timer.
 • Feil dag eller dato kan føre til en tidsforskjell på 24 timer.
Derfor var 48 timer den neste innlysende tidsforskyvningen etter 25 eller 36 timer. Administratorer kan også redusere verdien med riktige verktøy som rapporterer infrastruktur og testing.

Bestemte anbefalinger i henhold til operativsystemversjon og datamaskinrolle er beskrevet i avsnittene nedenfor.

Windows XP Professional og alle versjoner av Windows Server 2003

Domeneservere

Skogrot-PDC (autoritativ tidsserver)
Vi anbefaler på det sterkeste at du konfigurerer den autoritative tidsserveren til å hente dato og klokkeslett fra en maskinvarekilde. Når du konfigurerer autoritativ tidsserver slik at den blir synkronisert med en tidskilde på Internett, brukes ingen form for godkjenning. Du må konfigurere følgende registeroppføringer på nytt:
 • MaxPosPhaseCorrection
 • MaxNegPhaseCorrection
Standardverdien for disse to registeroppføringene er 0xFFFFFFFF. Denne standardverdien betyr "godta alle tidsendringer". Vi anbefaler en verdi på 900 (15 minutter) eller lavere, avhengig av tidskilden, nettverkstilstand og krav til sikkerhet. Den riktige verdien er også avhengig av avspørringsintervallet. Vi anbefaler at du setter verdien for registeroppføringen MaxPollInterval til 10 eller lavere, eller at du setter verdien for registeroppføringen SpecialPollInterval til 3 600 (1 time) eller lavere.

Obs!  Hvis du vil ha mer informasjon om disse registeroppføringene, kan du se delen "Registeroppføringer for tidstjenesten i Windows Server 2003 og Windows XP".
Domenekontrollere og medlemsservere i domenet
Registeroppføringene MaxPosPhaseCorrection og MaxNegPhaseCorrection har en standardverdi på 0xFFFFFFFF. Denne standardverdien betyr "godta alle tidsendringer". Denne standardverdien er riktig.

Frittstående klienter

Registeroppføringene MaxPosPhaseCorrection og MaxNegPhaseCorrection har en standardverdi på 54 000 (15 timer). Av sikkerhetsgrunner anbefaler vi at du reduserer denne standardverdien. Vi anbefaler også at du setter verdien til 3 600 (1 time) eller lavere, avhengig av tidskilde, nettverkstilstand, avspørringsintervall og krav til sikkerhet.

Registeroppføringer for tidstjenesten i Windows Server 2003 og Windows XP

RegisteroppføringMaxPosPhaseCorrection
VerditypeDWORD
UndernøkkelHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
MerknaderDenne oppføringen angir den største positive tidskorrigeringen i sekunder som tjenesten kan utføre. Hvis tjenesten bestemmer at en endring som er større enn dette, er nødvendig, logger den en hendelse i stedet. Spesielt tilfelle: 0xFFFFFFFF betyr at en tidskorrigering alltid må utføres. Standardverdien for domenemedlemmer er 0xFFFFFFFF. Standardverdien for frittstående klienter og servere er 54 000 (15 timer).
RegisteroppføringMaxNegPhaseCorrection
VerditypeDWORD
UndernøkkelHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
MerknaderDenne oppføringen angir den største negative tidskorrigeringen i sekunder som tjenesten kan utføre. Hvis tjenesten bestemmer at en endring som er større enn dette, er nødvendig, logger den en hendelse i stedet. Spesielt tilfelle: -1 betyr at en tidskorrigering alltid må utføres. Standardverdien for domenemedlemmer er 0xFFFFFFFF. Standardverdien for frittstående klienter og servere er 54 000 (15 timer).
RegisteroppføringMaxPollInterval
VerditypeDWORD
UndernøkkelHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
MerknaderDenne oppføringen angir det største intervallet i sekunder som er aktivert for systemets avspørringsintervall. Merk at selv om et system må avspørre i henhold til planlagte intervaller, kan en leverandør avslå å oppgi eksempler når det blir anmodet om dette. Standardverdien for domenemedlemmer er 10. Standardverdien for frittstående klienter og servere er 15.
RegisteroppføringSpecialPollInterval
VerditypeDWORD
UndernøkkelHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient
MerknaderDenne oppføringen angir det særskilte avspørringsintervallet i sekunder for manuelle noder. Når SpecialInterval 0x1-flagget er aktivert, bruker W32Time dette avspørringsintervallet i stedet for et avspørringsintervall som bestemmes av operativsystemet. Standardverdien for domenemedlemmer er 3 600. Standardverdien for frittstående klienter og servere er 604 800.
Obs!  Vi anbefaler at du bruker redigeringsprogrammet for globalt policyobjekt til å distribuere disse innstillingene. Hvis du vil ha mer informasjon om Windows-tidstjenesten for en Windows Server 2003-basert skog, kan du gå til følgende Microsoft TechNet-webområde:

Alle versjoner av Windows 2000 Service Pack 4 (SP4)

Domeneservere

Skogrot-PDC (autoritativ tidsserver)
Vi anbefaler at du konfigurerer autoritativ tidsserver til å hente tiden fra en maskinvarekilde. Når du konfigurerer autoritativ tidsserver slik at den blir synkronisert med en tidskilde på Internett, brukes ingen form for godkjenning i manuell modus. Du må konfigurere registeroppføringen MaxAllowedClockErrInSecs på nytt. Standardverdien er 43 200. Den anbefalte verdien er 900 (15 minutter), eller en lavere verdi, avhengig av tidskilden, nettverkstilstand og krav til sikkerhet. Dette er også avhengig av avspørringsintervallet. Vi anbefaler at verdien for avspørringsintervallet settes til en time for hver 24. time.

Obs!  Hvis du vil ha mer informasjon om denne registeroppføringen, kan du se delen "Registeroppføring for Windows Server 2000 SP 4".
Domenekontrollere og medlemsservere i domenet
Synkroniseringstypen er NT5DS. Denne tidstjenesten synkroniseres fra domenehierarkiet og godtar alle tidsendringer. Fordi NT5DS godtar alle tidsendringer uten å ta hensyn til tidsforskyvningen, er det svært viktig å konfigurere en pålitelig tidskilde for skogroten i delnettverket for tidssynkroniseringen.


Obs!  NT5DS-verdien indikerer at synkroniseringstypen hentes fra en registeroppføring.

Frittstående klienter

Registeroppføringen MaxAllowedClockErrInSecs har en standardverdi på 43 200 (12 timer). Av sikkerhetsgrunner anbefaler vi at du reduserer denne standardverdien. Vi anbefaler at du setter verdien til 3 600 (1 time) eller lavere, avhengig av tidskilde, nettverkstilstand, avspørringsintervall og krav til sikkerhet.
Registeroppføring for Windows Server 2000 SP 4
RegisteroppføringMaxAllowedClockErrInSecs
VerditypeDWORD
UndernøkkelHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
MerknaderAngir maksimal klokkeendring i sekunder som er aktivert. Når hendelsen logges, justeres ikke dato og klokkeslett basert på verdien. Dette er for å beskytte mot eventuelle mistenkelige tidsangivelsesaktiviteter. Standardverdien for domenemedlemmer er 43 200.
Egenskaper

Artikkel-ID: 884776 – Forrige gjennomgang: 17. jul. 2008 – Revisjon: 1

Tilbakemelding