Je bent nu offline; er wordt gewacht tot er weer een internetverbinding is

De Windows Time-service configureren bij een groot tijdverschil

De ondersteuning voor Windows XP is beëindigd

De ondersteuning voor Office 2003 is door Microsoft beëindigd op 8 april. Deze wijziging heeft gevolgen voor software-updates en beveiligingsopties. Meer informatie over wat voor gevolgen dit voor u heeft en hoe u beveiligd blijft.

De ondersteuning voor Windows Server 2003 is op 14 juli 2015 beëindigd

De ondersteuning voor Windows Server 2003 is door Microsoft op 14 juli 2015 beëindigd. Deze wijziging heeft gevolgen voor software-updates en beveiligingsopties. Meer informatie over wat voor gevolgen dit voor u heeft en hoe u beveiligd blijft.

Inleiding
Windows 2000 bevat W32Time, het tijdserviceprogramma dat noodzakelijk is voor het Kerberos-verificatieprotocol. Het doel van het Time-servicehulpprogramma is te zorgen dat alle computers binnen een organisatie waarop Microsoft Windows 2000 of hoger wordt uitgevoerd, van dezelfde tijd gebruikmaken. Om ervoor te zorgen dat op de juiste manier dezelfde tijd wordt gebruikt, wordt door de Time-service een hiërarchische relatie gebruikt waarmee autoriteit wordt gecontroleerd. Daarnaast worden door de Time-service geen lussen toegestaan. Bij Windows-computers wordt standaard de volgende hiërarchie gebruikt:
  • Alle desktop-clientcomputers benoemen de domeincontroller waardoor de verificatie wordt uitgevoerd, als inkomende tijdspartner.
  • Alle lidservers volgen dezelfde procedure als de desktop-clientcomputers.
  • Alle domeincontrollers in een domein benoemen de PDC-operations-master (Primary Domain Controller) als inkomende tijdspartner.
  • Alle PDC-operationsmasters volgen de hiërarchie van domeinen in de selectie van hun inkomende tijdspartner, maar kunnen een bovenliggende domeincontroller op basis van stratumnummering gebruiken.
In deze hiërarchie wordt de PDC-operations-master aan de basis van het forest de gemachtigde tijdserver voor de organisatie. Het wordt ten zeerste aangeraden de gemachtigde tijdserver zodanig te configureren dat de tijd wordt opgehaald van een hardwarebron. Als u de gemachtigde tijdserver configureert voor synchronisatie met een internettijdsbron, is er geen verificatie. U wordt ook aangeraden de instellingen voor tijdcorrectie voor uw servers en zelfstandige clients te verlagen. Via deze aanbevelingen is een hogere nauwkeurigheid voor uw domein mogelijk.
Meer informatie

Microsoft Windows XP Professional en Microsoft Windows Server 2003, alle edities

Domeinservers

Forestbasis-PDC (gemachtigde tijdserver)
Het wordt ten zeerste aangeraden de gemachtigde tijdserver zodanig te configureren dat de tijd wordt opgehaald van een hardwarebron. Als u de gemachtigde tijdserver configureert voor synchronisatie met een internettijdsbron, is er geen verificatie. U moet de registervermeldingen
MaxPosPhaseCorrection
en
MaxNegPhaseCorrection
opnieuw configureren. De standaardwaarde hiervoor is 0xFFFFFFFF (elke tijdwijziging accepteren). De aanbevolen waarde is 900 (15 minuten) of nog lager, afhankelijk van tijdsbron, netwerktoestand en beveiligingseisen. Dit is ook afhankelijk van het pollinginterval. U wordt aangeraden de waarde van de registervermelding
MaxPollInterval
in te stellen op 10 of lager, of de waarde van de registervermelding
SpecialPollInterval
in te stellen op 3600 (1 uur) of lager. Meer informatie over deze registervermeldingen vindt u in de sectie 'Registervermeldingen van Windows Server 2003 en Windows XP Time-service'.
Domeincontrollers en lidservers binnen het domein
De registervermeldingen
MaxPosPhaseCorrection
en
MaxNegPhaseCorrection
hebben de standaardwaarde 0xFFFFFFFF (elke tijdwijziging accepteren). Deze standaardwaarde voldoet. Het is echter beter te zorgen voor extra beveiliging binnen uw domein om het te beveiligen tegen menselijke fouten. Afhankelijk van wat u wilt bereiken, kunt u de standaardwaarden laten staan of deze wijzigen.

Zelfstandige clients

De registervermeldingen
MaxPosPhaseCorrection
en
MaxNegPhaseCorrection
hebben de standaardwaarde 54.000 (15 uur). Om de beveiliging te verbeteren, verlaagt u deze standaardwaarde. Het wordt aangeraden de waarde in te stellen op 3600 (1 uur) of nog lager, afhankelijk van tijdsbron, netwerktoestand, pollinginterval en beveiligingseisen.

Registervermeldingen van Windows Server 2003 en Windows XP Time-service

Registervermelding
MaxPosPhaseCorrection
Pad
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
OpmerkingenMet deze vermelding wordt de grootste positieve tijdcorrectie in seconden opgegeven die door de service wordt gemaakt. Als de service vaststelt dat er een grotere wijziging dan deze waarde nodig is, wordt een gebeurtenis geregistreerd in het logboek. Speciaal geval: 0xFFFFFFFF betekent dat er altijd een tijdcorrectie wordt gemaakt. De standaardwaarde voor domeinleden is 0xFFFFFFFF. De standaardwaarde voor zelfstandige clients en servers is 54.000 (15 uur).
Registervermelding
MaxNegPhaseCorrection
Pad
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
OpmerkingenMet deze vermelding wordt de grootste negatieve tijdcorrectie in seconden opgegeven die door de service wordt gemaakt. Als de service vaststelt dat er een grotere wijziging dan deze waarde nodig is, wordt in plaats daarvan een gebeurtenis geregistreerd in het logboek. Speciaal geval: -1 betekent dat er altijd een tijdcorrectie wordt gemaakt. De standaardwaarde voor domeinleden is 0xFFFFFFFF. De standaardwaarde voor zelfstandige clients en servers is 54.000 (15 uur).
Registervermelding
MaxPollInterval
Pad
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
OpmerkingenMet deze vermelding wordt het grootste interval, in logseconden, opgegeven dat is toegestaan voor het systeempollinginterval. Hoewel een systeem moet controleren volgens het geplande interval, kan een provider weigeren metingen te geven wanneer daarom wordt gevraagd. De standaardwaarde voor domeinleden is 10. De standaardwaarde voor zelfstandige clients en servers is 15.
Registervermelding
SpecialPollInterval
Pad
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient
OpmerkingenMet deze vermelding wordt het speciale pollinginterval in seconden opgegeven voor handmatige peers. Als de vlag 0x1 van SpecialInterval is ingeschakeld, gebruikt W32Time dit pollinginterval in plaats van een pollinginterval dat is bepaald door het besturingssysteem. De standaardwaarde op domeinleden is 3600. De standaardwaarde op zelfstandige clients en servers is 604.800.
Als u meer informatie wilt over de Windows Time-service in een Windows Server 2003-forest, gaat u naar de volgende website:

Windows 2000 Service Pack 4 (SP4), alle edities

Domeinservers

Forestbasis-PDC (gemachtigde tijdserver)
Het wordt ten zeerste aangeraden de gemachtigde tijdserver zodanig te configureren dat de tijd wordt opgehaald van een hardwarebron. Als u de gemachtigde tijdserver configureert voor synchronisatie met een internettijdsbron, is er geen verificatie voor de handmatige modus. U moet de registervermelding
MaxAllowedClockErrInSecs
opnieuw configureren. De standaardwaarde is 43.200. De aanbevolen waarde is 900 (15 minuten) of nog lager, afhankelijk van tijdsbron, netwerktoestand en beveiligingseisen. Dit is ook afhankelijk van het pollinginterval. Het wordt aanbevolen het pollinginterval in te stellen op één uur (Period = 24). Zie de sectie 'Registersleutel voor Windows Server 2000 SP 4' verderop in dit artikel voor meer informatie over deze registervermelding.
Domeincontrollers en lidservers binnen het domein
Het synchronisatietype is NT5DS. Er wordt gesynchroniseerd vanuit de domeinhiërarchie en alle tijdwijzigingen worden geaccepteerd. Omdat met NT5DS alle tijdwijzigingen worden geaccepteerd ongeacht de tijdafwijking, is het uiterst belangrijk dat u een betrouwbare tijdsbron voor de forest-basis instelt in het subnetwerk voor tijdsynchronisatie.

Zelfstandige clients

De registervermelding
MaxAllowedClockErrInSecs
heeft de standaardwaarde 43.200 (12 uur). Om de beveiliging te verbeteren, verlaagt u deze standaardwaarde. Het wordt aangeraden de waarde in te stellen op 3600 (1 uur) of nog lager, afhankelijk van tijdsbron, netwerktoestand, pollinginterval en beveiligingseisen.
Registersleutel voor Windows Server 2000 SP 4
Registervermelding
MaxAllowedClockErrInSecs
Pad
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
OpmerkingenHiermee wordt de maximaal toegestane wijziging van de klok in seconden opgegeven. Bij verdachte tijdstempels wordt een gebeurtenis geregistreerd en wordt de tijd niet aangepast. De standaardwaarde voor domeinleden is 43.200.
Eigenschappen

Artikel-id: 884776 - Laatst bijgewerkt: 06/20/2006 08:12:17 - Revisie: 8.3

Microsoft Windows XP Professional, Microsoft Windows Server 2003, 64-Bit Datacenter Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition, Microsoft Windows 2000 Advanced Server SP4, Microsoft Windows 2000 Datacenter Server, Microsoft Windows 2000 Professional SP4, Microsoft Windows 2000 Server SP4

  • kbsecurity kbhowto kbinfo KB884776
Feedback