Windows Zaman hizmetini büyük zaman farkına göre yapılandırma

  • Makale

Bu makalede, Windows Saat hizmetinin büyük bir zaman farkıyla nasıl yapılandırıldığı açıklanmaktadır.

Şunlar için geçerlidir: Windows 10 - tüm sürümler, Windows Server 2012 R2
Özgün KB numarası: 884776

Giriş

Windows işletim sistemleri, Kerberos kimlik doğrulama protokolü tarafından kullanılan Zaman Hizmeti aracını (W32Time hizmeti) içerir. İlgili bilgisayarlar arasındaki zaman aralığı etkin olan maksimum zaman dengesizliği içindeyse Kerberos kimlik doğrulaması çalışır. Varsayılan değer 5 dakikadır. Zaman Hizmeti aracını da kapatabilirsiniz. Ardından, üçüncü taraf bir zaman hizmeti yükleyebilirsiniz.

Zaman Hizmeti aracının amacı, Windows işletim sistemlerinin Microsoft Windows 2000 veya sonraki sürümlerini çalıştıran bir kuruluştaki tüm bilgisayarların ortak bir zaman kullandığından emin olmaktır. Zaman Hizmeti, uygun bir ortak zaman kullanımı olduğundan emin olmak için yetkiliyi denetleye hiyerarşik bir ilişki kullanır. Varsayılan olarak, Windows tabanlı bilgisayarlar aşağıdaki hiyerarşiyi kullanır:

  • Tüm istemci masaüstü bilgisayarları, kimlik doğrulama etki alanı denetleyicisini yetkili zaman kaynağı olarak belirler.

  • Bir etki alanında, tüm sunucular istemci masaüstü bilgisayarlarının izlediği işlemi izler.

  • Bir etki alanındaki tüm etki alanı denetleyicileri birincil etki alanı denetleyicisi (PDC) işlem yöneticisini zaman kaynağı olarak aday gösterir.

  • Tüm PDC işlem yöneticileri, zaman kaynaklarının seçiminde etki alanlarının hiyerarşisini izler. Ancak, PDC işlem yöneticileri katman numaralandırmayı temel alan bir üst etki alanı denetleyicisi kullanabilir.

    Not

    Katman sayısı, bir zaman sunucusunun birincil başvuru kaynağına ne kadar yakın olduğunu tanımlar.

Sayı ne kadar küçük olursa, sunucu birincil saat kaynağına o kadar yakın olur. Bu hiyerarşide, ormanın kökündeki PDC işlem yöneticisi kuruluş için yetkili zaman sunucusu olur. Zamanı bir donanım kaynağından toplamak için yetkili saat sunucusunu yapılandırmanızı kesinlikle öneririz. Yetkili saat sunucusunu bir İnternet saat kaynağıyla eşitlenecek şekilde yapılandırmaya çalıştığınızda, kimlik doğrulaması yoktur. Ayrıca sunucular ve tek başına istemciler için zaman düzeltme ayarlarınızı azaltmanızı öneririz. Bu önerileri uyguladığınızda etki alanına daha doğru zaman sağlanır.

Daha fazla bilgi

Zaman geri almalarının gözden geçirilmesi, bilgisayarların günler, aylar, yıllar, hatta gelecekte veya geçmişte onlarca yıl olabilecek zamanı benimseyebileceğini göstermiştir. Bilgisayarlar zamanda ileri veya geri sarıldığında aşağıdaki sorunlar oluşabilir:

  • Bilgisayar hesaplarında, kullanıcı hesaplarında ve güven ilişkilerinde parolalar erken güncelleştirilebilir.
  • Karantinalar, Active Directory dizin hizmeti çoğaltmasında NTDS Çoğaltma Olayı 2042 ile tanımlanabilir.
  • Parola uyuşmazlığı bilgisayar hesapları, kullanıcı hesapları veya güven ilişkileri için yetkili olarak geri yüklenir. Bu tür uyuşmazlıklardan kurtarma, etkilenen tüm hesaplarda ve güvenlerde el ile parola sıfırlaması gerektirebilir.

İleri ve zaman geri alma işlemlerine karşı koruma

Bilgisayarlar ve güç döngüleri yeniden başlatıldığında BIOS, bilgisayarın ana kartında bulunan yerel EPROM'da zamanı korur. Windows başlatıldığında çekirdek BIOS'tan geçerli saati çeker. Bu geçerli saat, W32Time hizmetinin başka bir zaman kaynağıyla eşitleyebileceği ilk zaman olarak kullanılır.

Windows 32 saat hizmeti, ve olarak iki kayıt defteri girdisini MaxPosPhaseCorrectionMaxNegPhaseCorrectiondestekler. Bu girdiler, bu örnekler uzak bir bilgisayardan gönderildiğinde yerel bir bilgisayarda saat hizmetinin kabulladığı örnekleri kısıtlar.

Sabit durumda çalışan bir bilgisayar zaman kaynağından bir zaman örneği aldığında, ve kayıt defteri girdilerinin uyguladığı aşama düzeltme sınırlarına MaxPosPhaseCorrectionMaxNegPhaseCorrection göre örnek denetleniyor. Zaman örneği, iki kayıt defteri girdisinin zorunlu kıldığını sınırlar içinde kalırsa, bu örnek ek işleme için kabul edilir. Zaman örneği bu sınırlara uymuyorsa, zaman örneği yoksayılır ve zaman hizmeti W32Time özel günlük dosyasında aşağıdaki iletiyi günlüğe kaydeder:

ÇOK BÜYÜK

Yöneticiler pozitif ve negatif aşama düzeltmelerinin değerini azaltırsa, yöneticiler bilgisayarların Windows tabanlı bir bilgisayar için geçersiz zaman örneklerinden zaman alma tehdidini azaltabilir. Öte yandan, yöneticiler değeri azaltırsa, yöneticiler bilgisayarların bu değerlerin getirdiği sınırlardan daha fazla süreyle geçerli zamanın ilerisinde veya gerisinde olmasını engelleyebilir.

Not

Pozitif ve negatif düzeltmeler için kayıt defteri giriş değerleri azaltılırsa, süre artırılır veya azaltılır.

Windows 2000, Windows XP, Windows Server 2003 ve Windows Vista'daki ve kayıt defteri girdileri için MaxPosPhaseCorrectionMaxNegPhaseCorrection varsayılan değer aşağıdaki değerdir:
0xFFFFFFF

Bu değer, bilgisayarın herhangi bir zaman örneğinde yer alan zamanı (herhangi bir yanlışlık) almasını sağlar.

Windows Server 2008'de MaxPosPhaseCorrection ve MaxNegPhaseCorrection kayıt defteri girdileri için yeni bir varsayılan değer benimsenmiştir. Bu yeni varsayılan değer 48 saattir. Bu 48 saatlik değer aşağıdaki değerlerden biri olarak gösterilebilir:

  • 2a300 (onaltılık)
  • 172800 (ondalık)

ve MaxNegPhaseCorrection kayıt defteri girdilerinin aşağıdaki değerden farklı bir değere ayarlanmasını öneririzMaxPosPhaseCorrection:
MAX (0xFFFFFFFF)

Not

Değeri MAX (0xFFFFFFFF) dışında bir değere ayarladığınızda, bilgisayarın yeniden başlatıldığı veya dış zaman kaynaklarına bağlantının kesildiği senaryolarda bilgisayarların çok yanlış bir zaman benimsemesini engelleyebilirsiniz. Örneğin, ormandaki tüm etki alanı denetleyicilerinde MaxPosPhaseCorrection ve MaxNegPhaseCorrection kayıt defteri girdilerinin 48 saat için ayarlandığı durumu göz önünde bulundurun. Tek bir etki alanı denetleyicisi 48 saatten fazla olağan dışı bir zaman atlama deneyimi yaşarsa, MaxPosPhaseCorrection ve MaxNegPhaseCorrection kayıt defteri girdileri için ayarladığınız değer diğer bilgisayarların aynı zaman atlamasını engeller. Bu nedenle, eşitlenmemiş bilgisayarlar, yönetici araştırıp düzeltici eylem gerçekleştirene kadar diğer bilgisayarlardan ayrı tutulabilir.

Zaman doğruluğu özellikle orman kök birincil etki alanı denetleyicisinde (PDC) önemlidir. PDC, etki alanının kök zaman kaynağı olduğundan, PDC'deki yanlış zaman değişiklikleri etki alanı genelinde zaman atlamasına neden olabilir. PDC'ye aşama düzeltme kısıtlamaları uygularsanız, ormandaki diğer etki alanı denetleyicilerinin yeni zamanı kabul etmesini engelleyebilirsiniz.

Varsayılan değer olarak 5 dakika veya 15 dakika yerine 48 saat olan varsayılan değer aşağıdaki nedenlere bağlıdır:

  • W32TM yardımcı programının çıkışını okumak zordur.
  • W32TM şu anda üye bilgisayarlarda ve üye sunucularda zamanı hedeflemez.
  • Windows işletim sisteminin ve tek başına üçüncü taraf uygulamalarının günlüğe kaydetme hataları ve olayları son derece tutarsızdır. Olası hatalar aşağıdakine benzer dönüş kodlarıdır:
    • erişim reddedildi
    • RPC Sunucusu kullanılamıyor

    Not

    Bu hataların zaman dengesizliğiyle bağıntısı düşüktür çünkü nedeni Windows tabanlı bilgisayarların doğru bir zaman değerini benimsemesini engelleyebilir.

  • Yaz saati hataları 1 saatlik zaman farklılıklarına neden olabilir.
  • AM veya PM'nin yanlış yapılandırılması 12 saatlik zaman farkına neden olabilir.
  • Gün veya tarih hataları 24 saatlik zaman farklarına neden olabilir.

Yani 25 veya 36 saat sonra 48 saat bir sonraki bariz zaman farkıydı. Yöneticiler ayrıca altyapıyı ve testi raporlayan doğru araçlarla değeri azaltabilir.

İşletim sistemi sürümüne ve bilgisayar rolüne göre belirli öneriler aşağıdaki bölümlerde açıklanmıştır.

Windows XP Professional ve Windows Server 2003'ün tüm sürümleri

Etki alanı sunucuları

Orman kök PDC (yetkili zaman sunucusu)

Zamanı bir donanım kaynağından toplamak için yetkili saat sunucusunu yapılandırmanızı kesinlikle öneririz. Yetkili saat sunucusunu bir İnternet saat kaynağıyla eşitlenecek şekilde yapılandırdığınızda, kimlik doğrulaması yoktur. Aşağıdaki kayıt defteri girdilerini yeniden yapılandırmanız gerekir:

  • MaxPosPhaseCorrection
  • MaxNegPhaseCorrection

Bu iki kayıt defteri girdisinin varsayılan değeri 0xFFFFFFFF. Bu varsayılan değer "Herhangi bir değişikliği kabul et" anlamına gelir. 48 saat olan bir değer öneririz. Kayıt defterinde 2a300 (onaltılık) veya 172800 (ondalık) olarak temsil edilir. MaxPollInterval kayıt defteri girdisinin değerini 10 veya daha az olarak ayarlamanızı veya SpecialPollInterval kayıt defteri girdisinin değerini 3600 (1 saat) veya daha az olarak ayarlamanızı öneririz.

Etki alanı denetleyicileri ve etki alanı içindeki üye sunucular

MaxPosPhaseCorrection ve MaxNegPhaseCorrection kayıt defteri girdilerinin varsayılan değeri 0xFFFFFFFF. Bu varsayılan değer "Herhangi bir değişikliği kabul et" anlamına gelir. Tüm etki alanı denetleyicilerinde bu değeri 48 saat olarak ayarlamanızı öneririz. 48 saat değeri, zamana duyarlı uygulamalar çalıştıran üye sunucularda da ayarlanabilir.

Not

Bu kayıt defteri girdileri hakkında daha fazla bilgi için Windows Server 2003 ve Windows XP Time Service kayıt defteri girdileri bölümüne bakın.

Tek başına istemciler

MaxPosPhaseCorrection ve MaxNegPhaseCorrection kayıt defteri girdilerinin varsayılan değeri 54.000 (15 saat). En iyi güvenlik uygulaması olarak, bu varsayılan değeri azaltmanızı öneririz. Ayrıca saat kaynağına, ağ koşuluna, yoklama aralığına ve güvenlik gereksinimlerine bağlı olarak değeri 3600 (1 saat) veya daha da küçük bir değere ayarlamanızı öneririz.

Windows Server 2003 ve Windows XP Time Service kayıt defteri girdileri

Tür Ayrıntılar
Kayıt Defteri Girdisi Maxposphasecorrection
Değer Türü DWORD
Alt anahtarı HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
Notlar Bu giriş, hizmetin gerçekleştirebileceği en büyük pozitif zaman düzeltmesini saniye olarak belirtir. Hizmet, gerekenden daha büyük bir değişiklik olduğunu belirlerse, bunun yerine bir olay günlüğe kaydeder. Özel durum: 0xFFFFFFFF her zaman zaman düzeltme yapmak anlamına gelir. Etki alanı üyeleri için varsayılan değer 0xFFFFFFFF. Tek başına istemciler ve sunucular için varsayılan değer 54.000'dir (15 saat).
Kayıt Defteri Girdisi Maxnegphasecorrection
Değer Türü DWORD
Alt anahtarı HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
Notlar Bu giriş, hizmetin gerçekleştirebileceği en büyük negatif zaman düzeltmesini saniye cinsinden belirtir. Hizmet bundan daha büyük bir değişikliğin gerekli olduğunu belirlerse, bunun yerine bir olay günlüğe kaydeder. Özel durum: -1 her zaman zaman düzeltme yapmak anlamına gelir. Etki alanı üyeleri için varsayılan değer 0xFFFFFFFF. Tek başına istemciler ve sunucular için varsayılan değer 54.000'dir (15 saat).
Kayıt Defteri Girdisi MaxPollInterval
Değer Türü DWORD
Alt anahtarı HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
Notlar Bu girdi, sistem yoklama aralığı için etkinleştirilen en büyük aralığı saniye cinsinden belirtir. Sistemin zamanlanan araca göre yoklaması gerekse de, örnek istendiğinde sağlayıcının örnek üretmeyi reddedebileceğine dikkat edin. Etki alanı üyeleri için varsayılan değer 10'dur. Tek başına istemciler ve sunucular için varsayılan değer 15'tir.
Kayıt Defteri Girdisi SpecialPollInterval
Değer Türü DWORD
Alt anahtarı HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient
Notlar Bu giriş, el ile eşler için saniye cinsinden özel yoklama aralığını belirtir. SpecialInterval 0x1 bayrağı etkinleştirildiğinde, W32Time işletim sisteminin belirlemiş olduğu bir yoklama aralığı yerine bu yoklama aralığını kullanır. Etki alanı üyelerinde varsayılan değer 3.600'dür. Tek başına istemcilerde ve sunucularda varsayılan değer 604.800'dür.

Not

Bu ayarları dağıtmak için Genel İlke nesnesi Düzenleyici kullanmanızı öneririz. Windows Server 2003 tabanlı bir ormandaki Windows Saat hizmeti hakkında daha fazla bilgi için bkz. Windows Saat Hizmeti (W32Time).

grup ilkesi nesnesinde (GPO) tanımlanan varsayılan Windows Saat hizmeti parametre değerleri, Windows Server 2003 tabanlı etki alanı denetleyicilerinin kayıt defterinde tanımlanan varsayılan değerlerle eşleşmeyebilir. GPO kullanarak MaxPosPhaseCorrection ve MaxNegPhaseCorrection değerlerini Windows Server 2003 etki alanı denetleyicilerine dağıttığınızda, GPO'nun kayıt defterindeki diğer Windows Saat hizmeti parametrelerinin değerlerini değiştirmediğinden emin olun. Diğer Windows Saat hizmeti parametre değerlerinin de etki alanı denetleyicilerindeki varsayılan kayıt defteri değerleriyle eşleşecek şekilde GPO'da değiştirilmesi gerekebilir.

Windows 2000 Service Pack 4'ün (SP4) tüm sürümleri

Etki alanı sunucuları

Orman kök PDC (yetkili zaman sunucusu)

Zamanı bir donanım kaynağından toplamak için yetkili saat sunucusunu yapılandırmanızı kesinlikle öneririz. Yetkili saat sunucusunu bir İnternet saat kaynağıyla eşitlenecek şekilde yapılandırdığınızda, el ile modda kimlik doğrulaması olmaz. Kayıt defteri girdisini MaxAllowedClockErrInSecs yeniden yapılandırabilirsiniz. Varsayılan değer 43.200'dür. Önerilen değer, saat kaynağına, ağ koşullarına ve güvenlik gereksinimlerine bağlı olarak 900 (15 dakika) veya daha da küçük bir değerdir. Ayrıca yoklama aralığına da bağlıdır. Yoklama aralığı değerinin her 24 saat için bir saat olarak ayarlanmasını öneririz.

Not

Bu kayıt defteri girdisi hakkında daha fazla bilgi için bkz. Windows Server 2000 SP 4 kayıt defteri girdisi bölümü.

Etki alanı denetleyicileri ve etki alanı içindeki üye sunucular

Eşitleme türü NT5DS'dir. Zaman hizmeti etki alanı hiyerarşisinden eşitlenir ve zaman hizmeti tüm zaman değişikliklerini kabul eder. NT5DS zaman farkını dikkate almadan herhangi bir zaman değişikliğini kabul ettiğinden, zaman eşitleme alt ağından güvenilir bir orman kök zaman kaynağı ayarlamak önemlidir.

Not

NT5DS değeri, eşitleme türünün bir kayıt defteri girdisinden alındığını gösterir.

Tek başına istemciler

Kayıt defteri girdisinin MaxAllowedClockErrInSecs varsayılan değeri 43.200 (12 saat). En iyi güvenlik uygulaması olarak, bu varsayılan değeri azaltmanızı öneririz. Saat kaynağına, ağ koşullarına, yoklama aralığına ve güvenlik gereksinimlerine bağlı olarak değeri 3600 (1 saat) veya daha da küçük bir değere ayarlamanızı öneririz.

Windows Server 2000 SP 4 kayıt defteri girdisi

Tür Ayrıntılar
Kayıt Defteri Girdisi MaxAllowedClockErrInSecs
Değer Türü DWORD
Alt anahtarı HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
Notlar Saniye olarak etkinleştirilen en büyük saat değişikliğini belirtir. Olay günlüğe kaydedildiğinde, saat değere göre ayarlanmamıştır. Bu davranış, herhangi bir şüpheli zaman damgası etkinliğine karşı korunmaya yardımcı olmak için oluşur. Etki alanı üyeleri için varsayılan değer 43.200'dür.