你目前正处于脱机状态,正在等待 Internet 重新连接

配置 Windows 时间服务以防出现大的时间偏移

针对 Windows XP 的支持已终止

Microsoft 已于 2014 年 4 月 8 日终止了针对 Windows XP 的支持。该更改已影响到您的软件更新和安全选项。 了解这一措施对于您的含义以及如何继续保持受保护状态。

针对 Windows Server 2003 的支持已于 2015 年 7 月 14 日终止。

Microsoft 已于 2015 年 7 月 14 日终止了对于 Windows Server 2003 的支持。该更改已影响到您的软件更新和安全选项。 了解这一措施对于您的含义以及如何继续保持受保护状态。

简介
Windows 包含 W32Time,它是 Kerberos 身份验证协议所需的时间服务工具。时间服务工具的目的是确保组织中运行 Microsoft Windows 2000 或更高版本的所有计算机都使用公共时间。为确保适当地使用公共时间,时间服务使用层级关系来控制权威,而且不允许出现循环。默认情况下,基于 Windows 的计算机使用下面的层级:
  • 所有客户端桌面计算机都提名身份验证域控制器作为其入站时间伙伴。
  • 所有成员服务器都遵循与客户端桌面计算机相同的过程。
  • 域中的所有域控制器都提名主要域控制器 (PDC) 操作主机作为其入站时间伙伴。
  • 所有 PDC 操作主机在选择其入站时间伙伴时都遵循域的层次结构,但可能使用基于层次编号的父域控制器。
在此层级中,位于目录林根的 PDC 操作主机成为组织的权威时间服务器。我们强烈建议您将权威时间服务器配置为从硬件源获取时间。当您将权威时间服务器配置为与 Internet 时间源同步时,不会有任何身份验证。我们还建议您降低服务器和独立客户端的时间校准设置。这些建议可以为您的域提供更准确的时间。
更多信息

Microsoft Windows XP Professional 和 Microsoft Windows Server 2003(所有版本)

域服务器

目录林根 PDC(权威时间服务器)
我们强烈建议您将权威时间服务器配置为从硬件源获取时间。当您将权威时间服务器配置为与 Internet 时间源同步时,不会有任何身份验证。您必须重新配置
MaxPosPhaseCorrection
MaxNegPhaseCorrection
这两个注册表项。它们的默认值是 0xFFFFFFFF(接受任何时间更改)。根据时间源、网络状况和安全要求的不同,建议将该值设置为 900(15 分钟)或更低。该值还取决于轮询间隔。建议您将
MaxPollInterval
注册表项的值设置为 10 或更低,或者将
SpecialPollInterval
注册表项的值设置为 3600(1 小时)或更低。有关这两个注册表项的更多信息,请参阅“Windows Server 2003 和 Windows XP 时间服务注册表项”一节。
域中的域控制器和成员服务器
MaxPosPhaseCorrection
MaxNegPhaseCorrection
这两个注册表项的默认值是 0xFFFFFFFF(接受任何时间更改)。此默认值可以满足需要。不过,您需要域中有更多的安全措施来帮助防止发生人为错误。根据您的需要,您可以保留也可以修改这些默认值。

独立客户端

MaxPosPhaseCorrection
MaxNegPhaseCorrection
这两个注册表项的默认值是 54,000(15 小时)。作为保障安全的最佳做法,应减小此默认值。根据时间源、网络状况、轮询间隔和安全要求的不同,建议将该值设置为 3600(1 小时)或更低。

Windows Server 2003 和 Windows XP 时间服务注册表项

注册表项
MaxPosPhaseCorrection
路径
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
注释该项指定服务可进行的最大正时间校准量(以秒为单位)。如果服务确定某个更改幅度大于所需的幅度,它将记录一个事件。特殊情况:0xFFFFFFFF 表示总是校准时间。域成员的默认值是 0xFFFFFFFF。独立客户端和服务器的默认值是 54,000(15 小时)。
注册表项
MaxNegPhaseCorrection
路径
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
注释该项指定服务可进行的最大负时间校准量(以秒为单位)。如果服务确定某个更改幅度大于所需的幅度,它将转而记录一个事件。特殊情况:-1 表示总是校准时间。域成员的默认值是 0xFFFFFFFF。独立客户端和服务器的默认值是 54,000(15 小时)。
注册表项
MaxPollInterval
路径
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
注释该项指定系统轮询间隔所允许的最大间隔(单位是用对数形式表示的秒)。请注意,尽管系统必须根据预定的间隔进行轮询,但是提供程序可以根据请求拒绝生成示例。域成员的默认值是 10。独立客户端和服务器的默认值是 15。
注册表项
SpecialPollInterval
路径
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient
注释该项指定手动对等端的特殊轮询间隔(以秒为单位)。当启用 SpecialInterval 0x1 标志时,W32Time 将使用此轮询间隔而非操作系统确定的轮询间隔。域成员的默认值是 3,600。独立客户端和服务器的默认值是 604,800。
有关基于 Windows Server 2003 的目录林中的 Windows 时间服务的其他信息,请访问下面的网站:

Windows 2000 Service Pack 4 (SP4)(所有版本)

域服务器

目录林根 PDC(权威时间服务器)
我们强烈建议您将权威时间服务器配置为从硬件源获取时间。当您将权威时间服务器配置为与 Internet 时间源同步时,将不为手动模式进行身份验证。您必须重新配置
MaxAllowedClockErrInSecs
注册表项。其默认值是 43,200。根据时间源、网络状况和安全要求的不同,建议将该值设置为 900(15 分钟)或更低。该值还取决于轮询间隔。建议将轮询间隔设置为 1 小时 (Period = 24)。有关该注册表项的更多信息,可查看下文中的“Windows Server 2000 SP4 注册表项”一节。
域中的域控制器和成员服务器
同步类型为 NT5DS。时间服务从域层级进行同步,并接受所有时间更改。由于 NT5DS 接受所有时间更改而不考虑时间偏移,因此在时间同步子网中设置可靠的目录林根时间源非常重要。

独立客户端

MaxAllowedClockErrInSecs
注册表项的默认值是 43,200(12 小时)。作为保障安全的最佳做法,应减小此默认值。根据时间源、网络状况、轮询间隔和安全要求的不同,建议将该值设置为 3600(1 小时)或更低。
Windows Server 2000 SP4 注册表项
注册表项
MaxAllowedClockErrInSecs
路径
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
注释指定允许的最大时钟更改量(以秒为单位)。如果达到该更改量,将记录一个事件,而且不会调整时间来帮助保护任何可疑的时间戳。域成员的默认值是 43,200。
属性

文章 ID:884776 - 上次审阅时间:02/13/2007 15:39:00 - 修订版本: 8.2

Microsoft Windows XP Professional Edition, Microsoft Windows Server 2003, 64-Bit Datacenter Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Server 2003 Datacenter Edition, Microsoft Windows Server 2003 Enterprise Edition, Microsoft Windows Server 2003 Standard Edition, Microsoft Windows Server 2003 Web Edition, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Datacenter Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows 2000 Service Pack 4

  • kbhowto kbinfo kbsecurity KB884776
反馈
ement('meta');m.name='ms.dqp0';m.content='true';document.getElementsByTagName('head')[0].appendChild(m);" onload="var m=document.createElement('meta');m.name='ms.dqp0';m.content='false';document.getElementsByTagName('head')[0].appendChild(m);" src="http://c1.microsoft.com/c.gif?">