Windows 包含 W32Time,它是 Kerberos 身份验证协议所需的时间服务工具。时间服务工具的目的是确保组织中运行 Microsoft Windows 2000 或更高版本的所有计算机都使用公共时间。为确保适当地使用公共时间,时间服务使用层级关系来控制权威,而且不允许出现循环。默认情况下,基于 Windows 的计算机使用下面的层级:
| • |
所有客户端桌面计算机都提名身份验证域控制器作为其入站时间伙伴。 |
| • |
所有成员服务器都遵循与客户端桌面计算机相同的过程。 |
| • |
域中的所有域控制器都提名主要域控制器 (PDC) 操作主机作为其入站时间伙伴。 |
| • |
所有 PDC 操作主机在选择其入站时间伙伴时都遵循域的层次结构,但可能使用基于层次编号的父域控制器。 |
在此层级中,位于目录林根的 PDC 操作主机成为组织的权威时间服务器。我们强烈建议您将权威时间服务器配置为从硬件源获取时间。当您将权威时间服务器配置为与 Internet 时间源同步时,不会有任何身份验证。我们还建议您降低服务器和独立客户端的时间校准设置。这些建议可以为您的域提供更准确的时间。
回到顶端
Microsoft Windows XP Professional 和 Microsoft Windows Server 2003(所有版本)
域服务器
目录林根 PDC(权威时间服务器)
我们强烈建议您将权威时间服务器配置为从硬件源获取时间。当您将权威时间服务器配置为与 Internet 时间源同步时,不会有任何身份验证。您必须重新配置 MaxPosPhaseCorrection 和 MaxNegPhaseCorrection 这两个注册表项。它们的默认值是 0xFFFFFFFF(接受任何时间更改)。根据时间源、网络状况和安全要求的不同,建议将该值设置为 900(15 分钟)或更低。该值还取决于轮询间隔。建议您将 MaxPollInterval 注册表项的值设置为 10 或更低,或者将 SpecialPollInterval 注册表项的值设置为 3600(1 小时)或更低。有关这两个注册表项的更多信息,请参阅“Windows Server 2003 和 Windows XP 时间服务注册表项”一节。
域中的域控制器和成员服务器
MaxPosPhaseCorrection 和 MaxNegPhaseCorrection 这两个注册表项的默认值是 0xFFFFFFFF(接受任何时间更改)。此默认值可以满足需要。不过,您需要域中有更多的安全措施来帮助防止发生人为错误。根据您的需要,您可以保留也可以修改这些默认值。
独立客户端
MaxPosPhaseCorrection 和 MaxNegPhaseCorrection 这两个注册表项的默认值是 54,000(15 小时)。作为保障安全的最佳做法,应减小此默认值。根据时间源、网络状况、轮询间隔和安全要求的不同,建议将该值设置为 3600(1 小时)或更低。
Windows Server 2003 和 Windows XP 时间服务注册表项
| 注册表项 |
MaxPosPhaseCorrection |
| 路径 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config |
| 注释 |
该项指定服务可进行的最大正时间校准量(以秒为单位)。如果服务确定某个更改幅度大于所需的幅度,它将记录一个事件。特殊情况:0xFFFFFFFF 表示总是校准时间。域成员的默认值是 0xFFFFFFFF。独立客户端和服务器的默认值是 54,000(15 小时)。 |
| 注册表项 |
MaxNegPhaseCorrection |
| 路径 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config |
| 注释 |
该项指定服务可进行的最大负时间校准量(以秒为单位)。如果服务确定某个更改幅度大于所需的幅度,它将转而记录一个事件。特殊情况:-1 表示总是校准时间。域成员的默认值是 0xFFFFFFFF。独立客户端和服务器的默认值是 54,000(15 小时)。 |
| 注册表项 |
MaxPollInterval |
| 路径 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config |
| 注释 |
该项指定系统轮询间隔所允许的最大间隔(单位是用对数形式表示的秒)。请注意,尽管系统必须根据预定的间隔进行轮询,但是提供程序可以根据请求拒绝生成示例。域成员的默认值是 10。独立客户端和服务器的默认值是 15。 |
| 注册表项 |
SpecialPollInterval |
| 路径 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient |
| 注释 |
该项指定手动对等端的特殊轮询间隔(以秒为单位)。当启用 SpecialInterval 0x1 标志时,W32Time 将使用此轮询间隔而非操作系统确定的轮询间隔。域成员的默认值是 3,600。独立客户端和服务器的默认值是 604,800。 |
有关基于 Windows Server 2003 的目录林中的 Windows 时间服务的其他信息,请访问下面的网站:
()
回到顶端
Windows 2000 Service Pack 4 (SP4)(所有版本)
域服务器
目录林根 PDC(权威时间服务器)
我们强烈建议您将权威时间服务器配置为从硬件源获取时间。当您将权威时间服务器配置为与 Internet 时间源同步时,将不为手动模式进行身份验证。您必须重新配置 MaxAllowedClockErrInSecs 注册表项。其默认值是 43,200。根据时间源、网络状况和安全要求的不同,建议将该值设置为 900(15 分钟)或更低。该值还取决于轮询间隔。建议将轮询间隔设置为 1 小时 (Period = 24)。有关该注册表项的更多信息,可查看下文中的“Windows Server 2000 SP4 注册表项”一节。
域中的域控制器和成员服务器
同步类型为 NT5DS。时间服务从域层级进行同步,并接受所有时间更改。由于 NT5DS 接受所有时间更改而不考虑时间偏移,因此在时间同步子网中设置可靠的目录林根时间源非常重要。
独立客户端
MaxAllowedClockErrInSecs 注册表项的默认值是 43,200(12 小时)。作为保障安全的最佳做法,应减小此默认值。根据时间源、网络状况、轮询间隔和安全要求的不同,建议将该值设置为 3600(1 小时)或更低。
Windows Server 2000 SP4 注册表项
| 注册表项 |
MaxAllowedClockErrInSecs |
| 路径 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters |
| 注释 |
指定允许的最大时钟更改量(以秒为单位)。如果达到该更改量,将记录一个事件,而且不会调整时间来帮助保护任何可疑的时间戳。域成员的默认值是 43,200。 |
回到顶端
