How to Set Up een gemachtigde tijdserver in een Windows 2003 Server Based Active Directory Network
Thursday, August 27th, 2009
David Evans asked:
De Windows Time-service (W32Time) is ontworpen om alle Windows 2000 of hoger machines kunnen in een organisatie om een gesynchroniseerde tijd gebruiken. De dienst wordt gebruikt om de veiligheid van de Windows Kerberos authenticatie protocol. Dit artikel beschrijft de procedure voor het opzetten van een gemachtigde tijdserver voor een Windows 2003 Server Active Directory gebaseerd netwerk. Het beschrijft ook de hiërarchische relatie van de tijd synchronisatie autoriteit. Het artikel geeft ook enige tijd synchronisatie hints, tips en problemen oplossen.
De 'Windows Time' hiërarchie.
De Windows Time-service maakt gebruik van een hiërarchische structuur synchronisatie. Standaard Windows-computers gebruik maken van de volgende hiërarchie:
– Alle tijd clientwerkstations benoemen hun domein controller als hun tijd synchronisatie bron.
– Alle lidservers ook benoemen hun domein controller als hun tijd synchronisatie bron.
– Alle domeincontrollers in een domein benoemen de primaire domeincontroller (PDC) als hun tijd synchronisatie bron.
– Alle Primary Domain controllers volgen de hiërarchie van domeinen in de selectie van hun tijd synchronisatie bron.
In de hiërarchie van de PDC-emulator in het bos hoofddomein tijd is de primaire referentie voor de organisatie. De PDC in het bos hoofddomein kan zijn interne referentie klok gecontroleerd op een aantal manieren:
– Door gebruik te maken van een eigen intern systeem klok. Zal echter niet gesynchroniseerd systeem klokken aanzienlijk drift in de tijd.
– Door te synchroniseren op basis van een Internet NTP tijdserver. Een nauwkeurig kan worden verkregen bij een Internet NTP-server, maar dit verhoogt veiligheid omdat nauwkeurigheid kan niet worden gegarandeerd. Ook moet de NTP-poort in de firewall open worden gelaten voor de synchronisatie. Daarnaast internet gebaseerde NTP-servers kunnen geen authenticatie, zodat de bron van de tijd kan niet worden gegarandeerd.
– Door synchronisatie met een op basis van lokale intranet NTP time server. Een lokale NTP-server heeft het voordeel dat zij een traceerbare tijd referentie-en ook veilige authenticatie.
– Door gebruik te maken van een hardware referentie klok, zoals een GPS of tijdstip en de frequentie op basis van radio-time uitzending. Een GPS-of radio-gebaseerde hardware verwijzing klok zorgt voor een veilig traceerbaar tijd referentie.
Windows Time-service Configuratie.
Configuratie van de Windows Time-service wordt uitgevoerd door het bewerken van het register entries. Het is sterk aanbevolen dat het register een back-up voor het uitvoeren van eventuele wijzigingen. Hierdoor kan het register worden hersteld in het geval van foutieve wijziging.
Voor het configureren van de PDC-master haar interne systeemklok gebruik vereist slechts dat de W32Time registervermelding "HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services W32Time Config AnnounceFlags 'is ingesteld op' A '. Dit maakt de PDC zich aankondigen als een betrouwbare bron tijd. Toch kan de systeemklok drift in de tijd en is niet gerelateerd aan een nauwkeurige tijd bron. Daarnaast zal Windows Time periodiek genereren systeem logboek waarschuwingen waaruit blijkt dat de PDC moet worden geconfigureerd om te synchroniseren met een externe tijdsbron. Deze waarschuwing kan worden genegeerd.
Het configureren van de PDC om te synchroniseren met een externe verwijzing tijd, moet de volgende registeringangen worden aangepast:
HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services W32Time Parameters Type
Deze registervermelding zijn de soorten van peers die de Windows Time-service zal te synchroniseren. Wijzig de registervermelding op 'NTP' te synchroniseren met een externe NTP-server.
HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services W32Time Config AnnounceFlags
De 'Kondig Flags' registervermelding geeft aan dat de PDC zelf moet aankondigen als een betrouwbare bron tijd. Stel deze registervermelding de waarde '5 '.
HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services W32Time TimeProviders NtpServer
De' register NtpServer 'geeft aan dat niet-standaard modus combinaties zijn toegestaan in synchronisatie tussen leeftijdgenoten. Deze vermelding moet worden ingesteld op de waarde 1.
HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services W32Time Parameters NtpServer
De 'register NtpServer' item bevat een spatie gescheiden lijst van stratum 1 keer servers waarvan de PDC kan verkrijgen tijd. Als DNS-namen worden gebruikt in plaats van IP-adressen, moet je 0×1 toevoegen aan het einde van elke DNS-naam.
HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services W32Time TimeProviders NtpClient SpecialPollInterval
< br /> De 'register speciale Navraaginterval' geeft de betreffende periode, in seconden tussen elke peiling van een NTP-server. Microsoft raadt een waarde van 900 seconden tot omzetting naar een peiling om de 15 minuten.
HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services W32Time Config MaxPosPhaseCorrection
Het 'veld MaxPosPhaseCorrection' geeft de maximale positieve correctie tijd in seconden dat de tijd die dienst kan doen. Als een tijd correctie groter is dan het maximum is de benodigde tijd dienst logs een gebeurtenis in het logboek. Als dit veld is ingesteld op een tijd correctie 0xFFFFFFFF is altijd, ongeacht de grootte gemaakt. Een geschikte waarde kan worden 3600 seconden (1 uur).
HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services W32Time Config MaxNegPhaseCorrection
Het veld 'MaxNegPhaseCorrection' geeft de maximale negatieve correctie tijd in seconden dat de tijd die dienst kan doen. Als een tijd correctie groter is dan het maximum is de benodigde tijd dienst logs een gebeurtenis in het logboek. Als dit veld is ingesteld op een tijd correctie 0xFFFFFFFF is altijd, ongeacht de grootte gemaakt. Een geschikte waarde kan zijn 3600 seconden (1 uur).
Na de registervermeldingen correct zijn gewijzigd, moet de Windows Time-service worden gestopt en opnieuw gestart. Op een opdrachtprompt voer 'net stop w32time & & net start w32time' om de service opnieuw te starten.
Hints en tips.
De juiste werking van de Windows Time-service is sterk afhankelijk van de correcte werking van netwerk-apparatuur en infrastructuur. Voorkomende problemen zoals TCP / IP-connectiviteit, DNS-resolutie, kan onnauwkeurige NTP tijd referenties en alle netwerk vertraging veroorzaken problemen met de synchronisatie service. Bovendien, wanneer synchroniseren met een Internet NTP-server, ervoor zorgen dat USP poort 123 is geopend op de firewall. UDP-poort 123 is de poort gereserveerd voor communicatie NTP-pakketten.
windows domain
De Windows Time-service (W32Time) is ontworpen om alle Windows 2000 of hoger machines kunnen in een organisatie om een gesynchroniseerde tijd gebruiken. De dienst wordt gebruikt om de veiligheid van de Windows Kerberos authenticatie protocol. Dit artikel beschrijft de procedure voor het opzetten van een gemachtigde tijdserver voor een Windows 2003 Server Active Directory gebaseerd netwerk. Het beschrijft ook de hiërarchische relatie van de tijd synchronisatie autoriteit. Het artikel geeft ook enige tijd synchronisatie hints, tips en problemen oplossen.
De 'Windows Time' hiërarchie.
De Windows Time-service maakt gebruik van een hiërarchische structuur synchronisatie. Standaard Windows-computers gebruik maken van de volgende hiërarchie:
– Alle tijd clientwerkstations benoemen hun domein controller als hun tijd synchronisatie bron.
– Alle lidservers ook benoemen hun domein controller als hun tijd synchronisatie bron.
– Alle domeincontrollers in een domein benoemen de primaire domeincontroller (PDC) als hun tijd synchronisatie bron.
– Alle Primary Domain controllers volgen de hiërarchie van domeinen in de selectie van hun tijd synchronisatie bron.
In de hiërarchie van de PDC-emulator in het bos hoofddomein tijd is de primaire referentie voor de organisatie. De PDC in het bos hoofddomein kan zijn interne referentie klok gecontroleerd op een aantal manieren:
– Door gebruik te maken van een eigen intern systeem klok. Zal echter niet gesynchroniseerd systeem klokken aanzienlijk drift in de tijd.
– Door te synchroniseren op basis van een Internet NTP tijdserver. Een nauwkeurig kan worden verkregen bij een Internet NTP-server, maar dit verhoogt veiligheid omdat nauwkeurigheid kan niet worden gegarandeerd. Ook moet de NTP-poort in de firewall open worden gelaten voor de synchronisatie. Daarnaast internet gebaseerde NTP-servers kunnen geen authenticatie, zodat de bron van de tijd kan niet worden gegarandeerd.
– Door synchronisatie met een op basis van lokale intranet NTP time server. Een lokale NTP-server heeft het voordeel dat zij een traceerbare tijd referentie-en ook veilige authenticatie.
– Door gebruik te maken van een hardware referentie klok, zoals een GPS of tijdstip en de frequentie op basis van radio-time uitzending. Een GPS-of radio-gebaseerde hardware verwijzing klok zorgt voor een veilig traceerbaar tijd referentie.
Windows Time-service Configuratie.
Configuratie van de Windows Time-service wordt uitgevoerd door het bewerken van het register entries. Het is sterk aanbevolen dat het register een back-up voor het uitvoeren van eventuele wijzigingen. Hierdoor kan het register worden hersteld in het geval van foutieve wijziging.
Voor het configureren van de PDC-master haar interne systeemklok gebruik vereist slechts dat de W32Time registervermelding "HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services W32Time Config AnnounceFlags 'is ingesteld op' A '. Dit maakt de PDC zich aankondigen als een betrouwbare bron tijd. Toch kan de systeemklok drift in de tijd en is niet gerelateerd aan een nauwkeurige tijd bron. Daarnaast zal Windows Time periodiek genereren systeem logboek waarschuwingen waaruit blijkt dat de PDC moet worden geconfigureerd om te synchroniseren met een externe tijdsbron. Deze waarschuwing kan worden genegeerd.
Het configureren van de PDC om te synchroniseren met een externe verwijzing tijd, moet de volgende registeringangen worden aangepast:
HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services W32Time Parameters Type
Deze registervermelding zijn de soorten van peers die de Windows Time-service zal te synchroniseren. Wijzig de registervermelding op 'NTP' te synchroniseren met een externe NTP-server.
HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services W32Time Config AnnounceFlags
De 'Kondig Flags' registervermelding geeft aan dat de PDC zelf moet aankondigen als een betrouwbare bron tijd. Stel deze registervermelding de waarde '5 '.
HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services W32Time TimeProviders NtpServer
De' register NtpServer 'geeft aan dat niet-standaard modus combinaties zijn toegestaan in synchronisatie tussen leeftijdgenoten. Deze vermelding moet worden ingesteld op de waarde 1.
HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services W32Time Parameters NtpServer
De 'register NtpServer' item bevat een spatie gescheiden lijst van stratum 1 keer servers waarvan de PDC kan verkrijgen tijd. Als DNS-namen worden gebruikt in plaats van IP-adressen, moet je 0×1 toevoegen aan het einde van elke DNS-naam.
HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services W32Time TimeProviders NtpClient SpecialPollInterval
< br /> De 'register speciale Navraaginterval' geeft de betreffende periode, in seconden tussen elke peiling van een NTP-server. Microsoft raadt een waarde van 900 seconden tot omzetting naar een peiling om de 15 minuten.
HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services W32Time Config MaxPosPhaseCorrection
Het 'veld MaxPosPhaseCorrection' geeft de maximale positieve correctie tijd in seconden dat de tijd die dienst kan doen. Als een tijd correctie groter is dan het maximum is de benodigde tijd dienst logs een gebeurtenis in het logboek. Als dit veld is ingesteld op een tijd correctie 0xFFFFFFFF is altijd, ongeacht de grootte gemaakt. Een geschikte waarde kan worden 3600 seconden (1 uur).
HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services W32Time Config MaxNegPhaseCorrection
Het veld 'MaxNegPhaseCorrection' geeft de maximale negatieve correctie tijd in seconden dat de tijd die dienst kan doen. Als een tijd correctie groter is dan het maximum is de benodigde tijd dienst logs een gebeurtenis in het logboek. Als dit veld is ingesteld op een tijd correctie 0xFFFFFFFF is altijd, ongeacht de grootte gemaakt. Een geschikte waarde kan zijn 3600 seconden (1 uur).
Na de registervermeldingen correct zijn gewijzigd, moet de Windows Time-service worden gestopt en opnieuw gestart. Op een opdrachtprompt voer 'net stop w32time & & net start w32time' om de service opnieuw te starten.
Hints en tips.
De juiste werking van de Windows Time-service is sterk afhankelijk van de correcte werking van netwerk-apparatuur en infrastructuur. Voorkomende problemen zoals TCP / IP-connectiviteit, DNS-resolutie, kan onnauwkeurige NTP tijd referenties en alle netwerk vertraging veroorzaken problemen met de synchronisatie service. Bovendien, wanneer synchroniseren met een Internet NTP-server, ervoor zorgen dat USP poort 123 is geopend op de firewall. UDP-poort 123 is de poort gereserveerd voor communicatie NTP-pakketten.
windows domain
