Artikel ID: 816042 - Laatste beoordeling: donderdag 17 januari 2008 - Wijziging: 7.1

Een gemachtigde tijdserver configureren in Windows Server 2003

Bekijk de producten waarop dit artikel van toepassing is.
Belangrijk Dit artikel bevat informatie over het bewerken van het register. Maak eerst een reservekopie van het register voordat u dit gaat bewerken. Ga eerst na of u weet hoe u het register kunt herstellen als er een probleem optreedt. Als u meer informatie wilt over het maken van een back-up van het register en het herstellen of wijzigen van het register, klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
256986  (http://support.microsoft.com/kb/256986/ ) Beschrijving van het Microsoft Windows-register

Op deze pagina

Alles uitklappen | Alles samenvouwen

Inleiding

Windows 2000 bevat W32Time, het tijdserviceprogramma dat noodzakelijk is voor het Kerberos-verificatieprotocol. Het doel van de Windows Time-service is ervoor te zorgen dat alle computers binnen een organisatie waarop Microsoft Windows 2000 of hoger wordt uitgevoerd, van dezelfde tijd gebruikmaken.

De Windows Time-service maakt gebruik van hiėrarchische verhoudingen waarmee de autoriteit wordt bepaald. Loops zijn hierbij niet toegestaan. Op deze wijze kan een uniform tijdgebruik worden gerealiseerd. Bij Windows-computers wordt standaard de volgende hiėrarchie gebruikt:
  • Alle desktop-clientcomputers benoemen de domeincontroller waardoor de verificatie wordt uitgevoerd, als inkomende tijdspartner.
  • Alle lidservers volgen dezelfde procedure als de desktop-clientcomputers.
  • Alle domeincontrollers in een domein benoemen de PDC-operations-master (Primary Domain Controller) als inkomende tijdspartner.
  • Alle PDC-operations-masters volgen de domeinhiėrarchie voor de selectie van hun tijdspartner.
In deze hiėrarchie wordt de PDC-operations-master aan de basis van het forest de gemachtigde tijdserver voor de organisatie. Het wordt ten zeerste aangeraden de gemachtigde tijdserver zodanig te configureren dat de tijd wordt opgehaald van een hardwarebron. Als u de gemachtigde tijdserver configureert voor synchronisatie met een internettijdsbron, is er geen verificatie. U wordt ook aangeraden de instellingen voor tijdcorrectie voor uw servers en zelfstandige clients te verlagen. Door deze aanbevelingen op te volgen, bevordert u de nauwkeurigheid en de beveiliging van uw domein.

Naar boven

De Windows Time-service configureren voor gebruik van een interne hardwareklok

Waarschuwing Er kunnen zich ernstige problemen voordoen als u het register foutief wijzigt met de Register-editor of met een andere methode. Wellicht moet u door deze problemen het besturingssysteem opnieuw installeren. Microsoft kan niet garanderen dat deze problemen opgelost kunnen worden. Het wijzigen van het register is dan ook voor uw eigen risico.

Als u de PDC-master wilt configureren zonder gebruik van een externe tijdsbron, wijzigt u de aankondigingsvlag op de PDC-master. De PDC-master is de server die de rol van PDC-master van het hoofddomein van het forest vervult voor het domein. Met deze configuratie wordt de PDC-master gedwongen zichzelf aan te kondigen als een betrouwbare tijdsbron en wordt gebruikgemaakt van de ingebouwde CMOS-klok (Complementary Metal Oxide Semiconductor). Als u de PDC-master wilt configureren met een interne hardwareklok, voert u de volgende stappen uit:
  1. Klik op Start, klik op Uitvoeren, typ regedit en klik op OK.
  2. Klik op de volgende registersubsleutel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags
  3. Klik in het rechterdeelvenster met de rechtermuisknop op AnnounceFlags en kies Wijzigen.
  4. In DWORD-waarde bewerken typt u A in het vak Waardegegevens en klikt u op OK.
  5. Sluit de Register-editor af.
  6. Typ de volgende opdracht bij de opdrachtprompt om de Windows Time-service opnieuw te starten en druk op Enter :
    net stop w32time && net start w32time
Opmerking De PDC-master mag niet worden geconfigureerd voor synchronisatie met zichzelf. Bezoek de volgende website om Request For Comment (RFC) 1305 te bekijken voor meer informatie over de reden waarom de PDC-master niet mag worden geconfigureerd voor synchronisatie met zichzelf:
http://www.rfc-editor.org/ (http://www.rfc-editor.org/)
Als de PDC-master is geconfigureerd voor synchronisatie met zichzelf, worden de volgende gebeurtenissen in het systeemlogboek vastgelegd:

Type: Informatie
Bron: W32Time
Categorie: Geen
Gebeurtenis-id: 38
Computer: Computernaam
Beschrijving: De tijdsprovider NtpClient ontvangt momenteel ongeldige tijdsgegevens van NTP-server_IP-adres of kan deze niet bereiken. Zie voor meer informatie de Help en ondersteuning op http://support.microsoft.com.

Type: Waarschuwing
Bron: W32Time
Categorie: Geen
Gebeurtenis-id: 47
Computer: Computernaam
Beschrijving: NtpClient van tijdprovider: Na 8 pogingen is er geen geldige reactie ontvangen van de handmatig geconfigureerde peer NTP-server_IP-adres. De peer wordt verworpen als een tijdsbron en de NtpClient probeert om een nieuwe peer met de betreffende DNS-naam te vinden. Zie voor meer informatie de Help en ondersteuning op http://support.microsoft.com.

Type: Fout
Bron: W32Time
Categorie: Geen
Gebeurtenis-id: 29
Computer: Computernaam
Beschrijving: De tijdsprovider NtpClient is geconfigureerd om de tijd bij een of meer tijdsbronnen op te halen. Geen van deze bronnen zijn echter toegankelijk. Er worden geen nieuwe pogingen gedaan gedurende 15 minuten. De tijdservice heeft geen nauwkeurige tijdsbron. Zie voor meer informatie de Help en ondersteuning op http://support.microsoft.com.

Als de PDC-master wordt uitgevoerd zonder een externe tijdsbron, wordt de volgende gebeurtenis geregistreerd in het toepassingslogboek:

Tijdprovider/NtpClient: deze computer is geconfigureerd om de domeinhiėrarchie te gebruiken om de tijdsbron vast te stellen. Deze is echter de PDC-emulator voor het domein aan de basis van het forest. Er bevindt zich dus geen computer hoger in de domeinhiėrarchie die als tijdsbron kan worden gebruikt. Het wordt aanbevolen om een betrouwbare tijdsservice in het basisdomein te configureren, of handmatig de PDC te configureren, zodat deze met een externe tijdsbron synchroniseert. In alle andere gevallen zal deze computer als bindende tijdsbron van de domeinhiėrarchie optreden. Als er geen externe tijdsbron voor gebruik op deze computer is geconfigureerd, kunt u de NtpClient beter uitschakelen.

Deze tekst is een herinnering dat een externe tijdsbron gebruikt moet worden en kan worden genegeerd.

Naar boven

De Windows Time-service configureren voor gebruik van een externe tijdsbron

Als u een interne tijdserver wilt configureren voor synchronisatie met een externe tijdsbron, volgt u deze stappen:
  1. Wijzig het servertype in NTP. Ga hiervoor als volgt te werk:
    1. Klik op Start, klik op Uitvoeren, typ regedit en klik op OK.
    2. Klik op de volgende registersubsleutel:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type
    3. Klik in het rechterdeelvenster met de rechtermuisknop op Type en kies Wijzigen.
    4. In DWORD-waarde bewerken typt u NTP in het vak Waardegegevens en klikt u op OK.
  2. Stel AnnounceFlags in op 5. Ga hiervoor als volgt te werk:
    1. Klik op de volgende registersubsleutel:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags
    2. Klik in het rechterdeelvenster met de rechtermuisknop op AnnounceFlags en kies Wijzigen.
    3. In DWORD-waarde bewerken typt u 5 in het vak Waardegegevens en klikt u op OK.
  3. Schakel NTPServer in. Ga hiervoor als volgt te werk:
    1. Klik op de volgende registersubsleutel:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer
    2. Klik in het rechterdeelvenster met de rechtermuisknop op Enabled en kies Wijzigen.
    3. In DWORD-waarde bewerken typt u 1 in het vak Waardegegevens en klikt u op OK.
  4. Geef de tijdsbronnen op. Ga hiervoor als volgt te werk:
    1. Klik op de volgende registersubsleutel:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\NtpServer
    2. Klik in het rechterdeelvenster met de rechtermuisknop op NtpServer en kies Wijzigen.
    3. In DWORD-waarde bewerken typt u Peers in het vak Waardegegevens en klikt u op OK.

      Opmerking Peers is een tijdelijke aanduiding voor een door spaties gescheiden lijst met peers waarvan uw computer tijdstempels ontvangt. Elke DNS-naam in de lijst moet uniek zijn. U moet ,0x1 toevoegen aan het einde van elke DNS-naam. Als u geen ,0x1 toevoegt, worden de wijzigingen uit stap 5 niet van kracht.
  5. Selecteer het pollinginterval. Ga hiervoor als volgt te werk:
    1. Klik op de volgende registersubsleutel:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\SpecialPollInterval
    2. Klik in het rechterdeelvenster met de rechtermuisknop op SpecialPollInterval en kies Wijzigen.
    3. In DWORD-waarde bewerken typt u TijdInSeconden in het vak Waardegegevens en klikt u op OK.

      Opmerking TijdInSeconden is een tijdelijke aanduiding voor het aantal seconden dat u tussen de verschillende controles wilt hebben. De waarde 900 Decimal wordt aanbevolen. Bij deze waarde wordt het pollinginterval van de tijdserver ingesteld op 15 minuten.
  6. Configureer de tijdcorrectie-instellingen. Ga hiervoor als volgt te werk:
    1. Klik op de volgende registersubsleutel:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxPosPhaseCorrection
    2. Klik in het rechterdeelvenster met de rechtermuisknop op MaxPosPhaseCorrection en kies Wijzigen.
    3. Selecteer in DWORD-waarde bewerken de optie Decimaal in het vak Grondtal.
    4. In DWORD-waarde bewerken typt u TijdInSeconden in het vak Waardegegevens en klikt u op OK.

      Opmerking TijdInSeconden is een tijdelijke aanduiding voor een redelijke waarde, zoals 1 uur (3600) of 30 minuten (1800). Welke waarde u selecteert, is afhankelijk van het pollinginterval, de netwerksituatie en de externe tijdsbron.
    5. Klik op de volgende registersubsleutel: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxNegPhaseCorrection
    6. Klik in het rechterdeelvenster met de rechtermuisknop op MaxNegPhaseCorrection en kies Wijzigen.
    7. Selecteer in DWORD-waarde bewerken de optie Decimaal in het vak Grondtal.
    8. In DWORD-waarde bewerken typt u TijdInSeconden in het vak Waardegegevens en klikt u op OK.

      Opmerking TijdInSeconden is een tijdelijke aanduiding voor een redelijke waarde, zoals 1 uur (3600) of 30 minuten (1800). Welke waarde u selecteert, is afhankelijk van het pollinginterval, de netwerksituatie en de externe tijdsbron.
  7. Sluit de Register-editor af.
  8. Typ de volgende opdracht bij de opdrachtprompt om de Windows Time-service opnieuw te starten en druk op Enter:
    net stop w32time && net start w32time

Naar boven

Probleemoplossing

De Windows Time-server werkt alleen juist als de netwerkinfrastructuur juist werkt. Hieronder volgen enkele van de meest voorkomende problemen met de Windows Time-service:
  • Er is een probleem met een TCP/IP-verbinding, zoals een niet-actieve gateway.
  • De naamomzettingsservice werkt niet juist.
  • Het netwerk is vertraagd door veel verkeer, met name wanneer synchronisatie plaatsvindt via WAN-verbindingen (Wide Area Network) met een lange wachttijd.
  • De Windows Time-service probeert te synchroniseren met onnauwkeurige tijdsbronnen.
U wordt aangeraden het hulpprogramma Netdiag.exe te gebruiken voor het oplossen van problemen met netwerken. Netdiag.exe is onderdeel van de ondersteuningsprogramma's voor Windows Server 2003. Zie het Help-onderwerp over de hulpprogramma's voor een lijst met opdrachtregelparameters die u kunt gebruiken voor Netdiag.exe. Als het probleem daarna nog steeds niet is opgelost, kunt u het logboek voor foutopsporing van de Windows Time-service inschakelen. Omdat het logboek zeer gedetailleerde informatie kan bevatten, wordt u aangeraden contact op te nemen met Microsoft Product Support Services als u het logboek voor foutopsporing van de Windows Time-service wilt inschakelen.

Een volledige lijst met telefoonnummers van Microsoft Product Support Services en informatie over kosten van ondersteuning vindt u op de volgende Microsoft-website:
http://support.microsoft.com/default.aspx?scid=fh;[LN];CNTACTMS (http://support.microsoft.com/default.aspx?scid=fh;%5Bln%5D;cntactms)
Opmerking In speciale gevallen kunnen kosten die normaal verbonden zijn aan ondersteuningsoproepen, worden geannuleerd als een medewerker van Microsoft Product Support Services van mening is dat een specifieke update de oplossing van uw probleem is. De normale ondersteuningskosten blijven gelden voor extra ondersteuningsvragen die niet in aanmerking komen voor de specifieke update in kwestie.

Naar boven

Meer informatie

NTP ondersteunt verschillende typen pakketten. Normaal gesproken verzenden NTP- en SNTP-clients (Simple Network Time Protocol) verzoekpakketten in clientmodus naar een NTP-server. De NTP-server reageert daarop met een pakket in servermodus. Configureer de service W32time voor het verzenden van symmetrische pakketten in actieve modus in plaats van clientmoduspakketten naar een NTP-server door de volgende opdracht na de opdrachtprompt te typen:
w32tm /config /manualpeerlist:<server>,0x4 /syncfromflags:MANUAL
Opmerking Gebruik de vlag 0x8 om W32time te dwingen normale clientverzoeken te verzenden in plaats van symmetrische pakketten in actieve modus. De NTP-server reageert als gebruikelijk op deze normale clientverzoeken.
Naar boven

Betrouwbare tijdsbronconfiguratie

Een computer die is geconfigureerd als betrouwbare tijdsbron, wordt aangewezen als de basis van de Windows Time-service. De basis van de Windows Time-service is de gemachtigde server voor het domein en is meestal zodanig geconfigureerd dat de tijd wordt opgehaald van een externe NTP-server of een hardwareapparaat. Een tijdserver kan worden geconfigureerd als een betrouwbare tijdsbron om de manier te optimaliseren waarop tijd wordt doorgegeven in de domeinhiėrarchie. Als een domeincontroller is geconfigureerd als betrouwbare tijdsbron, kondigt de Net Logon-service die domeincontroller aan als een betrouwbare tijdsbron bij de aanmelding op het netwerk. Als andere domeincontrollers een tijdsbron zoeken om mee te synchroniseren, selecteren ze eerst een betrouwbare bron, als die beschikbaar is.

Naar boven

Handmatig opgegeven synchronisatie

Met handmatig opgegeven synchronisatie kunt u één peer of een lijst met peers aanwijzen waarvan een computer de tijd ophaalt. Als de computer geen lid is van een domein, moet deze handmatig worden geconfigureerd voor synchronisatie met een opgegeven tijdsbron. Een computer die lid is van een domein, is standaard geconfigureerd voor synchronisatie vanuit de domeinhiėrarchie. Handmatig opgegeven synchronisatie is vooral nuttig voor het forest-hoofd van het domein of voor computers die geen lid zijn van een domein. Als u handmatig een externe NTP-server opgeeft voor synchronisatie met de gemachtigde computer voor uw domein, zorgt u voor een betrouwbare tijd. Voor hoge nauwkeurigheid en veiligheid van het domein wordt u echter aangeraden de gemachtigde computer van uw domein zodanig te configureren dat deze synchroniseert met een hardwareklok.

Zonder hardwaretijdsbron wordt W32time geconfigureerd als een NTP-type. U moet de registervermeldingen MaxPosPhaseCorrection en MaxNegPhaseCorrection opnieuw configureren. De aanbevolen waarde moet 15 minuten of nog lager zijn, afhankelijk van tijdsbron, netwerktoestand en beveiligingseisen. Deze vereiste geldt ook voor alle betrouwbare tijdsbronnen die worden geconfigureerd als de tijdsbron voor het foresthoofd in het subnetwerk voor tijdsynchronisatie. Meer informatie over deze registervermeldingen vindt u in de sectie 'Registervermeldingen van de Windows Time-service' van dit artikel.

Opmerking Handmatig opgegeven tijdsbronnen worden alleen geverifieerd als er een specifieke tijdprovider voor wordt geschreven. Deze tijdsbronnen zijn daarom kwetsbaar voor aanvallen. Als een computer synchroniseert met een handmatig opgegeven bron in plaats van met de verifiėrende domeincontroller, zijn de twee computers bovendien wellicht niet synchroon. In dit scenario mislukt Kerberos-verificatie en kunnen ook andere acties mislukken waarvoor netwerkverificatie nodig is, zoals het afdrukken of delen van bestanden. Als alleen het foresthoofd is geconfigureerd voor synchronisatie met een externe bron, blijven alle andere computers binnen het forest synchroon met elkaar. Door deze configuratie worden replay-aanvallen moeilijk.

Naar boven

Alle beschikbare synchronisatiemechanismen

De optie 'alle beschikbare synchronisatiemechanismen' is de meest waardevolle synchronisatiemethode voor gebruikers in een netwerk. Met deze methode is synchronisatie met de domeinhiėrarchie mogelijk en kan bovendien een alternatieve tijdsbron worden geboden als de domeinhiėrarchie niet beschikbaar is, afhankelijk van de configuratie. Als de client geen tijd kan synchroniseren met de domeinhiėrarchie, valt de tijdsbron automatisch terug op de tijdsbron die is opgegeven met de instelling voor NtpServer. Deze synchronisatiemethode biedt de hoogste kans op nauwkeurige tijd voor clients.

Naar boven

Registervermeldingen van de Windows Time-service

De volgende registervermeldingen bevinden zich onder HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\:
Deze tabel samenvouwenDeze tabel uitklappen
RegistervermeldingMaxPosPhaseCorrection
PadHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
OpmerkingenMet deze vermelding wordt de grootste positieve tijdcorrectie in seconden opgegeven die door de service wordt gemaakt. Als de service vaststelt dat er een grotere wijziging dan deze waarde nodig is, wordt een gebeurtenis geregistreerd in het logboek. (0xFFFFFFFF is een speciaal geval, dat aangeeft dat altijd een tijdcorrectie moet worden gemaakt.) De standaardwaarde voor domeinleden is 0xFFFFFFFF. De standaardwaarde voor zelfstandige clients en servers is 54.000 of 15 uur.
Deze tabel samenvouwenDeze tabel uitklappen
RegistervermeldingMaxNegPhaseCorrection
PadHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
OpmerkingenMet deze vermelding wordt de grootste negatieve tijdcorrectie in seconden opgegeven die door de service wordt gemaakt. Als de service vaststelt dat er een grotere wijziging dan deze waarde nodig is, wordt in plaats daarvan een gebeurtenis geregistreerd in het logboek. (-1 is een speciaal geval, dat aangeeft dat altijd een tijdcorrectie moet worden gemaakt.) De standaardwaarde voor domeinleden is 0xFFFFFFFF. De standaardwaarde voor zelfstandige clients en servers is 54.000 of 15 uur.
Deze tabel samenvouwenDeze tabel uitklappen
RegistervermeldingMaxPollInterval
PadHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
Opmerking Met deze vermelding wordt het grootste interval, in logseconden, opgegeven dat is toegestaan voor het systeempollinginterval. Hoewel een systeem moet controleren volgens het geplande interval, kan een provider weigeren metingen te geven wanneer daarom wordt gevraagd. De standaardwaarde voor domeinleden is 10. De standaardwaarde voor zelfstandige clients en servers is 15.
Deze tabel samenvouwenDeze tabel uitklappen
RegistervermeldingSpecialPollInterval
PadHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient
Opmerking Met deze vermelding wordt het speciale pollinginterval in seconden opgegeven voor handmatige peers. Als de vlag 0x1 van SpecialInterval is ingeschakeld, gebruikt W32Time dit pollinginterval in plaats van een pollinginterval dat is bepaald door het besturingssysteem. De standaardwaarde op domeinleden is 3600. De standaardwaarde op zelfstandige clients en servers is 604.800.
Deze tabel samenvouwenDeze tabel uitklappen
RegistervermeldingMaxAllowedPhaseOffset
PadHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
Opmerking Met deze vermelding wordt de maximale afwijking, in seconden, opgegeven waarvoor W32Time probeert de computerklok aan te passen via de kloksnelheid. Als de afwijking groter is dan deze snelheid, wordt de computerklok rechtstreeks ingesteld. De standaardwaarde voor domeinleden is 300. De standaardwaarde voor zelfstandige clients en servers is 1.
Naar boven

Referenties

Als u meer informatie wilt over de Windows Time-service, klikt u op de volgende artikelnummers in de Microsoft Knowledge Base:
816043  (http://support.microsoft.com/kb/816043/ ) Logboekregistratie voor foutopsporing in de Windows Time-service inschakelen
884776  (http://support.microsoft.com/kb/884776/ ) De Windows Time-service configureren bij een groot tijdverschil
321708  (http://support.microsoft.com/kb/321708/ ) Het diagnostisch hulpprogramma voor netwerken (Netdiag.exe) gebruiken in Windows 2000
314054  (http://support.microsoft.com/kb/314054/ ) Een gemachtigde tijdserver configureren in Windows XP
216734  (http://support.microsoft.com/kb/216734/ ) Een gemachtigde tijdserver configureren in Windows 2000
Als u meer informatie wilt over de Windows Time-service in een Windows Server 2003-forest, gaat u naar de volgende Microsoft-website:
http://technet2.microsoft.com/windowsserver/en/library/A0FCD250-E5F7-41B3-B0E8-240F8236E2101033.mspx

Naar boven
De informatie in dit artikel is van toepassing op:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
Naar boven
Trefwoorden: 
kbhowto kbsecurity KB816042
Naar boven
 

Get Help Now

Contact a support professional by E-mail, Online, or Phone

Vertaalde artikelen

 

Related Support Centers