Como configurar um servidor de horário autoritativo no Windows Server

O Windows inclui o W32Time, a ferramenta de Serviço de Horário que é necessária para o protocolo de autenticação Kerberos. O objetivo do serviço de Horário do Windows é garantir que todos os computadores que estejam executando o Microsoft Windows 2000 ou versões anteriores em uma empresa utilizem um mesmo horário.

Para garantir o uso de um horário comum, o serviço de Horário do Windows utiliza uma relação hierárquica que controla a autoridade e não permite loops. Por padrão, os computadores baseados em Windows usam a seguinte hierarquia:

• Todos os computadores desktop cliente designam o controlador de domínio de autenticação como seu parceiro de horário associado.
• Todos os servidores membros seguem o mesmo processo que os computadores desktop cliente.
• Todos os controladores de domínio designam o mestre de operações do controlador de domínio primário (PDC) como o parceiro de horário associado.
• Todos os mestres de operações PDC seguem a hierarquia de domínios na seleção de parceiro de horário associado.

Nessa hierarquia, o mestre de operações PDC na raiz da floresta se torna autoritativo para a organização. É altamente recomendável configurar o servidor de horário autoritativo para obter o horário a partir de uma fonte de hardware. Quando você configurar o servidor de horário autoritativo para sincronizar com uma fonte de tempo da Internet, não há nenhuma autenticação. Também recomendamos que você reduza as configurações de correção de tempo para seus servidores e clientes autônomos. Essas recomendações proporcionam mais precisão e segurança ao seu domínio.

Configurando o serviço de Horário do Windows para usar um relógio de hardware interno

Para que possamos configurar o uso de um relógio de hardware interno no serviço de Horário do Windows para você, vá para a seção "Corrigir para mim". Se preferir corrigir o problema por conta própria, vá para a seção ?Desejo corrigir sozinho?.

Corrigir para mim

Para corrigir o problema automaticamente, clique no link Corrigir este problema. Clique em Executar na caixa de diálogo Download de Arquivo e siga as etapas descritas no Assistente de correção.



Observações

• Este assistente pode se aplicar apenas às versões em inglês, mas a correção automática também funciona para versões do Windows em outros idiomas.
• Se você não estiver usando o computador que apresentou o problema, salve a solução Fix it em uma unidade flash ou em um CD e execute-a no computador que apresentou o problema.

Desejo corrigir sozinho

Importante Esta seção, este método ou esta tarefa contém etapas que descrevem como modificar o Registro. No entanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, siga estas etapas cuidadosamente. Para obter mais proteção, faça um backup do Registro antes de modificá-lo. Dessa forma, se ocorrer algum problema, você poderá restaurar o Registro. Para obter mais informações sobre como fazer backup e restaurar o Registro, clique no número abaixo para exibir o artigo da Base de Dados de Conhecimento Microsoft:

Para configurar o mestre PDC sem usar uma fonte de tempo externa, altere o sinalizador de anúncio no mestre PDC. O mestre PDC é o servidor que retém a função de mestre PDC de raiz da floresta para o domínio. Esta configuração força o mestre PDC a se anunciar como uma fonte de tempo confiável e usa o relógio semicondutor de óxido metálico complementar (CMOS) interno. Para configurar o mestre PDC usando um relógio de hardware interno, execute as seguintes etapas:

1. Clique em Iniciar, em Executar, digite regedit e clique em OK.
2. Localize e clique na seguinte subchave do Registro:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags
3. No painel à direita, clique com o botão direito do mouse em AnnounceFlags e clique em Modificar.
4. Em Editar valor DWORD, digite A na caixa Dados do valor e clique em OK.
5. Saia do Editor do Registro.
6. No prompt do comando, digite o seguinte comando para reiniciar o serviço de Horário do Windows e pressione ENTER:
   net stop w32time && net start w32time

Observação O mestre PDC não deve ser configurado para sincronizar com ele mesmo. Para obter mais informações sobre porque o mestre PDC não deve ser configurado para sincronizar com ele mesmo, visite o seguinte site para visualizar o RFC (Request for Comment) 1305:Se o mestre PDC for configurado para sincronizar com ele mesmo, os seguintes eventos serão registrados no log do sistema:

Tipo de Evento: Informações
Origem do Evento: W32Time
Categoria do Evento: Nenhuma
Identificação do Evento: 38
Computador: Nome_do_computador
Descrição: O provedor de tempo NtpClient não pode alcançar ou está recebendo dados de tempo inválidos de NTP_server_IP_Address. Para obter mais informações, consulte o Centro de Ajuda e Suporte em http://support.microsoft.com.

Tipo de Evento: Aviso
Origem do Evento: W32Time
Categoria do Evento: None
Identificação do Evento: 47
Computador: Nome_do_computador
Descrição: Provedor de tempo NtpClient: Nenhuma resposta válida foi recebida do nível de protocolo NTP_server_IP_Address configurado manualmente após 8 tentativas de contatá-lo. Esse parceiro será descartado como uma fonte de tempo e o NtpClient tentará descobrir um novo parceiro com seu nome DNS. Para obter mais informações, consulte o Centro de Ajuda e Suporte em http://support.microsoft.com.

Tipo de Evento: Erro
Origem do Evento: W32Time
Categoria do Evento: None
Identificação do Evento: 29
Computador: Nome_do_computador
Descrição: O provedor de tempo NtpClient é configurado para adquirir tempo de uma ou mais fontes. No entanto, nenhuma das fontes estão acessíveis no momento. Não será feita nenhuma tentativa de contatar uma fonte durante 15 minutos. O NtpClient não tem uma fonte de tempo preciso. Para obter mais informações, consulte o Centro de Ajuda e Suporte em http://support.microsoft.com.

Quando o mestre PDC é executado sem usar uma fonte de tempo externa, o seguinte evento é registrado no log do aplicativo:

Tipo de Evento: Erro
Origem do Evento: W32Time
Categoria do Evento: Nenhuma
Identificação do Evento: 12
Descrição: Provedor de tempo NtpClient: Esta máquina está configurada para usar a hierarquia de domínio para determinar sua fonte de tempo, mas ele é o emulador PDC para o domínio na raiz da floresta. Assim, não há nenhuma máquina acima dela na hierarquia de domínio para usar como fonte de tempo. É recomendado que você configure um serviço de tempo confiável no domínio da raiz ou configure o PDC manualmente para sincronizar com uma fonte de tempo externa. Caso contrário, esta máquina funcionará como a fonte de tempo autoritativa na hierarquia de domínio. Se uma fonte de tempo externa não estiver configurada ou não for usada por este computador, você poderá desabilitar o NtpClient.

Este texto é um lembrete para usar uma fonte de tempo externa e pode ser ignorado.

Configurando o serviço de Horário do Windows para usar uma fonte de horário externa

Para que possamos ajudá-lo a configurar um serviço de servidor de horário interno que sincronize com uma fonte de tempo externa, vá para a seção "Corrigir para mim". Se você preferir corrigir o problema sozinho, vá para a seção "Desejo corrigir sozinho".

Corrigir para mim

Para corrigir esse problema automaticamente, clique no botão ou link Fix it. Clique em Executar na caixa de diálogo Download de Arquivo e siga as etapas descritas no Assistente de correção.




Observações

• Este assistente pode se aplicar apenas às versões em inglês, mas a correção automática também funciona para versões do Windows em outros idiomas.
• Se você não estiver usando o computador que apresentou o problema, salve a solução Fix it em uma unidade flash ou em um CD e execute-a no computador que apresentou o problema.

Desejo corrigir sozinho

Para configurar um servidor de horário interno para sincronizar com uma fonte de horário externa, execute as seguintes etapas:

1. Altere o tipo de servidor para NTP. Para fazer isto, execute as seguintes etapas:
   1. Clique em Iniciar, em Executar, digite regedit e clique em OK.
   2. Localize e clique na seguinte subchave do Registro:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type
   3. No painel à direita, clique com o botão direito do mouse em Tipo e clique em Modificar.
   4. Em Editar valor, digite NTP na caixa Dados do valor e clique em OK.
2. Defina
   AnnounceFlags
   como 5. Para fazer isso, execute as seguintes etapas:
   1. Localize e clique na seguinte subchave do Registro:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags
   2. No painel à direita, clique com o botão direito do mouse em AnnounceFlags e clique em Modificar.
   3. Em Editar valor DWORD, digite 5 na caixa Dados do valor e clique em OK.
      
      Observações
      • Se um servidor de horário autoritativo que está configurado para usar um valor AnnounceFlag de 0x5 não sincronizar com um servidor de horário upstream, um servidor cliente pode não sincronizar corretamente com o servidor de horário autoritativo quando a sincronização de horário entre o servidor de horário autoritativo e o servidor de horário upstream reinicia. Portanto, se você tiver uma conexão de rede precária ou outras preocupações que podem causar falha na sincronização do horário do servidor autoritativo para um servidor upstream, defina o valor AnnounceFlag para 0xA em vez de 0x5.
      • Se um servidor de horário autoritativo que está configurado para usar um valor AnnounceFlag de 0x5 e sincronizar com um servidor de horário upstream em um intervalo fixo especificado em SpecialPollInterval, um servidor cliente talvez não sincronize corretamente com o servidor de horário autoritativo após o servidor de horário autoritativo reiniciar. Portanto, se você configurar o seu servidor de horário autoritativo para sincronizar com um servidor NTP upstream em um intervalo fixo especificado em SpecialPollInterval, defina o valor AnnounceFlag para 0xA em vez de 0x5.
3. Ative o NTPServer. Para fazer isto, execute as seguintes etapas:
   1. Localize e clique na seguinte subchave do Registro:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer
   2. No painel à direita, clique com o botão direito do mouse em Habilitado e clique em Modificar.
   3. Em Editar valor DWORD, digite 1 na caixa Dados do valor e clique em OK.
4. Especifique as fontes de tempo. Para fazer isto, execute as seguintes etapas:
   1. Localize e clique na seguinte subchave do Registro:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
   2. No painel à direita, clique com o botão direito do mouse em NtpServer e clique em Modificar.
   3. Em Editar valor, digite Peers na caixa Dados do valor e clique em OK.
      
      Observação Peers é um espaço reservado para uma lista de colegas com espaço limitado da qual seu computador obtém carimbos de data/hora. Cada nome DNS listado deve ser exclusivo. Você deve acrescentar , 0 x 1 ao final de cada nome DNS. Se você não acrescentar ,0x1 ao final de cada nome DNS, as alterações feitas na etapa 5 não terão efeito.
5. Selecione o intervalo de sondagem. Para fazer isto, execute as seguintes etapas:
   1. Localize e clique na seguinte subchave do Registro:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\SpecialPollInterval
   2. No painel à direita, clique com o botão direito do mouse em SpecialPollInterval e clique em Modificar.
   3. Em Editar valor DWORD, digite TimeInSeconds na caixa Dados do valor e clique em OK.
      
      Observação TimeInSeconds é um espaço reservado para número de segundos que você deseja entre a sondagem. Valor recomendado é de 900 decimais. Esse valor configura o Servidor de Horário para pesquisar a cada 15 minutos.
6. Defina as configurações de correção do tempo. Para fazer isto, execute as seguintes etapas:
   1. Localize e clique na seguinte subchave do Registro:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxPosPhaseCorrection
   2. No painel à direita, clique com o botão direito do mouse em MaxPosPhaseCorrection e clique em Modificar.
   3. Em Editar valor DWORD, clique para selecionar Decimal na caixa Base.
   4. Em Editar valor DWORD, digite TimeInSeconds na caixa Dados do valor e clique em OK.
      
      Observação TimeInSeconds é um espaço reservado para um valor razoável, como 1 hora (3600) ou 30 minutos (1800). O valor selecionado dependerá do intervalo de sondagem, da condição de rede e da fonte de tempo externa.
   5. Localize e clique na seguinte subchave do Registro:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxNegPhaseCorrection
   6. No painel à direita, clique com o botão direito do mouse em MaxNegPhaseCorrection e clique em Modificar.
   7. Em Editar valor DWORD, clique para selecionar Decimal na caixa Base.
   8. Em Editar valor DWORD, digite TimeInSeconds na caixa Dados do valor e clique em OK.
      
      Observação TimeInSeconds é um espaço reservado para um valor razoável, como 1 hora (3600) ou 30 minutos (1800). O valor selecionado dependerá do intervalo de sondagem, da condição de rede e da fonte de tempo externa.
7. Saia do Editor do Registro.
8. No prompt do comando, digite o seguinte comando para reiniciar o serviço de Horário do Windows e pressione ENTER:
   net stop w32time && net start w32time

OBSERVAÇÃO: Para obter uma lista de servidores de horário disponíveis, conculte o artigo 262680 (http://support.microsoft.com/default.aspx?scid=kb;pt-br;262680)  da Base de Dados de Conhecimento da Microsoft - Uma lista dos servidores de horário do protocolo SNTP disponíveis na Internet

Solução de problemas

Para que o serviço de Horário do Windows funcione corretamente, a infraestrutura de rede deve funcionar adequadamente. Os problemas mais comuns que afetam o serviço de Horário do Windows incluem o seguinte:

• Há um problema com a conectividade TCP/IP, como um gateway inativo.
• O serviço de resolução de nome não está funcionando corretamente.
• A rede está enfrentando atrasos de alto volume, especialmente quando a sincronização ocorre sobre links WAN de alta latência.
• O serviço de Horário do Windows está tentando sincronizar com fontes de tempo incorretas.

Recomendamos que você use o utilitário Netdiag.exe para solucionar problemas relacionados à rede. O Netdiag.exe é parte do pacote de ferramentas de suporte do Windows Server 2003. Consulte Ajuda de ferramentas para obter uma lista completa de parâmetros de linha de comando que podem ser usados com o Netdiag.exe. Se o problema ainda não tiver sido resolvido, você poderá ligar o log de depuração do serviço de Horário do Windows. O log de depuração contém informações bastante detalhadas, por isso recomendamos que você entre em contato com o Atendimento Microsoft quando o log de depuração do serviço de Horário do Windows for ativado.

Para obter uma lista completa dos números de telefone do Atendimento Microsoft e informações sobre os custos de suporte, visite o seguinte site da Microsoft: Observação Em alguns casos, as taxas cobradas pelas ligações para o suporte podem ser canceladas se um profissional de suporte da Microsoft determinar que uma atualização específica resolverá o problema. Os custos normais de suporte serão aplicados a questões e problemas de suporte que não se qualifiquem à atualização específica em questão.

NTP suporta diversos tipos de pacotes diferentes. Normalmente, clientes NTP e clientes SNTP (Simple Network Time Protocol) enviam pacotes de solicitação no modo cliente a um servidor NTP. O servidor NTP responde com um pacote no modo do servidor. Para configurar o serviço W32time para enviar pacotes no modo ativo simétrico em vez de pacotes no modo cliente para um servidor NTP, digite o seguinte comando em um prompt de comando:Observação Use o sinalizador 0x8 para forçar o W32time a enviar solicitações normais de cliente em vez de pacotes no modo ativo simétrico. O servidor NTP responde a essas solicitações normais de cliente como de costume.

Configuração de uma fonte de tempo confiável

Um computador configurado para ser uma fonte de tempo confiável é identificado como a raiz do serviço de tempo do Windows. A raiz do serviço de Horário do Windows é o servidor autoritativo para o domínio e, normalmente, está configurado para recuperar tempo a partir de um servidor NTP externo ou dispositivo de hardware. Um servidor de tempo pode ser configurado como uma fonte de tempo confiável para otimizar como o tempo é transferido pela hierarquia do domínio. Se um controlador de domínio estiver configurado como uma fonte de tempo confiável, o serviço Logon de rede anunciará que o controlador de domínio é uma fonte de tempo confiável quando ele fizer logon na rede. Quando outros controladores de domínio procurarem por uma fonte de tempo para sincronizar, eles selecionarão uma fonte confiável primeiro, se estiver disponível.

Sincronização especificada manualmente

Com a sincronização especificada manualmente, é possível designar um único parceiro ou lista de parceiros de onde um computador obtém o horário. Se o computador não for membro de um domínio, ele poderá ser configurado manualmente para sincronizar com uma fonte de tempo especificada. Por padrão, um computador membro de um domínio é configurado a partir de uma hierarquia de domínio. A sincronização especificada manualmente é mais útil para a raiz da floresta do domínio ou para computadores que não estão conectados a um domínio. Ao especificar manualmente um servidor NTP externo para sincronizar com um computador autoritativo do seu domínio, você oferece tempo confiável. No entanto, para oferecer alta precisão e segurança para o seu domínio, recomendamos que você configure o computador autoritativo do domínio para sincronizar com um relógio de hardware.

Sem uma fonte de tempo de hardware, o W32time é configurado como um tipo NTP. Você deve reconfigurar as entradas do Registro MaxPosPhaseCorrection e MaxNegPhaseCorrection. O valor recomendado deve ser 15 minutos ou menos, dependendo da fonte de tempo, da condição de rede e do requisito de segurança. Esse requisito se aplica a qualquer fonte de tempo confiável configurada como a fonte de tempo raiz da floresta na subrede de sincronização de tempo. Para obter mais informações sobre estas entradas de registro, consulte a seção "Entrada do Registro do serviço de Horário do Windows" neste artigo.

Observação As fontes de tempo especificadas manualmente não são autenticadas a menos que um provedor de tempo esteja gravado para elas, e por isso elas estarão vulneráveis à ataques. Além disso, se um computador for sincronizado com uma fonte especificada manualmente em vez do seu controlador de domínio autenticado, os dois computadores não serão sincronizados. Essa situação causa falha na autenticação do Kerberos e também pode causar outras ações que exigem autenticação de rede falhem, como impressão ou compartilhamento de arquivos. Se somente a raiz da floresta estiver configurada para sincronizar com uma fonte externa, todos os outros computadores dentro da floresta continuarão sincronizados. Essa configuração torna difícil a repetição de ataques.

Todos os mecanismos de sincronização disponíveis

A opção "Todos os mecanismos de sincronização disponíveis" é o método de sincronização mais útil para usuários que estejam em uma rede. Este método habilita a sincronização com a hierarquia do domínio e também pode fornecer uma fonte de tempo alternativa se ela se tornar indisponível, dependendo da configuração. Se o cliente não conseguir sincronizar o tempo com a hierarquia do domínio, a fonte de tempo voltará automaticamente para a fonte de tempo especificada pela configuração NtpServer. Esse método de sincronização pode fornecer o tempo preciso aos clientes.

Entradas do Registro do Serviço de tempo do Windows

As seguintes entradas do Registro estão localizadas em :

Para obter informações adicionais sobre o Serviço de tempo do Windows, clique nos números abaixo para ler os artigos na Base de Dados de Conhecimento da Microsoft: Para obter mais informações sobre o serviço de Horário do Windows Time em uma floresta baseada em Windows Server 2003, visite o seguinte site da Microsoft: