Systém Windows Server zahŕňa nástroj W32Time – nástroj služby času, ktorý požaduje overovací protokol Kerberos. Účelom služby Windows Time je zabezpečiť, aby sa vo všetkých počítačoch organizácie so systémom Microsoft Windows 2000 Server alebo novším používal rovnaký čas.
Na zaručenie primeraného používania rovnakého času používa služba Windows Time hierarchický vzťah, ktorý riadi autoritu, pričom služba Windows Time nepovoľuje slučky. V predvolenom nastavení používajú počítače so systémom Windows nasledujúcu hierarchiu:
Všetky klientske stolné počítače nominujú overovací radič domény ako svojho partnera pre časové vstupy.
Všetky členské servery sa riadia rovnakým procesom ako klientske stolné počítače.
Všetky radiče domén v doméne nominujú hlavný operačný server primárneho radiča domény (PDC) ako svojho partnera pre časové vstupy.
Všetky hlavné operačné servery PDC sa riadia hierarchiou domén vo výbere svojho partnera pre časové vstupy.
V tejto hierarchii sa hlavný operačný server PDC v koreňovom adresári lesa stáva autoritatívnym serverom pre organizáciu. Dôrazne vám odporúčame, aby ste autoritatívny časový server nakonfigurovali na získavanie údajov o čase z hardvérového zdroja. Ak nakonfigurujete autoritatívny časový server na synchronizáciu s internetovým zdrojom údajov o čase, neuplatňuje sa žiadne overovanie. Odporúčame vám aj zredukovať nastavenie korekcie času pre servery a samostatných klientov. Tieto odporúčania zabezpečujú väčšiu presnosť a lepšie zabezpečenie v rámci domény.
Konfigurácia služby Windows Time na používanie vnútorných hardvérových hodín
Ak chcete, aby sme za vás nakonfigurovali službu Windows Time na používanie vnútorných hardvérových hodín, prejdite do časti Opravte to za mňa. Ak chcete tento problém vyriešiť sami, prejdite do časti Ja to vyriešim.
Opravte to za mňa
Ak chcete tento problém vyriešiť automaticky, kliknite na tlačidlo alebo prepojenie Fix it. Kliknite na položku Spustiť v dialógovom okne Prevzatie súboru a postupujte podľa pokynov sprievodcu vykonaním opravy.
Tento sprievodca sa môže vzťahovať len na anglické verzie. Automatickú opravu je však možné použiť aj pre ostatné jazykové verzie systému Windows.
Ak nepracujete s počítačom, v ktorom sa vyskytol problém, môžete riešenie Fix it uložiť na jednotku flash alebo na disk CD a potom ho môžete spustiť v problémovom počítači.
Dôležité upozornenie: Táto časť, postup alebo úloha obsahuje kroky na vykonanie úprav v databáze Registry. Ak databázu Registry upravíte nesprávne, môžu nastať vážne problémy. Postupujte preto presne podľa týchto krokov. Na dosiahnutie lepšej ochrany je vhodné pred úpravou databázu Registry zálohovať. Umožní vám to obnoviť databázu Registry, ak sa vyskytnú problémy. Ďalšie informácie o zálohovaní a obnovení databázy Registry získate po kliknutí na nasledujúce číslo článku publikovaného v databáze Microsoft Knowledge Base:
Zálohovanie a obnovovanie databázy Registry v systéme Windows
Ak chcete nakonfigurovať hlavný server PDC bez použitia externého zdroja času, zmeňte príznak oznámenia v hlavnom serveri PDC. Hlavný server PDC je server, ktorý plní rolu hlavného servera PDC koreňového adresára lesa pre doménu. Táto konfigurácia vynucuje, aby hlavný server PDC sám seba označil ako spoľahlivý zdroj času, a používa vstavané hodiny CMOS (complementary metal oxide semiconductor). Ak chcete nakonfigurovať hlavný server PDC pomocou interných hardvérových hodín, použite nasledovný postup:
Kliknite na tlačidlo Start, kliknite na príkaz Run, zadajte príkaz regedit a potom kliknite na tlačidlo OK.
Vyhľadajte a kliknite na nasledujúci podkľúč databázy Registry:
Na pravej table kliknite pravým tlačidlom myši na položku AnnounceFlags a potom kliknite na položku Modify.
V okne Edit DWORD Value zadajte hodnotu A do poľa Value data a potom kliknite na tlačidlo OK.
Zatvorte program Registry Editor.
Do príkazového riadka zadajte nasledujúci príkaz na reštartovanie služby Windows Time a potom stlačte kláves Enter:
net stop w32time && net start w32time
Zbaliť tento obrázokRozbaliť tento obrázok
Poznámka: Hlavný server PDC nemôže byť nakonfigurovaný tak, aby sa synchronizoval sám so sebou. Ďalšie informácie o tom, prečo hlavný server PDC nemôže byť nakonfigurovaný tak, aby sa synchronizoval sám so sebou, získate v dokumente RFC (Request For Comment) 1305.Ak je hlavný server PDC nakonfigurovaný tak, aby sa synchronizoval sám so sebou, do systémového denníka sa zaznamenajú nasledujúce udalosti:
Event Type: Information Event Source: W32Time
Event Category: None
Event ID: 38
Computer: názov_počítača Description: The time provider NtpClient cannot reach or is currently receiving invalid time data from adresa_IP_servera_NTP. For more information, see Help and Support Center at http://support.microsoft.com.
Event Type: Warning
Event Source: W32Time
Event Category: None
Event ID: 47
Computer: názov_počítača Description: Time Provider NtpClient: No valid response has been received from manually configured peer adresa_IP_servera_NTP after 8 attempts to contact it. This peer will be discarded as a time source and NtpClient will attempt to discover a new peer with this DNS name. For more information, see Help and Support Center at http://support.microsoft.com.
Event Type: Error
Event Source: W32Time
Event Category: None
Event ID: 29
Computer: názov_počítača Description: The time provider NtpClient is configured to acquire time from one or more time sources, however none of the sources are currently accessible. No attempt to contact a source will be made for 15 minutes. NtpClient has no source of accurate time. For more information, see Help and Support Center at http://support.microsoft.com.
Ak je hlavný server PDC spustený bez používania externého zdroja času, do denníka aplikácie sa zaznamená nasledovná udalosť:
Event Type: Error
Event Source: W32Time
Event Category: None
Event ID: 12 Description: Time Provider NtpClient: This machine is configured to use the domain hierarchy to determine its time source, but it is the PDC emulator for the domain at the root of the forest, so there is no machine above it in the domain hierarchy to use as a time source. It is recommended that you either configure a reliable time service in the root domain, or manually configure the PDC to synchronize with an external time source. Otherwise, this machine will function as the authoritative time source in the domain hierarchy. If an external time source is not configured or used for this computer, you may choose to disable the NtpClient.
Tento text iba pripomína, aby sa používal externý zdroj času, a môže sa ignorovať.
Konfigurácia služby Windows Time na používanie externého zdroja času
Ak chcete, aby sme vám pomohli nakonfigurovať interný časový server na synchronizáciu s externým zdrojom času, prejdite do časti Opravte to za mňa. Ak chcete tento problém vyriešiť sami, prejdite do časti Ja to vyriešim.
Opravte to za mňa
Ak chcete tento problém vyriešiť automaticky, kliknite na prepojenie alebo tlačidlo Opraviť tento problém. Kliknite na položku Spustiť v dialógovom okne Prevzatie súboru a postupujte podľa pokynov sprievodcu vykonaním opravy.
Tento sprievodca sa môže vzťahovať len na anglické verzie. Automatickú opravu je však možné použiť aj pre ostatné jazykové verzie systému Windows.
Ak nepracujete s počítačom, v ktorom sa vyskytol problém, môžete riešenie Fix it uložiť na jednotku flash alebo na disk CD a potom ho môžete spustiť v problémovom počítači.
Na pravej table kliknite pravým tlačidlom myši na položku AnnounceFlags a potom kliknite na položku Modify.
V okne Edit DWORD Value zadajte hodnotu 5 do poľa Value data a potom kliknite na tlačidlo OK.
Zbaliť tento obrázokRozbaliť tento obrázok
Poznámky
Ak sa autoritatívny časový server, ktorý je nakonfigurovaný na používanie položky AnnounceFlag s hodnotou 0x5, nesynchronizuje s nadradeným časovým serverom, server klienta sa nemusí správne synchronizovať s autoritatívnym časovým serverom, keď sa obnoví synchronizácia času medzi autoritatívnym časovým serverom a nadradeným časovým serverom. Ak máte pomalé internetové pripojenie alebo iné problémy, ktoré môžu spôsobovať zlyhanie synchronizácie času medzi autoritatívnym serverom a nadradeným serverom, nenastavujte položku AnnounceFlag na hodnotu 0x5, ale na hodnotu 0xA.
Ak sa autoritatívny časový server, ktorý je nakonfigurovaný na používanie položky AnnounceFlag s hodnotou 0x5, nesynchronizuje s nadradeným časovým serverom v pevne stanovom intervale, ktorý je definovaný v položke SpecialPollInterval, server klienta sa nemusí správne synchronizovať s autoritatívnym časovým serverom po reštartovaní autoritatívneho časového servera. Ak autoritatívny časový server nakonfigurujete na synchronizáciu s nadradeným serverom NTP v pevne stanovenom intervale, ktorý je definovaný v položke SpecialPollInterval, položku AnnounceFlag nenastavujte na hodnotu 0x5, ale na hodnotu 0xA.
Zapnite nástroj NTPServer. Postupujte podľa nasledujúcich krokov:
Vyhľadajte a kliknite na nasledujúci podkľúč databázy Registry:
Na pravej table kliknite pravým tlačidlom myši na položku NtpServer a potom kliknite na položku Modify.
V okne Edit Value zadajte hodnotu Peers do poľa Value data a potom kliknite na tlačidlo OK.
Zbaliť tento obrázokRozbaliť tento obrázok
Poznámka: Peers je zástupný symbol pre zoznam partnerských počítačov s položkami oddelenými medzerou, z ktorých počítač získava časové pečiatky. Každý názov DNS v zozname musí byť jedinečný. Na koniec každého názvu DNS je potrebné pripojiť hodnotu ,0x1. Ak na koniec každého názvu DNS nepripojíte reťazec ,0x1, zmeny vykonané v piatom kroku sa neprejavia.
Vyberte interval vzorkovania. Postupujte podľa nasledujúcich krokov:
Vyhľadajte a kliknite na nasledujúci podkľúč databázy Registry:
Na pravej table kliknite pravým tlačidlom myši na položku SpecialPollInterval a potom kliknite na položku Modify.
V okne Edit DWORD Value zadajte hodnotu TimeInSeconds do poľa Value data a potom kliknite na tlačidlo OK.
Zbaliť tento obrázokRozbaliť tento obrázok
Poznámka: TimeInSeconds je zástupný symbol pre počet sekúnd, ktoré majú uplynúť medzi vzorkovaním. Odporúčaná hodnota je 900 Decimal. Táto hodnota nakonfiguruje časový server na vzorkovanie každých 15 minút.
Konfigurujte nastavenia korekcie času. Postupujte podľa nasledujúcich krokov:
Vyhľadajte a kliknite na nasledujúci podkľúč databázy Registry:
Na pravej table kliknite pravým tlačidlom myši na položku MaxPosPhaseCorrection a potom kliknite na položku Modify.
V okne Edit DWORD Value kliknutím vyberte hodnotu Decimal v poli Base.
V okne Edit DWORD Value zadajte hodnotu TimeInSeconds do poľa Value data a potom kliknite na tlačidlo OK.
Zbaliť tento obrázokRozbaliť tento obrázok
Poznámka: TimeInSeconds je zástupný symbol pre zmysluplnú hodnotu, ako je napríklad jedna hodina (3600) alebo 30 minút (1800). Vybratá hodnota bude závisieť od intervalu vzorkovania, stavu siete a externého zdroja času.
Vyhľadajte nasledovný podkľúč databázy Registry a kliknite naň:
Na pravej table kliknite pravým tlačidlom myši na položku MaxNegPhaseCorrection a potom kliknite na položku Modify.
V okne Edit DWORD Value kliknutím vyberte hodnotu Decimal v poli Base.
V okne Edit DWORD Value zadajte hodnotu TimeInSeconds do poľa Value data a potom kliknite na tlačidlo OK.
Zbaliť tento obrázokRozbaliť tento obrázok
Poznámka: TimeInSeconds je zástupný symbol pre zmysluplnú hodnotu, ako je napríklad jedna hodina (3600) alebo 30 minút (1800). Vybratá hodnota bude závisieť od intervalu vzorkovania, stavu siete a externého zdroja času.
Zatvorte program Registry Editor.
Do príkazového riadka zadajte nasledujúci príkaz na reštartovanie služby Windows Time a potom stlačte kláves Enter:
Služba Windows Time môže správne pracovať iba za predpokladu, že bude správne pracovať sieťová infraštruktúra. Medzi najbežnejšie problémy, ktoré ovplyvňujú službu Windows Time, patria nasledovné problémy:
Je problém s pripojením TCP/IP, ako je napríklad nefunkčná brána.
Služba rozlišovania názvov nepracuje správne.
V sieti dochádza k oneskoreniam pri vysokých objemoch, najmä pri synchronizácii prostredníctvom prepojení siete WAN s vysokou latenciou.
Služba Windows Time sa pokúša o synchronizáciu s nepresnými zdrojmi času.
Odporúčame, aby ste použili pomôcku Netdiag.exe na riešenie problémov súvisiacich so sieťou. Nástroj Netdiag.exe je súčasťou balíka Windows Server 2003 Support Tools. Úplný zoznam parametrov príkazového riadka, ktoré je možné použiť s nástrojom Netdiag.exe, nájdete v Pomocníkovi tohto balíka. Ak sa problém ani tak neodstráni, môžete zapnúť denník ladenia služby Windows Time. Keďže denník ladenia môže obsahovať veľmi podrobné informácie, odporúčame vám, aby ste sa pri zapnutí denníka ladenia služby Windows Time obrátili na služby technickej podpory spoločnosti Microsoft.
Úplný zoznam telefónnych čísel služieb technickej podpory spoločnosti Microsoft a informácie o poplatkoch za poskytnutie technickej podpory nájdete na webovej lokalite Kontaktujte spoločnosť Microsoft.
Zbaliť tento obrázokRozbaliť tento obrázok
Poznámka: V niektorých zvláštnych prípadoch sa môžu zrušiť poplatky za telefonickú podporu, ak pracovník služieb technickej podpory spoločnosti Microsoft usúdi, že daný problém sa vyrieši nainštalovaním určitej aktualizácie. Ďalšie otázky a žiadosti o technickú podporu, ktoré sa netýkajú tejto špecifickej aktualizácie, podliehajú bežným sadzbám za poskytovanie technickej podpory. WAZOO
NTP podporuje niekoľko rozličných typov paketov. Klienti protokolu NTP a SNTP (Simple Network Time Protocol) zvyčajne odosielajú pakety požiadaviek režimu klienta na server NTP. Server NTP reaguje paketom režimu servera. Ak chcete službu W32time nakonfigurovať tak, aby na server NTP odosielala pakety symetrického aktívneho režimu namiesto paketov režimu klienta, otvorte príkazový riadok, zadajte nasledujúci príkaz a potom stlačte kláves Enter:
Poznámka: Pomocou príznaku 0x8 vynútite, aby služba W32time odosielala normálne požiadavky klienta namiesto paketov symetrického aktívneho režimu. Server NTP odpovedá na tieto normálne požiadavky klienta zvyčajným spôsobom.
Počítač, ktorý je nakonfigurovaný ako spoľahlivý zdroj času, je identifikovaný ako koreň služby Windows Time. Koreň služby Windows Time je autoritatívny server pre doménu. Zvyčajne je nakonfigurovaný na načítavanie času z externého servera NTP alebo hardvérového zariadenia. Časový server môže byť nakonfigurovaný ako spoľahlivý zdroj času na optimalizáciu spôsobu prenosu času cez hierarchiu domény. Ak je radič domény nakonfigurovaný tak, aby bol spoľahlivým zdrojom času, služba Net Logon oznámi, že radič domény je spoľahlivým zdrojom času, keď sa prihlási na sieť. Ak ostatné radiče domény hľadajú zdroj času, s ktorým by sa mohli synchronizovať, vyberajú najprv spoľahlivý zdroj, ak je nejaký k dispozícii.
Manuálne zadaná synchronizácia
Pomocou manuálne zadanej synchronizácie je možné určiť jeden partnerský počítač alebo zoznam partnerských počítačov, z ktorých bude počítač získavať údaje o čase. Ak počítač nie je členom domény, musí byť manuálne nakonfigurovaný na synchronizáciu so zadaným zdrojom času. Počítač, ktorý je členom domény, je na základe predvoleného nastavenia nakonfigurovaný na synchronizáciu z hierarchie domény. Manuálne zadaná synchronizácia je najužitočnejšia v prípade koreňového adresára lesa domény alebo v prípade počítačov, ktoré nie sú spojené do domény. Ak manuálne zadáte externý server NTP na synchronizáciu s autoritatívnym počítačom pre vašu doménu, poskytnete spoľahlivý čas. Ak však chcete pre doménu poskytnúť vysokú presnosť a zabezpečenie, odporúčame vám nakonfigurovať autoritatívny počítač pre doménu na synchronizáciu s hardvérovými hodinami.
Bez hardvérového časového zdroja sa služba W32time nakonfiguruje ako typ NTP. Je nutné prekonfigurovať položky MaxPosPhaseCorrection a MaxNegPhaseCorrection databázy Registry. Odporúčaná hodnota by mala byť 15 minút alebo aj menej. Závisí to od zdroja času, stavu siete a požiadaviek na zabezpečenie. Táto požiadavka sa vzťahuje aj na každý spoľahlivý zdroj času, ktorý je nakonfigurovaný ako zdroj času koreňového adresára lesa v podsieti synchronizácie času. Ďalšie informácie o týchto položkách databázy Registry nájdete v tomto článku v sekcii o položkách databázy Registry pre službu Windows Time.
Zbaliť tento obrázokRozbaliť tento obrázok
Poznámka: Manuálne zadané časové zdroje sa neoveria, kým nemajú pripísaného poskytovateľa času. Tieto zdroje času sú preto nedostatočne zabezpečené proti útokom. Ak sa počítač synchronizuje s manuálne zadaným zdrojom a nie s overovacím radičom domény, je možné, že tieto dva počítače sa nebudú synchronizovať. Tento scenár spôsobí zlyhanie overenia protokolu Kerberos a môže spôsobiť aj zlyhanie iných akcií, ktoré vyžadujú sieťové overenie, ako je napríklad tlač alebo zdieľanie súboru. Ak je na synchronizáciu s externým zdrojom nakonfigurovaný len koreňový adresár lesa, všetky ostatné počítače v rámci lesa zostávajú synchronizované navzájom. Táto konfigurácia sťažuje útoky prostredníctvom odpovedí.
Všetky dostupné mechanizmy synchronizácie
Možnosť všetkých dostupných mechanizmov synchronizácie je najlepšou metódou synchronizácie pre používateľov v sieti. Táto metóda povoľuje synchronizáciu s hierarchiou domény a v závislosti od konfigurácie môže tiež poskytnúť alternatívny zdroj času, ak sa hierarchia domény stane nedostupnou. Ak klient nemôže synchronizovať čas s hierarchiou domény, zdroj času sa automaticky vráti späť k zdroju času, ktorý je zadaný nastavením NtpServer. Táto metóda synchronizácie poskytuje klientom správny čas s najväčšou pravdepodobnosťou.
Táto položka určuje najväčšiu pozitívnu korekciu času v sekundách, ktorú služba umožňuje. Ak služba zistí, že zmena je väčšia ako sa požaduje, služba zapíše do denníka udalosť. (0xFFFFFFFF je špeciálny prípad, ktorý znamená, že sa vždy vykoná korekcia času.) Predvolená hodnota pre členov domény je 0xFFFFFFFF. Predvolená hodnota pre samostatných klientov a servery je 54000 alebo 15 hodín.
Táto položka určuje najväčšiu negatívnu korekciu času v sekundách, ktorú služba umožňuje. Ak služba zistí, že zmena je väčšia ako sa požaduje, služba namiesto toho zapíše do denníka udalosť. (-1 je špeciálny prípad, ktorý znamená, že sa vždy vykoná korekcia času.) Predvolená hodnota pre členov domény je 0xFFFFFFFF. Predvolená hodnota pre samostatných klientov a servery je 54000 alebo 15 hodín.
Táto položka určuje najväčší interval v sekundách, ktorý je povolený pre interval vzorkovania systému. Hoci systém musí vykonávať vzorkovanie podľa naplánovaného intervalu, poskytovateľ môže na požiadanie odmietnuť vytváranie vzoriek. Predvolená hodnota pre členov domény je 10. Predvolená hodnota pre samostatných klientov a servery je 15.
Táto položka určuje špeciálny interval vzorkovania v sekundách pre manuálne partnerské počítače. Ak je povolený príznak SpecialInterval 0x1, služba W32Time používa tento interval vzorkovania namiesto intervalu určeného operačným systémom. Predvolená hodnota pre členov domény je 3600. Predvolená hodnota pre samostatných klientov a servery je 604800.
Táto položka určuje maximálny posun v sekundách, pre ktorý sa služba W32Time pokúša prispôsobiť hodiny počítača pomocou rýchlosti hodín. Ak je posun väčší ako táto rýchlosť, služba W32Time nastaví hodiny počítača priamo. Predvolená hodnota pre členov domény je 300. Predvolená hodnota pre samostatných klientov a servery je 1.
Späť na začiatok
