|
|
|
Страница 1 из 2 Настройка основного сервера времени в Windows Server 2003
Внимание! Решение проблемы связано с внесением изменений в системный реестр. Перед внесением изменений рекомендуется создать архивную копию системного реестра и изучить процедуру его восстановления. Дополнительные сведения об использовании редактора реестра см. в следующей статье базы знаний Майкрософт:
СодержаниеНа этой странице
ВведениеВ состав Windows входит служба времени W32Time, необходимая для работы протокола проверки подлинности Kerberos. Служба времени предназначена для синхронизации времени в рамках организации на компьютерах под управлением Microsoft Windows 2000 или более поздней версии Windows. Служба времени Windows использует иерархическую структуру отношений, которая не допускает возникновения «циклов» в управлении и обеспечивает корректную синхронизацию времени. По умолчанию компьютеры под управлением Windows подчиняются следующей иерархии. Настройка службы времени Windows на использование системных часовВнимание! Неправильное использование редактора реестра может привести к возникновению серьезных неполадок, требующих переустановки операционной системы. Корпорация Майкрософт не несет ответственности за неправильное использование редактора реестра. При изменении реестра полагайтесь на свой опыт и знания. Чтобы служба времени на компьютере, являющемся хозяином операций PDC, не использовала внешний источник времени, необходимо изменить параметр реестра AnnounceFlags. Хозяином PDC называется сервер, исполняющий роль эмулятора PDC корневого домена леса. Данное изменение конфигурации предписывает хозяину PDC сообщать о себе как о надежном источнике времени и использовать часы, встроенные в микросхему CMOS. Чтобы служба времени хозяина PDC использовала в качестве источника времени внутренние часы компьютера, выполните следующие действия. NTP-клиент поставщика времени не может достичь или получает неправильные данные о времени от 192.168.1.1 (ntp.m|0x0|192.168.1.1:123->192.168.1.1:123). Правильный ответ от контроллера домена 192.168.1.1 не был получен после 8 попыток обращения. Этот узел не будет использоваться в качестве источника времени, а NTP-клиент попытается найти новый узел с этим DNS-именем. NTP-клиент поставщика времени настроен на получение времени из одного или нескольких источников, однако ни один из этих источников не доступен. Попытки подключения к источнику не будут выполняться в течение 960 мин. NTP-клиент не имеет источника правильного времени. Если служба времени хозяина PDC не использует внешний источник времени, то в журнале событий приложений будет регистрироваться следующее событие. NTP-клиент поставщика времени: этот компьютер использует доменную структуру для определения своего источника времени, но для этого домена в корне леса находится PDC-эмулятор, поэтому нет компьютера, расположенного выше в доменной иерархии, который можно использовать как источник времени. Рекомендуется настроить надежную службу времени в корневом домене либо вручную настроить PDC для синхронизации с внешним источником времени. В противном случае этот компьютер будет выступать в роли авторизованного источника времени в доменной структуре. Если внешний источник времени не настроен или не должен использоваться для этого компьютера, возможно, следует отключить NTP-клиент. Данное сообщение напоминает о том, что рекомендуется использовать внешний источник времени, и может быть проигнорировано. Настройка службы времени Windows на использование внешнего источника времениЧтобы настроить внутренний сервер службы времени на синхронизацию с внешним источником времени, выполните следующие действия. Устранение неполадокДля нормального функционирования службы времени Windows необходима работающая сетевая инфраструктура. В большинстве случаев ошибки в работе службы времени Windows вызваны следующими причинами.
Для устранения неполадок, вызванных сбоями в работе сети, корпорация Майкрософт рекомендует использовать средство Netdiag.exe, входящее в набор Windows Server 2003 Support Tools. За сведениями о параметрах командной строки, поддерживаемых приложением Netdiag.exe, обратитесь к справке по набору средств поддержки. Если решить проблему не удается, включите журнал отладки службы времени Windows. Поскольку журнал отладки может содержать большой объем служебной информации, при использовании журнала отладки рекомендуется обращаться в службу поддержки продуктов Майкрософт. Полный список телефонов служб поддержки, а также сведения об условиях обслуживания см. на веб-узле корпорации Майкрософт по адресу:
В данной иерархии хозяин операций PDC, расположенный в корневом домене леса, становится основным сервером времени для всей организации. Корпорация Майкрософт рекомендует, чтобы основной сервер времени получал значения времени от внутреннего источника. Если основной сервер времени получает эти данные от источника времени в Интернете, проверка подлинности не выполняется. Кроме того, корпорация Майкрософт рекомендует уменьшить значения параметров, определяющих максимальную величину коррекции времени для серверов и рядовых компьютеров. Это позволит более точно устанавливать время на компьютерах в домене и повысит уровень их безопасности.
Примечание. Служба времени хозяина PDC не должна быть настроена на синхронизацию с самим хозяином PDC. Если служба времени хозяина PDC настроена на синхронизацию с самим хозяином PDC, то в журнале событий приложений будут регистрироваться следующие события.
Примечание. В отдельных случаях, если специалистом службы технической поддержки Майкрософт будет определено, что решением проблемы является специально выпущенное исправление, оплата, предусмотренная за обращение в службы технической поддержки, может быть отменена. Дополнительные услуги по технической поддержке, не связанные с данным исправлением, оплачиваются на стандартных условиях Конфигурация надежного источника времениКомпьютер, выбранный в качестве надежного источника времени, является корнем службы времени Windows. Данный компьютер выступает в качестве авторизованного сервера времени для домена и, как правило, получает информацию о текущем времени от внешнего сервера NTP или от системных часов. Чтобы оптимизировать процесс синхронизации времени в иерархии доменов, можно настроить сервер службы времени в качестве надежного источника времени. Если контроллер домена является надежным источником времени, то при подключении данного контроллера домена к сети служба Net Logon отправляет оповещение, что данный компьютер является надежным источником времени. Когда остальные контроллеры домена будут искать источник времени для синхронизации, в первую очередь они будут обращаться к надежному источнику времени, если он доступен. Синхронизация вручнуюПри синхронизации вручную можно указать один или несколько удаленных узлов, с которых компьютер будет получать сведения о времени. Если компьютер не является членом домена, то его необходимо вручную настроить на синхронизацию с выбранным источником времени. Компьютеры, входящие в домен, по умолчанию используют синхронизацию на основе иерархии доменов. Первый контроллер корневого домена и компьютеры, не входящие в домен, как правило, используют синхронизацию вручную. Если компьютер, являющийся основным сервером времени для данного домена, вручную настроен на выполнение синхронизации с внешним NTP-сервером, то домен получает надежную информацию о времени. Однако для повышения защищенности домена и получения более точных значений времени рекомендуется выполнять синхронизацию авторизованного компьютера с системными часами. Если подобный источник времени отсутствует, служба W32time будет работать в режиме NTP. Для работы службы времени необходимо указать значения параметров реестра MaxPosPhaseCorrection и MaxNegPhaseCorrection. Рекомендуется использовать значения, не превышающие 15 минут. Конкретное значение зависит от источника времени, состояния сети и требований к безопасности. Данное требование относится также к любому надежному источнику времени, являющемуся корневым источником времени в схеме синхронизации времени. Дополнительные сведения о параметрах MaxPosPhaseCorrection и MaxNegPhaseCorrection см. в разделе «Параметры реестра, используемые службой времени Windows» данной статьи. Примечание. Если для источников времени, указанных вручную, не создан отдельный поставщик времени, то эти источники не могут проходить проверку подлинности, что делает их уязвимыми для атак. Кроме того, если компьютер осуществляет синхронизацию с источником времени, заданным вручную, а не с контроллером домена, выполняющим проверку подлинности данного компьютера, то может произойти рассинхронизация компьютера и контроллера домена, что вызовет сбои при выполнении действий, требующих проверки подлинности в сети (например, при доступе к общим файлам или при печати на сетевом принтере), а также при выполнении проверки подлинности Kerberos. Если синхронизацию с внешним источником времени осуществляет только корневой компьютер, то все компьютеры в домене будут синхронизированы друг с другом, что повышает их защищенность. Все доступные способы синхронизацииДанный метод синхронизации является наиболее подходящим для пользователей сети, поскольку он позволяет выполнять синхронизацию на основе иерархии домена, а также (в зависимости от конфигурации) допускает использование альтернативных источников времени, если синхронизация на основе иерархии домена становится недоступной. Если клиент не может синхронизировать время на основе иерархии домена, то в качестве источника времени автоматически будет использоваться источник, указанный в параметре NtpServer. Данный метод синхронизации представляет собой наилучший способ передачи клиентам информации о точном времени. Параметры реестра, используемые службой времени WindowsСледующие параметры находятся в разделе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\.
Ссылки
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
