Служба Windows Time
Использующийся в доменах Active Directory протокол Kerberos включает в аутентификаторы специальные временные метки, чтобы исключить возможность их перехвата. Эта мера имеет одно важное последствие. Чтобы механизм аутентификации успешно работал, необходимо, чтобы системные часы всех компьютеров находились в синхронизированном состоянии. Действительно, получая аутентификатор, подсистема аутентификации сравнивает время его создания с показаниями собственных часов. Если разница составляет больше пяти минут, аутентификатор будет отклонен.
Синхронизация системных часов компьютера осуществляется службой Windows Time. Принцип работы этой службы следующий. Клиентские компьютеры автоматически синхронизируют свои часы с контроллером домена, являющегося исполнителем специализированной роли эмулятора PDC (PDC Emulator). РОС Emulator синхронизирует показания своих системных часов с показаниями часов контроллера родительского домена (или корневого домена леса). Контроллер корневого домена леса может синхронизировать показания своих часов с некоторым внешним источником (например, службой точного времени). Как вариант возможна ситуация, когда синхронизация часов контроллера корневого домена не выполняется. В этом случае показания системных часов данного контроллера домена считаются эталонными.
Служба синхронизации времени реализована во всех операционных системах, использующих протокол аутентификации Kerberos – Windows 2000/XP и Windows Server 2003.
Синхронизация с внешним источником времени
В спецификациях стека протоколов TCP/IP предусмотрен специальный протокол NTP (Network Time Protocol, RFC 1119). Этот протокол позволяет выполнять синхронизацию системных часов компьютеров, соединенных через сеть TCP/IP. Клиент протокола NTP синхронизирует показания своих часов с показаниями часов службы сервера NTP. Администратор может синхронизировать системные часы компьютера с внешним источником при помощи двух утилит командной строки. В первом случае необходимо использовать утилиту командной строки net time:
net time /SETSNTP:<имя_cepвepa_ntp>
Если вы имеете дело с клиентом Windows XP или Windows Server 2003, вы можете прибегнуть ко второму способу, заключающемуся в использовании утилиты w32tm:
w32tm /config /manualpeerlist:<имя_сервера_ntp> /update
Следует заметить, что утилита w32tm, поставляемая в составе Windows 2000, отличается от одноименной утилиты, имеющейся в Windows XP и Windows Server 2003.
В качестве сервера NTP в обоих случаях может выступать некоторый контроллер домена. В случае контроллера корневого домена леса речь может идти о внешнем источнике синхронизации. По умолчанию клиенты, находящиеся под управлением операционных систем Windows XP и Windows Server 2003, синхронизируют свои системные часы с узлом Интернета time.windows.com.
Параметры службы Windows Time
Настройки службы синхронизации времени хранятся в ключе реестра HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\W32Time. Перечислим некоторые наиболее важные параметры.
По умолчанию служба Windows Time функционирует в режиме синхронизации с внешним источником. При этом параметр Parameters\type имеет значение NTP. В случае подключения к домену этот параметр изменяет свое значение на Ntsos. To же самое происходит в случае повышения одиночного сервера Windows Server 2003 до контроллера домена.
Значение параметра Parameters \NtpServer определяет сервер NTP, с которым происходит синхронизация времени.
Чтобы запретить синхронизацию времени с внешним источником, можно очистить значение параметра Parameters\NtpServer и присвоить параметру parameters\Type значение NoSync. Если эту операцию выполнить на контролере – эмуляторе РОС корневого домена леса, все компьютеры этого леса будут, в конце концов, синхронизированы по часам этого контроллера.
Получение информации о службе Windows Time
На компьютере, находящемся под управлением Windows XP или Windows Server 2003, администратор может получить информацию о функционировании службы синхронизации времени в домене при помощи команды, приведенной ниже.
C:\>w32tm /monitor /domain:khsu.ru root.khsu.ru *** PDC *** [192.168.1.1]: ICMP: Oms delay. NTP: +0.0000000s offset from root.khsu.ru RefID: 'LOCI' [76.79.67.76] store.khsu.ru [192.168.1.2]: ICMP: Oms delay. NTP: – 0.0100835s offset from root.khsu.ru RefID: root.khsu.ru [192.168.1.1]