Hoe de Windows Time-service werkt
In deze sectie
Opmerking
In dit onderwerp wordt alleen uitgelegd hoe de Windows Time-service (W32Time) werkt. Zie Systemen configureren voor hoge nauwkeurigheid voor informatie over het configureren van de Windows Time-service.
Opmerking
In Windows Server 2003 en Microsoft Windows 2000 Server heeft de adreslijstservice de naam Active Directory-adreslijstservice. In Windows Server 2008 en latere versies heet de adreslijstservice Active Directory Domain Services (AD DS). De rest van dit onderwerp verwijst naar AD DS, maar de informatie is ook van toepassing op Active Directory.
Hoewel de Windows Time-service geen exacte implementatie van het Network Time Protocol (NTP) is, maakt het gebruik van de complexe suite algoritmen die zijn gedefinieerd in de NTP-specificaties om ervoor te zorgen dat klokken op computers in een netwerk zo nauwkeurig mogelijk zijn. Idealiter worden alle computerklokken in een AD DS-domein gesynchroniseerd met het tijdstip van een gezaghebbende computer. Veel factoren kunnen invloed hebben op tijdsynchronisatie op een netwerk. De volgende factoren zijn vaak van invloed op de nauwkeurigheid van synchronisatie in AD DS:
Netwerkvoorwaarden
De nauwkeurigheid van de hardwareklok van de computer
De hoeveelheid CPU- en netwerkbronnen die beschikbaar zijn voor de Windows Time-service
Belangrijk
Vóór Windows Server 2016 is de W32Time-service niet ontworpen om te voldoen aan tijdgevoelige toepassingsbehoeften. Met updates voor Windows Server 2016 kunt u nu echter een oplossing implementeren voor nauwkeurigheid van 1 ms in uw domein. Bekijk Windows 2016 Nauwkeurige tijd en ondersteuningsgrens om de Windows Time-service te configureren voor omgevingen die hoge nauwkeurigheid vereisen voor meer informatie.
Computers die hun tijd minder vaak synchroniseren of niet lid zijn van een domein, worden standaard geconfigureerd om te synchroniseren met time.windows.com. Daarom is het onmogelijk om tijdnauwkeurigheid te garanderen op computers met onregelmatige of geen netwerkverbindingen.
Een AD DS-forest heeft een vooraf bepaalde tijdsynchronisatiehiërarchie. De Windows Time-service synchroniseert de tijd tussen computers in de hiërarchie, met de meest nauwkeurige referentieklokken bovenaan. Als meer dan één tijdbron is geconfigureerd op een computer, gebruikt Windows Time NTP-algoritmen om de beste tijdbron te selecteren uit de geconfigureerde bronnen, gebaseerd op de mogelijkheid van de computer om met die tijdbron te synchroniseren. De Windows Time-service biedt geen ondersteuning voor netwerksynchronisatie van broadcast- of multicast-peers. Zie RFC 1305 in de RFC-database van IETF voor meer informatie over deze NTP-functies.
Elke computer waarop de Windows Time-service wordt uitgevoerd, gebruikt de service om de meest nauwkeurige tijd te onderhouden. Computers die lid zijn van een domein fungeren standaard als een tijdclient, daarom is het in de meeste gevallen niet nodig om de Windows Time-service te configureren. De Windows Time-service kan echter worden geconfigureerd om tijd aan te vragen bij een aangewezen referentietijdbron en kan ook tijd bieden aan clients.
De mate waarin de tijd van een computer nauwkeurig is, wordt een stratum genoemd. De meest nauwkeurige tijdbron op een netwerk (zoals een hardwareklok) neemt het laagste stratumniveau of stratum één in beslag. Deze nauwkeurige tijdbron wordt een verwijzingsklok genoemd. Een NTP-server die de tijd rechtstreeks van een referentieklok verkrijgt, neemt een stratum in beslag die één niveau hoger is dan die van de verwijzingsklok. Resources die tijd verkrijgen van de NTP-server zijn twee stappen verwijderd van de referentieklok, en daarom bezetten een stratum die twee hoger is dan de meest nauwkeurige tijdbron, enzovoort. Naarmate het stratumaantal van een computer toeneemt, kan de tijd op de systeemklok minder nauwkeurig worden. Daarom is het stratum-niveau van elke computer een indicator van hoe dicht die computer wordt gesynchroniseerd met de meest nauwkeurige tijdbron.
Wanneer W32Time Manager tijdsvoorbeelden ontvangt, gebruikt het speciale algoritmen in NTP om te bepalen welke van de tijdsvoorbeelden het meest geschikt is voor gebruik. De time-service maakt ook gebruik van een andere set algoritmen om te bepalen welke van de geconfigureerde tijdbronnen het nauwkeurigst is. Wanneer de tijdservice heeft bepaald welk tijdsvoorbeeld het beste is, op basis van de bovenstaande criteria, wordt de lokale kloksnelheid aangepast zodat deze naar de juiste tijd kan convergeren. Als het tijdsverschil tussen de lokale klok en het geselecteerde nauwkeurige tijdsvoorbeeld (ook wel de tijdverschil genoemd) te groot is om te corrigeren door de lokale kloksnelheid aan te passen, stelt de tijdservice de lokale klok in op de juiste tijd. Deze aanpassing van kloksnelheid of directe kloktijdwijziging wordt ook wel klokdiscipline genoemd.
Architectuur van Windows Time-service
De Windows Time-service bestaat uit de volgende onderdelen:
Beheerder van Servicecontrole
Windows-tijdservicemanager
Klokdiscipline
Tijdproviders
In de volgende afbeelding ziet u de architectuur van de Windows Time-service.
Architectuur van Windows Time-service
Service Control Manager is verantwoordelijk voor het starten en stoppen van de Windows Time-service. Windows Time Service Manager is verantwoordelijk voor het initiëren van de actie van de NTP-tijdproviders die zijn opgenomen in het besturingssysteem. Windows Time Service Manager bepaalt alle functies van de Windows Time-service en het samenvoegen van alle tijdsvoorbeelden. Naast het verstrekken van informatie over de huidige systeemstatus, zoals de huidige tijdbron of de laatste keer dat de systeemklok is bijgewerkt, is Windows Time Service Manager ook verantwoordelijk voor het maken van gebeurtenissen in het gebeurtenislogboek.
Het tijdsynchronisatieproces omvat de volgende stappen:
Invoerproviders vragen en ontvangen tijdvoorbeelden van geconfigureerde NTP-tijdbronnen.
Deze tijdsvoorbeelden worden vervolgens doorgegeven aan Windows Time Service Manager, waarmee alle voorbeelden worden verzameld en doorgegeven aan de subcomponent van de klokdiscipline.
De subcomponent klokdiscipline past de NTP-algoritmes toe, wat resulteert in de selectie van het beste tijdmonster.
De klokdiscipline-subcomponent past de tijd van de systeemklok aan op de meest nauwkeurige tijd door de kloksnelheid aan te passen of de tijd direct aan te passen.
Als een computer is aangewezen als een tijdserver, kan deze de tijd verzenden naar elke computer die tijdsynchronisatie op elk moment in dit proces aanvraagt.
Windows-tijdsynchronisatieserviceprotocollen
Tijdprotocollen bepalen hoe dicht de klokken van twee computers worden gesynchroniseerd. Een tijdprotocol is verantwoordelijk voor het bepalen van de beste beschikbare tijdinformatie en het samenvoegen van de klokken om ervoor te zorgen dat een consistente tijd wordt onderhouden op afzonderlijke systemen.
De Windows Time-service maakt gebruik van het NTP (Network Time Protocol) om tijd in een netwerk te synchroniseren. NTP is een internettijdprotocol dat de disciplinealgoritmen bevat die nodig zijn voor het synchroniseren van klokken. NTP is een nauwkeuriger tijdprotocol dan het Simple Network Time Protocol (SNTP) dat wordt gebruikt in sommige versies van Windows; W32Time blijft echter ondersteuning bieden voor SNTP om achterwaartse compatibiliteit mogelijk te maken met computers met op SNTP gebaseerde tijdservices, zoals Windows 2000.
Netwerktijdprotocol
Network Time Protocol (NTP) is het standaardprotocol voor tijdsynchronisatie dat wordt gebruikt door de Windows Time-service in het besturingssysteem. NTP is een fouttolerant, zeer schaalbaar tijdprotocol en is het protocol dat het meest wordt gebruikt voor het synchroniseren van computerklokken met behulp van een aangewezen tijdverwijzing.
NTP-tijdsynchronisatie vindt plaats gedurende een bepaalde periode en omvat de overdracht van NTP-pakketten via een netwerk. NTP-pakketten bevatten tijdstempels met een tijdsvoorbeeld van zowel de client als de server die deelneemt aan tijdsynchronisatie.
NTP is afhankelijk van een verwijzingsklok om de meest nauwkeurige tijd te definiëren die moet worden gebruikt en synchroniseert alle klokken op een netwerk naar die verwijzingsklok. NTP gebruikt Coordinated Universal Time (UTC) als de universele standaard voor de huidige tijd. UTC is onafhankelijk van tijdzones en zorgt ervoor dat NTP overal ter wereld kan worden gebruikt, ongeacht de tijdzone-instellingen.
NTP-algoritmen
NTP bevat twee algoritmen, een algoritme voor klokfiltering en een algoritme voor klokselectie, om de Windows Time-service te helpen bij het bepalen van het beste tijdsvoorbeeld. Het algoritme voor klokfiltering is ontworpen om tijdsvoorbeelden te doorzoeken die worden ontvangen van opgevraagde tijdbronnen en om de beste tijdsvoorbeelden van elke bron te bepalen. Het algoritme voor klokselectie bepaalt vervolgens de meest nauwkeurige tijdserver op het netwerk. Deze informatie wordt vervolgens doorgegeven aan het algoritme van de klokdiscipline, dat gebruikmaakt van de informatie die is verzameld om de lokale klok van de computer te corrigeren, terwijl het compenseert voor fouten als gevolg van netwerklatentie en onnauwkeurigheid van de computerklok.
De NTP-algoritmen zijn het nauwkeurigst onder omstandigheden van licht-tot-gemiddelde netwerk- en serverbelastingen. Net als bij elk algoritme dat rekening houdt met de tijd van netwerkdoorvoer, kunnen NTP-algoritmen slecht presteren onder omstandigheden van extreme netwerkcongestie. Zie RFC 1305 in de IETF RFC-database voor meer informatie over de NTP-algoritmen.
NTP-tijdprovider
De Windows Time-service is een volledige tijdsynchronisatiepakket dat ondersteuning biedt voor verschillende hardwareapparaten en tijdprotocollen. Om deze ondersteuning in te schakelen, gebruikt de service instelbare tijdleveranciers. Een tijdprovider is verantwoordelijk voor het verkrijgen van nauwkeurige tijdstempels (van het netwerk of van hardware) of voor het verstrekken van die tijdstempels aan andere computers via het netwerk.
De NTP-provider is de standaardtijdprovider die is opgenomen in het besturingssysteem. De NTP-provider volgt de standaarden die zijn opgegeven door NTP versie 3 voor een client en server en kan communiceren met SNTP-clients en -servers voor achterwaartse compatibiliteit met Windows 2000 en andere SNTP-clients. De NTP-provider in de Windows Time-service bestaat uit de volgende twee onderdelen:
NtpServer-uitvoerprovider. Dit is een tijdserver die reageert op clienttijdaanvragen op het netwerk.
NtpClient-invoerprovider. Dit is een tijdclient die tijdgegevens verkrijgt van een andere bron, ofwel een hardwareapparaat of een NTP-server, en kan tijdsvoorbeelden retourneren die nuttig zijn voor het synchroniseren van de lokale klok.
Hoewel de werkelijke bewerkingen van deze twee providers nauw verwant zijn, lijken ze onafhankelijk van de tijdservice. Vanaf Windows 2000 Server, wanneer een Windows-computer is verbonden met een netwerk, wordt deze geconfigureerd als een NTP-client. Computers met de Windows Time-service proberen ook alleen tijd te synchroniseren met een domeincontroller of een handmatig opgegeven tijdbron standaard. Dit zijn de voorkeurstijdproviders omdat ze automatisch beschikbaar zijn, veilige tijdbronnen.
NTP-beveiliging
Binnen een AD DS-forest is de Windows Time-service afhankelijk van standaardfuncties voor domeinbeveiliging om de verificatie van tijdgegevens af te dwingen. De beveiliging van NTP-pakketten die worden verzonden tussen een domeinlidcomputer en een lokale domeincontroller die fungeert als een tijdserver is gebaseerd op gedeelde sleutelverificatie. De Windows Time-service gebruikt de Kerberos-sessiesleutel van de computer om geverifieerde handtekeningen te maken op NTP-pakketten die via het netwerk worden verzonden. NTP-pakketten worden niet verzonden binnen het beveiligde net-aanmeldingskanaal. Wanneer een computer in plaats daarvan de tijd aanvraagt vanaf een domeincontroller in de domeinhiërarchie, moet de Windows Time-service de tijd verifiëren. De domeincontroller retourneert vervolgens de vereiste informatie in de vorm van een 64-bits waarde die is geverifieerd met de sessiesleutel van de Net-aanmeldingsservice. Als het geretourneerde NTP-pakket niet is ondertekend met de sessiesleutel van de computer of onjuist is ondertekend, wordt de tijd geweigerd. Al deze verificatiefouten worden vastgelegd in het gebeurtenislogboek. Op deze manier biedt de Windows Time-service beveiliging voor NTP-gegevens in een AD DS-forest.
Over het algemeen krijgen Windows-tijdclients automatisch nauwkeurige tijd voor synchronisatie van domeincontrollers in hetzelfde domein. In een forest synchroniseren de domeincontrollers van een onderliggend domein de tijd met domeincontrollers in hun hoofddomeinen. Wanneer een tijdserver een geverifieerd NTP-pakket retourneert naar een client die de tijd aanvraagt, wordt het pakket ondertekend door middel van een Kerberos-sessiesleutel die is gedefinieerd door een vertrouwensaccount tussen domeinen. Het interdomein vertrouwensaccount wordt aangemaakt wanneer een nieuw AD DS-domein onderdeel wordt van een forest en de Netlogon-service de sessiesleutel beheert. Op deze manier wordt de domeincontroller die is geconfigureerd als betrouwbaar in het foresthoofddomein de geverifieerde tijdbron voor alle domeincontrollers in zowel de bovenliggende als onderliggende domeinen, en indirect voor alle computers die zich in de domeinstructuur bevinden.
De Windows Time-service kan worden geconfigureerd voor gebruik tussen forests, maar het is belangrijk om te weten dat deze configuratie niet veilig is. Een NTP-server kan bijvoorbeeld beschikbaar zijn in een ander forest. Omdat die computer zich echter in een ander forest bevindt, is er geen Kerberos-sessiesleutel waarmee NTP-pakketten moeten worden ondertekend en geverifieerd. Om nauwkeurige tijdsynchronisatie van een computer in een ander forest te verkrijgen, moet de client netwerktoegang tot die computer hebben en moet de tijdservice worden geconfigureerd voor het gebruik van een specifieke tijdbron in het andere forest. Als een client handmatig is geconfigureerd voor toegang tot tijd vanaf een NTP-server buiten zijn eigen domeinhiërarchie, worden de NTP-pakketten die worden verzonden tussen de client en de tijdserver niet geverifieerd en zijn daarom niet veilig. Zelfs bij de implementatie van forestvertrouwensrelaties is de Windows Time-service niet beveiligd tussen forests. Hoewel het Net Logon beveiligingskanaal het verificatiemechanisme voor de Windows Time-service is, wordt authenticatie tussen verschillende forest-domeinen niet ondersteund.
Hardwareapparaten die worden ondersteund door de Windows Time-service
Op hardware gebaseerde klokken zoals GPS of radioklokken worden vaak gebruikt als zeer nauwkeurige referentieklokapparaten. De NTP-tijdprovider van de Windows Time-service biedt standaard geen ondersteuning voor de directe verbinding van een hardwareapparaat met een computer, hoewel het mogelijk is om een onafhankelijke tijdprovider op basis van software te maken die dit type verbinding ondersteunt. Dit type provider, in combinatie met de Windows Time-service, kan een betrouwbare, stabiele tijdverwijzing bieden.
Hardwareapparaten, zoals een cesiumklok of een GPS-ontvanger (Global Positioning System), bieden nauwkeurige huidige tijd door een standaard te volgen om een nauwkeurige definitie van tijd te verkrijgen. Cesium klokken zijn extreem stabiel en worden niet beïnvloed door factoren zoals temperatuur, druk of vochtigheid, maar zijn ook erg duur. Een GPS ontvanger is veel goedkoper te bedienen en is ook een nauwkeurige referentieklok. GPS ontvangers verkrijgen hun tijd van satellieten die hun tijd verkrijgen van een cesium klok. Zonder het gebruik van een onafhankelijke tijdprovider kunnen Windows-tijdservers hun tijd verkrijgen door verbinding te maken met een externe NTP-server, die is verbonden met een hardwareapparaat via een telefoon of internet. Organisaties zoals het United States Naval Observatory bieden NTP-servers die zijn verbonden met uiterst betrouwbare referentieklokken.
Veel GPS-ontvangers en andere tijdapparaten kunnen functioneren als NTP-servers in een netwerk. U kunt uw AD DS-forest zo configureren dat de tijd van deze externe hardwareapparaten alleen wordt gesynchroniseerd als ze ook fungeren als NTP-servers in uw netwerk. Hiervoor configureert u de domeincontroller die werkt als de primaire domeincontrolleremulator (PDC) in uw foresthoofdmap om te synchroniseren met de NTP-server die wordt geleverd door het GPS-apparaat. Zie Hiervoor de Windows Time-service configureren op de PDC-emulator in het foresthoofddomein.
Simple Network Time Protocol
Het Simple Network Time Protocol (SNTP) is een vereenvoudigd tijdprotocol dat is bedoeld voor servers en clients die niet de nauwkeurigheid vereisen die NTP biedt. SNTP, een meer elementaire versie van NTP, is het primaire tijdprotocol dat wordt gebruikt in Windows 2000. Omdat de netwerkpakketindelingen van SNTP en NTP identiek zijn, zijn de twee protocollen interoperabel. Het belangrijkste verschil tussen de twee is dat SNTP niet beschikt over het foutbeheer en complexe filtersystemen die NTP biedt. Zie RFC 1769 in de RFC-database van IETF voor meer informatie over het Simple Network Time Protocol.
Tijdprotocol Interoperabiliteit
De Windows Time-service kan worden uitgevoerd in een gemengde omgeving van computers met Windows 2000, Windows XP en Windows Server 2003, omdat het SNTP-protocol dat wordt gebruikt in Windows 2000 compatibel is met het NTP-protocol in Windows XP en Windows Server 2003.
De tijdservice in Windows NT Server 4.0, timeServ genaamd, synchroniseert tijd in een Windows NT 4.0-netwerk. TimeServ is een invoegtoepassingsfunctie die beschikbaar is als onderdeel van de Microsoft Windows NT 4.0 Resource Kit en biedt niet de mate van betrouwbaarheid van tijdsynchronisatie die is vereist voor Windows Server 2003.
De Windows Time-service kan samenwerken met computers met Windows NT 4.0, omdat ze tijd kunnen synchroniseren met computers met Windows 2000 of Windows Server 2003; Een computer met Windows 2000 of Windows Server 2003 detecteert echter niet automatisch Windows NT 4.0-tijdservers. Als uw domein bijvoorbeeld is geconfigureerd voor het synchroniseren van tijd met behulp van de op de domeinhiërarchie gebaseerde methode van synchronisatie en u wilt dat computers in de domeinhiërarchie tijd synchroniseren met een Windows NT 4.0-domeincontroller, moet u deze computers handmatig configureren om te synchroniseren met de Windows NT 4.0-domeincontrollers.
Windows NT 4.0 maakt gebruik van een eenvoudiger mechanisme voor tijdsynchronisatie dan de Windows Time-service gebruikt. Om ervoor te zorgen dat de tijdsynchronisatie in uw netwerk nauwkeurig is, is het raadzaam dat u windows NT 4.0-domeincontrollers bijwerken naar Windows 2000 of Windows Server 2003.
Processen en interacties van Windows Time-service
De Windows Time-service is ontworpen om de klokken van computers in een netwerk te synchroniseren. Het proces voor netwerktijdsynchronisatie, ook wel tijdconvergentie genoemd, komt voor in een netwerk, als elke computer de tijd opvraagt van een nauwkeurigere tijdserver. Tijdconvergentie omvat een proces waarbij een gezaghebbende server de huidige tijd aan client-computers verstrekt in de vorm van NTP-pakketten. De informatie in een pakket geeft aan of er een aanpassing moet worden aangebracht in de huidige kloktijd van de computer, zodat deze wordt gesynchroniseerd met de nauwkeurigere server.
Als onderdeel van het tijdconvergentieproces proberen domeinleden tijd te synchroniseren met een willekeurige domeincontroller die zich in hetzelfde domein bevindt. Als de computer een domeincontroller is, probeert deze te synchroniseren met een meer gezaghebbende domeincontroller.
Computers met Windows XP Home Edition of computers die niet zijn gekoppeld aan een domein proberen niet te synchroniseren met de domeinhiërarchie, maar zijn standaard geconfigureerd om tijd te verkrijgen van time.windows.com.
Als u een computer met Windows Server 2003 als gezaghebbend wilt instellen, moet de computer zijn geconfigureerd als een betrouwbare tijdbron. Standaard wordt de eerste domeincontroller die is geïnstalleerd op een Windows Server 2003-domein, automatisch geconfigureerd als een betrouwbare tijdbron. Omdat het de gezaghebbende computer voor het domein is, moet deze worden geconfigureerd om te synchroniseren met een externe tijdbron in plaats van met de domeinhiërarchie. Standaard zijn alle andere leden van het Windows Server 2003-domein geconfigureerd om te synchroniseren met de domeinhiërarchie.
Nadat u een Windows Server 2003-netwerk hebt ingesteld, kunt u de Windows Time-service configureren voor het gebruik van een van de volgende opties voor synchronisatie:
Synchronisatie op basis van domeinhiërarchie
Een handmatig opgegeven synchronisatiebron
Alle beschikbare synchronisatiemechanismen
Geen synchronisatie.
Elk van deze synchronisatietypen wordt besproken in de volgende sectie.
Synchronisatie van domein Hierarchy-Based
Synchronisatie die is gebaseerd op een domeinhiërarchie maakt gebruik van de AD DS-domeinhiërarchie om een betrouwbare bron te vinden waarmee de tijd kan worden gesynchroniseerd. Op basis van de domeinhiërarchie bepaalt de Windows Time-service de nauwkeurigheid van elke server. In een Windows Server 2003-forest fungeert de computer die de primaire domeincontroller (PDC) emulator-operationsmaster-rol heeft, en die zich in het hoofddomein van het forest bevindt, als de voorkeurstijdbron, tenzij een andere betrouwbare tijdbron is geconfigureerd. In de volgende afbeelding ziet u een pad naar tijdsynchronisatie tussen computers in een domeinhiërarchie.
Tijdsynchronisatie in een AD DS-hiërarchie
Betrouwbare tijdbronconfiguratie
Een computer die is geconfigureerd als een betrouwbare tijdbron, wordt geïdentificeerd als de bron van de tijdservice. Het hoofdknooppunt van de tijdservice is de autoritatieve server voor het domein en is meestal geconfigureerd om de tijd op te halen van een externe NTP-server of hardwareapparaat. Een tijdserver kan worden geconfigureerd als een betrouwbare tijdbron om te optimaliseren hoe tijd wordt overgedragen in de domeinhiërarchie. Als een domeincontroller is geconfigureerd als een betrouwbare tijdbron, kondigt net-aanmeldingsservice die domeincontroller aan als een betrouwbare tijdbron wanneer deze zich aanmeldt bij het netwerk. Wanneer andere domeincontrollers zoeken naar een tijdbron om mee te synchroniseren, kiezen ze eerst een betrouwbare bron als deze beschikbaar is.
Tijdbron Selectie
Het tijdbronselectieproces kan twee problemen in een netwerk veroorzaken:
Aanvullende synchronisatiecycli.
Groter volume in netwerkverkeer.
Een cyclus in het synchronisatienetwerk vindt plaats wanneer de tijd consistent blijft tussen een groep domeincontrollers en dezelfde tijd continu wordt gedeeld zonder een hersynchronisatie met een andere betrouwbare tijdsbron. Het tijdbronselectie-algoritme van de Windows Time-service is ontworpen om te beschermen tegen dit soort problemen.
Een computer gebruikt een van de volgende methoden om een tijdbron te identificeren waarmee moet worden gesynchroniseerd:
Als de computer geen lid is van een domein, moet deze worden geconfigureerd om te synchroniseren met een opgegeven tijdbron.
Als de computer een lidserver of werkstation binnen een domein is, volgt deze standaard de AD DS-hiërarchie en synchroniseert deze de tijd met een domeincontroller in het lokale domein waarop momenteel de Windows Time-service wordt uitgevoerd.
Als de computer een domeincontroller is, bestaat het uit maximaal zes query's om een andere domeincontroller te vinden om mee te synchroniseren. Elke query is ontworpen om een tijdbron te identificeren met bepaalde kenmerken, zoals een type domeincontroller, een bepaalde locatie en of deze een betrouwbare tijdbron is. De tijdbron moet ook voldoen aan de volgende beperkingen:
Een betrouwbare tijdbron kan alleen synchroniseren met een domeincontroller in het bovenliggende domein.
Een PDC-emulator kan synchroniseren met een betrouwbare tijdbron in een eigen domein of een domeincontroller in het bovenliggende domein.
Als de domeincontroller niet kan synchroniseren met het type domeincontroller waarop een query wordt uitgevoerd, wordt de query niet uitgevoerd. De domeincontroller weet van welk type computer deze tijd kan verkrijgen voordat de query wordt uitgevoerd. Een lokale PDC-emulator probeert bijvoorbeeld niet drie of zes query's uit te voeren omdat een domeincontroller niet probeert te synchroniseren met zichzelf.
De volgende tabel bevat de query's die een domeincontroller maakt om een tijdbron te vinden en de volgorde waarin de query's worden gemaakt.
Tijdbronnenquery's voor domeincontrollers
| Querynummer | Domeincontroller | Locatie | Betrouwbaarheid van tijdbron |
|---|---|---|---|
| 1 | Bovenliggende domeincontroller | Binnen de site | Geeft de voorkeur aan een betrouwbare tijdbron, maar kan worden gesynchroniseerd met een niet-betrouwbare tijdbron als dat alles is dat beschikbaar is. |
| 2 | Lokale domeincontroller | Ter plaatse | Synchroniseert alleen met een betrouwbare tijdbron. |
| 3 | Lokale PDC-emulator | In-site | Is niet van toepassing. Een domeincontroller probeert niet met zichzelf te synchroniseren. |
| 4 | Bovenliggende domeincontroller | Uit het zicht | Geeft de voorkeur aan een betrouwbare tijdbron, maar kan worden gesynchroniseerd met een niet-betrouwbare tijdbron als dat alles is dat beschikbaar is. |
| 5 | Lokale domeincontroller | Buiten locatie | Synchroniseert alleen met een betrouwbare tijdbron. |
| 6 | Lokale PDC-emulator | Buiten locatie | Is niet van toepassing. Een domeincontroller probeert niet met zichzelf te synchroniseren. |
Opmerking
- Een computer synchroniseert nooit met zichzelf. Als de computer die de synchronisatie probeert uit te voeren de lokale PDC-emulator is, worden queries 3 of 6 niet uitgevoerd.
Elke query retourneert een lijst met domeincontrollers die als tijdbron kunnen worden gebruikt. Windows Time wijst elke domeincontroller toe waarop een query wordt uitgevoerd op een score op basis van de betrouwbaarheid en locatie van de domeincontroller. De volgende tabel bevat de scores die door Windows Time aan elk type domeincontroller zijn toegewezen.
Scorebepaling
| Status van domeincontroller | Puntentotaal |
|---|---|
| Domeincontroller op dezelfde site | 8 |
| Domeincontroller gemarkeerd als een betrouwbare tijdbron | 4 |
| Domeincontroller in het bovenliggende domein | 2 |
| Domeincontroller die een PDC-emulator is | 1 |
Wanneer de Windows Time-service bepaalt dat de domeincontroller met de best mogelijke score is geïdentificeerd, worden er geen query's meer uitgevoerd. De scores die door de tijdservice zijn toegewezen, zijn cumulatief, wat betekent dat een PDC-emulator die zich op dezelfde site bevindt, een score van negen ontvangt.
Als de root van de tijdservice niet is geconfigureerd om te synchroniseren met een externe bron, regelt de interne hardwareklok van de computer de tijd.
synchronisatie van Manually-Specified
Met handmatig opgegeven synchronisatie kunt u één peer of lijst met peers aanwijzen waaruit een computer tijd verkrijgt. Als de computer geen lid is van een domein, moet deze handmatig worden geconfigureerd om te synchroniseren met een opgegeven tijdbron. Een computer die lid is van een domein is standaard geconfigureerd om te synchroniseren vanuit de hiërarchie van het domein. Handmatig gespecificeerde synchronisatie is het nuttigst voor de forest-root van het domein of voor computers die niet aan een domein zijn gekoppeld. Handmatig een externe NTP-server opgeven om te synchroniseren met de gezaghebbende computer voor uw domein biedt betrouwbare tijd. Het configureren van de gezaghebbende computer voor uw domein om te synchroniseren met een hardwareklok is echter een betere oplossing voor het leveren van de meest nauwkeurige, veilige tijd voor uw domein.
Handmatig opgegeven tijdbronnen worden niet geverifieerd, tenzij er een specifieke tijdprovider voor hen is geschreven en ze zijn daarom kwetsbaar voor aanvallers. Als een computer wordt gesynchroniseerd met een handmatig opgegeven bron in plaats van de verificatie van de domeincontroller, zijn de twee computers mogelijk niet gesynchroniseerd, waardoor Kerberos-verificatie mislukt. Dit kan ertoe leiden dat andere acties die netwerkverificatie vereisen, mislukken, zoals afdrukken of delen van bestanden. Als alleen de root van het forest is geconfigureerd voor synchronisatie met een externe bron, blijven alle andere computers in het forest gesynchroniseerd met elkaar, waardoor replay-aanvallen moeilijk worden.
Alle beschikbare synchronisatiemechanismen
De optie 'alle beschikbare synchronisatiemechanismen' is de meest waardevolle synchronisatiemethode voor gebruikers in een netwerk. Deze methode staat synchronisatie met de domeinhiërarchie toe en kan ook een alternatieve tijdbron bieden als de domeinhiërarchie niet beschikbaar is, afhankelijk van de configuratie. Als de client de tijd niet kan synchroniseren met de domeinhiërarchie, valt de tijdbron automatisch terug op de tijdbron die is opgegeven door de NtpServer-instelling . Deze synchronisatiemethode biedt waarschijnlijk nauwkeurige tijd aan clients.
Tijdsynchronisatie stoppen
Er zijn bepaalde situaties waarin u wilt voorkomen dat een computer de tijd synchroniseert. Als een computer bijvoorbeeld probeert te synchroniseren met een tijdbron op internet of met een andere site via een WAN door middel van een inbelverbinding, kan dit leiden tot hoge telefoonkosten. Wanneer u synchronisatie op die computer uitschakelt, voorkomt u dat de computer toegang probeert te krijgen tot een tijdbron via een inbelverbinding.
U kunt synchronisatie ook uitschakelen om het genereren van fouten in het gebeurtenislogboek te voorkomen. Telkens wanneer een computer probeert te synchroniseren met een tijdbron die niet beschikbaar is, wordt er een fout gegenereerd in het gebeurtenislogboek. Als een tijdbron uit het netwerk wordt gehaald voor gepland onderhoud en u niet van plan bent om de client opnieuw te configureren om te synchroniseren vanuit een andere bron, kunt u synchronisatie op de client uitschakelen om te voorkomen dat de synchronisatie wordt uitgevoerd terwijl de tijdserver niet beschikbaar is.
Het is nuttig om synchronisatie uit te schakelen op de computer die is aangewezen als het root van het synchronisatienetwerk. Dit geeft aan dat de hoofdcomputer de lokale klok vertrouwt. Als de wortel van de synchronisatiehiërarchie niet is ingesteld op NoSync en als het niet mogelijk is om te synchroniseren met een andere tijdserver, accepteren clients het pakket dat deze computer verzendt niet, omdat de tijd niet te vertrouwen is.
De enige tijdservers die worden vertrouwd door clients, zelfs als ze niet zijn gesynchroniseerd met een andere tijdbron, zijn servers die door de client zijn geïdentificeerd als betrouwbare tijdservers.
De Windows Time-service uitschakelen
De Windows Time-service (W32Time) kan volledig worden uitgeschakeld. Als u ervoor kiest om een synchronisatieproduct van derden te implementeren dat gebruikmaakt van NTP, moet u de Windows Time-service uitschakelen. Dit komt doordat alle NTP-servers toegang nodig hebben tot UDP-poort (User Datagram Protocol) poort 123 en zolang de Windows Time-service wordt uitgevoerd op het Windows Server 2003-besturingssysteem, poort 123 blijft gereserveerd door Windows Time.
Netwerkpoorten die worden gebruikt door Windows Time Service
De Windows Time-service communiceert op een netwerk om betrouwbare tijdbronnen te identificeren, tijdgegevens op te halen en tijdinformatie te verstrekken aan andere computers. Deze communicatie wordt uitgevoerd zoals gedefinieerd door de NTP- en SNTP-RFC's.
Poorttoewijzingen voor de Windows Time-service
| Servicenaam | UDP | TCP |
|---|---|---|
| NTP | 123 | Niet van toepassing. |
| SNTP | 123 | Niet van toepassing. |
Zie ook
Windows Time Service Technical ReferenceWindows Time Service Tools and SettingsWindows Time Service (W32Time)