1. Конфігурація і управління службою часу в Windows W32Time синхронізує комп'ютер, обраний в якості...
2. Використання NTP з сервером-посередником
3. Ієрархічний пошук джерела точного часу
4. Процес синхронізації часу
5. Синхронізація NT 4.0 і клієнтів Windows 9x
6. Типові помилки W32Time
7. Питання часу
8. Де знайти сервери часу?

Конфігурація і управління службою часу в Windows

W32Time синхронізує комп'ютер, обраний в якості еталонного сервера часу, з зовнішнім джерелом часу, а потім все машини мережі з сервером часу. У даній статті ми докладно розглянемо W32Time і методи і управління цією службою.

Відмова від W32Time для користувачів мережі не має очевидних наслідків. Однак для деяких функцій і процесів необхідні точні і синхронізовані маркери часу. Наприклад, маркери часу використовуються в процесі генерації квитка аутентифікації Kerberos. За замовчуванням, аутентифікація Kerberos закінчується невдачею, якщо час на клієнтському комп'ютері і виконує аутентифікацію контролері домену (DC) різниться більше, ніж на 5 хв. Цей інтервал називається максимальною погрішністю синхронізації комп'ютерних годин (Maximum Tolerance for Synchronization of Computer Clocks). Змінити його можна за допомогою групової політики, але при цьому виникає загроза безпеки мережі.

Рішення про копіювання даних в процесі реплікації також залежить від точності синхронізації часу. Якщо відмінності в часі між двома DC перевищують максимальну похибку синхронізації, то два DC не можуть аутентифицировать один одного, і реплікація даних стає неможливою. Не менш серйозні наслідки матимуть і помилки в запису файлів даних, викликані відмінностями в часі між комп'ютерами. Крім того, неточні тимчасові маркери можуть привести до помилок при синхронізації автономних файлів, введення інформації в базу даних і спільну роботу з документами.

Організація еталонного сервера часу

Еталонний сервер часу - це контролер домену DC, який звіряє час з точним зовнішнім хронометром.

В домені з декількома DC функції еталонного сервера часу покладаються на контролер, який грає роль емулятора PDC. За замовчуванням, емулятор PDC - це перший DC, встановлюваний в домені. Якщо в мережі є кілька доменів (ліс), то емулятор PDC першого домену в лісі буде служити еталонним сервером часу для всього лісу.

Щоб вказати URL або IP-адреса еталонного зовнішнього таймера, необхідно виконати на DC, який грає роль еталонного сервера часу, наступну команду:

net time / setsntp: (server_ address or server_list)

Цільовий зовнішній сервер повинен бути сервером часу SNTP (Simple Network Time Protocol - простий мережевий протокол тимчасової синхронізації), а UDP-порт 123 повинен бути відкритий для доступу з Internet. Адреси серверів часу наведені в урізанні «Де знайти сервери часу?». У разі відмови зовнішнього сервера система спробує встановити зв'язок з іншим сервером зі складеного адміністратором списку. Адреси в списку повинні бути розділені пробілами, а весь список укладений в лапки, наприклад:

net time /setsntp:»192.5.41.209 192.5.41.41 »Результати виконання команди net time / setsntp заносяться до реєстру, і еталонний сервер часу автоматично синхронізує свій таймер із зовнішнім джерелом. Елементи реєстру, показані на Екрані 1, записуються в розділ HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services W32Time Parameters. В таблиці 1 пояснюється вибір значень для елементів реєстру. При використанні списку з кількох серверів NTP (Network Time Protocol - мережевий протокол тимчасової сихронізацію) покажчики URL слід замінити на IP-адреси. Якщо перерахувати NTP-сервери на ім'я DNS, то через помилки в Windows 2000 операційна система спробує встановити з'єднання тільки з першим ім'ям в списку, ігноруючи інші. Але при використанні IP-адрес операційна система послідовно намагається встановити зв'язок з кожним IP-адресою, поки не синхронізує час (помилка виправлена ​​в Windows 2000 Service Pack 3).

Використання NTP з сервером-посередником

Якщо W32Time працює на машині, прихованої за системою Microsoft Proxy Server, то, можливо, їй не вдасться підключитися до зовнішнього NTP-сервера. W32Time працює від імені локальний системний обліковий запис на внутрішньому сервері, а сервер-посередник, як правило, використовує режим контролю доступу Access Control. Існує кілька способів вирішення проблеми.

• Вийти з режиму Access Control для Winsock Proxy. Для цього слід відкрити Microsoft IIS Manager з меню Administrative Tools, відкрити діалогове вікно Properties для служби Winsock Proxy, клацнути на вкладці Permissions і скинути прапорець Enable Access Control.
• Налаштувати сервер часу на сервер-посередник замість зовнішнього NTP-сервера, а потім вказати посереднику на зовнішній сервер.
• Щодня виконувати на еталонному сервері часу командний файл за допомогою Task Scheduler. Файл слід доповнити наступними командами:

net stop w32time w32tm -once net start w32time

Ієрархічний пошук джерела точного часу

Робочі станції XP і Windows 2000 Professional, автономні сервери Windows 2000 і всі DC, які не є еталонними серверами часу, автоматично синхронізують свої таймери з потрібним DC. Щоб синхронізувати час в мережі, W32Time використовує ієрархічний метод. Даний метод передбачає, що в мережі є еталонний сервер часу. Якщо через відсутність сервера пошук джерела точного часу закінчиться невдачею, в журналах всіх мережевих комп'ютерів з'явиться безліч повідомлень про помилки. Вони описані в розділі «Типові помилки W32Time». В ієрархії служби часу існує три рівня.

• Рівень 1: еталонний сервер часу.
• Рівень 2: інші DC домену (якщо вони існують) і інші DC інших доменів лісу (якщо вони існують).
• Рівень 3: члени-сервери Windows 2000 і робочі станції XP і Windows 2000.

На рівні 1 еталонний сервер часу шукає джерело точного часу в Internet і намагається встановити зв'язок з обраними адміністратором зовнішніми серверами часу. У мережі може існувати лише один комп'ютер рівня 1, і тільки він може звертатися до зовнішнього джерела часу. Щоб визначити, чи налаштований цей комп'ютер на зв'язок з потрібним джерелом часу, слід ввести команду

net time / querysntp

У відповідь має бути отриманий Internet-адреса зовнішнього сервера (або кілька Internet-адрес, якщо вказаний список зовнішніх серверів часу).

На рівні 2 всі DC мережі ведуть пошук в батьківському домені (якщо існує ліс), а потім шукають еталонний сервер часу в поточному домені. Виявивши еталонний сервер часу, все DC синхронізують з ним свої таймери. Еталонний сервер часу для контролерів домену грає роль NTP-сервера.

На рівні 3 комп'ютери синхронізують свої таймери з DC, на якому була проведена аутентифікація. Вважається, що таймер аутентифицирующей DC точний, так як він синхронізований з NTP-сервером для клієнтів рівня 3. Тільки комп'ютери XP і Windows 2000 забезпечують таку автоматичну синхронізацію. Про синхронізації машин зі старими версіями Windows розказано в розділі «Синхронізація NT 4.0 і клієнтів Windows 9x».

Процес синхронізації часу

Коли комп'ютери реєструються в домені, служба часу перевіряє час на відповідному комп'ютері і визначає «цільове» час. Для машин рівня 2 цільовим часом буде час еталонного сервера часу. Для всіх інших комп'ютерів цільовим вважається час DC аутентифікації (комп'ютера рівня 2). Щоб узгодити локальне час з цільовим, локальний (клієнтський) комп'ютер виконує такі дії.

• Якщо цільове час більше локального, то Win32Time автоматично змінює локальне час, прирівнюючи його до цільового.
• Якщо цільове час менше локального не більше, ніж на 3 хв, то Win32Time знижує частоту локального таймера до тих пір, поки часом не зрівняється. Якщо локальний час випереджає цільове більш ніж на 3 хв, то Win32Time автоматично змінює локальне час.

Інший спосіб - вручну синхронізувати таймер будь-якого мережевого комп'ютера XP або Windows 2000 (крім аутентифицированного сервера часу) за допомогою команди

net time / set

Користувач отримує повідомлення, наведене на екрані 2 . Щоб узгодити локальне час з часом аутентифицирующей DC, потрібно натиснути клавішу Y.

Тимчасова синхронізація проводиться не тільки при початковому завантаженні. Таймери комп'ютерів XP і Windows 2000 періодично синхронізуються в процесі роботи. За замовчуванням, клієнтські машини підключаються до джерел точного часу один раз за «період», який визначається наступним чином.

• Тривалість початкового періоду - 45 хв.
• Якщо процедура синхронізації успішно проведена три рази поспіль, то період збільшується до 8 год.
• Якщо синхронізація тричі закінчилася невдачею, то період скорочується до 45 хв, і процес визначення тривалості періоду починається заново.

Використання команди net time / set для ручної синхронізації таймера на підрахунку числа успішних перевірок не відбивається.

Синхронізація NT 4.0 і клієнтів Windows 9x

Мережеві клієнти NT 4.0 і Windows 9x повинні бути синхронізовані вручну. Для цього слід ввести команду net time / set / yes, де ComputerName - ім'я комп'ютера в даному домені, таймер якого вважається еталонним. Служба W32Time на комп'ютерах NT і Windows 9x не працює, тому періодична автоматизована синхронізація не проводиться. Якщо ввести команду в командний файл, а ярлик командного файлу помістити в папку Startup, то тимчасова синхронізація буде виконуватися кожного разу при запуску комп'ютера; або ж можна помістити ярлик на «робочому столі», щоб користувачі могли діяти на свій розсуд.

Типові помилки W32Time

Повідомлення про помилки W32Time заносяться в журнал System утиліти Event Viewer; в якості джерела повідомлень вказується W32Time (щоб сортувати журнал за джерелами повідомлень, слід клацнути на стовпці Source). Багато подій, що записуються службою часу, є інформаційними, але якщо виявлено попередження, то слід вжити заходів для усунення неполадки.

Якщо адміністратор не призначив еталонний сервер часу, то перший DC домену (або першого домену в лісі) запише в журнал System таку обставину: This Machine is a PDC of the domain at the root of the forest. Configure to sync from External time source using the net command,? Net time / setsntp :. ( «Дана машина - головний контролер кореневого домену лісу. Налаштуйте його на синхронізацію із зовнішнім джерелом часу, використовуючи команду

? Net time / setsntp: ».)

Якщо еталонний сервер часу недоступний і виникають проблеми реплікації DC, то не завжди очевидно, що причина криється в службі часу. Коли джерела часу стають недоступними, W32Time не генерує повідомлень про помилки в журналі System. Я сподіваюся, що цей недолік буде усунений в майбутніх версіях Windows. Але якщо система видає повідомлення про помилку The RPC server is unavailable, то, швидше за все, стався збій служби синхронізації часу.

Якщо клієнт XP або Windows 2000 не може знайти домену для аутентифікації (як правило, це трапляється в невеликих мережах з єдиним DC), то клієнт може зареєструватися на будь-якій машині, так як за замовчуванням система кешируєт паролі і імена користувачів. Однак процес синхронізації часу зривається, і в результаті W32Time записує в журнал System подія з ID 11 (The NTP Server didn? T respond - NTP-сервер не відповів).

Подія з ID 11 - типове попередження на еталонному сервері часу. Якщо попередження приходить часто, то слід повторно ввести команду net time / setsntp: і знайти інший сервер часу в Internet або додати IP-адреси декількох NTP-серверів.

Якщо мережа зайнята або виникли неполадки з мережевою платою або кабелем, то в журнал System може бути записано подія з ID 64. Джерело цієї події - W32Time, але проблема не пов'язана з цією службою. Проте ця подія може бути єдиним попередженням про розрив з'єднання. на екрані 3 показано повідомлення для події з ID 64. Дане повідомлення відноситься до програми w32tm.exe, за допомогою якої можна досліджувати і змінити службу W32Time. Щоб отримати рекомендації по використанню цього інструменту, потрібно ввести команду

w32tm /?

Питання часу

Нормальне функціонування W32Time необхідно забезпечувати не тільки заради власне синхронізації. Успішне виконання багатьох важливих функцій, в тому числі безпеку Kerberos і реплікація даних, залежить від точності комп'ютерних таймерів.

Кеті Ивенс - редактор Windows & .NET Magazine. З нею можна зв'язатися за адресою: [email protected] .

Де знайти сервери часу?

При синхронізації еталонного сервера часу із зовнішнім сервером часу NTP (Network Time Protocol) Windows встановлює місцевий час з урахуванням переходу на літній час і назад. Крім того, операційна система компенсує будь-які затримки в каналах Internet.

Сервери часу розташовані по всьому світу і організовані в ієрархічну структуру. Первинні (рівень 1) сервери - найбільш точні, але вторинні (рівень 2) сервери, як правило, бездоганно синхронізовані або лише незначно неузгоджені з серверами рівня 1. Різниця, що не перевищує декількох наносекунд, безумовно, не приведе

до проблем в мережевих функціях, залежних від служби часу Windows. Сервери рівня 1 дуже завантажені, і спроби звернення до них можуть виявитися невдалими через тайм-ауту. Тому рекомендується вибирати в якості зовнішніх NTP-серверів сервери рівня 2.

Список серверів 1 рівня наведено на сайті http://www.eecis.udel.edu/ ~ mills / ntp / clock1.htm . Список серверів рівня 2 можна отримати за адресою: http://www.eecis.udel.edu/ ~ mills / ntp / clock2.htm .

У кожному списку перераховані загальнодоступні NTP-сервери часу. Для кожного сервера вказані код країни, штат (тільки США), ім'я вузла, Internet-адреса та відомості про географічне положення.

Два популярних зовнішніх сервера часу в США належать Військово-морської обсерваторії (USNO): ntp2.usno.navy.mil (192.5.41.209) і tock.usno.navy.mil (192.5.41.41). Серед популярних канадських серверів - clyde.concordia.ca (132.205.1.1), manitou.cs.concordia.ca (132.205.4.3) і xntp.ece.concordia.ca