Čas v doméne
Veľa krát sa stretávam u zákazníkov s tým, že ľudia sa sťažujú na rôzne posuny časov tak na ich klientských počítačoch ako aj na serveroch.
Keďže skoro u každého zákazníka majú Microsoft Active Directory a tá má implementovanú synchronizáciu času, tak to využijeme. O správu času vo Windows OS sa stará Windows Time service (W32Time). V AD sa používa na autentifikáciu protokol Kerberos, ktorý používa systém podpisovaných tiketov. Aby autentifikácia bola úspešná, tak rozdiel medzi časom lokálného OS a vzdialeného OS musí menší ako 15 minút. Týchto 15 minút je prednastavených v politike Default Domain Policy. Takže je potrebné, aby časy na klientoch a serveroch boli čo najviac synchronizované.
W32Time servis pracuje na protokole SNTP (Simple Network Time Protocol). To znamená, že maximálny povolený rozdiel medzi stanicami v doménovom strome je 20 sekúnd. W32Time pracuje s UTC časom. W32Time štartuje automatický vo Windows XP a Windows Server 2003 nezaležiac na tom či počítač je doméne alebo nie. Na Windows 2000 sa musí spustiť servis manuálne.
Každý stroj v doméne ma štandardne nastavené tzv. stratum na hodnotu 2, čo znamená, že si synchronizuje čas so serverom s rolou PDC Emulátor v koreňovej doméne stromu. Tento PDC Emulátor si môže synchronizovať čas troma spôsobmi:
– z časových serverov na Internete
– z nejakej hadrware-ovej súčasti pripojenej lokálne ku PDC Emulátoru
– na základe svojich hodin v CMOS pamäti
Ja sa budem zaoberať nastavením PDC Emulátora na externý zdroj času, čiže podľa Internetových časových serverov. Ako prvé potrebujeme zistiť, ktorý server v doméne má rolu PDC Emulátora. Tu môžeme použiť konzolu Active Directory Users and Computers. Na doméne dáme pravé tlačidlo a vyberieme ponuku Operational Masters. Na druhej záložke – PDC – máme napísané, ktorý doménový radič drží rolu PDC Emulátora. Pomocou nasledujúceho príkazu na serveri s rolou PDC Emulátora nastavime zdroje a taktiež chovanie služby W32Time:
w32tm /config /update /manualpeerlist:”0.pool.ntp.org,0x8 1.poolntp.org,.0x8 2.pool.ntp.org,0x8 3.pool.ntp.org,0x8″ /syncfromflags:MANUAL
Po tejto konfigurácii je dobre reštartnúť servis pomocou dvojice príkazov:
net stop w32time
net start w32time
Môže trvať aj hodinu kým sa čas na PDC Emulátore synchronizuje s externým zdrojom času. Je to spôsobené vlastnosťami poolovej metódy. Po konečnej synchronizácií môže byť odchylka do dvoch sekúnd od externého zdroja. Ak sa vam nechce čakať kým sa PDC Emulátor kompletne synchronizuje, je to možné urýchliť príkazom:
w32tm /resync /rediscover
U klientov, ktorí často cestujú mimo firmu a majú počítač v doméne by bolo dobré spustiť nasledovný príkaz:
w32tm /config /update /manualpeerlist:”pool.ntp.org,0x8″ /syncfromflags:MANUAL,DOMHIER
Tento príkaz zabezpečí to, že ak počítač je overený do domény, tak si nastaví čas s PDC Emulátorom, inak si nastaví z časového servera pool.ntp.org.
Je este potrebné pripomenúť, že protokol SNTP beží na UDP porte 123, takže treba ho mať povolený na firewall-e do vonku.
Co znamena parameter 0×8 v prikaze w32tm?
Je to parameter, ktory nastavi, ze dany server sa sprava ako NTP klient.
Viac o tychto parametroch sa mozes docitat na http://support.microsoft.com/kb/875424.