Для обеспечения полноценной работоспособности локальной сети протоколу аутентификации Kerberos в Windows XP необходимо, чтобы все контроллеры доменов имели одинаковое системное время. Таким образом, Windows XP поставляется вместе со службой времени, в которой при назначении времени используется следующая системная иерархия:

n все клиентские настольные компьютеры и серверы-члены доменов используют аутентифицирующий контроллер домена в качестве партнера для получения данных о времени;

n все контроллеры домена используют службу FSMO (Flexible Single-Master Operation) главного контроллера домена в качестве партнера для получения данных о времени;

n служба FSMO главного контроллера домена использует иерархию домена для подбора партнера определения времени.

Служба FSMO главного контроллера домена (PDC — Primary Domain Controller) в корневом домене становится основным источником точного времени для всего предприятия, поэтому PDC необходимо настроить таким образом, чтобы сервер получал данные о точном времени из надежного внешнего источника. Пока настройка времени не завершена, журнал событий будет сообщать, что служба W32Time не настроена.

Для настройки службы W32Time на использование внешнего сервера точного времени необходимо воспользоваться следующей командой:

net time /setsntp:192.4.41.40

Существует возможность указать несколько Internet-серверов, которые расположены в Морской обсерватории ВМС США (U.S. Naval Observatory):

ntp2.usno.navy.mil — 192.5.41.209;

tick.usno.navy.mil — 192.4.41.40;

tock.usno.navy.mil — 192.4.41.41.

Не стоит обращаться непосредственно к серверам NTP (Network Time Protocol) ВМС США за исключением тех случаев, когда администратору домена необходим доступ к серверу stratum-2 (доступ к которому предоставляется большому количеству пользователей). Администраторам домена не рекомендуется обращаться к перечисленным выше серверам и вместо них желательно использовать сервер NTP, предоставляемый поставщиком услуг Internet (каждый ISP должен иметь такой сервер). Единственным исключением является повышенное требование к точности времени.

При использование команды /setsntp обновляется запись в системном реестре HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\ntpserver. Для протокола SNMP (Simple Network Time Protocol) используется порт 123 протокола UDP, поэтому необходимо удостовериться, что proxy-серверы и брандмауэры не блокируют данный порт.

Далее приводятся некоторые параметры системного реестра, имеющие отношение к службе W32Time.

Параметры системного реестра службы W32Time

Имя записи

Описание

LocalNTP (REG_DWORD)

В соответствии с документом W32TIME.DOC, присвоение этой записи значения 1 (W32Time использует файл *.INI и присваивает записи значение Yes) определяет локальный компьютер как сервер SNTP

Log (REG_DWORD)

Присвоение этой записи значения 1 указывает службе W32Time записывать события синхронизации времени в системный журнал. По умолчанию запись имеет значение 0

NTPServer (REG_SZ)

Эта запись системного реестра содержит адрес сервера (S)NTP, с которого необходимо получать информацию о точном времени. Можно воспользоваться командой net time /setsntp[:serverlist] для определения параметра из командной строки. В документе W32TIME.DOC указано, что имена BroadcastClient и MulticastClient являются зарезервированными и их нельзя использовать для серверов NTP. История умалчивает, что именно обозначают имена BroadcastClient и MulticastClient

Period (REG_SZ)

Обратитесь к документу W32TIME.DOC и статье Microsoft, которые упоминались ранее

PrimarySource (REG_SZ)

Эта запись системного реестра указывает имена NetBIOS всех основных серверов точного времени. Перед каждым именем необходимо указывать две обратных косых черты (\\) и разделять имена с помощью точки с запятой (;)

RandomPrimary (тип неизвестен, возможно REG_DWORD)

В этой записи системного реестра случайным образом выбирается основной сервер из списка PrimarySource

ReliableTimeSource

Эта запись предположительно имеет тип REG_SZ и содержит имя сервера RTS

SecondaryDomain (REG_SZ)

Определение этой записи указывает вторичному компьютеру домен, которому следует отправлять широковещательный запрос на получение точного времени. В документе W32TIME.DOC описывается необходимость не указывать значения этой записи, чтобы вторичный компьютер запрашивал информацию о точном времени в своем домене. Это может весьма пригодится в доменах с одним основным сервером или несколькими серверами, когда администратор не считает нужным создавать основной сервер указания времени (Primary Time Server) в каждом домене

Tasync

Подробное объяснение приводится в документе W32TIME.DOC

Type (REG_SZ)

Значение NTP/PRIMARY/SECONDARY. Дополнительная информация приводится в документе W32TIME.DOC