Tijdsynchronisatie in een Windows Domain
Woensdag 28 Oktober 2009 at 08:04 am. Gebruikte Tags: ntpHoe verschillende domain controllers configureren om tijdsynchronisatie uit te voeren. Deze is onmisbaar, want bij te grote tijdsverschillen (>5min) weigert Kerberos authenticatie, dus geen replicaties meer tussen de servers, geen DNS, WINS, shares,... meer.
NTP stuurt packets van 50 bytes over UDP123.
Instellingen kunnen worden bepaald door een GPO:
Computer Configuration > Windows Settings > System Services > Windows Time
Computer Configuration > Administrative Templates > System > Windows Time Service
Na een standaard installatie van een domain controller, zou de configuratie eigenlijk juist moeten staan. Bij manuele configuratie, stel het volgende in:
Registry key \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters:
NTPserver 192.168.123.123 Als je hier een naam opgeeft, voeg dan ,0x1 toe. Bijv. 0.europe.pool.ntp.org,0x1
Type NT5DS
Registry key \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config:
AnnounceFlags 10
MaxPosPhaseCorrection 900
MaxNegPhaseCorrection 900
MaxPollInterval 10
De domain controllers zullen zelf uitmaken welke server de betrouwbaarste is (doorgaans die met de PDCemulator Role in het forest root domain), en daarmee synchroniseren. Op deze server stel je NTP als protocol in i.p.v. NT5DS. Microsoft raadt aan om te synchroniseren met een hardwareclock en niet met het internet. De tijdsynchronisatie verloopt in lagen:
stratum 1 : internet of hardwareclock
stratum 2 : PDCemulator
stratum 3 : Domain Controllers
stratum 4 : member servers en workstations
Internet-tijdservers werken echter in een poolsysteem waardoor de server waarmee je synchroniseert zelf al stratum 2 of 3 kan zijn. De andere lagen schuiven dan mee op. Let er op dat er geen lussen in de tijdsynchronisatie ontstaan!
Controleer de tijdsynchronisatie in een command shell met:
w32tm /monitor
net time
Geen reacties