In einer Gesamstruktur (Domäne) sind zahlreiche Dienste auf eine synchrone Zeitangabe angewiesen, um fehlerfrei funktionieren zu können. Beispiele hierfür sind neben vielen weiteren der auf dem Kerberos-Protokoll basierende Authentifizierungsdienst, Active Direktory Replikation sowie Windows Update.
Der folgende Artikel beschreibt, wie Sie unter Windows Server 2003 einen autorisierenden Zeitserver für Ihre Domäne bereitstellen.
Windows enthält W32Time, das Zeitdienst-Programm, das vom Kerberos-Authentifizierungsprotokoll benötigt wird. Der Zeitdienst stellt sicher, dass alle Computer in einer Organisation, die mit Microsoft Windows 2000 oder höher arbeiten, eine gemeinsame Zeit verwenden.
Der Windows-Zeitdienst verwendet hierarchische Beziehungen zum Kontrollieren der Autorität und lässt keine Schleifen innerhalb der Hierarchie zu, um so die korrekte Verwendung der gemeinsamen Zeit sicherzustellen. Windows-Computer verwenden standardmäßig die folgende Hierarchie:
- Alle Client-Desktopcomputer nominieren den authentifizierenden Domänencontroller als ihren eingehenden Zeitpartner.
- Alle Mitgliedsserver folgen demselben Prozess wie die Client-Desktopcomputer.
- Alle Domänencontroller in einer Domäne nominieren den primären Domänencontroller (PDC)-Betriebsmaster als ihren eingehenden Zeitpartner.
- Alle PDC-Betriebsmaster folgen bei der Auswahl ihrer eingehenden Zeitpartner der Domänenhierarchie.
Um einen Windows Server 2003 mittels einer externen Zeitquelle als NTP-Server für Ihre Domäne bereitzustellen, gehen Sie wie folgt vor:
Öffnen Sie den Registry Editor
- Ändern Sie den Servertyp in NTP:
Definieren Sie für HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type den Wert "NTP"
- Setzen Sie die Announceflags auf "5":
Definieren Sie für HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags den Wert "5" - Aktivieren Sie den NTP-Server:
Definieren Sie für HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer\Enabled den Wert "1" - Geben Sie die externe Zeitquelle an:
Definieren Sie für HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\NtpServer einen String aller Ihrer gewünschten Zeitquellen. Ein Beispiel hierfür wäre "ptbtime1.ptb.de,0x1 ptbtime2.ptb.de,0x2" - Geben Sie das Zeitintervall an, in welchem Abstand die Zeit synchronisiert werden soll:
Definieren Sie für HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\SpecialPollInterval den Wert "900"[Sekunden] - Geben Sie die positive und negative Zeitkorrektur vor (erhält ein Client ein Zeitticket ausserhalb dieses Rahmens, wird dieses verworfen. Wie empfehlen einen Wert von 48 Stunden)
Definieren Sie für HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxPosPhaseCorrection und HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxNegPhaseCorrection jeweils den Wert "0002a300" - Stoppen Sie den Zeitdienst über die Kommandozeile:
net stop w32time - Starten Sie den Zeitdienst über die Kommandozeile:
net start w32time
Nachdem sie die Einstellungen vorgenommen haben, finden sie in der Ereignisanzeige folgenden Eintrag: