Inleiding

In dit artikel wordt stapsgewijs beschreven hoe de Windows Time-service in Windows XP moet worden geconfigureerd voor gebruik van een interne hardwareklok en een externe tijdsbron.

Het wordt ten zeerste aangeraden de gemachtigde tijdserver zodanig te configureren dat de tijd wordt opgehaald van een hardwarebron. Als u de gemachtigde tijdserver configureert voor synchronisatie met een internettijdsbron, is er geen verificatie. U wordt ook aangeraden de instellingen voor tijdcorrectie voor uw servers en zelfstandige clients te verlagen. Door deze aanbevelingen op te volgen, bevordert u de nauwkeurigheid en de beveiliging van uw domein.


Dit artikel bevat tips voor het oplossen van de meestvoorkomende problemen en informatie over een betrouwbare tijdsbronconfiguratie, handmatig opgegeven synchronisatie, alle beschikbare vormen van synchronisatie en de registervermeldingen MaxNegPhaseCorrection en MaxPosPhaseCorrection.

Terug naar begin

De Windows Time-service configureren voor gebruik van een interne hardwareklok

Als u de Windows Time-service wilt configureren voor gebruik van een interne hardwareklok, wijzigt u de aankondigingsvlag op de gemachtigde tijdserver. Doordat de aankondigingsvlag wordt gewijzigd, moet de computer zichzelf aankondigen als een betrouwbare tijdsbron en wordt gebruikgemaakt van de ingebouwde CMOS-klok (Complementary Metal Oxide Semiconductor). Ga als volgt te werk om de Windows Time-service te configureren voor gebruik van een interne hardwareklok:

Waarschuwing Er kunnen zich ernstige problemen voordoen als u het register met de Register-editor of met een andere methode foutief wijzigt. Wellicht moet u door deze problemen het besturingssysteem opnieuw installeren. Microsoft kan niet garanderen dat deze problemen opgelost kunnen worden. Het wijzigen van het register is dan ook voor uw eigen risico.

1. Klik op Start, klik op Uitvoeren, typ regedit en klik op OK.
2. Zoek de volgende registervermelding en klik erop:

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\

3. Klik in het rechterdeelvenster met de rechtermuisknop op AnnounceFlags en kies Wijzigen.
4. Typ in het dialoogvenster DWORD-waarde bewerken onder Waardegegevens de waarde 5 en klik op OK.
5. Schakel NTPServer in.
   1. Klik op de volgende registersubsleutel:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer\

   2. Klik in het rechterdeelvenster met de rechtermuisknop op Enabled en kies Wijzigen.
   3. In het dialoogvenster DWORD-waarde bewerken typt u 1 onder Waardegegevens en klikt u op OK.
6. Sluit de Register-editor af.
7. Typ achter de MS-DOS-prompt de volgende opdracht om de Windows Time-service opnieuw te starten en druk op ENTER:

   net stop w32time && net start w32time

8. Voer de volgende opdracht uit op alle computers behalve de tijdserver om de tijd van de lokale computer af te stemmen op de tijdserver:
   

   w32tm /resync /rediscover

Opmerking U moet de tijdserver niet met zichzelf laten synchroniseren. Als u de tijdserver configureert voor synchronisatie met zichzelf, worden de volgende gebeurtenissen in het toepassingslogboek geregistreerd:

De tijdsprovider NtpClient ontvangt momenteel ongeldige tijdsgegevens van 192.168.1.1 of kan deze niet bereiken (ntp.m|0x0|192.168.1.1:123->192.168.1.1:123).

Na 8 pogingen is er geen geldige reactie ontvangen van de handmatig geconfigureerde peer 192.168.1.1. De peer wordt verworpen als een tijdsbron en de NtpClient probeert om een nieuwe peer met de betreffende DNS-naam te vinden.

De tijdsprovider NtpClient is geconfigureerd om de tijd bij een of meer tijdsbronnen op te halen. Geen van deze bronnen is echter toegankelijk. Er worden geen nieuwe pogingen gedaan gedurende 960 minuten. De tijdservice heeft geen nauwkeurige tijdsbron.

Als de tijdserver wordt uitgevoerd met een interne tijdsbron, wordt de volgende gebeurtenis geregistreerd in het toepassingslogboek:

Tijdprovider/NtpClient: deze computer is geconfigureerd om de domeinhiërarchie te gebruiken om de tijdsbron vast te stellen. Deze is echter de PDC-emulator voor het domein aan de basis van het forest. Er bevindt zich dus geen computer hoger in de domeinhiërarchie die als tijdsbron kan worden gebruikt. Het wordt aanbevolen om een betrouwbare tijdsservice in het basisdomein te configureren, of de PDC handmatig te configureren zodat deze met een externe tijdsbron wordt gesynchroniseerd. In alle andere gevallen zal deze computer als gemachtigde tijdsbron binnen de domeinhiërarchie fungeren. Als er geen externe tijdsbron voor gebruik op deze computer is geconfigureerd, kunt u de NtpClient beter uitschakelen.

Met deze tekst wordt u erop geattendeerd dat de tijdserver niet is ingesteld voor gebruik van een externe tijdsbron en dat de tijdserver kan worden genegeerd.

Typ voor meer informatie over de opdracht w32tm de volgende opdracht bij een opdrachtprompt:

Terug naar begin

De Windows Time-service configureren voor gebruik van een externe tijdsbron

Ga als volgt te werk om de Windows Time-service te configureren voor synchronisatie met een externe tijdsbron:

1. Wijzig het servertype in NTP. Ga hiervoor als volgt te werk:
   1. Klik op Start, klik op Uitvoeren, typ regedit en klik op OK.
   2. Klik op de volgende registersubsleutel:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\

   3. Klik in het rechterdeelvenster met de rechtermuisknop op Type en kies Wijzigen.
   4. Typ in het dialoogvenster Tekenreeks bewerken onder Waardegegevens de waarde NTP en klik op OK.
2. Stel AnnounceFlags in op 5. Ga hiervoor als volgt te werk:
   1. Klik op de volgende registersubsleutel:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\

   2. Klik in het rechterdeelvenster met de rechtermuisknop op AnnounceFlags en kies Wijzigen.
   3. Typ in het dialoogvenster DWORD-waarde bewerken onder Waardegegevens de waarde 5 en klik op OK.
3. Selecteer het pollinginterval. Ga hiervoor als volgt te werk:
   1. Klik op de volgende registersubsleutel:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\

   2. Klik in het rechterdeelvenster met de rechtermuisknop op SpecialPollInterval en kies Wijzigen.
   3. Typ in het dialoogvenster DWORD-waarde bewerken onder Waardegegevens een waarde voor TijdInSeconden en klik op OK.
      
      Opmerking TijdInSeconden is een tijdelijke aanduiding voor het aantal seconden dat u tussen de verschillende controles wilt hebben. De waarde 900 Decimal wordt aanbevolen. Bij deze waarde wordt het pollinginterval van de tijdserver ingesteld op 15 minuten.
4. Schakel NTPServer in. Ga hiervoor als volgt te werk:
   1. Klik op de volgende registersubsleutel:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer\

   2. Klik in het rechterdeelvenster met de rechtermuisknop op Enabled en kies Wijzigen.
   3. Typ in het dialoogvenster DWORD-waarde bewerken onder Waardegegevens de waarde 1 en klik op OK.
5. Geef de tijdsbronnen op. Ga hiervoor als volgt te werk:
   1. Klik op de volgende registersubsleutel:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\NtpServer

   2. Klik in het rechterdeelvenster met de rechtermuisknop op NtpServer en kies Wijzigen.
   3. In Waarde bewerken typt u Peers in het vak Waardegegevens en klikt u op OK.
6. Configureer de tijdcorrectie-instellingen. Ga hiervoor als volgt te werk:
   1. Klik op de volgende registersubsleutel:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\

   2. Klik in het rechterdeelvenster met de rechtermuisknop op MaxPosPhaseCorrection en kies Wijzigen.
   3. Klik in het dialoogvenster DWORD-waarde bewerken onder Grondtal op Decimaal.
   4. Typ in het dialoogvenster DWORD-waarde bewerken onder Waardegegevens een waarde voor TijdInSeconden en klik op OK.
      
      Opmerking TijdInSeconden is een tijdelijke aanduiding voor een redelijke waarde, bijvoorbeeld 1 uur (3600) of 30 minuten (1800). Welke waarde u selecteert, is afhankelijk van het pollinginterval, de netwerksituatie en de externe tijdsbron.
   5. Klik op de volgende registersubsleutel:

      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\

   6. Klik in het rechterdeelvenster met de rechtermuisknop op MaxNegPhaseCorrection en kies Wijzigen.
   7. Klik in het dialoogvenster DWORD-waarde bewerken onder Grondtal op Decimaal.
   8. Typ in het dialoogvenster DWORD-waarde bewerken onder Waardegegevens een waarde voor TijdInSeconden en klik op OK.
      
      Opmerking TijdInSeconden is een tijdelijke aanduiding voor een redelijke waarde, bijvoorbeeld 1 uur (3600) of 30 minuten (1800). Welke waarde u selecteert, is afhankelijk van het pollinginterval, de netwerksituatie en de externe tijdsbron.
7. Sluit de Register-editor af.
8. Typ achter de MS-DOS-prompt de volgende opdracht om de Windows Time-service opnieuw te starten en druk op ENTER:

   net stop w32time && net start w32time

9. Voer de volgende opdracht uit op andere computers dan de domeincontroller om de tijd van elke computer af te stemmen op de tijdserver:
   

   w32tm /resync /rediscover

Typ voor meer informatie over de opdracht w32tm de volgende opdracht bij een opdrachtprompt:



Opmerking SNTP gebruikt standaard UDP-poort (User Datagram Protocol ) 123. Als deze poort geen toegang geeft tot internet, kunt u uw server niet synchroniseren met SNTP-servers op internet.

Meer informatie

Betrouwbare tijdsbronconfiguratie

Een computer die is geconfigureerd als betrouwbare tijdsbron, wordt aangewezen als de basis van de tijdservice. De basis van de tijdservice is de betrouwbare server voor het domein. Meestal wordt de betrouwbare server zodanig ingesteld dat de tijd wordt opgehaald van een externe NTP-server of van een hardwareapparaat. Een tijdserver kan worden geconfigureerd als een betrouwbare tijdsbron om de manier te optimaliseren waarop tijd wordt doorgegeven in de domeinhiërarchie. Als een domeincontroller is geconfigureerd als betrouwbare tijdsbron, kondigt de Net Logon-service die domeincontroller aan als een betrouwbare tijdsbron bij de aanmelding op het netwerk. Als voor andere domeincontrollers een tijdsbron wordt gezocht om de domeincontrollers hiermee te synchroniseren, wordt eerst een betrouwbare bron gekozen, als die beschikbaar is.

Terug naar begin

Handmatig opgegeven synchronisatie

Met handmatig opgegeven synchronisatie kunt u één peer of een lijst met peers aanwijzen waarvan een computer de tijd ophaalt. Als de computer geen lid is van een domein, moet die computer handmatig worden geconfigureerd voor synchronisatie met een opgegeven tijdsbron. Een computer die lid is van een domein, is standaard geconfigureerd voor synchronisatie vanuit de domeinhiërarchie. Handmatig opgegeven synchronisatie is vooral nuttig voor het forest-hoofd van het domein of voor computers die geen lid zijn van een domein. Als u handmatig een externe NTP-server opgeeft voor synchronisatie met de gemachtigde computer voor uw domein, zorgt u voor een betrouwbare tijd. Voor een hoge mate van nauwkeurigheid en veiligheid van het domein wordt u echter aangeraden de gemachtigde computer van uw domein zodanig te configureren dat deze wordt gesynchroniseerd met een hardwareklok.

Zonder hardwaretijdsbron wordt W32time geconfigureerd als een NTP-type. U moet de registervermeldingen MaxPosPhaseCorrection en MaxNegPhaseCorrection opnieuw configureren. De aanbevolen waarde dient 15 minuten of nog lager te zijn, afhankelijk van tijdsbron, netwerktoestand en beveiligingseisen. Dit geldt ook voor alle betrouwbare tijdsbronnen die worden geconfigureerd als de tijdsbron voor het foresthoofd in het subnetwerk voor tijdsynchronisatie. Zie de sectie Registervermeldingen voor de Windows Time-service verderop in dit artikel voor meer informatie over deze registervermeldingen.

Opmerking Handmatig opgegeven tijdsbronnen worden alleen geverifieerd als er een specifieke tijdprovider voor wordt geschreven. Deze tijdsbronnen zijn daarom kwetsbaar voor aanvallen. Als een computer wordt gesynchroniseerd met een handmatig opgegeven bron in plaats van met de verifiërende domeincontroller, zijn de twee computers bovendien wellicht niet synchroon, waardoor de Kerberos-verificatie mislukt. Andere bewerkingen waarvoor netwerkverificatie vereist is, zoals afdrukken of het delen van bestanden, kunnen ook mislukken. Als alleen het foresthoofd is geconfigureerd voor synchronisatie met een externe bron, blijven alle andere computers binnen het forest synchroon met elkaar, waardoor replay-aanvallen worden bemoeilijkt.

Terug naar begin

Alle beschikbare synchronisatiemechanismen

De optie 'alle beschikbare synchronisatiemechanismen' is de waardevolste synchronisatiemethode voor gebruikers in een netwerk. Met deze methode is synchronisatie met de domeinhiërarchie mogelijk en kan bovendien een alternatieve tijdsbron worden geboden als de domeinhiërarchie niet beschikbaar is, afhankelijk van de configuratie. Als de client geen tijd kan synchroniseren met de domeinhiërarchie, valt de tijdsbron automatisch terug op de tijdsbron die is opgegeven met de instelling voor NtpServer. Deze synchronisatiemethode biedt de hoogste kans op nauwkeurige tijd voor clients.

Terug naar begin

Registervermeldingen van de Windows Time-service

De volgende registervermeldingen bevinden zich onder HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\:

Registervermelding	MaxPosPhaseCorrection
Pad	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
Opmerkingen	Met deze vermelding wordt de grootste positieve tijdcorrectie in seconden opgegeven die door de service wordt gemaakt. Als de service vaststelt dat er een grotere wijziging dan deze waarde nodig is, wordt een gebeurtenis geregistreerd in het logboek. Speciaal geval: 0xFFFFFFFF betekent dat er altijd een tijdcorrectie wordt gemaakt. De standaardwaarde voor domeinleden is 0xFFFFFFFF. De standaardwaarde voor zelfstandige clients en servers is 54.000 (15 uur).

Registervermelding	MaxNegPhaseCorrection
Pad	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
Opmerkingen	Met deze vermelding wordt de grootste negatieve tijdcorrectie in seconden opgegeven die door de service wordt gemaakt. Als de service vaststelt dat er een grotere wijziging dan deze waarde nodig is, wordt in plaats daarvan een gebeurtenis geregistreerd in het logboek. Speciaal geval: -1 betekent dat er altijd een tijdcorrectie wordt gemaakt. De standaardwaarde voor domeinleden is 0xFFFFFFFF. De standaardwaarde voor zelfstandige clients en servers is 54.000 (15 uur).

Registervermelding	MaxPollInterval
Pad	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
Opmerkingen	Met deze vermelding wordt het grootste interval, in logseconden, opgegeven dat is toegestaan voor het systeempollinginterval. Hoewel een systeem moet controleren volgens het geplande interval, kan een provider weigeren metingen te geven wanneer daarom wordt gevraagd. De standaardwaarde voor domeinleden is 10. De standaardwaarde voor zelfstandige clients en servers is 15.

Registervermelding	SpecialPollInterval
Pad	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient
Opmerkingen	Met deze vermelding wordt het speciale pollinginterval in seconden opgegeven voor handmatige peers. Als de vlag 0x1 van SpecialInterval is ingeschakeld, gebruikt W32Time dit pollinginterval in plaats van een pollinginterval dat is bepaald door het besturingssysteem. De standaardwaarde op domeinleden is 3600. De standaardwaarde op zelfstandige clients en servers is 604.800.

Registervermelding	MaxAllowedPhaseOffset
Pad	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
Opmerkingen	Met deze vermelding wordt de maximale afwijking, in seconden, opgegeven waarvoor W32Time probeert de computerklok aan te passen op basis van de kloksnelheid. Als de afwijking groter is dan deze snelheid, wordt de computerklok rechtstreeks ingesteld. De standaardwaarde voor domeinleden is 300. De standaardwaarde voor zelfstandige clients en servers is 1.

Terug naar begin