I et felt er det viktig at klokkene av alle maskiner er synkronisert. Faktisk den Kerberos default krever en maksimal forskjell på 5 minutter ENTERED klokker for å hindre angrep.
Hvis godkjenning var basert utelukkende på et brukernavn og et passord det ville være teoretisk mulig for en angriper å ta nettverkstrafikk, trekke ut data og spille dem til serveren. Kerberos øktsnøkler er unike og basert på kundens tid, som unngår disse angrepene dersom den maksimale tillatte forskjellen er relativt liten.
For å være sikker på at alle klokker er synkronisert med hverandre er det nødvendig å definere en autoritativ tid kilde. Det er mulig å konfigurere domenekontrolleren PDC operasjon mester, slik at det blir en kilde til stratum 2 tidskilde synkroniserer til en Stratum 1 gang (som regel en tid server basert på et atomur) .
På domenekontrolleren PDC, bare åpne en konsoll og skriv net time / setsntp: fr.pool.ntp.org dette vil endre noen nøkler i registret:
HKLM \ SYSTEM \ CurrentControlSet \ Services \ W32Time \ Parameters \ Type NT5DS å stige fra NTP
HKLM \ SYSTEM \ CurrentControlSet \ Services \ W32Time \ Config \ AnnounceFlags fra 10 til 5 desimal
HKLM \ SYSTEM \ CurrentControlSet \ Services \ W32Time \ Parameters \ NtpServer vil bli opprettet etter behov, og vil inneholde navnet på NTP server for synkronisering, her fr.pool.ntp.org (pool av tidsservere fransk).
Vi må deretter starte serveren ved å skrive net stop w32time deretter suksessivt net start w32time. Deretter skriver w32tm / resync / gjenoppdage å tvinge synkronisering.
På de andre domenekontrollere kan starte ved å skrive net time / setsntp å slette alle tidligere konfigurasjon deretter w32tm / resync / gjenoppdage. Merk at de standard datamaskiner og servere i domenet vil synkronisere tiden med PDC.
Så ved å skrive w32tm / monitor fås ved følgende resultat for tre domenekontrollere:
OLDDC.corp.local [192.168.1.1]:
ICMP: 0ms forsinkelse.
NTP:-0.0216955s offset fra dc01.corp.local
RefId: dc01.corp.local [192.168.1.2]dc01.corp.local *** PDC *** [192.168.1.2]:
ICMP: 0ms forsinkelse.
NTP: +0.0000000 s offset fra dc01.corp.local
RefId: edony.tuxfamily.net [212.85.158.10]DC02.corp.local [192.168.1.5]:
ICMP: 0ms forsinkelse.
NTP:-0.0000669s offset fra dc01.corp.local
RefId: dc01.corp.local [192.168.1.2]
Vi ser her at forskjellene mellom klokkene OLDDC (-0.0216955s) og DC02 (-0.0000669s) med PDC DC01 er ekstremt lavt. Du kan også se RefId av de to CDer som peker på, mens det av DC01 DC01 indikerer en lokal server og derfor en forskjell klokke 0.0000000 s, som er betryggende! Også oppmerksom på at NTP-serveren automatisk valgt fra bassenget edony.tuxfamily.net fransk er her.
Tilsvarende klientmaskinene vil synkronisere med PDC nå som vil sikre en nesten perfekt justering av klokker.
Tags: domene kontrolleren , Kerberos , NTP , 2003 Windows
