在一个领域,重要的是所有的机器上的时钟是同步的。 事实上,Kerberos身份验证协议要求5分钟之间最大的区别默认的时钟,以防止攻击。
如果认证是单靠一个用户名和密码将被攻击者理论上可以节省网络流量为基础,提取数据和重播他们的服务器。 在Kerberos会话密钥是独一无二的,对客户,这有助于防止这些攻击,如果允许的最大区别是比较小的时间为准。
要确定所有的时钟都与对方有必要定义一个权威时间源同步。 它可以配置域控制器PDC操作主机,使之变成了2层时间同步到1层的时间(通常是一个时间服务器上的原子钟为基础)源代码。
标签: 域控制器 , 的Kerberos , NTP , Windows 2003中
