Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
De Windows Time-service is een onderdeel dat gebruikmaakt van een invoegtoepassingsmodel voor client- en servertijdsynchronisatieproviders. Er zijn twee ingebouwde clientproviders in Windows en er zijn invoegtoepassingen van derden beschikbaar. Eén provider gebruikt NTP (RFC 1305) of MS-NTP om de lokale systeemtijd te synchroniseren met een NTP en/of MS-NTP compatibele referentieserver. De andere provider is bedoeld voor Hyper-V en synchroniseert virtuele machines (VM) met de Hyper-V host. Wanneer er meerdere providers bestaan, kiest Windows eerst de beste provider met behulp van stratum-niveau, gevolgd door rootvertraging, rootspreiding en ten slotte tijdverschil.
Note
Bekijk deze overzichtsvideo op hoog niveau voor een kort overzicht van de Windows Time-service.
In dit onderwerp bespreken we ... deze onderwerpen hebben betrekking op het inschakelen van nauwkeurige tijd:
- Improvements
- Measurements
- Beste praktijken
Important
Een addendum waarnaar wordt verwezen door het artikel Nauwkeurige tijd van Windows 2016 kan hier worden gedownload. Dit document bevat meer informatie over onze test- en meetmethoden.
Note
Het invoegtoepassingsmodel van de Windows Time-provider wordt gedocumenteerd op TechNet.
Domeinhiërarchie
Domein- en zelfstandige configuraties werken anders.
Domeinleden gebruiken een beveiligd NTP-protocol, dat gebruikmaakt van verificatie om de beveiliging en authenticiteit van de tijdreferentie te garanderen. Domeinleden synchroniseren met een hoofdklok die wordt bepaald door de domeinhiërarchie en een scoresysteem. In een domein is er een hiërarchische laag tijdstrata, waarbij elke DC verwijst naar een ouder DC met een nauwkeuriger tijdstratum. De hiërarchie wordt omgezet in de PDC of een DC in het hoofdforest, of een DC met de GTIMESERV-domeinvlag, die een goede tijdserver voor het domein aangeeft. Zie de sectie genaamd [Geef een lokale betrouwbare tijdservice op met GTIMESERV] hieronder.
Zelfstandige machines zijn standaard geconfigureerd voor gebruik van time.windows.com. Deze naam wordt omgezet door uw DNS-server, die moet verwijzen naar een resource die eigendom is van Microsoft. Net zoals alle tijdverwijzingen op afstand kan een netwerkstoring synchronisatie voorkomen. Netwerkverkeerbelastingen en asymmetrische netwerkpaden kunnen de nauwkeurigheid van de tijdsynchronisatie verminderen. Voor nauwkeurigheid van 1 ms kunt u niet afhankelijk zijn van externe tijdbronnen.
Aangezien Hyper-V-gasten ten minste twee Windows Time-providers hebben om uit te kiezen, namelijk de host-tijd en NTP, kunt u mogelijk verschillende gedragingen waarnemen in domeinmodus of standalonemodus wanneer deze als gast worden uitgevoerd.
Note
Zie het blogbericht 'Wat is Windows Time Service?' voor meer informatie over de domeinhiërarchie en het scoresysteem.
Note
Stratum is een concept dat wordt gebruikt in zowel de NTP als Hyper-V providers, en de waarde geeft de kloklocatie in de hiërarchie aan. Stratum 1 is gereserveerd voor de klok op het hoogste niveau. Stratum 0 is gereserveerd voor de hardware waarvan wordt aangenomen dat deze nauwkeurig is en weinig of geen vertraging heeft. Stratum 2 praat met stratum 1 servers, stratum 3 tot stratum 2 enzovoort. Hoewel een lagere stratum vaak een nauwkeurigere klok aangeeft, is het mogelijk om discrepanties te vinden. W32time accepteert ook alleen tijd van stratum 15 of lager. Als u de stratum van een client wilt zien, gebruikt u w32tm /query /status.
Kritieke factoren voor nauwkeurige tijd
In elk geval voor nauwkeurige tijd zijn er drie kritieke factoren:
- Solid Source Clock - De bronklok in uw domein moet stabiel en nauwkeurig zijn. Dit betekent meestal dat u een GPS-apparaat installeert of verwijst naar een Stratum 1-bron, rekening houdend met #3. De analogie gaat, als je twee boten op het water hebt en je probeert de hoogte van de ene te meten in vergelijking met de andere, je nauwkeurigheid is het beste als de bronboot erg stabiel is en niet beweegt. Hetzelfde geldt voor tijd en als uw bronklok niet stabiel is, wordt de hele keten van gesynchroniseerde klokken beïnvloed en vergroot in elke fase. Het moet ook toegankelijk zijn omdat onderbrekingen in de verbinding de tijdsynchronisatie verstoren. En ten slotte moet het veilig zijn. Als de tijdreferentie niet goed wordt onderhouden of beheerd door een mogelijk kwaadwillende partij, kunt u uw domein blootstellen aan aanvallen op basis van tijd.
- Stabiele clientklok - Een stabiele clientklok zorgt ervoor dat de natuurlijke drift van de oscillator insluitbaar is. NTP gebruikt meerdere steekproeven van mogelijk meerdere NTP-servers om de klok van uw lokale computers te conditioneren en te disciplineeren. Deze methode volgt niet de tijdsveranderingen, maar vertraagt of versnelt de lokale klok zodat u de nauwkeurige tijd snel nadert en nauwkeurig blijft tussen NTP-verzoeken. Als de clock-oscillator van de clientcomputer echter niet stabiel is, kunnen er meer fluctuaties tussen aanpassingen optreden en de algoritmen die Windows gebruikt om de klok te conditioneren, werken niet nauwkeurig. In sommige gevallen zijn firmware-updates mogelijk nodig voor nauwkeurige tijd.
- Symmetrische NTP-communicatie - Het is essentieel dat de verbinding voor NTP-communicatie symmetrisch is. NTP maakt gebruik van berekeningen om de tijd aan te passen die ervan uitgaan dat het netwerkpad symmetrisch is. Als het pad dat het NTP-pakket naar de server gaat een andere tijd in beslag neemt om te retourneren, wordt de nauwkeurigheid beïnvloed. Het pad kan bijvoorbeeld veranderen vanwege wijzigingen in de netwerktopologie of pakketten die worden gerouteerd via apparaten met verschillende interfacesnelheden.
Voor apparaten met accu's, zowel mobiel als draagbaar, moet u rekening houden met verschillende strategieën. Volgens onze aanbeveling vereist het nauwkeurige bijhouden van de tijd dat de klok elke seconde wordt afgesteld, wat overeenkomt met de frequentie van klokupdates. Deze instellingen verbruiken meer batterijvermogen dan verwacht en kunnen de energiebesparende modi die beschikbaar zijn in Windows voor dergelijke apparaten verstoren. Apparaten met batterijvoeding hebben ook bepaalde energiemodi die ervoor zorgen dat alle toepassingen niet meer worden uitgevoerd, wat de mogelijkheid van W32time verstoort om de klok te disciplineren en nauwkeurige tijd te behouden. Bovendien zijn klokken op mobiele apparaten mogelijk niet erg nauwkeurig om mee te beginnen. Omgevingsomstandigheden zijn van invloed op de kloknauwkeurigheid en een mobiel apparaat kan van de ene omgevingsvoorwaarde naar de volgende worden verplaatst, wat kan interfereren met het vermogen om de tijd nauwkeurig te houden. Daarom raadt Microsoft niet aan om draagbare apparaten met een batterij met hoge nauwkeurigheid in te stellen.
Waarom is tijd belangrijk?
Er zijn veel verschillende redenen waarom u mogelijk nauwkeurige tijd nodig hebt. Het typische geval voor Windows is Kerberos, waarvoor 5 minuten nauwkeurigheid tussen de client en de server is vereist. Er zijn echter veel andere gebieden die kunnen worden beïnvloed door de nauwkeurigheid van de tijd, waaronder:
- Overheidsvoorschriften zoals:
- 50 ms nauwkeurigheid voor FINRA in de VS
- 1 ms ESMA (MiFID II) in de EU.
- Cryptografiealgoritmen
- Gedistribueerde systemen zoals Cluster/SQL/Exchange en Document-DB's
- Blockchain framework voor bitcoin transacties
- Gedistribueerde logboeken en bedreigingsanalyse
- AD-replicatie
- PCI (Payment Card Industry), momenteel 1 seconde nauwkeurigheid