統(tǒng)一授時對象

將授時對象劃分為操作系統(tǒng)類和網(wǎng)絡(luò)設(shè)備類。其中操作系統(tǒng)類包括服務(wù)器、終端計算機等；網(wǎng)絡(luò)設(shè)備類包括交換機、防火墻、入侵檢測、漏洞掃描等。

統(tǒng)一授時方式

為了確保時間的準(zhǔn)確性，應(yīng)采用專業(yè)的時間服務(wù)器（以下簡稱統(tǒng)一時間源）作為網(wǎng)絡(luò)中授時的基準(zhǔn)時間源，這樣既可以實現(xiàn)常年時間誤差在秒級，又能夠滿足掉電后維持時間的需求，同時解決了傳統(tǒng)手工校準(zhǔn)時間導(dǎo)致的授時不及時等問題。

圖1 統(tǒng)一授時網(wǎng)絡(luò)拓?fù)涫疽鈭D

對于小型網(wǎng)絡(luò)，需要進(jìn)行統(tǒng)一授時的對象數(shù)量比較少，可以采用唯一時間源提供單點授時的方式，就是說所有需要授時的設(shè)備都通過統(tǒng)一時間源直接授時。當(dāng)網(wǎng)絡(luò)中需要進(jìn)行統(tǒng)一授時的對象數(shù)量較多時，特別是對于大型網(wǎng)絡(luò)，成百上千的設(shè)備需要授時，可以采用多點授時的方式，統(tǒng)一時間源僅向少數(shù)具有時間服務(wù)功能的設(shè)備提供授時，如：域控制器、網(wǎng)絡(luò)核心交換機等，再由域控制器、網(wǎng)絡(luò)核心交換機等設(shè)備向其他設(shè)備同時提供多點授時，如圖1。

具體說，就是服務(wù)器、終端計算機等操作系統(tǒng)類的時間同步對象，通過域控制器進(jìn)行授時，域控制器通過統(tǒng)一時間源進(jìn)行授時，主要步驟如下：

1.服 務(wù)器、終端計算機分別加入域，自動與PDC域控制器保持授時關(guān)系。

2.配置PDC域控制器的時間源。

n e t t i m e /setsntp:[統(tǒng)一時間源IP地址]

3.校準(zhǔn)PDC域控制器時間

net time \[統(tǒng)一時間源IP地址] /set/y

交換機、防火墻等網(wǎng)絡(luò)設(shè)備類的時間同步對象，通過網(wǎng)絡(luò)核心交換機進(jìn)行授時，網(wǎng)絡(luò)核心交換機通過統(tǒng)一時間源進(jìn)行授時，以華三交換機為例：

ntp-service unicastserver [統(tǒng)一時間源IP地址]或[網(wǎng)絡(luò)核心交換機IP地址]

域內(nèi)授時

理論上終端計算機加入域后，自動連接PDC域控制器進(jìn)行授時，但實際上終端計算機的時間會因用戶誤操作等原因發(fā)生較大變化，導(dǎo)致不能自動連接PDC域控制器進(jìn)行授時?？梢园凑杖缦虏襟E配置域內(nèi)授時服務(wù)，確保終端計算機自動和PDC域控制器保持授時關(guān)系。

1.設(shè)置PDC授時參數(shù)

打開PDC域控制器注冊表，修改以下鍵值：

H K E Y_L O C A L_M A C H I N ES Y S T E MCurrentControlSetServicesW32TimeParameters,“Type”鍵值設(shè)置為“NTP”。

H K E Y_L O C A L_M A C H I N ES Y S T E MCurrentControlSetServicesW32TimeT i m e P r o v i d e r sNtpServer,“Enabled”鍵值設(shè)置為“1”。

2.修改Windows授時策略

編輯PDC域控制器組策略，計算機配置管理模板系統(tǒng)Windows時間服務(wù)時間提供程序

（1）“配 置 Windows NTP客戶端”修改為“已啟

圖2 配置域內(nèi)授時

圖3 修改默認(rèn)時間差

修改默認(rèn)時間差

Windows操作系統(tǒng)默認(rèn)允許域控制器和客戶端計算機之間的時間差為5分鐘，應(yīng)設(shè)置更加精確的時間差。

圖4 禁止修改時間

具體步驟如下：編輯PDC域控制器組策略，計算機配置安全設(shè)置帳戶策略kerberos策略，修改“計算機時鐘同步的最大容差”，如圖3。用”，“NtpServer” 設(shè) 置 為“[PDC域控制器IP地址]，0x1”，“Type”設(shè)置為“NTP”，“SpecialPollInterval” 設(shè)置為“1800”。

（2）“啟用Windows NTP客戶端”修改為“已啟用”。

（3）“啟用Windows NTP服務(wù)器”修改為“已啟用”。如圖2。

禁止修改時間

對于操作系統(tǒng)類的時間同步對象，應(yīng)禁止隨意修改系統(tǒng)時間，以保證時間的正確性和安全性。服務(wù)器、終端計算機以域用戶身份登錄，如果屬于“Users”組，將不具有更改系統(tǒng)時間的權(quán)限，只有“Administrators”或“Power Users”組才具有更改系統(tǒng)時間的權(quán)限。應(yīng)去除缺省更改系統(tǒng)時間的權(quán)限組，即禁止一切更改系統(tǒng)時間的行為。

具體步驟如下：編輯PDC域控制器組策略，計算機配置安全設(shè)置本地策略用戶權(quán)利指派，刪除“更改系統(tǒng)時間”策略中的缺省權(quán)限組,如圖4。