Ntp server microsoft

Настройка полномочного сервера времени - Windows Server

Twitter LinkedIn Facebook Адрес электронной почты

Статья
10/13/2022
Чтение занимает 5 мин

В данной статье описывается, как настроить службу времени Windows и устранить неполадки, связанные с неправильной работой.

Применяется к: Windows Server 2012 Standard, Windows Server 2012 Essentials
Оригинальный номер базы знаний: 816042

Чтобы настроить внутренний сервер времени для синхронизации с внешним источником времени, выполните одно из указанных ниже действий.

Чтобы настроить корневой основной контроллер домена леса Active Directory для синхронизации с внешним источником времени, выполните указанные ниже действия.

Измените тип сервера на NTP. Для этого выполните следующие действия:
1. Последовательно выберите Пуск>Выполнить, введите regedit, затем нажмите кнопку OK.
2. Найдите и выделите следующий подраздел реестра:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
3. В области справа щелкните правой кнопкой мыши параметр Тип, а затем выберите Изменить.
4. В окне Изменить значение в поле Значение введите NTP и нажмите кнопку OK.
Для параметра AnnounceFlags установите значение 5. Для этого выполните следующие действия:
1. Найдите и выделите следующий подраздел реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
2. В области справа щелкните правой кнопкой мыши параметр AnnounceFlags , а затем выберите Изменить.
3. В окне Изменение параметра DWORD в поле Значение введите 5 и нажмите кнопку OK.
Примечание.
- Если достоверный сервер времени, для которого значение AnnounceFlag равно 0x5, не синхронизируется с вышестоящим сервером, клиентский сервер может неправильно синхронизироваться с ним при возобновлении синхронизации между достоверным и вышестоящим сервером времени. Поэтому, если у вас плохое сетевое подключение или другие проблемы, которые могут привести к сбою синхронизации времени достоверного сервера с вышестоящим сервером, установите значение AnnounceFlag равным 0xA, а не 0x5.
- Если достоверный сервер времени, для которого значение AnnounceFlag равно 0x5 , синхронизируется с вышестоящим сервером через фиксированный интервал, заданному в SpecialPollInterval, клиентский сервер может неправильно синхронизироваться с ним после перезагрузки достоверного сервера времени. Поэтому, если вы настраиваете свой достоверный сервер времени на синхронизацию с вышестоящим NTP-сервером через фиксированный интервал, указанный в SpecialPollInterval, установите значение AnnounceFlag равным 0xA, а не 0x5.
Включите сервер NTP. Для этого выполните следующие действия:
1. Найдите и выделите следующий подраздел реестра:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer
2. В области справа щелкните правой кнопкой мыши параметр Включено, а затем выберите Изменить.
3. В окне Изменение параметра DWORD в поле Значение введите 1 и нажмите кнопку OK.
4. Укажите источники времени. Для этого выполните следующие действия:
  1. Найдите и откройте следующий подраздел реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
  2. В области справа щелкните правой кнопкой мыши параметр NtpServer, а затем выберите Изменить.
  3. В окне Изменить значение в поле Значение введите Узлы и нажмите кнопку OK.
    
    Примечание.
    Узлы представляет собой список узлов с разделителями-пробелами, из которого компьютер получает метки времени. Все имена DNS в данном списке должны быть уникальными. В конце каждого имени DNS необходимо добавлять символы ,0x1. Если символы ,0x1 не были добавлены в конце каждого имени DNS, то изменения, вносимые на шаге 5, не вступят в силу.
Задайте параметры, определяющие максимальную величину коррекции времени. Для этого выполните следующие действия:
1. Найдите и откройте следующий подраздел реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
2. В области справа щелкните правой кнопкой мыши параметр MaxPosPhaseCorrection, а затем выберите Изменить.
3. В диалоговом окне Изменение параметра DWORD в разделе Система исчисления выберите значение Десятичная.
4. В окне Изменение параметра DWORD в поле Значение введите TimeInSeconds и нажмите кнопку OK.
  
  Примечание.
  TimeInSeconds является заполнителем для допустимого значения (например, 1 час (3600) или 30 минут (1800)). Данное значение выбирается исходя из величины интервала опроса, состояния сети и типа внешнего источника времени.
  Значение по умолчанию в Windows Server 2008 R2 или более поздней версии для MaxPosPhaseCorrection составляет 48 часов.
5. Найдите и откройте следующий подраздел реестра:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
6. В области справа щелкните правой кнопкой мыши параметр MaxNegPhaseCorrection, а затем выберите команду Изменить.
7. В диалоговом окне Изменение параметра DWORD в разделе Система исчисления выберите значение Десятичная.
8. В окне Изменение параметра DWORD в поле Значение введите TimeInSeconds и нажмите кнопку OK.
  
  Примечание.
  TimeInSeconds является заполнителем для допустимого значения (например, 1 час (3600) или 30 минут (1800)). Данное значение выбирается исходя из величины интервала опроса, состояния сети и типа внешнего источника времени.
  Значение по умолчанию MaxNegPhaseCorrection составляет 48 часов в Windows Server 2008 R2 или более поздней версии.
Закройте редактор реестра.
В командной строке введите следующую команду и нажмите клавишу ВВОД, чтобы перезапустить службу времени Windows:
```
net stop w32time && net start w32time 
```

Устранение неполадок

Для нормального функционирования службы времени Windows необходима правильно работающая сетевая инфраструктура. В большинстве случаев ошибки в работе службы времени Windows вызваны следующими причинами.

При обмене данными по протоколу TCP/IP возникают сбои (например, из-за неработающего шлюза).
Неправильно работает служба разрешения имен.
При прохождении пакетов по сети возникают значительные задержки (особенно если для синхронизации используются медленные каналы глобальной сети).
Служба времени Windows пытается выполнить синхронизацию с источниками, сообщающими неточные данные.

Для устранения неполадок, вызванных сбоями в работе сети, корпорация Майкрософт рекомендует использовать средство Netdiag.exe, входящее в набор Windows Server 2003 Support Tools. Полный список параметров командной строки, которые можно использовать для файла Netdiag.exe, см. в справочной информации по инструментам. Если проблема по-прежнему не устранена, вы можете включить журнал отладки службы времени Windows. Поскольку журнал отладки может содержать большой объем служебной информации, при использовании журнала отладки рекомендуется обращаться в службу поддержки Майкрософт.

Примечание.

В отдельных случаях, если специалист службы технической поддержки Майкрософт определит, что решением проблемы является специально выпущенное обновление, оплата за обращение в службу технической поддержки может быть отменена. Дополнительные услуги по технической поддержке, не связанные с данным исправлением, оплачиваются на стандартных условиях.

Windows Server включает в себя W32Time, службу времени, используемую протоколом проверки Kerberos. Служба времени синхронизирует время в рамках организации на компьютерах под управлением Microsoft Windows 2000 или более поздних версий Windows.

Служба времени Windows использует иерархическую структуру отношений, которая не допускает возникновения «циклов» в управлении и обеспечивает корректную синхронизацию времени. По умолчанию компьютеры под управлением Windows подчиняются следующей иерархии:

Все клиентские компьютеры используют в качестве источника времени контроллер домена, проверяющий их подлинность.
То же самое происходит на рядовых серверах.
Все контроллеры домена используют в качестве источника времени хозяина операций основного контроллера домена (PDC).
При выборе источника времени хозяева операций основного контроллера домена следуют иерархии доменов.

В данной иерархии хозяин операций PDC, расположенный в корневом домене леса, становится полномочным сервером времени для всей организации. Корпорация Майкрософт рекомендует, чтобы полномочный сервер времени получал значения времени от внутреннего источника. Если полномочный сервер времени получает эти данные от источника времени в Интернете, проверка подлинности не выполняется. Кроме того, корпорация Майкрософт рекомендует уменьшить значения параметров, определяющих максимальную величину коррекции времени для серверов и рядовых компьютеров. Это позволит более точно устанавливать время на компьютерах в домене и повысит уровень их безопасности.

Ссылки

Дополнительные сведения о службе времени Windows см. в следующих статьях:

Как включить ведение журнала отладки в службе времени Windows
Настройка службы времени Windows при большом смещении времени

Дополнительную информацию о службе времени Windows см. в разделе Служба времени Windows (W32Time).

Принцип работы службы времени Windows

Статья
12/21/2022
Чтение занимает 19 мин

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows 10 или более поздней версии, Azure Stack HCI, версии 21h3 и 20h3

Содержание раздела

Архитектура службы времени Windows
Протоколы времени для службы времени Windows
Процессы и взаимодействия службы времени Windows
Сетевые порты, используемые службой времени Windows

Примечание

В этом разделе объясняется работа службы времени Windows (W32Time). Сведения о настройке службы времени Windows см. в статье Configuring Systems for High Accuracy (Настройка систем для обеспечения высокой точности).

Примечание

В Windows Server 2003 и Microsoft Windows 2000 Server служба каталогов называется "служба каталогов Active Directory" В Windows Server 2008 и более поздних версиях служба каталогов называется доменные службы Active Directory (AD DS). Остальная часть этой статьи относится к AD DS, но эти сведения применимы также и к Active Directory.

Хотя служба времени Windows не является точной реализацией протокола сетевого времени (NTP), она использует комплексный набор алгоритмов, определенных в спецификациях NTP, чтобы гарантировать максимальную точность часов на компьютерах в сети. В идеале все часы на компьютерах в домене AD DS синхронизируются со временем полномочного компьютера. На синхронизацию времени в сети могут повлиять многие факторы. На точность синхронизации в AD DS часто влияют следующие факторы:

Важно!

До Windows Server 2016 служба W32Time не предназначалась для поддержки зависящих от времени потребностей приложений. Не теперь обновления Windows Server 2016 позволяют реализовать в домене решение с точностью 1 мс. Просмотрите границу точного времени и поддержки Windows 2016, чтобы настроить службу времени Windows для сред с высокой точностью для получения дополнительных сведений.

Не подключенные к домену компьютеры, или компьютеры, которые реже синхронизируют свое время, по умолчанию настроены на синхронизацию с time.windows.com. Таким образом невозможно гарантировать точность времени на компьютерах, сетевые соединения которых отсутствуют или прерываются.

Лес AD DS имеет предварительно определенную иерархию синхронизации времени. Служба Windows Time синхронизирует время между компьютерами в иерархии, в верхней части которой находятся наиболее точные эталонные часы. Если на компьютере настроено более одного источника времени, Служба времени Windows использует алгоритмы NTP для выбора наилучшего из настроенных источников времени, на основе способности компьютера синхронизироваться с этим источником времени. Служба времени Windows не поддерживает сетевую синхронизацию из широковещательных или многоадресных узлов. Дополнительные сведения об этих функциях NTP см. в документе RFC 1305 в базе данных RFC IETF.

Каждый компьютер, на котором работает Служба времени Windows, использует службу для поддержания наиболее точного времени. Компьютеры, являющиеся членами домена, выступают в качестве клиента времени по умолчанию, поэтому в большинстве случаев настраивать Службу времени Windows не нужно. Однако Службу времени Windows можно настроить на выполнения запроса о времени из назначенного источника времени, кроме того служба также может предоставить время клиентам.

Степень точности времени компьютера называется страта. Наиболее точный источник времени в сети (например, аппаратные часы) занимает самый низкий уровень страты или страта один. Этот точный источник времени называется эталонными часами. Сервер NTP, который получает время непосредственно от эталонных часов, занимает страта, который находится на один уровень выше уровня эталонных часов. Ресурсы, которые получают время от сервера NTP, находятся в двух шагах от эталонных часов, и поэтому занимают страту, на два пункта выше, чем самый точный источник времени, и т. д. По мере увеличения числа страта пользователей компьютера, время на его системных часах может становиться менее точным. Таким образом, уровень страты любого компьютера является показателем того, насколько тесно этот компьютер синхронизирован с наиболее точным источником времени.

При получении образцов времени диспетчер W32Time использует специальные алгоритмы в NTP, чтобы определить, какие из образцов времени наиболее подходят для использования. Служба времени также использует другой набор алгоритмов, чтобы определить, какой из настроенных источников времени является наиболее точным. После определения наилучшего образца времени служба времени корректирует тактовою частоту местных часов, основываясь на приведенных выше условиях, чтобы позволить выполнение согласования в нужное время. Если разница во времени между образцами местных часов и выбранного точного времени (также называемая "неравномерное распределение времени") слишком велика и ее нельзя скорректировать с помощью местной тактовой частоты, служба времени устанавливает местные часы на правильное время. Эта корректировка тактовой частоты или непосредственного времени часов называется "правила работы с часами".

Архитектура службы времени Windows

Служба времени Windows состоит из следующих компонентов:

На следующем рисунке показана архитектура Службы времени Windows.

Архитектура Службы времени Windows

Диспетчер служб отвечает за запуск и остановку Службы времени Windows. Диспетчер служб Службы времени Windows отвечает за запуск действий поставщиков времени NTP, включенных в операционную систему. Диспетчер служб Службы времени Windows управляет всеми функциями Службы времени Windows и объединением всех образцов времени. Помимо предоставления информации о текущем состоянии системы, например, об текущем источнике времени или о последнем обновлении системных часов, диспетчер служб Службы времени Windows также отвечает за создание событий в журнале событий.

Процесс синхронизации времени состоит из следующих этапов.

Поставщики входных данных запрашивают и получают образцы времени из настроенных источников времени NTP.
Эти примеры затем передаются в диспетчер служб Службы времени Windows, который собирает все образцы и передает их подкомпоненту "правила работы с часами".
Подкомпонент "правила работы с часами" применяет алгоритмы NTP, которые приводят к выбору лучшего образца времени.
Подкомпонент "правила работы с часами" корректирует время системных часов до наиболее точного времени, изменяя тактовою частоту или непосредственно время.

Если компьютер назначен сервером времени, он может отправить время на любой компьютер, запрашивающий синхронизацию времени в любой момент этого процесса.

Протоколы времени для службы времени Windows

Протоколы времени определяют, насколько точно синхронизируются часы двух компьютеров. Протокол времени отвечает за определение наилучшей доступной информации о времени и синхронизацию часов, чтобы гарантировать, что в отдельных системах будет поддерживаться согласованное время.

Служба времени Windows использует протокол NTP для синхронизации времени по сети. NTP — это протокол времени в Интернете, включающий алгоритмы правил работы, необходимые для синхронизации часов. NTP является более точным протоколом времени, чем Simple Network Time Protocol (SNTP), который используется в некоторых версиях Windows; однако W32Time продолжает поддерживать SNTP для обеспечения обратной совместимости с компьютерами, на которых работают службы времени на основе SNTP, такие как Windows 2000.

Протокол сетевого времени

Протокол сетевого времени (NTP) — это стандартный протокол синхронизации времени, используемый Службой времени Windows в операционной системе. NTP — это отказоустойчивый и высокомасштабируемый протокол времени, который чаще всего используется для синхронизации компьютерных часов с помощью указанной привязки времени.

Синхронизация времени NTP происходит в течение определенного периода времени и включает в себя передачу пакетов NTP по сети. Пакеты NTP содержат метки времени, которые включают образец времени как от клиента, так и от сервера, участвующих в синхронизации времени.

NTP полагается на эталонные часы для определения наиболее точного времени и синхронизирует все часы в сети относительно этих эталонных часов. NTP использует время в формате UTC в качестве универсального стандарта для текущего времени. UTC не зависит от часовых поясов и позволяет использовать NTP в любой точке мира независимо от настроек часового пояса.

Алгоритм NTP

NTP включает два алгоритма: алгоритм фильтрации по часам и алгоритм выбора часов, которые используются для помощи Службе времени Windows при определении наилучшего образца времени. Алгоритм фильтрации времени предназначен для просеивания образцов времени, полученных из источников времени, к которым выполнялся запрос, и определения лучших образцов времени из каждого источника. Затем алгоритм выбора часов определяет наиболее точный сервер времени в сети. Затем эта информация передается алгоритму правил работы с временем, который использует собранную информацию для исправления локальных часов компьютера, компенсируя при этом ошибки, вызванные задержкой сети и неточностью компьютерных часов.

Алгоритмы NTP наиболее точны при низкой и умеренной нагрузке сети и сервера. Как и любой другой алгоритм, учитывающий время прохождения сети, алгоритмы NTP могут плохо работать в условиях сильной перегрузки сети. Дополнительные сведения об алгоритмах NTP см. в документе RFC 1305 в базе данных RFC IETF.

Поставщик времени NTP

Служба времени Windows — это полный пакет синхронизации времени, который может поддерживать различные аппаратные устройства и протоколы времени. Для включения этой поддержки сервис использует подключаемые поставщики времени. Поставщик времени отвечает за получение точных меток времени (от сети или оборудования) или предоставление этих меток времени другим компьютерам в сети.

Поставщик NTP является стандартным поставщиком времени, включенным в операционную систему. Поставщик NTP соответствует стандартам, указанным в NTP версии 3 для клиента и сервера, и может взаимодействовать с клиентами и серверами SNTP для обеспечения обратной совместимости с Windows 2000 и другими клиентами SNTP. Поставщик NTP в Службе времени Windows состоит из следующих двух частей.

Поставщик выходных данных NtpServer. Это сервер времени, который отвечает на запросы времени клиента в сети.
Поставщик выходных данных NtpClient. Это клиент времени, который получает сведения о времени из другого источника, либо от аппаратного устройства, либо от сервера NTP, и может возвращать образцы времени, полезные для синхронизации локальных часов.

Хотя фактические операции этих двух поставщиков тесно связаны, они отображаются независимо от службы времени. Начиная с Windows 2000 Server, где есть подключение компьютера Windows к сети, он настраивается как NTP-клиент. Кроме того, компьютеры, на которых запущена Служба времени Windows, по умолчанию пытаются синхронизировать время только с контроллером домена или вручную указанным источником времени. Это предпочтительные поставщики времени, потому что они доступны автоматически и защищают источники времени.

Безопасность NTP

В лесу AD DS Служба времени Windows использует стандартные функции безопасности домена для обеспечения проверки подлинности данных времени. Безопасность пакетов NTP, отправляемых между компьютером–членом домена и контроллером локального домена, который действует в качестве сервера времени, основана на аутентификации по общему ключу. Служба времени Windows использует ключ сеанса Kerberos компьютера для создания подписей с проверкой подлинности в пакетах NTP, отправляемых по сети. Пакеты NTP не передаются в безопасном канале сетевого входа в систему. Вместо этого, когда компьютер запрашивает время у контроллера домена в иерархии домена, Служба времени Windows требует аутентификации времени. Затем контроллер домена возвращает необходимые сведения в формате 64-разрядного значения, которое прошло проверку подлинности с помощью ключа сеанса из службы сетевого входа в систему. Если возвращенный пакет NTP не подписан с помощью ключа сеанса компьютера или подписан неправильно — время отклоняется. Все такие ошибки проверки подлинности регистрируются в журнале событий. Таким образом Служба времени Windows обеспечивает безопасность данных NTP в лесу AD DS.

Как правило, клиенты Службы времени Windows автоматически получают точное время для синхронизации с контроллеров домена в том же домене. В лесу контроллеры дочернего домена синхронизируют время с контроллерами в родительских доменах. Когда сервер времени возвращает прошедший проверку подлинности пакет NTP на клиент, который запрашивает время, пакет подписывается с помощью ключа сеанса Kerberos, определенного учетной записью междоменного доверия. Учетная запись междоменного доверия создается, когда новый домен AD DS присоединяется к лесу, а служба сетевого входа в систему управляет ключом сеанса. Таким образом, контроллер домена, настроенный как надежный в корневом домене леса, становится аутентифицированным источником времени для всех контроллеров домена, как в родительском, так и в дочернем домене, и косвенно для всех компьютеров, расположенных в дереве доменов.

Службу времени Windows можно настроить на работу между лесами, однако эта конфигурация не защищена. Например, NTP-сервер может быть доступен в другом лесу. Однако, поскольку этот компьютер находится в другом лесу, ключ сеанса Kerberos для подписывания и проверки подлинности пакетов NTP отсутствует. Для получения точной синхронизации времени с компьютера в другом лесу клиенту нужен сетевой доступ к этому компьютеру, а служба времени должна быть настроена на использование определенного источника времени, расположенного в другом лесу. Если клиент вручную настроен на доступ к времени с NTP-сервера за пределами собственной доменной иерархии, то пакеты NTP, передаваемые между клиентом и сервером времени, не проходят проверку подлинности и, следовательно, не являются безопасными. Несмотря на реализацию доверия лесов, Служба времени Windows не защищена между лесами. Хотя безопасный канал сетевого входа в систему является механизмом проверки подлинности для Службы времени Windows, проверка подлинности в лесах не поддерживается.

Аппаратные устройства, поддерживаемые Службой времени Windows

Часы на основе оборудования, такие как GPS или радиочасы, часто используются в качестве устройств с высокоточными эталонными часами. По умолчанию поставщик времени NTP Службы времени Windows не поддерживает прямое подключение аппаратного устройства к компьютеру, однако вы можете создать программный независимый поставщик времени, поддерживающий этот тип подключения. Этот тип поставщика, в сочетании со Службой времени Windows, может обеспечить надежную и стабильную привязку по времени.

Аппаратные устройства, такие как цезиевые часы или приемник GPS, обеспечивают точное текущее время, следуя стандарту для получения точного определения времени. Цезиевые часы чрезвычайно стабильны и не подвержены влиянию таких факторов, как температура, давление или влажность, но в то же время очень дорого стоят. Приемник GPS намного дешевле в эксплуатации, а также является точными эталонными часами. Приемники GPS получают время со спутников, которым время предоставляют цезиевые часы. Серверы времени Windows могут получать время, не используя независимый поставщик времени, подключившись к внешнему NTP-серверу, который подключен к аппаратному устройству с помощью телефона или Интернета. Такие организации, как Военно-морская обсерватория США, предоставляют NTP-серверы, подключенные к чрезвычайно надежным эталонным часам.

Многие приемники GPS и другие устройства времени могут функционировать в сети как NTP-серверы. Лес AD DS можно настроить на синхронизацию времени с этих внешних устройств, только если они также работают в сети как NTP-серверы. Для этого настройте контроллер домена в качестве эмулятора основного контроллера домена в корне леса, чтобы выполнить синхронизацию с NTP-сервером, предоставленным устройством GPS. Сведения о том, как это сделать, см. статью Configure the Windows Time service on the PDC emulator in the Forest Root Domain (Настройка службы времени Windows для эмулятора основного контроллера домена в корневом домене леса).

Простой протокол сетевого времени

Протокол SNTP — это упрощенный протокол, предназначенный для серверов и клиентов, которым не требуется степень точности, предоставляемая NTP. SNTP является более элементарной версией NTP — основного протокола времени, используемого в Windows 2000. Так как форматы сетевых пакетов SNTP и NTP идентичны, эти два протокола являются взаимодействующими. Основное различие между ними заключается в том, что SNTP не поддерживает системы управления ошибками и сложные фильтры, предоставляемые NTP. Дополнительные сведения о простом протоколе сетевого времени см. в документе RFC 1769 в базе данных RFC IETF.

Взаимодействие протокола времени

Служба времени Windows может работать в смешанной среде компьютеров под управлением Windows 2000, Windows XP и Windows Server 2003, поскольку протокол SNTP, используемый в Windows 2000, совместим с протоколом NTP в Windows XP и Windows Server 2003.

Служба времени в Windows NT Server 4.0, именуемая TimeServ, синхронизирует время в сети Windows NT 4.0. TimeServ — это дополнительный компонент, доступный в составе Microsoft Windows NT 4.0 Resource Kit и не обеспечивающий степень надежности синхронизации времени, необходимой для Windows Server 2003.

Служба времени Windows может взаимодействовать с компьютерами под управлением Windows NT 4.0, поскольку они могут синхронизировать время с компьютерами под управлением Windows 2000 или Windows Server 2003; однако компьютер под управлением Windows 2000 или Windows Server 2003 не обнаруживает серверы времени Windows NT 4.0 автоматически. Например, если ваш домен настроен на синхронизацию времени с помощью метода синхронизации на основе иерархии домена, и вы хотите, чтобы компьютеры в иерархии домена синхронизировали время с контроллером домена Windows NT 4.0, вам нужно настроить эти компьютеры на синхронизацию с контроллерами домена Windows NT 4.0 вручную.

В Windows NT 4.0 используется более простой механизм синхронизации времени, чем в Службе времени Windows. Таким образом, чтобы обеспечить точную синхронизацию времени по сети, рекомендуется обновить все контроллеры домена Windows NT 4.0 до Windows 2000 или Windows Server 2003.

Процессы и взаимодействия службы времени Windows

Служба времени Windows предназначена для синхронизации часов компьютеров в сети. Процесс синхронизации сетевого времени, называемый также согласованностью времени, происходит по сети, так как каждый компьютер получает доступ к времени с более точного сервера времени. Согласованность времени подразумевает процесс, с помощью которого полномочный сервер предоставляет текущее время на клиентские компьютеры в виде пакетов NTP. Предоставленные в пакете сведения, указывают на необходимость настройки текущего времени компьютера таким образом, чтобы он синхронизировался с более точным сервером.

В рамках процесса согласованности времени, члены домена пытаются синхронизировать время с любым контроллером домена, расположенным в том же домене. Если компьютер является контроллером домена, он пытается выполнить синхронизацию с более полномочным контроллером домена.

Компьютеры под управлением Windows XP Home Edition или не присоединенных к домену компьютеров, не пытаются синхронизироваться с доменной иерархией, но по умолчанию настроены на получение времени от time.windows. com.

Для установки компьютера под управлением Windows Server 2003 в качестве доверенного, компьютер должен быть настроен как надежный источник времени. По умолчанию первый контроллер домена, установленный в домене Windows Server 2003, автоматически настраивается как надежный источник времени. Поскольку этот компьютер является полномочным для домена, он должен быть настроен на синхронизацию с внешним источником времени, а не с иерархией домена. Кроме того, по умолчанию все остальные члены домена Windows Server 2003 настроены на синхронизацию с иерархией домена.

После установки сети Windows Server 2003 Службу времени Windows можно настроить на использование одного из следующих параметров синхронизации.

Синхронизация на основе иерархии домена
Источник синхронизации, указанный вручную
Все доступные механизмы синхронизации
Без синхронизации.

Каждый из упомянутых типов синхронизации подробно рассматриваются в следующих разделах.

Синхронизация на основе иерархии домена

При синхронизации, основанной на иерархии доменов, иерархия домена AD DS используется для поиска надежного источника, с которым синхронизируется время. На основе иерархии доменов Служба времени Windows определяет точность каждого сервера времени. В лесу Windows Server 2003 компьютер, имеющий роль мастера операций эмулятора основного контроллера домена (PDC), расположенный в корневом домене леса, содержит расположение лучшего источника времени, если не настроен другой надежный источник времени. На следующем рисунке показан путь синхронизации времени между компьютерами в иерархии домена.

Синхронизация времени в среде windows иерархии AD DS

Конфигурация надежного источника времени

Компьютер, настроенный как надежный источник времени, идентифицируется как корень службы времени. Корень службы времени является полномочным сервером для домена и обычно настраивается на получение времени с внешнего NTP-сервера или аппаратного устройства. Сервер времени можно настроить как надежный источник времени для оптимизации передачи времени по всей иерархии домена. Если контроллер домена настроен в качестве надежного источника времени, служба сетевого входа в систему объявляет этот контроллер домена надежным источником времени при входе в сеть. Когда другие контроллеры домена ищут источник времени для синхронизации, они сначала выбирают надежный источник, если он доступен.

Выбор источника данных

Процесс выбора источника времени может создать две проблемы в сети:

Цикл в сети синхронизации происходит, когда время остается согласованным между группой контроллеров домена и они непрерывно используют одно и то же время совместно без ресинхронизации с другим надежным источником времени. Алгоритм выбора источника времени Службы времени Windows предназначен для защиты от проблем такого типа.

Компьютер использует один из следующих методов для задания источника времени для синхронизации.

Если компьютер не является членом домена, его следует настроить на синхронизацию с указанным источником времени.
Если компьютер является членом сервера или рабочей станции в домене, то по умолчанию он следует иерархии AD DS и синхронизирует свое время с контроллером домена в локальном домене, на котором в настоящее время работает Служба времени Windows.

Если компьютер является контроллером домена, на поиск другого контроллера домена для синхронизации он выполняет до шести запросов. Каждый запрос предназначен для идентификации источника времени с определенными атрибутами, такими как тип контроллера домена, определенное местоположение, и является ли он надежным источником времени или нет. Источник времени также должен соответствовать следующим ограничениям.

Надежный источник времени можно синхронизировать только с контроллером домена в родительском домене.
Эмулятор основного контроллера домена может синхронизироваться с надежным источником времени в собственном домене или на любом контроллере в родительском домене.

Если контроллер домена не поддерживает синхронизацию с типом запрашиваемого контроллера домена, запрос не выполняется. Контроллер домена знает, с какого типа компьютера он может получить время до того, как сделает запрос. Например, локальный эмулятор основного контроллера домена не пытается запросить номера три или шесть, так как контроллер домена не пытается выполнить синхронизацию с самим собой.

В следующей таблице перечислены запросы, которые контроллер домена выполняет для поиска источника времени и порядка, в котором выполняются запросы.

Запросы к источнику времени контроллера домена

Номер запроса	Контроллер домена	Расположение	Надежность источника времени
1	Контроллер родительского домена	На месте	Предпочитает надежный источник времени, но может синхронизироваться с ненадежным источником времени, если доступен только он.
2	Контроллер локального домена	На месте	Синхронизируется только с надежным источником времени.
3	Эмулятор основного контроллера локального домена	На месте	Не применяется. Контроллер домена не пытается выполнить синхронизацию с самим собой.
4	Контроллер родительского домена	Вне узла	Предпочитает надежный источник времени, но может синхронизироваться с ненадежным источником времени, если доступен только он.
5	Контроллер локального домена	Вне узла	Синхронизируется только с надежным источником времени.
6	Эмулятор основного контроллера локального домена	Вне узла	Не применяется. Контроллер домена не пытается выполнить синхронизацию с самим собой.

Примечание

Компьютер никогда не синхронизируется с самим собой. Если компьютер пытается синхронизироваться с эмулятором основного контроллера локального домена, он не пытается выполнить запросы 3 или 6.

Каждый запрос возвращает список контроллеров домена, которые можно использовать в качестве источника времени. Служба времени Windows назначает каждому запрашиваемому контроллеру домена оценку, исходя из надежности и расположения контроллера домена. В следующей таблице перечислены оценки, назначенные Службой времени Windows каждому типу контроллера домена.

Определение оценки

Состояние контроллера домена	Оценка
Контроллер домена, расположенный на одном сайте	8
Контроллер домена, помеченный как надежный источник времени	4
Контроллер домена, расположенный в родительском домене	2
Контроллер домена, являющийся эмулятором PDC	1

Когда Служба времени Windows определяет, что она идентифицировала контроллер домена с наилучшей оценкой, она больше не выполняет запросы. Оценки, присваиваемые службой времени, являются кумулятивными, что означает, что эмулятор PDC, расположенный на одном и том же сайте, получает оценку в девять баллов.

Если корень службы времени не настроен на синхронизацию с внешним источником, временем управляют внутренние аппаратные часы компьютера.

Указанная вручную синхронизация

Указанная вручную синхронизация позволяет назначить один одноранговый узел или список узлов, с которых компьютер получает время. Если компьютер не является членом домена, его следует настроить на синхронизацию с указанным источником времени вручную. Компьютер, являющийся членом домена, по умолчанию настроен на синхронизацию из иерархии домена. Ручная синхронизация наиболее полезна для корня леса домена или для компьютеров, которые не присоединены к домену. Ручное указание внешнего NTP-сервера для синхронизации с уполномоченным компьютером для вашего домена обеспечивает надежное время. Однако настройка полномочного компьютера домена на синхронизацию с аппаратными часами на самом деле является лучшим решением для обеспечения наиболее точного и безопасного времени в домене.

Указанные вручную источники времени не проходят проверку подлинности, если для них не задан конкретный поставщик времени, и поэтому они уязвимы для злоумышленников. Также, если компьютер синхронизируется с источником, указанным вручную, а не с контроллером домена, который выполняет проверку подлинности, то эти два компьютера могут быть не синхронизированы, что вызовет сбой аутентификации Kerberos. Это может привести к сбою других действий, для которых требуется проверка подлинности сети, например печать или совместное использование файлов. Если на синхронизацию с внешним источником настроен только корень леса, все остальные компьютеры в лесу остаются синхронизированными друг с другом, что затрудняет повторные атаки.

Все доступные механизмы синхронизации

Параметр "Все доступные механизмы синхронизации" является наиболее полезным методом синхронизации для пользователей в сети. Этот метод позволяет синхронизироваться с иерархией доменов и может также, в зависимости от конфигурации, предоставлять альтернативный источник времени, если иерархия домена становится недоступной. Если клиенту не удается синхронизировать время с иерархией домена, источник времени автоматически возвращается к источнику времени, указанному параметром NtpServer. Этот метод синхронизации наиболее часто обеспечивает точное время для клиентов.

Остановка синхронизации времени

Существуют ситуации, в которых синхронизацию времени на компьютере будет необходимо остановить. Например, если компьютер пытается выполнить синхронизацию из источника времени в Интернете или с другого сайта через глобальную сеть с помощью коммутируемого подключения, это может повлечь за собой дорогостоящую оплату по телефону. При отключении синхронизации на этом компьютере он не сможет получить доступ к источнику времени через коммутируемое подключение.

Синхронизацию также можно отключить, чтобы предотвратить создание ошибок в журнале событий. Каждый раз при попытке синхронизации с недоступным источником времени компьютер генерирует ошибку в журнале событий. Если источник времени отключен от сети для планового обслуживания, и вы не собираетесь перенастраивать клиент для синхронизации с другим источником, синхронизацию на клиенте можно отключить для предотвращения попытки синхронизации, пока сервер времени недоступен.

Рекомендуется отключить синхронизацию на компьютере, который обозначен как корень сети синхронизации. Это означает, что корневой компьютер доверяет своим локальным часам. Если корень иерархии синхронизации не установлен на NoSync и если он не может синхронизироваться с другим источником времени, клиенты не принимают пакет, который посылает этот компьютер, потому что его времени нельзя доверять.

Единственными серверами времени, которым клиенты доверяют, даже если они не синхронизировались с другим источником времени, являются те, которые были определены клиентом как надежные серверы времени.

Отключение Службы времени Windows

Службу времени Windows (W32Time) можно отключить полностью. Если вы решили реализовать сторонний продукт синхронизации времени, использующий NTP, сначала нужно отключить Службу времени Windows. Это связано с тем, что все NTP-серверы нуждаются в доступе к порту 123 UDP, и пока Служба времени Windows запущена на операционной системе Windows Server 2003, порт 123 остается зарезервированным Службой времени Windows.

Сетевые порты, используемые службой времени Windows

Служба времени Windows взаимодействует в сети для определения надежных источников времени, получения сведений о времени и предоставления сведений о времени другим компьютерам. Этот обмен данными выполняется в соответствии с определением RFC и SNTP.

Назначения портов для Службы времени Windows

Служебное имя	UDP	TCP
NTP	123	Н/Д
SNTP	123	Н/Д

См. также

Технический справочник по службе времени Windows: средства и параметрыслужбы времени Windows (W32Time)

Как работает служба времени Windows

Статья
29.06.2022
23 минуты на чтение

Применяется к: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows 10 или более поздней версии, Azure Stack HCI, версии 21h3 и 20h3

В этом разделе

Архитектура службы времени Windows
Протоколы времени службы времени Windows
Процессы и взаимодействия службы времени Windows
Сетевые порты, используемые службой времени Windows

Примечание

В этом разделе объясняется только то, как работает служба времени Windows (W32Time). Сведения о настройке службы времени Windows см. в разделе Настройка систем для обеспечения высокой точности.

Примечание

В Windows Server 2003 и Microsoft Windows 2000 Server служба каталогов называется службой каталогов Active Directory. В Windows Server 2008 и более поздних версиях служба каталогов называется доменными службами Active Directory (AD DS). Остальная часть этого раздела относится к AD DS, но информация также применима к Active Directory.

Хотя служба времени Windows не является точной реализацией протокола сетевого времени (NTP), она использует сложный набор алгоритмов, определенный в спецификациях NTP, чтобы обеспечить максимальную точность часов на компьютерах в сети. В идеале часы всех компьютеров в домене AD DS синхронизируются со временем авторитетного компьютера. На синхронизацию времени в сети могут влиять многие факторы. На точность синхронизации в AD DS часто влияют следующие факторы:

Important

До Windows Server 2016 служба W32Time не была предназначена для удовлетворения потребностей приложений, чувствительных ко времени. Однако обновления для Windows Server 2016 теперь позволяют реализовать решение с точностью до 1 мс в вашем домене. Просмотрите границу точного времени и поддержки Windows 2016, чтобы настроить службу времени Windows для высокоточных сред и получить дополнительные сведения.

Компьютеры, которые реже синхронизируют свое время или не присоединены к домену, по умолчанию настроены на синхронизацию с time.windows.com. Поэтому невозможно гарантировать точность времени на компьютерах с непостоянным сетевым подключением или без него.

Лес AD DS имеет предопределенную иерархию синхронизации времени. Служба времени Windows синхронизирует время между компьютерами в иерархии с наиболее точными эталонными часами наверху. Если на компьютере настроено несколько источников времени, Windows Time использует алгоритмы NTP для выбора наилучшего источника времени из настроенных источников на основе способности компьютера синхронизироваться с этим источником времени. Служба времени Windows не поддерживает сетевую синхронизацию от одноранговых узлов широковещательной или многоадресной рассылки. Дополнительные сведения об этих функциях NTP см. в документе RFC 1305 в базе данных IETF RFC.

Каждый компьютер, на котором запущена служба времени Windows, использует эту службу для поддержания наиболее точного времени. Компьютеры, входящие в домен, по умолчанию действуют как клиент времени, поэтому в большинстве случаев нет необходимости настраивать службу времени Windows. Однако служба времени Windows может быть настроена на запрос времени из назначенного эталонного источника времени, а также может предоставлять время клиентам.

Степень точности времени компьютера называется стратой. Самый точный источник времени в сети (например, аппаратные часы) занимает самый низкий уровень страты или уровень страты. Этот источник точного времени называется эталонными часами. Сервер NTP, который получает свое время непосредственно от эталонных часов, занимает слой, который на один уровень выше, чем у эталонных часов. Ресурсы, которые получают время с NTP-сервера, находятся на расстоянии двух шагов от эталонных часов и, следовательно, занимают слой, который на два выше, чем самый точный источник времени, и так далее. По мере увеличения количества слоев компьютера время на его системных часах может стать менее точным. Таким образом, уровень страты любого компьютера является показателем того, насколько точно этот компьютер синхронизирован с наиболее точным источником времени.

Когда W32Time Manager получает выборки времени, он использует специальные алгоритмы в NTP, чтобы определить, какая из выборок времени является наиболее подходящей для использования. Служба времени также использует другой набор алгоритмов, чтобы определить, какой из настроенных источников времени является наиболее точным. Когда служба времени определяет, какая выборка времени является наилучшей, на основе вышеуказанных критериев, она регулирует локальную частоту часов, чтобы позволить им сходиться к правильному времени. Если разница во времени между локальными часами и выбранной выборкой точного времени (также называемая асимметрией времени) слишком велика, чтобы ее можно было исправить путем корректировки скорости местных часов, служба времени устанавливает локальные часы на правильное время. Эта корректировка тактовой частоты или прямое изменение времени часов называется дисциплиной часов.