Настройка до полномочного времени — Windows Server
- Чтение занимает 5 мин
В этой статье
В этой статье описывается настройка службы времени Windows и устранение неполадок, когда служба времени Windows работает неправильно.
Исходная версия продукта: Windows Server 2012 Standard, Windows Server 2012 Essentials
Исходный номер КБ: 816042
Чтобы настроить внутренний сервер времени для синхронизации с внешним источником времени, используйте следующий метод:
Чтобы настроить PDC в корне леса Active Directory для синхронизации с внешним источником времени, выполните следующие действия:
Измените тип сервера на NTP.
Выберите > «Начните запуск», введите regedit и выберите «ОК».
Найдите и выделите следующий подраздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type
В области справа щелкните правой кнопкой мыши «Введите» и выберите «Изменить».
В поле «Изменение значения» введите NTP в поле данных «Значение» и выберите «ОК».
Установите
AnnounceFlags
5. Для этого выполните следующие действия:Найдите и выберите следующий подкомедий реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags
В области справа щелкните правой кнопкой мыши AnnounceFlags и выберите «Изменить».
В окне «Изменение значения DWORD» введите 5 в поле данных «Значение» и выберите «ОК».
Примечание
- Если достоверный сервер времени, настроенный на использование значения 0x5, не синхронизируется с сервером времени вышестояшего потока, клиентский сервер может не синхронизироваться правильно с достоверным сервером времени при возобновлении синхронизации времени между достоверным сервером времени и сервером времени.
Поэтому при плохом сетевом подсети или других проблемах, которые могут привести к сбою синхронизации времени достоверного сервера с сервером вышестоячего, установите значение 0xA вместоAnnounceFlag
0x5. - Если достоверный сервер времени, настроенный для использования значения 0x5 и синхронизации с сервером с последующим временем с фиксированным интервалом, указанным в, клиентский сервер может неправильно синхронизироваться с достоверным сервером времени после перезапуска достоверного сервера
SpecialPollInterval
времени. Таким образом, если вы настроите достоверный сервер времени для синхронизации с сервером NTP с последующим сервером с фиксированным интервалом, указанным в, установите значение 0xA вместо 0x5SpecialPollInterval
AnnounceFlag
.
В включить NTPServer. Для этого выполните следующие действия:
Найдите и выделите следующий подраздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer
В области справа щелкните правой кнопкой мыши «Включено» и выберите «Изменить».
В окне «Изменение значения DWORD» введите 1 в поле данных «Значение» и выберите «ОК».
Укажите источники времени. Для этого выполните следующие действия:
Найдите и откройте следующий подраздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
В области справа щелкните правой кнопкой мыши NtpServer и выберите «Изменить».
В поле «Изменение значения» введите «Одноранговые» в поле данных «Значение» и выберите «ОК».
Примечание
Одноранговая часть — это замещенный пробелами список одноранговых пользователей, от которых компьютер получает отметки времени. Каждое перечисленное DNS-имя должно быть уникальным. Необходимо 0x1 в конец каждого DNS-имени. Если не внести 0x1 в конец каждого DNS-имени, изменения, внесенные на шаге 5, не будут действовать.
Настройте параметры исправления времени. Для этого выполните следующие действия:
Найдите и щелкните следующий подкомедий реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxPosPhaseCorrectionВ области справа щелкните правой кнопкой мыши MaxPosPhaseCorrection и выберите «Изменить».
В окне «Изменить значение DWORD» щелкните, чтобы выбрать десятичность в базовом поле.
В поле «Изменение значения DWORD» введите TimeInSeconds и выберите «ОК».
Примечание
TimeInSeconds — это место для разумного значения, например 1 час (3600) или 30 минут (1800). Выбранное значение будет зависеть от интервала опроса, условия сети и внешнего источника времени.
Значение maxPosPhaseCorrection по умолчанию — 48 часов в Windows Server 2008 R2 или более поздней.Найдите и откройте следующий подраздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxNegPhaseCorrection
В области справа щелкните правой кнопкой мыши MaxNegPhaseCorrection и выберите «Изменить».
В окне «Изменить значение DWORD» щелкните, чтобы выбрать десятичность в базовом поле.
В поле «Изменение значения DWORD» введите TimeInSeconds и выберите «ОК».
Примечание
TimeInSeconds — это место для разумного значения, например 1 час (3600) или 30 минут (1800). Выбранное значение будет зависеть от интервала опроса, условия сети и внешнего источника времени.
Значение maxNegPhaseCorrection по умолчанию — 48 часов в Windows Server 2008 R2 или более поздней.
Закройте редактор реестра.
Чтобы перезапустить службу времени Windows, введите в командной командной области следующую команду, а затем нажмите ввод:
net stop w32time && net start w32time
Устранение неполадок
Чтобы служба времени Windows правильно функционировала, сетевая инфраструктура должна работать правильно. К наиболее распространенным проблемам, влияющим на службу времени Windows, относятся следующие:
- Существует проблема с подключением TCP/IP, например с неавтерией шлюза.
- Служба разрешения имен работает неправильно.
- В сети возникают большие задержки, особенно при синхронизации по соединениям с широкой сетью с высокой задержкой.
- Служба времени Windows пытается синхронизироваться с неточными источниками времени.
Для устранения неполадок, связанных с сетьюNetdiag.exe рекомендуется использовать с помощью этой Netdiag.exe. Netdiag.exe входит в пакет средств поддержки Windows Server 2003. Полный список параметров командной строки, которые можно использовать с Netdiag.exe. Если проблема не решена, можно включить журнал отлажки службы времени Windows. Так как журнал отлаки может содержать очень подробные сведения, мы рекомендуем обратиться в службу поддержки клиентов Майкрософт при включив журнал отлажки службы времени Windows.
Примечание
В особых случаях плата за вызовы в службу поддержки может быть отменена, если специалист службы поддержки Майкрософт решит проблему с определенным обновлением. Обычные затраты на поддержку будут применяться к дополнительным вопросам и вопросам, которые не относятся к конкретному обновлению.
Дополнительные сведения
Windows Server включает средство службы времени W32Time, необходимое протоколу проверки подлинности Kerberos. Служба времени Windows позволяет убедиться, что все компьютеры в организации с операционной системой Microsoft Windows 2000 Server или более поздними версиями используют общее время.
Чтобы гарантировать правильное использование общего времени, служба времени Windows использует иерархическую связь, которая управляет полномочиями, а служба времени Windows не разрешает циклы. По умолчанию компьютеры с Windows используют следующую иерархию:
- Все клиентские настольные компьютеры назначают контроллер домена для проверки подлинности в качестве связанного партнера по времени.
- Все серверы-члены следуют той же процедуре, что и настольные компьютеры клиента.
- Все контроллеры домена в домене назначают основного мастера операций контроллера домена (PDC) в качестве связанного партнера времени.
- Все мастера операций PDC следуют иерархии доменов в выборе связанного партнера по времени.
В этой иерархии хозяин операций PDC в корне леса становится дополняемой для организации. Настоятельно рекомендуется настроить до полномочного сервера времени для получения времени из источника оборудования. При настройке достоверного сервера времени для синхронизации с источником интернет-времени проверка подлинности не происходит. Кроме того, рекомендуется сократить параметры исправления времени для серверов и автономных клиентов. Эти рекомендации обеспечивают большую точность и безопасность домена.
Ссылки
Дополнительные сведения о службе времени Windows см. в:
Дополнительные сведения о службе времени Windows см. в службе времени Windows (W32Time).
Инструменты и параметры службы времени Windows
- Чтение занимает 27 мин
В этой статье
Применяется к: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows 10 или более поздних версийApplies to: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows 10 or later
В этом разделе вы узнаете о средствах и параметрах службы времени Windows (W32Time). In this topic, you learn about tools and settings for Windows Time service (W32Time).
Если вам нужно синхронизировать время только для клиентского компьютера, присоединенного к домену, см. эту статью.If you want to synchronize time for only a domain-joined client computer, see Configure a client computer for automatic domain time synchronization. Дополнительные разделы о настройке службы времени Windows см. в статье Windows Time Service (W32Time) (Служба времени Windows W32Time).For additional topics about how to configure Windows Time service, see Where to Find Windows Time Service Configuration Information.
Внимание!
Для настройки или задания времени запуска службы времени Windows не следует использовать команду Net time.You should not use the Net time command to configure or set time when the Windows Time service is running.
Кроме того, на старых компьютерах под управлением Windows XP или более ранней версии команда Net time /querysntp отображала имя сервера NTP, с помощью которого настроена синхронизация компьютера, однако этот NTP-сервер используется только в том случае, если клиент времени компьютера настроен как NTP или AllSync. Also, on older computers that run Windows XP or earlier versions, the Net time /querysntp command displays the name of a Network Time Protocol (NTP) server with which a computer is configured to synchronize, but that NTP server is used only when the computer’s time client is configured as NTP or AllSync. Поэтому эта команда нерекомендуемая.That command has since been deprecated.
Большинство компьютеров-членов домена имеют тип клиента NT5DS, что означает синхронизацию времени из иерархии доменов.Most domain member computers have a time client type of NT5DS, which means that they synchronize time from the domain hierarchy. Единственным типичным исключением является контроллер домена, который выступает в роли хозяина операций эмулятора основного контроллера домена (PDC) корневого домена леса,The only typical exception to this is the domain controller that functions as the primary domain controller (PDC) emulator operations master of the forest root domain. который обычно настроен для синхронизации времени с внешним источником. The PDC emulator operations master is usually configured to synchronize time with an external time source. Чтобы просмотреть настройку времени клиента компьютера, выполните команду W32tm /query /configuration из командной строки с повышенными привилегиями в Windows Server 2008 и Windows Vista, а затем считайте Тип в выходных данных команды.To view the time client configuration of a computer (starting in Windows Server 2008 and Windows Vista), run the W32tm /query /configuration command from an elevated Command Prompt, and read the Type line in the command output. Дополнительные сведения см. в разделе How the Windows Time Service Works (Принцип работы службы времени Windows).For more information, see How Windows Time Service Works. Кроме того, вы можете выполнить команду reg query HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Parameters и считать значение NtpServer в выходных данных команды. Additionally, you can run the reg query HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Parameters command and read the value of NtpServer in the command output.
Указанные ниже инструменты связаны со службой времени Windows.The following tool is associated with the Windows Time service.
W32tm.exe: Служба времени WindowsW32tm.exe: Windows Time
КатегорияCategory
Этот инструмент является частью стандартной установки Windows (Windows XP и более поздних версий) и Windows Server (Windows Server 2003 и более поздних версий).This tool is part of the default installation of Windows (Windows XP and later versions) and Windows Server (Windows Server 2003 and later versions).
Совместимость версийVersion compatibility
Этот инструмент работает при стандартной установке Windows (Windows XP и более поздних версий) и Windows Server (Windows Server 2003 и более поздних версий). This tool works on the default installation of Windows (Windows XP and later versions) and Windows Server (Windows Server 2003 and later versions).
С помощью W32tm.exe можно настроить параметры службы времени Windows и диагностировать возникающие проблемы.You can use W32tm.exe to configure Windows Time service settings and to diagnose time service problems. W32tm.exe — это предпочтительная программа командной строки для настройки, мониторинга и устранения неполадок службы времени Windows.W32tm.exe is the preferred command-line tool for configuring, monitoring, or troubleshooting the Windows Time service.
В следующих таблицах описаны параметры, используемые с W32tm.exe.The following tables describe the parameters that you can use with W32tm.exe.
Основные параметры W32tm.exeW32tm.exe primary parameters
ПараметрParameter | ОписаниеDescription |
---|---|
w32tm /?w32tm /? | Отображает справку командной строки W32tm. Displays the W32tm command-line help |
w32tm /registerw32tm /register | Регистрирует службу времени для запуска в качестве службы и добавляет информацию о конфигурации по умолчанию в реестр.Registers the time service to run as a service and adds its default configuration information to the registry. |
w32tm /unregisterw32tm /unregister | Отменяет регистрацию службы времени и удаляет все сведения о конфигурации из реестра.Unregisters the time service and removes all of its configuration information from the registry. |
w32tm /monitor [/domain:<domain name>] [/computers:<name>[,<name>[,<name>…]]] [/threads:<num>]w32tm /monitor [/domain:<domain name>] [/computers:<name>[,<name>[,<name>…]]] [/threads:<num>] | Отслеживает службу времени Windows. Monitors the Windows Time service. /domain: указывает, какой домен следует отслеживать./domain: Specifies which domain to monitor. Если имя домена не указано или не указан ни один из параметров /domain и /computers, используется домен по умолчанию.If no domain name is given, or neither the /domain nor /computers option is specified, the default domain is used. Этот параметр можно указывать многократно.This option might be used more than once. /computers: наблюдает за заданным списком компьютеров./computers: Monitors the given list of computers. Имена компьютеров разделяются запятыми, без пробелов.Computer names are separated by commas, with no spaces. Если имя имеет префикс *, оно обрабатывается как имя основного контроллера домена. Этот параметр можно указывать многократно./threads: указывает число одновременно анализируемых компьютеров. If a name is prefixed with a *, it is treated as a PDC. This option might be used more than once./threads: Specifies the number of computers to analyze simultaneously. По умолчанию используется значение 3.The default value is three. Допустимый диапазон — 1–50.Allowed range is 1-50. |
w32tm /ntte <NT time epoch>w32tm /ntte <NT time epoch> | Преобразует системное время Windows NT (измеряется в интервалах 10-7 секунды, начиная с 0 ч. 1 января 1601 г.) в читаемый формат.Converts a Windows NT system time (measured in 10-7-second intervals starting from 0h 1-Jan 1601) into a readable format. |
w32tm /ntpte <NTP time epoch>w32tm /ntpte <NTP time epoch> | Преобразует время NTP (измеряется в интервалах 2-32 секунды, начиная с 0 ч. 1 января 1900 г.) в читаемый формат. Converts an NTP time (measured in 2-32-second intervals starting from 0h 1-Jan 1900) into a readable format. |
w32tm /resync [/computer:<computer>] [/nowait] [/rediscover] [/soft]w32tm /resync [/computer:<computer>] [/nowait] [/rediscover] [/soft] | Сообщает компьютеру о необходимости повторной синхронизации часов как можно скорее, вызывая всю накопленную статистику ошибок.Tells a computer that it should resynchronize its clock as soon as possible, throwing out all accumulated error statistics. /computer:<computer> : указывает компьютер, который нужно повторно синхронизировать./computer:<computer>: Specifies the computer that should resynchronize. Если не указано, будет выполнена повторная синхронизация локального компьютера.If not specified, the local computer will resynchronize. /nowait: не дожидайтесь повторной синхронизации; возвращайтесь немедленно. /nowait: do not wait for the resynchronize to occur; return immediately. В противном случае дождитесь завершения повторной синхронизации, прежде чем возвращать.Otherwise, wait for the resynchronize to complete before returning. /rediscover: переопределение конфигурации сети и повторное обнаружение сетевых источников, а затем повторная синхронизация./rediscover: Redetects the network configuration and rediscovers network sources, then resynchronize. /soft: повторная синхронизация с использованием существующей статистики ошибок./soft: Resynchronizes by using existing error statistics. Не полезно, предоставляется для обеспечения совместимости.Not useful, provided for compatibility. |
w32tm /stripchart /computer:<target> [/period:<refresh>] [/dataonly] [/samples:<count>] [/rdtsc]w32tm /stripchart /computer:<target> [/period:<refresh>] [/dataonly] [/samples:<count>] [/rdtsc] | Отображение ленточной диаграммы смещения между этим и другим компьютером. Displays a strip chart of the offset between this computer and another computer. /computer:<target> : компьютер для измерения смещения./computer:<target>: The computer to measure the offset against. /period:<refresh> : время между выборками в секундах./period:<refresh>: The time between samples, in seconds. Значение по умолчанию — две секунды.The default is two seconds. /dataonly: отображает только данные без графиков./dataonly: Displays the data only, without graphics. /samples:<count> : собирает примеры <count> с последующей остановкой./samples:<count>: Collects <count> samples, then stops. Если не указано, примеры будут собираться до нажатия CTRL + C.If not specified, samples will be collected until Ctrl+C is pressed. /rdtsc: для каждого образца этот параметр выводит значения, разделенные запятыми, вместе с заголовками RdtscStart, RdtscEnd, FileTime, RoundtripDelay, NtpOffset вместо текстового графика./rdtsc: For each sample, this option prints comma-separated values along with the headers RdtscStart, RdtscEnd, FileTime, RoundtripDelay, and NtpOffset instead of the text graphic.
|
w32tm /config [/computer:<target>] [/update] [/manualpeerlist:<peers>] [/syncfromflags:<source>] [/LocalClockDispersion:<seconds>] [/reliable:(YES|NO)] [/largephaseoffset:<milliseconds>]w32tm /config [/computer:<target>] [/update] [/manualpeerlist:<peers>] [/syncfromflags:<source>] [/LocalClockDispersion:<seconds>] [/reliable:(YES|NO)] [/largephaseoffset:<milliseconds>] | /computer:<target> : настраивает конфигурацию <target>. /computer:<target>: Adjusts the configuration of <target>. Если значение не указано, по умолчанию используется локальный компьютер.If not specified, the default is the local computer. /update: уведомляет службу времени об изменении конфигурации, что приводит к началу действия изменений./update: Notifies the time service that the configuration has changed, causing the changes to take effect. /manualpeerlist:<peers> : задает для ручного списка одноранговых узлов <peers>, который представляет собой разделенный пробелами список DNS и IP-адресов./manualpeerlist:<peers>: Sets the manual peer list to <peers>, which is a space-delimited list of DNS and/or IP addresses. При указании нескольких одноранговых узлов этот параметр необходимо заключить в кавычки.When specifying multiple peers, this option must be enclosed in quotes. /syncfromflags:<source> : задает, из каких источников должен синхронизироваться NTP-клиент./syncfromflags:<source>: Sets what sources the NTP client should synchronize from. Ожидается, что <source> — это список этих ключевых слов, разделенный запятыми (без учета реестра):<source> should be a comma-separated list of these keywords (not case sensitive):
/reliable:(YES|NO) : укажите, является ли этот компьютер надежным источником времени./reliable:(YES|NO): Set whether this computer is a reliable time source. Этот параметр имеет смысл только на контроллерах домена.This setting is only meaningful on domain controllers.
|
w32tm /tzw32tm /tz | Отображение текущих параметров часового пояса.Display the current time zone settings. |
w32tm /dumpreg [/subkey:<key>] [/computer:<target>]w32tm /dumpreg [/subkey:<key>] [/computer:<target>] | Отображение значений, связанных с заданным ключом реестра.Display the values associated with a given registry key. По умолчанию используется ключ HKLM\System\CurrentControlSet\Services\W32Time (корневой ключ для службы времени).The default key is HKLM\System\CurrentControlSet\Services\W32Time (the root key for the time service). /subkey:<key> : отображает значения, связанные с подразделом ключа по умолчанию./subkey:<key>: Displays the values associated with subkey of the default key. /computer:<target> : запрашивает параметры реестра для компьютера <target>. /computer:<target>: Queries registry settings for computer <target> |
w32tm /query [/computer:<target>] {/source | /configuration | /peers | /status} [/verbose]w32tm /query [/computer:<target>] {/source | /configuration | /peers | /status} [/verbose] | Отображает сведения о службе времени Windows на компьютере.Displays a computer’s Windows Time service information. Этот параметр впервые стал доступным в клиенте службы времени Windows в Windows Vista и Windows Server 2008.This parameter was first made available in the Windows Time client in Windows Vista and Windows Server 2008. /computer:<target> : запрашивает сведения о <target>./computer:<target>: Queries the information of <target>. Если значение не указано, по умолчанию используется локальный компьютер. If not specified, the default value is the local computer. /source: отображает источник времени./source: Displays the time source. /configuration: отображение конфигурации времени выполнения и места, где берется параметр./configuration: Displays the configuration of run time and where the setting comes from. В режиме подробного протоколирования также отображается неопределенное или неиспользуемое значение.In verbose mode, display the undefined or unused setting too. /peers: отображение списка узлов и их состояние./peers: Displays a list of peers and their status. /status: отображение состояния службы времени Windows./status: Displays Windows Time service status. /verbose: задание режима подробного протоколирования для отображения дополнительных сведений./verbose: Sets the verbose mode to display more information. |
w32tm /debug {/disable | {/enable /file:<name> /size:/<bytes> /entries:<value> [/truncate]}}w32tm /debug {/disable | {/enable /file:<name> /size:/<bytes> /entries:<value> [/truncate]}} | Включение или отключение закрытого журнала службы времени Windows для локального компьютера.Enables or disables the local computer Windows Time service private log. Этот параметр впервые стал доступным в клиенте службы времени Windows в Windows Vista и Windows Server 2008.This parameter was first made available in the Windows Time client in Windows Vista and Windows Server 2008. /disable: отключает закрытый журнал./disable: Disables the private log. /enable: включает закрытый журнал./enable: Enables the private log.
|
Дополнительные сведения о W32tm.exe см. в Справке Windows.For more information about W32tm.exe, see Windows help.
ПримерыExamples
Если вы хотите настроить локальный клиент службы времени Windows так, чтобы он указывал на два разных сервера времени (один с именем ntpserver.contoso.com, а второй — clock.adatum.com), введите в командной строке следующую команду и нажмите клавишу ВВОД:If you want to set the local Windows Time client to point to two different time servers, one named ntpserver.contoso.com and another named clock.adatum.com, type the following command at the command line, and then press ENTER:
w32tm /config /manualpeerlist:"ntpserver.contoso.com clock.adatum.com" /syncfromflags:manual /update
Если вы хотите проверить конфигурацию клиента службы времени Windows с клиентского компьютера под управлением Windows с именем узла CONTOSOW1, выполните следующую команду:If you want to check the Windows Time client configuration from a Windows-based client computer that has a host name of CONTOSOW1, run the following command:
W32tm /query /computer:contosoW1 /configuration
Выходные данные этой команды представляют собой список параметров конфигурации, заданных для клиента службы времени Windows. The output of this command is a list of configuration parameters that are set for the Windows Time client.
Важно!
В Windows Server 2016 улучшены алгоритмы синхронизации времени для соответствия спецификациям RFC.Windows Server 2016 has improved the time synchronization algorithms to align with RFC specifications. Поэтому если вы хотите настроить локальный клиент службы времени Windows так, чтобы он указывал на несколько одноранговых узлов, настоятельно рекомендуется подготовить три или более разных сервера времени.Therefore, if you want to set the local Windows Time client to point to multiple peers, it is highly recommended that you prepare three or more different time servers.
При наличии только двух серверов времени укажите флаг UseAsFallbackOnly (0x2), чтобы отменить назначение приоритета одному из них.If you have only two time servers, you should specify the UseAsFallbackOnly flag (0x2) to de-prioritize one of them. Например, если необходимо назначить приоритет ntpserver. contoso.com над clock.adatum.com, выполните следующую команду.For instance, if you want to prioritize ntpserver.contoso.com over clock.adatum.com, run the following command.
w32tm /config /manualpeerlist:"ntpserver.contoso.com,0x8 clock.adatum.com,0xa" /syncfromflags:manual /update
Значение указанного флага см. в разделе Записи подраздела HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Parameters.For the meaning of the specified flag, see «HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Parameters» subkey entries.
Использование групповой политики для настройки службы времени WindowsUsing Group Policy to configure the Windows Time service
Служба времени Windows сохраняет ряд свойств конфигурации в виде записей реестра.The Windows Time service stores a number of configuration properties as registry entries. Для настройки большинства этих данных можно использовать объекты групповой политики.You can use Group Policy Objects to configure most of this information. Например, объекты групповой политики можно использовать для настройки компьютера в качестве NTPServer или NTPClient, механизма синхронизации времени или компьютера в качестве надежного источника времени.For example, you can use GPOs to configure a computer to be an NTPServer or NTPClient, configure the time synchronization mechanism, or configure a computer to be a reliable time source.
Примечание
Параметры групповой политики для службы времени Windows можно настроить на контроллерах домена Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 и Windows Server 2008 R2, и они могут применяться только к компьютерам под управлением Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 и Windows Server 2008 R2.Group Policy settings for the Windows Time service can be configured on Windows Server 2003, Windows Server 2003 R2, Windows Server 2008, and Windows Server 2008 R2 domain controllers and can be applied only to computers running Windows Server 2003, Windows Server 2003 R2, Windows Server 2008, and Windows Server 2008 R2.
Windows хранит сведения о политике службы времени Windows в файле административного шаблона W32Time.admx в папке Computer Configuration\Administrative Templates\System\Windows Time Service.Windows stores the Windows Time service policy information in the W32Time.admx administrative template file, under Computer Configuration\Administrative Templates\System\Windows Time Service. Windows хранит сведения о конфигурации, определенной политиками в реестре, и использует эти записи реестра для настройки записей реестра для службы времени Windows.It stores the configuration information that the policies define in the registry, and uses those registry entries to configure the registry entries for the Windows Time service. В результате значения, определенные групповой политикой, перезапишут все существовавшие ранее значения в разделе реестра службы времени Windows.As a result, the values defined by Group Policy overwrite any pre-existing values in the Windows Time service section of the registry.
Например, предположим, что вы изменяете параметры политики Настроить NTP-клиент Windows.For example, suppose you edit policy settings in the Configure Windows NTP Client policy.
Изменения хранятся в следующем расположении в административном шаблоне:Your changes are stored in the following location in the administrative template:
Computer Configuration\Administrative Templates\System\Windows Time Service\Time Providers\Configure Windows NTP ClientComputer Configuration\Administrative Templates\System\Windows Time Service\Time Providers\ Configure Windows NTP Client
Windows загружает эти параметры в область политики реестра в следующем подразделе:Windows loads these settings into the policy area of the registry under the following subkey:
HKLM\Software\Policies\Microsoft\W32time\TimeProviders\NtpClientHKLM\Software\Policies\Microsoft\W32time\TimeProviders\NtpClient
Затем в Windows используются параметры политики для настройки связанных записей реестра службы времени Windows в следующем подразделе:Then Windows uses the policy settings to configure the related Windows Time service registry entries under the following subkey:
HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Time Providers\NTPClient\HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Time Providers\NTPClient\
В следующей таблице перечислены политики, которые можно настроить для службы времени Windows, а также подразделы реестра, на которые влияют эти политики. The following table lists the policies that you can configure for the Windows Time service, and the registry subkeys that those policies affect.
Примечание
При удалении параметра групповой политики Windows удаляет соответствующую запись из области политики реестра.When you remove a Group Policy setting, Windows removes the corresponding entry from the policy area of the registry.
Политика1Policy1 | Расположения реестра2,3Registry locations2,3 |
---|---|
Глобальные параметры конфигурацииGlobal Configuration Settings | W32TimeW32Time W32Time\ConfigW32Time\Config W32Time\ParametersW32Time\Parameters |
Time Providers\Configure Windows NTP ClientTime Providers\Configure Windows NTP Client | W32Time\TimeProviders\NtpClientW32Time\TimeProviders\NtpClient |
Time Providers\Enable Windows NTP ClientTime Providers\Enable Windows NTP Client | W32Time\TimeProviders\NtpClientW32Time\TimeProviders\NtpClient |
Time Providers\Enable Windows NTP ServerTime Providers\Enable Windows NTP Server | W32Time\TimeProviders\NtpServerW32Time\TimeProviders\NtpServer |
1 Путь к категории: Computer Configuration\Administrative Templates\System\Windows Time Service 2 Subkey: HKLM\SOFTWARE\Policies\Microsoft 3 Subkey: HKLM\SYSTEM\CurrentControlSet\Services1 Category path: Computer Configuration\Administrative Templates\System\Windows Time Service 2 Subkey: HKLM\SOFTWARE\Policies\Microsoft 3 Subkey: HKLM\SYSTEM\CurrentControlSet\Services
Включение ведения журнала W32TimeEnabling W32Time logging
Следующие три записи реестра не являются частью стандартной конфигурации W32Time, но их можно добавить в реестр, чтобы получить расширенные возможности ведения журнала. The following three registry entries are not a part of the W32Time default configuration but can be added to the registry to obtain increased logging capabilities. Регистрируемые в журнале системных событий сведения можно изменить, изменив значение параметра EventLogFlags в редакторе объектов групповой политики.The information logged to the System Event log can be modified by changing value for the EventLogFlags setting in the Group Policy Object Editor. По умолчанию служба времени регистрирует событие при каждом переключении на новый источник времени.By default, the time service logs an event every time that it switches to a new time source.
Чтобы включить ведение журнала W32Time, добавьте следующие записи реестра:In order to enable W32Time logging, add the following registry entries:
Запись реестраRegistry Entry | ВерсииVersions | ОписаниеDescription |
---|---|---|
FileLogEntriesFileLogEntries | Все версииAll versions | Управляет количеством записей, создаваемых в файле журнала службы времени Windows. Controls the number of entries created in the Windows Time log file. По умолчанию используется нулевое значение, которое не регистрирует никаких действий службы времени Windows.The default value is none, which does not log any Windows Time activity. Допустимые значения: 0–300.Valid values are 0 to 300. Это значение не влияет на записи журнала событий, которые обычно создаются службой времени Windows.This value does not affect the event log entries normally created by Windows Time |
FileLogNameFileLogName | Все версииAll versions | Определяет расположение и имя файла журнала службы времени Windows.Controls the location and file name of the Windows Time log. Значение по умолчанию пустое и не должно изменяться, пока не изменяется FileLogEntries.The default value is blank, and should not be changed unless FileLogEntries is changed. Допустимое значение — это полный путь и имя файла, которые служба времени Windows будет использовать для создания файла журнала.A valid value is a full path and file name that Windows Time will use to create the log file. Это значение не влияет на записи журнала событий, которые обычно создаются службой времени Windows.This value does not affect the event log entries normally created by Windows Time. |
FileLogSizeFileLogSize | Все версииAll versions | Управляет поведением циклического ведения журнала файлов журнала службы времени Windows.Controls the circular logging behavior of Windows Time log files. При определении FileLogEntries и FileLogName запись определяет размер (в байтах), чтобы разрешить доступ к файлу журнала, прежде чем перезаписывать старые записи в журнал как новые.When FileLogEntries and FileLogName are defined, Entry defines the size, in bytes, to allow the log file to reach before overwriting the oldest log entries with new entries. Используйте для этого параметра значение — 1 000 000 или больше.Please use 1000000 or larger value for this setting. Это значение не влияет на записи журнала событий, которые обычно создаются службой времени Windows.This value does not affect the event log entries normally created by Windows Time. |
Настройка службы времени Windows на сброс часов компьютераConfiguring how Windows Time service resets the computer clock
Чтобы Служба W32Time постепенно установила компьютерные часы, смещение должно одновременно быть меньше значения MaxAllowedPhaseOffset и соответствовать следующему уравнению:In order for W32Time to set the computer clock gradually, the offset must be less than the MaxAllowedPhaseOffset value and satisfy the following equation at the same time:
Windows Server 2016 и более поздних версийWindows Server 2016 and later versions:
|CurrentTimeOffset| ÷ (16 × PhaseCorrectRate × pollIntervalInSeconds) ≤ SystemClockRate ÷ 2|CurrentTimeOffset| ÷ (16 × PhaseCorrectRate × pollIntervalInSeconds) ≤ SystemClockRate ÷ 2
Windows Server 2012 R2 и более ранних версий. Windows Server 2012 R2 and earlier versions:
|CurrentTimeOffset| ÷ (PhaseCorrectRate × UpdateInterval) ≤ SystemClockRate ÷ 2|CurrentTimeOffset| ÷ (PhaseCorrectRate × UpdateInterval) ≤ SystemClockRate ÷ 2
Значение CurrentTimeOffset измеряется в тактах часов, где 1 мс = 10 000 тактов в системе Windows.The CurrentTimeOffset value is measured in clock ticks, where 1 ms = 10,000 clock ticks on a Windows system.
SystemClockRate и PhaseCorrectRate также измеряются в тактах часов.SystemClockRate and PhaseCorrectRate are also measured in clock ticks. Чтобы получить значение SystemClockRate, можно использовать следующую команду, а затем преобразовать его из секунд в такты часов, используя формулу секунды × 1 000 × 10 000:To get the SystemClockRate value, you can use the following command and convert it from seconds to clock ticks by using the formula of seconds × 1,000 × 10,000:
W32tm /query /status /verbose
ClockRate: 0. 0156000s
SystemClockRate — это частота часов в системе.SystemClockRate is the rate of the clock on the system. Например, при использовании 156 000 секунд значение SystemClockRate будет = 0,0156000 × 1 000 × 10 000 = 156 000 тактов.Using 156,000 seconds as an example, the SystemClockRate value would be 0.0156000 × 1,000 × 10,000 = 156,000 clock ticks.
MaxAllowedPhaseOffset также измеряется в секундах.MaxAllowedPhaseOffset is also measured in seconds. Чтобы преобразовать его в такты часов, умножьте MaxAllowedPhaseOffset × 1 000 × 10 000.To convert it to clock ticks, multiply MaxAllowedPhaseOffset × 1,000 × 10,000.
В следующих примерах показано, как применять эти вычисления при использовании Windows Server 2012 R2 или более ранней версии.The following examples show how to apply these calculations when you use Windows Server 2012 R2 or an earlier version.
Пример 1. Время отличается на четыре минутыExample 1: Time differs by four minutes
Например, ваше время — 11:05, а образец времени, который получен от однорангового узла и считается верным — 11:09.Your time is 11:05 and the time sample that you received from a peer and believe to be correct is 11:09.
PhaseCorrectRate = 1;PhaseCorrectRate = 1
UpdateInterval = 30 000 тактов;UpdateInterval = 30,000 clock ticks
SystemClockRate = 156 000 тактов;SystemClockRate = 156,000 clock ticks
MaxAllowedPhaseOffset = 10 мин = 600 секунд = 600 × 1 000 × 10 000 = 6 000 000 000 тактов;MaxAllowedPhaseOffset = 10 min = 600 seconds = 600 × 1,000 × 10,000 = 6,000,000,000 clock ticks
|CurrentTimeOffset| = 4 мин = 4 × 60 × 1 000 × 10 000 = 2 400 000 000 тактов;|CurrentTimeOffset| = 4 min = 4 × 60 × 1,000 × 10,000 = 2,400,000,000 clock ticks
CurrentTimeOffset ≤ MaxAllowedPhaseOffset?;Is CurrentTimeOffset ≤ MaxAllowedPhaseOffset?
2 400 000 000 ≤ 6 000 000 000: TRUE2,400,000,000 ≤ 6,000,000,000: TRUE
И удовлетворяет ли он приведенное выше уравнение?AND does it satisfy the above equation?
(|CurrentTimeOffset| ÷(PhaseCorrectRate×UpdateInterval)≤SystemClockRate÷2)(|CurrentTimeOffset| ÷ (PhaseCorrectRate × UpdateInterval) ≤ SystemClockRate ÷ 2)
2 400 000 000/(30 000 × 1) ≤ 156 000 ÷ 2;Is 2,400,000,000 / (30,000 × 1) ≤ 156,000 ÷ 2
80 000 ≤ 78 000: FALSE80,000 ≤ 78,000: FALSE
Поэтому W32tm немедленно перевел бы часы обратно в исходное положение. Therefore, W32tm would set the clock back immediately.
Примечание
В этом случае, если вы хотите медленно вернуть часы обратно, вам также придется скорректировать значения PhaseCorrectRate или UpdateInterval в реестре, чтобы убедиться, что результат уравнения является TRUE.In this case, if you want to set the clock back slowly, you would also have to adjust the values of PhaseCorrectRate or UpdateInterval in the registry to make sure that the equation result is TRUE.
Пример 2. Время отличается на три минутыExample 2: Time differs by three minutes
PhaseCorrectRate = 1;PhaseCorrectRate = 1
UpdateInterval = 30 000 тактов;UpdateInterval = 30,000 clock ticks
SystemClockRate = 156 000 тактов;SystemClockRate = 156,000 clock ticks
MaxAllowedPhaseOffset = 10 мин = 600 секунд = 600 × 1 000 × 10 000 = 6 000 000 000 тактов;MaxAllowedPhaseOffset = 10 min = 600 seconds = 600 × 1,000 × 10,000 = 6,000,000,000 clock ticks
|CurrentTimeOffset| = 3 мин = 3×60×1 000×10 000 = 1 800 000 000 тактов|CurrentTimeOffset| = 3 mins = 3 × 60 × 1,000 × 10,000 = 1,800,000,000 clock ticks
|CurrentTimeOffset| ≤MaxAllowedPhaseOffset?Is |CurrentTimeOffset| ≤ MaxAllowedPhaseOffset?
1 800 000 000≤6 000 000 000: TRUE1,800,000,000 ≤ 6,000,000,000: TRUE
И удовлетворяет ли он приведенное выше уравнение?AND does it satisfy the above equation?
(|CurrentTimeOffset| ÷(PhaseCorrectRate×UpdateInterval)≤SystemClockRate÷2)(|CurrentTimeOffset| ÷ (PhaseCorrectRate × UpdateInterval) ≤ SystemClockRate ÷ 2)
3 минуты×(1 800 000 000) ÷ (30 000 × 1) ≤ 156 000 ÷ 2;Is 3 mins × (1,800,000,000) ÷ (30,000 × 1) ≤ 156,000 ÷ 2
60 000 ≤ 78 000: TRUEIs 60,000 ≤ 78,000: TRUE
В этом случае часы будут медленно возвращаться в исходное положение. In this case, the clock will be set back slowly.
Справочные материалы. Записи реестра службы времени WindowsReference: Windows Time service registry entries
Предупреждение
Сведения об этих записях реестра предоставляются в виде справки по устранению неполадок или проверке применения необходимых параметров.The information about these registry entries is provided as a reference for use in troubleshooting or verifying that the required settings are applied. Многие значения в разделе реестра W32Time используются службой W32Time внутренне для хранения информации.Many of the values in the W32Time section of the registry are used internally by W32Time to store information. Не изменяйте эти значения вручную.Do not manually change these values. Изменения в реестре не проверяются редактором реестра или операционной системой Windows перед их применением.Modifications to the registry are not validated by the registry editor or by Windows before they are applied. Если реестр содержит недопустимые значения, в Windows могут произойти неустранимые ошибки. If the registry contains invalid values, Windows may experience unrecoverable errors.
Служба времени Windows хранит сведения в следующих подразделах реестра:Windows Time service stores information under the following registry subkeys:
Кроме того, для устранения неполадок можно добавлять записи, чтобы настроить журналы.Additionally, for troubleshooting purposes, you can add entries in order to configure logs.
В следующих таблицах колонка «Все версии» ссылается на версии Windows 7, Windows 8, Windows 10, Windows Server 2008 и Windows Server 2008 R2, Windows Server 2012 и Windows Server 2012 R2, Windows Server 2016 и Windows Server 2019.In the following tables, «All versions» refers to versions of Windows that include Windows 7, Windows 8, Windows 10, Windows Server 2008 and Windows Server 2008 R2, Windows Server 2012 and Windows Server 2012 R2, Windows Server 2016, and Windows Server 2019. Некоторые записи доступны только в более новых версиях Windows.Some entries are only available on later Windows versions.
Примечание
Некоторые параметры в реестре измеряются в тактах часов, а некоторые — в секундах.Some of the parameters in the registry are measured in clock ticks and some are measured in seconds. Чтобы преобразовать время из тактов в секунды, используйте следующие коэффициенты преобразования:To convert the time from clock ticks to seconds, use these conversion factors:
- 1 минута = 60 с1 minute = 60 sec
- 1 с = 1000 мс1 sec = 1000 ms
- 1 мс = 10 000 тактовых импульсов в системе Windows, как описано в разделе Свойство DateTime.Ticks.1 ms = 10,000 clock ticks on a Windows system, as described at DateTime.Ticks Property.
Например, 5 минут будет иметь значение 5 × 60 × 1000 × 10000 = 3 000 000 000 тактов.For example, 5 minutes becomes 5 × 60 × 1000 × 10000 = 3,000,000,000 clock ticks.
Записи в подразделе HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Config»HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Config» subkey entries
Запись реестраRegistry entry | ВерсииVersions | ОписаниеDescription |
---|---|---|
AnnounceFlagsAnnounceFlags | Все версииAll versions | Определяет, помечен ли этот компьютер как надежный сервер времени. Controls whether this computer is marked as a reliable time server. Компьютер не помечается как надежный, если он также не помечен как сервер времени.A computer is not marked as reliable unless it is also marked as a time server.
Значение по умолчанию для членов домена равно 10.The default value for domain members is 10. Значение по умолчанию для автономных клиентов и серверов равно 10.The default value for stand-alone clients and servers is 10. |
ChainDisableChainDisable | Определяет, отключен ли механизм связывания.Controls whether or not the chaining mechanism is disabled. Если механизм связывания отключен (имеет значение 0), контроллер домена только для чтения (RODC) может синхронизироваться с любым контроллером домена, но узлы, на которых не кэшированы пароли на RODC, не смогут синхронизироваться с RODC.If chaining is disabled (set to 0), a read-only domain controller (RODC) can synchronize with any domain controller, but hosts that do not have their passwords cached on the RODC will not be able to synchronize with the RODC. Это логический параметр, который по умолчанию имеет значение — 0.This is a boolean setting, and the default value is 0. | |
ChainEntryTimeoutChainEntryTimeout | Указывает максимальное количество времени, в течение которого запись может оставаться в таблице цепочек до того, как она будет считаться просроченной. Specifies the maximum amount of time that an entry can remain in the chaining table before the entry is considered to be expired. Просроченные записи могут быть удалены при обработке следующего запроса или ответа.Expired entries may be removed when the next request or response is processed. Значение по умолчанию — 16 (секунд).The default value is 16 (seconds). | |
ChainLoggingRateChainLoggingRate | Определяет частоту, с которой событие, указывающее количество успешных и неудачных попыток связывания, заносится в системный журнал в средство просмотра событий.Controls the frequency at which an event that indicates the number of successful and unsuccessful chaining attempts is logged to the System log in Event Viewer. Значение по умолчанию — 30 (минут).The default is 30 (minutes). | |
ChainMaxEntriesChainMaxEntries | Определяет максимальное число записей, допустимых в таблице цепочек. Controls the maximum number of entries that are allowed in the chaining table. Если таблица цепочек заполнена и нет просроченных записей для удаления, все входящие запросы отклоняются.If the chaining table is full and no expired entries can be removed, any incoming requests are discarded. Значение по умолчанию — 128 (записей).The default value is 128 (entries). | |
ChainMaxHostEntriesChainMaxHostEntries | Определяет максимальное число записей, допустимых в таблице цепочек для конкретного узла.Controls the maximum number of entries that are allowed in the chaining table for a particular host. Значение по умолчанию — 4 (записи).The default value is 4 (entries). | |
ClockAdjustmentAuditLimitClockAdjustmentAuditLimit | Windows Server 2016 версии 1709 и более поздних; Windows 10 версии 1709 и более поздних.Windows Server 2016 Version 1709 and later versions; Windows 10 Version 1709 and later versions | Задает минимальные локальные настройки часов, которые могут быть записаны в журнал событий службы W32time на целевом компьютере. Specifies the smallest local clock adjustments that may be logged to the W32time service event log on the target computer. Значение по умолчанию — 800 (частей на каждый миллион — PPM).The default value is 800 (parts per million — PPM). |
ClockHoldoverPeriodClockHoldoverPeriod | Windows Server 2016 версии 1709 и более поздних; Windows 10 версии 1709 и более поздних.Windows Server 2016 Version 1709 and later versions; Windows 10 Version 1709 and later versions | Указывает максимальное количество секунд, в течение которых системные часы могут номинально сохранять свою точность без синхронизации с источником времени.Indicates the maximum number of seconds a system clock can nominally hold its accuracy without synchronizing with a time source. Если этот период времени завершается без получения службой W32time новых примеров от любого из поставщиков входных данных, она инициирует повторное обнаружение источников времени. If this period of time passes without W32time obtaining new samples from any of its input providers, W32time initiates a rediscovery of time sources. Default: 7 800 секунд.Default: 7,800 seconds. |
EventLogFlagsEventLogFlags | Все версииAll versions | Управляет событиями, которые регистрируются службой времени.Controls which events that the time service logs.
|
FrequencyCorrectRateFrequencyCorrectRate | Все версииAll versions | Управляет скоростью, с которой часы исправляются. Controls the rate at which the clock is corrected. Если это значение слишком мало, часы нестабильны и превышают допустимые значения.If this value is too small, the clock is unstable and overcorrects. Если значение слишком велико, синхронизация часов занимает много времени.If the value is too large, the clock takes a long time to synchronize. Значение по умолчанию для членов домена равно 4.The default value on domain members is 4. Значение по умолчанию на автономных клиентах и серверах равно 4.The default value on stand-alone clients and servers is 4. ПримечаниеNote |
HoldPeriodHoldPeriod | Все версииAll versions | Контролирует период времени, в течение которого обнаружение пиков отключено для быстрого приведения локальных часов в режим синхронизации.Controls the period of time for which spike detection is disabled in order to bring the local clock into synchronization quickly. Пик — это пример времени, указывающий на то, что время отключается на несколько секунд, и обычно включается после возвращения согласованных образцов времени.A spike is a time sample indicating that time is off a number of seconds, and is usually received after good time samples have been returned consistently. Значение по умолчанию для членов домена равно 5.The default value on domain members is 5. Значение по умолчанию на автономных клиентах и серверах равно 5.The default value on stand-alone clients and servers is 5. |
LargePhaseOffsetLargePhaseOffset | Все версииAll versions | Указывает, что смещение времени в 10-7 секунд, которое больше этого значения или равно ему, считается пиком.Specifies that a time offset greater than or equal to this value in 10-7 seconds is considered a spike. Нарушение работы сети, например, большой объем трафика, может вызвать пиковый скачок.A network disruption such as a large amount of traffic might cause a spike. Пик будет игнорироваться, если он не будет повторяться в течение длительного периода времени.A spike will be ignored unless it persists for a long period of time. Значение по умолчанию для членов домена равно 50 000 000.The default value on domain members is 50000000. Значение по умолчанию на автономных клиентах и серверах равно 50 000 000. The default value on stand-alone clients and servers is 50000000. |
LastClockRateLastClockRate | Все версииAll versions | Поддерживается службой W32Time.Maintained by W32Time. Она содержит зарезервированные данные, используемые операционной системой Windows, и любые изменения этого параметра могут привести к непредсказуемым результатам.It contains reserved data that is used by the Windows operating system, and any changes to this setting can cause unpredictable results. Значение по умолчанию для членов домена равно 156 250.The default value on domain members is 156250. Значение по умолчанию на автономных клиентах и серверах равно 156 250.The default value on stand-alone clients and servers is 156250. |
LocalClockDispersionLocalClockDispersion | Все версииAll versions | Определяет дисперсию (в секундах), которую необходимо предположить, если единственным источником времени являются встроенные часы CMOS. Controls the dispersion (in seconds) that you must assume when the only time source is the built-in CMOS clock. Значение по умолчанию для членов домена равно 10.The default value on domain members is 10. Значение по умолчанию на автономных клиентах и серверах равно 10.The default value on stand-alone clients and servers is 10. |
MaxAllowedPhaseOffsetMaxAllowedPhaseOffset | Все версииAll versions | Указывает максимальное смещение (в секундах), в течение которого W32Time попытается настроить часы компьютера с помощью тактовой частоты.Specifies the maximum offset (in seconds) for which W32Time attempts to adjust the computer clock by using the clock rate. Если смещение превышает эту частоту, W32Time устанавливает часы компьютера напрямую.When the offset exceeds this rate, W32Time sets the computer clock directly. Значение по умолчанию для членов домена равно 300. The default value for domain members is 300. Значение по умолчанию для автономных клиентов и серверов равно 1.The default value for stand-alone clients and servers is 1. Дополнительные сведения см. в разделе Настройка службы времени Windows на сброс часов компьютера.For more information, see Configuring how Windows Time service resets the computer clock. |
MaxClockRateMaxClockRate | Все версииAll versions | Поддерживается службой W32Time.Maintained by W32Time. Она содержит зарезервированные данные, используемые операционной системой Windows, и любые изменения этого параметра могут привести к непредсказуемым результатам.It contains reserved data that is used by the Windows operating system, and any changes to this setting can cause unpredictable results. Значение по умолчанию для членов домена равно 155 860.The default value for domain members is 155860. Значение по умолчанию для автономных клиентов и серверов равно 155 860.The default value for stand-alone clients and servers is 155860. |
MaxNegPhaseCorrectionMaxNegPhaseCorrection | Все версииAll versions | Указывает самую большую отрицательную коррекцию времени в секундах, которую создает служба.Specifies the largest negative time correction, in seconds, that the service makes. Если служба определяет, что изменение больше, чем требуется, она записывает в журнал событие.If the service determines that a change larger than this is required, it logs an event instead. ПримечаниеNote Значение по умолчанию для членов домена равно 0xFFFFFFFF. The default value for domain members is 0xFFFFFFFF. Значение по умолчанию для автономных клиентов и серверов равно 54 000 (15 часов).The default value for stand-alone clients and servers is 54,000 (15 hrs). |
MaxPollIntervalMaxPollInterval | Все версииAll versions | Задает наибольший интервал в log2 секунд, допустимый для интервала опроса системы.Specifies the largest interval, in log2 seconds, allowed for the system polling interval. Обратите внимание, что хотя система должна опрашиваться в соответствии с запланированным интервалом, поставщик может отказаться от создания примеров по запросу.Note that while a system must poll according to the scheduled interval, a provider can refuse to produce samples when requested to do so. Значение по умолчанию для контроллеров домена 10.The default value for domain controllers is 10. Значение по умолчанию для членов домена равно 15. The default value for domain members is 15. Значение по умолчанию для автономных клиентов и серверов равно 15.The default value for stand-alone clients and servers is 15. |
MaxPosPhaseCorrectionMaxPosPhaseCorrection | Все версииAll versions | Указывает самую большую положительную коррекцию времени в секундах, которую создает служба.Specifies the largest positive time correction in seconds that the service makes. Если служба определяет, что изменение больше, чем требуется, она записывает в журнал событие.If the service determines that a change larger than this is required, it logs an event instead. ПримечаниеNote Значение по умолчанию для членов домена равно 0xFFFFFFFF.The default value for domain members is 0xFFFFFFFF. Значение по умолчанию для автономных клиентов и серверов равно 54 000 (15 часов).The default value for stand-alone clients and servers is 54,000 (15 hrs). |
MinClockRateMinClockRate | Все версииAll versions | Поддерживается службой W32Time.Maintained by W32Time. Она содержит зарезервированные данные, используемые операционной системой Windows, и любые изменения этого параметра могут привести к непредсказуемым результатам.It contains reserved data that is used by the Windows operating system, and any changes to this setting can cause unpredictable results. Значение по умолчанию для членов домена равно 155 860.The default value for domain members is 155860. Значение по умолчанию для автономных клиентов и серверов равно 155 860. The default value for stand-alone clients and servers is 155860. |
MinPollIntervalMinPollInterval | Все версииAll versions | Задает наименьший интервал в log2 секунд, допустимый для интервала опроса системы.Specifies the smallest interval, in log2 seconds, allowed for the system polling interval. Обратите внимание, что хотя система не запрашивает примеры чаще, поставщик может создавать образцы в любое время, кроме запланированного интервала.Note that while a system does not request samples more frequently than this, a provider can produce samples at times other than the scheduled interval. Значение по умолчанию для контроллеров домена равно 6.The default value for domain controllers is 6. Значение по умолчанию для членов домена равно 10.The default value for domain members is 10. Значение по умолчанию для автономных клиентов и серверов равно 10. The default value for stand-alone clients and servers is 10. |
PhaseCorrectRatePhaseCorrectRate | Все версииAll versions | Управляет частотой исправления ошибки этапа.Controls the rate at which the phase error is corrected. Задание небольшого значения позволяет быстро устранить ошибку этапа, но может привести к нестабильной работе часов.Specifying a small value corrects the phase error quickly, but might cause the clock to become unstable. Если значение слишком велико, то для исправления ошибки на этапе потребуется больше времени.If the value is too large, it takes a longer time to correct the phase error. Значение по умолчанию для членов домена равно 1.The default value on domain members is 1. Значение по умолчанию на автономных клиентах и серверах равно 7.The default value on stand-alone clients and servers is 7. ПримечаниеNote |
PollAdjustFactorPollAdjustFactor | Все версииAll versions | Управляет принятием решения об увеличении или уменьшении интервала опроса для системы.Controls the decision to increase or decrease the poll interval for the system. Чем больше значение, тем меньше объем ошибки, что приводит к уменьшению интервала опроса.The larger the value, the smaller the amount of error that causes the poll interval to be decreased. Значение по умолчанию для членов домена равно 5.The default value on domain members is 5. Значение по умолчанию на автономных клиентах и серверах равно 5.The default value on stand-alone clients and servers is 5. |
RequireSecureTimeSyncRequestsRequireSecureTimeSyncRequests | Windows 8 и более поздние версииWindows 8 and later versions | Определяет, будет ли контроллер домена отвечать на запросы синхронизации времени, использующие старые протоколы проверки подлинности.Controls whether or not the DC will respond to time sync requests that use older authentication protocols. Если параметр включен (имеет значение 1), контроллер домена не будет отвечать на запросы с помощью таких протоколов.If enabled (set to 1), the DC will not respond to requests using such protocols. Это логический параметр, который по умолчанию имеет значение — 0. This is a boolean setting, and the default value is 0. |
SpikeWatchPeriodSpikeWatchPeriod | Все версииAll versions | Указывает время, в течение которого должно существовать подозрительное смещение, прежде чем оно будет принято как правильное (в секундах).Specifies the amount of time that a suspicious offset must persist before it is accepted as correct (in seconds). Значение по умолчанию для членов домена равно 900.The default value on domain members is 900. Значение по умолчанию на автономных клиентах и рабочих станциях равно 900.The default value on stand-alone clients and workstations is 900. |
TimeJumpAuditOffsetTimeJumpAuditOffset | Все версииAll versions | Целое число без знака, которое указывает пороговое значение проверки скачка времени в секундах.An unsigned integer that indicates the time jump audit threshold, in seconds. Если служба времени настраивает местные часы, устанавливая их напрямую, и коррекция времени является большей за это значение, то служба времени регистрирует событие проверки.If the time service adjusts the local clock by setting the clock directly, and the time correction is more than this value, then the time service logs an audit event. |
UpdateIntervalUpdateInterval | Все версииAll versions | Указывает количество тактов часов между настройками фазовой коррекции.Specifies the number of clock ticks between phase correction adjustments. Значение по умолчанию для контроллеров домена 100.The default value for domain controllers is 100. Значение по умолчанию для членов домена равно 30 000.The default value for domain members is 30,000. Значение по умолчанию для автономных клиентов и серверов равно 360 000.The default value for stand-alone clients and servers is 360,000. ПримечаниеNote |
UtilizeSslTimeDataUtilizeSslTimeData | Версии Windows более поздние, чем версия 1511 сборки Windows 10Windows versions later than Windows 10 build 1511 | Значение 1 указывает на то, что W32Time будет использовать несколько временных меток SSL для присвоения начального значения часам, которые являются совершенно неточными. Value of 1 indicates that W32Time uses multiple SSL timestamps to Seed a clock that is grossly inaccurate. |
Записи подраздела HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Parameters»HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Parameters» subkey entries
Запись реестраRegistry entry | ВерсииVersions | ОписаниеDescription |
---|---|---|
AllowNonstandardModeCombinationsAllowNonstandardModeCombinations | Все версииAll versions | Указывает, что в синхронизации между одноранговыми узлами разрешены нестандартные сочетания режимов.Indicates that non-standard mode combinations are allowed in synchronization between peers. Значение по умолчанию для членов домена равно 1.The default value for domain members is 1. Значение по умолчанию для автономных клиентов и серверов равно 1.The default value for stand-alone clients and servers is 1. |
NtpServerNtpServer | Все версииAll versions | Указывает разделенный пробелами список одноранговых узлов, из которых компьютер получает отметки времени, состоящие из одного или нескольких DNS-имен или IP-адресов в строке.Specifies a space-delimited list of peers from which a computer obtains time stamps, consisting of one or more DNS names or IP addresses per line. Каждое из указанных DNS-имен или IP-адресов должно быть уникальным.Each DNS name or IP address listed must be unique. Подключенные к домену компьютеры должны синхронизироваться с более надежным источником времени, таким как официальная часовая шкала США.Computers connected to a domain must synchronize with a more reliable time source, such as the official U.S. time clock.
Значение по умолчанию для этой записи реестра членов домена отсутствует.There is no default value for this registry entry on domain members. По умолчанию на автономных клиентах и серверах используется значение time.windows.com,0x1.The default value on stand-alone clients and servers is time.windows.com,0x1. |
ServiceDllServiceDll | Все версииAll versions | Поддерживается службой W32Time.Maintained by W32Time. Она содержит зарезервированные данные, используемые операционной системой Windows, и любые изменения этого параметра могут привести к непредсказуемым результатам.It contains reserved data that is used by the Windows operating system, and any changes to this setting can cause unpredictable results. Расположение по умолчанию для этой DLL как для членов домена, так и для автономных клиентов и серверов — %windir%\System32\W32Time.dll.The default location for this DLL on both domain members and stand-alone clients and servers is %windir%\System32\W32Time.dll. |
ServiceMainServiceMain | Все версииAll versions | Поддерживается службой W32Time.Maintained by W32Time. Она содержит зарезервированные данные, используемые операционной системой Windows, и любые изменения этого параметра могут привести к непредсказуемым результатам.It contains reserved data that is used by the Windows operating system, and any changes to this setting can cause unpredictable results. Значение по умолчанию для членов домена — SvchostEntry_W32Time.The default value on domain members is SvchostEntry_W32Time. Значение по умолчанию на автономных клиентах и серверах — SvchostEntry_W32Time.The default value on stand-alone clients and servers is SvchostEntry_W32Time. |
TypeType | Все версииAll versions | Указывает, от каких одноранговых узлов следует принимать синхронизацию:Indicates which peers to accept synchronization from:
|
Записи подраздела HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient»HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient» subkey entries
Запись реестраRegistry entry | ВерсияVersion | ОписаниеDescription |
---|---|---|
AllowNonstandardModeCombinationsAllowNonstandardModeCombinations | Все версииAll versions | Указывает, что в синхронизации между одноранговыми узлами разрешены нестандартные сочетания режимов.Indicates that non-standard mode combinations are allowed in synchronization between peers. Значение по умолчанию для членов домена равно 1. The default value for domain members is 1. Значение по умолчанию для автономных клиентов и серверов равно 1.The default value for stand-alone clients and servers is 1. |
CompatibilityFlagsCompatibilityFlags | Все версииAll versions | Задает следующие флаги и значения совместимости:Specifies the following compatibility flags and values:
|
CrossSiteSyncFlagsCrossSiteSyncFlags | Все версииAll versions | Определяет, выбирает ли служба участников синхронизации за пределами домена компьютера.Determines whether the service chooses synchronization partners outside the domain of the computer. Параметры и значения:The options and values are:
|
DllNameDllName | Все версииAll versions | Указывает расположение библиотеки DLL для поставщика времени.Specifies the location of the DLL for the time provider. Расположение по умолчанию для этой DLL как для членов домена, так и для автономных клиентов и серверов — %windir%\System32\W32Time.dll.The default location for this DLL on both domain members and stand-alone clients and servers is %windir%\System32\W32Time.dll. |
ВключенEnabled | Все версииAll versions | Указывает, включен ли поставщик NtpClient в текущей службе времени.Indicates if the NtpClient provider is enabled in the current Time Service.
|
EventLogFlagsEventLogFlags | Все версииAll versions | Указывает события, регистрируемые службой времени Windows.Specifies the events logged by the Windows Time service.
|
InputProviderInputProvider | Все версииAll versions | Указывает, следует ли включить NtpClient в качестве InputProvider, который получает сведения о времени от NtpServer.Indicates whether to enable the NtpClient as an InputProvider, which obtains time information from the NtpServer. NTP-сервер является сервером времени, который отвечает на запросы времени клиента по сети, возвращая полезные для синхронизации локальных часов образцы времени.The NtpServer is a time server that responds to client time requests on the network by returning time samples that are useful for synchronizing the local clock.
|
LargeSampleSkewLargeSampleSkew | Все версииAll versions | Указывает большое отклонение примера для ведения журнала в секундах.Specifies the large sample skew for logging, in seconds. Для соответствия спецификациям Комиссии по ценным бумагам и биржам (SEC), это значение должно быть равно трем секундам.To comply with Security and Exchange Commission (SEC) specifications, this should be set to three seconds. События будут регистрироваться для этого параметра только в том случае, если для EventLogFlags настроено большое отклонение примера 0x2.Events will be logged for this setting only when EventLogFlags is explicitly configured for 0x2 large sample skew. Значение по умолчанию для членов домена равно 3.The default value on domain members is 3. Значение по умолчанию на автономных клиентах и серверах равно 3.The default value on stand-alone clients and servers is 3. |
ResolvePeerBackOffMaxTimesResolvePeerBackOffMaxTimes | Все версииAll versions | Указывает максимальное количество раз, после которых интервал ожидания будет удвоен при многократных попытках найти одноранговый узел для синхронизации, которые завершились ошибкой.Specifies the maximum number of times to double the wait interval when repeated attempts to locate a peer to synchronize with fail. Нулевое значение означает, что интервал ожидания всегда является минимальным.A value of zero means that the wait interval is always the minimum. Значение по умолчанию для членов домена равно 7.The default value on domain members is 7. Значение по умолчанию на автономных клиентах и серверах равно 7.The default value on stand-alone clients and servers is 7. |
ResolvePeerBackoffMinutesResolvePeerBackoffMinutes | Все версииAll versions | Указывает начальный интервал ожидания (в минутах) перед попыткой нахождения однорангового узла для синхронизации. Specifies the initial interval to wait, in minutes, before attempting to locate a peer to synchronize with. Значение по умолчанию для членов домена равно 15.The default value on domain members is 15. Значение по умолчанию на автономных клиентах и серверах равно 15.The default value on stand-alone clients and servers is 15. |
SpecialPollIntervalSpecialPollInterval | Все версииAll versions | Указывает специальный интервал опроса в секундах для одноранговых узлов, настроенных вручную.Specifies the special poll interval, in seconds, for manual peers. Если включен флаг 0x1 SpecialInterval, служба W32Time использует этот интервал опроса вместо интервала опроса, определяемого операционной системой.When the SpecialInterval 0x1 flag is enabled, W32Time uses this poll interval instead of a poll interval determined by the operating system. Значение по умолчанию для членов домена равно 3 600.The default value on domain members is 3,600. Значение по умолчанию на автономных клиентах и серверах равно 604 800.The default value on stand-alone clients and servers is 604,800. Новые параметры для сборки 1703 SpecialPollInterval содержатся в значениях конфигурации реестра MinPollInterval и MaxPollInterval.New for build 1703, SpecialPollInterval is contained by the MinPollInterval and MaxPollInterval Config registry values. |
SpecialPollTimeRemainingSpecialPollTimeRemaining | Все версииAll versions | Поддерживается службой W32Time.Maintained by W32Time. Она содержит зарезервированные данные, используемые операционной системой Windows.It contains reserved data that is used by the Windows operating system. В ней указывается время в секундах, по истечении которого служба W32Time будет повторно синхронизироваться после перезагрузки компьютера.It specifies the time, in seconds, before W32Time will resynchronize after the computer has restarted. Любые изменения этого параметра могут привести к непредсказуемым результатам.Any changes to this setting can cause unpredictable results. Значение по умолчанию для обоих членов домена, а также для изолированных клиентов и серверов остается пустым.The default value on both domain members and on stand-alone clients and servers is left blank. |
Записи подраздела HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer»HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer» subkey entries
Запись реестраRegistry Entry | ВерсииVersions | ОписаниеDescription |
---|---|---|
AllowNonstandardModeCombinationsAllowNonstandardModeCombinations | Все версииAll versions | Указывает, что в синхронизации между клиентами и серверами разрешены нестандартные сочетания режимов. Indicates that non-standard mode combinations are allowed in synchronization between clients and servers. Значение по умолчанию для членов домена равно 1.The default value for domain members is 1. Значение по умолчанию для автономных клиентов и серверов равно 1.The default value for stand-alone clients and servers is 1. |
DllNameDllName | Все версииAll versions | Указывает расположение библиотеки DLL для поставщика времени.Specifies the location of the DLL for the time provider. Расположение по умолчанию для этой DLL как для членов домена, так и для автономных клиентов и серверов — %windir%\System32\W32Time.dll.The default location for this DLL on both domain members and stand-alone clients and servers is %windir%\System32\W32Time.dll. |
ВключенEnabled | Все версииAll versions | Указывает, включен ли поставщик NtpServer в текущей службе времени. Indicates if the NtpServer provider is enabled in the current Time Service.
|
InputProviderInputProvider | Все версииAll versions | Указывает, следует ли включить NtpClient в качестве InputProvider, который получает сведения о времени от NtpServer.Indicates whether to enable the NtpClient as an InputProvider, which obtains time information from the NtpServer. NTP-сервер является сервером времени, который отвечает на запросы времени клиента по сети, возвращая полезные для синхронизации локальных часов образцы времени.The NtpServer is a time server that responds to client time requests on the network by returning time samples that are useful for synchronizing the local clock.
|
Справочные материалы. Предварительно заданные значения параметров объекта групповой политики службы времени WindowsReference: Pre-set values for the Windows Time service GPO settings
В следующей таблице перечислены глобальные параметры групповой политики, связанные со службой времени Windows, и предварительно заданное значение, связанное с каждым параметром.The following table lists the global Group Policy settings that are associated with the Windows Time service and the pre-set value associated with each setting. Дополнительные сведения о каждом параметре см. в соответствующих записях реестра в разделе Справочные материалы. Записи реестра службы времени Windows ранее в этой статье.For more information about each setting, see the corresponding registry entries in Reference: Windows Time service registry entries earlier in this article. Следующие параметры содержатся в одном объекте групповой политики, который называется Глобальные параметры конфигурации.The following settings are contained in a single GPO called Global Configuration Settings.
Предварительно заданные значения для параметров «Глобальная групповая политика»Pre-set values for «Global Group Policy» settings
Параметр групповой политикиGroup Policy setting | Предварительно заданное значениеPre-set value |
---|---|
AnnounceFlagsAnnounceFlags | 1010 |
EventLogFlagsEventLogFlags | 22 |
FrequencyCorrectRateFrequencyCorrectRate | 44 |
HoldPeriodHoldPeriod | 55 |
LargePhaseOffsetLargePhaseOffset | 1 280 0001,280,000 |
LocalClockDispersionLocalClockDispersion | 1010 |
MaxAllowedPhaseOffsetMaxAllowedPhaseOffset | 300300 |
MaxNegPhaseCorrectionMaxNegPhaseCorrection | 54 000 (15 часов)54,000 (15 hours) |
MaxPollIntervalMaxPollInterval | 1515 |
MaxPosPhaseCorrectionMaxPosPhaseCorrection | 54 000 (15 часов)54,000 (15 hours) |
MinPollIntervalMinPollInterval | 1010 |
PhaseCorrectRatePhaseCorrectRate | 77 |
PollAdjustFactorPollAdjustFactor | 55 |
SpikeWatchPeriodSpikeWatchPeriod | 9090 |
UpdateIntervalUpdateInterval | 100100 |
Предварительно заданные значения параметров «Настроить NTP-клиент Windows»Pre-set values for «Configure Windows NTP Client» settings
В следующей таблице перечислены доступные параметры для Настройки объекта групповой политики NTP-клиента Windows и предварительно заданные значения, связанные со службой времени Windows. The following table lists the available settings for the Configure Windows NTP Client GPO and the pre-set values that are associated with the Windows Time service. Дополнительные сведения о каждом параметре см. в соответствующих записях реестра в разделе Справочные материалы. Записи реестра службы времени Windows ранее в этой статье.For more information about each setting, see the corresponding registry entries in Reference: Windows Time service registry entries earlier in this article.
Параметр групповой политикиGroup Policy setting | Предварительно заданное значениеPre-set value |
---|---|
NtpServerNtpServer | time.windows.com, 0x1.time.windows.com, 0x1 |
TypeType | Параметры по умолчанию:Default options:
|
CrossSiteSyncFlagsCrossSiteSyncFlags | 22 |
ResolvePeerBackoffMinutesResolvePeerBackoffMinutes | 1515 |
ResolvePeerBackoffMaxTimesResolvePeerBackoffMaxTimes | 77 |
SpecialPollIntervalSpecialPollInterval | 3 6003,600 |
EventLogFlagsEventLogFlags | 0;0 |
Справочные материалы. Сетевые порты, используемые службой времени WindowsReference: Network ports that the Windows Time service uses
Служба времени Windows соответствует спецификации NTP, которая требует использования UDP-порта 123 для постоянной синхронизации связи. Windows Time follows the NTP specification, which requires the use of UDP port 123 for all time synchronization communication. Этот порт зарезервирован службой времени Windows и остается зарезервированным на все время.This port is reserved by Windows Time and remains reserved at all times. Всякий раз, когда компьютер синхронизирует свои часы или предоставляет время другому компьютеру, эта связь осуществляется через UDP-порт 123.Whenever the computer synchronizes its clock or provides time to another computer, that communication is performed on UDP port 123.
Примечание
При наличии компьютера с несколькими сетевыми адаптерами (также называемый многосетевым компьютером) вы не сможете выборочно включить службу времени Windows на основе сетевого адаптера.If you have a computer that has multiple network adapters (also called a multihomed computer), you cannot selectively enable the Windows Time service based on the network adapter.
Следующие ресурсы содержат дополнительные сведения, относящиеся к этому разделу. The following resources contain additional information that is relevant to this section.
- Документ RFC 1305 в базе данных RFC IETFRFC 1305 in the IETF RFC Database
Принцип работы службы времени Windows
- Чтение занимает 21 мин
В этой статье
Применяется к: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows 10 или более поздних версийApplies to: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows 10 or later
Содержание разделаIn this section
Примечание
В этом разделе объясняется работа службы времени Windows (W32Time). This topic explains only how the Windows Time service (W32Time) works. Сведения о настройке службы времени Windows см. в статье Configuring Systems for High Accuracy (Настройка систем для обеспечения высокой точности).For information about how to configure Windows Time service, see Configuring Systems for High Accuracy.
Примечание
В Windows Server 2003 и Microsoft Windows 2000 Server служба каталогов называется «служба каталогов Active Directory»In Windows Server 2003 and Microsoft Windows 2000 Server, the directory service is named Active Directory directory service. В Windows Server 2008 и более поздних версиях служба каталогов называлась «Доменные службы Active Directory» (AD DS).In Windows Server 2008 and later versions, the directory service is named Active Directory Domain Services (AD DS). Остальная часть этой статьи относится к AD DS, но эти сведения применимы также и к Active Directory.The rest of this topic refers to AD DS, but the information is also applicable to Active Directory.
Хотя служба времени Windows не является точной реализацией протокола сетевого времени (NTP), она использует комплексный набор алгоритмов, определенных в спецификациях NTP, чтобы гарантировать максимальную точность часов на компьютерах в сети.Although the Windows Time service is not an exact implementation of the Network Time Protocol (NTP), it uses the complex suite of algorithms that is defined in the NTP specifications to ensure that clocks on computers throughout a network are as accurate as possible. В идеале все часы на компьютерах в домене AD DS синхронизируются со временем полномочного компьютера.Ideally, all computer clocks in an AD DS domain are synchronized with the time of an authoritative computer. На синхронизацию времени в сети могут повлиять многие факторы.Many factors can affect time synchronization on a network. На точность синхронизации в AD DS часто влияют следующие факторы:The following factors often affect the accuracy of synchronization in AD DS:
условия сети;Network conditions
точность аппаратных часов компьютера;The accuracy of the computer’s hardware clock
объем ресурсов ЦП и сети, доступных службе времени Windows. The amount of CPU and network resources available to the Windows Time service
Важно!
До Windows Server 2016 служба W32Time не предназначалась для поддержки зависящих от времени потребностей приложений.Prior to Windows Server 2016, the W32Time service was not designed to meet time-sensitive application needs. Не теперь обновления Windows Server 2016 позволяют реализовать в домене решение с точностью 1 мс.However, updates to Windows Server 2016 now allow you to implement a solution for 1ms accuracy in your domain. Дополнительные сведения см. в статьях Windows 2016 Accurate Time (Точное время для Windows Server 2016) и Support boundary for high-accuracy time (Граница области поддержки для сверхточного времени).See Windows 2016 Accurate Time and Support boundary to configure the Windows Time service for high-accuracy environments for more information.
Не подключенные к домену компьютеры, или компьютеры, которые реже синхронизируют свое время, по умолчанию настроены на синхронизацию с time. windows.com.Computers that synchronize their time less frequently or are not joined to a domain are configured, by default, to synchronize with time.windows.com. Таким образом невозможно гарантировать точность времени на компьютерах, сетевые соединения которых отсутствуют или прерываются.Therefore, it is impossible to guarantee time accuracy on computers that have intermittent or no network connections.
Лес AD DS имеет предварительно определенную иерархию синхронизации времени.An AD DS forest has a predetermined time synchronization hierarchy. Служба Windows Time синхронизирует время между компьютерами в иерархии, в верхней части которой находятся наиболее точные эталонные часы.The Windows Time service synchronizes time between computers within the hierarchy, with the most accurate reference clocks at the top. Если на компьютере настроено более одного источника времени, Служба времени Windows использует алгоритмы NTP для выбора наилучшего из настроенных источников времени, на основе способности компьютера синхронизироваться с этим источником времени. If more than one time source is configured on a computer, Windows Time uses NTP algorithms to select the best time source from the configured sources based on the computer’s ability to synchronize with that time source. Служба времени Windows не поддерживает сетевую синхронизацию из широковещательных или многоадресных узлов.The Windows Time service does not support network synchronization from broadcast or multicast peers. Дополнительные сведения об этих функциях NTP см. в документе RFC 1305 в базе данных RFC IETF.For more information about these NTP features, see RFC 1305 in the IETF RFC Database.
Каждый компьютер, на котором работает Служба времени Windows, использует службу для поддержания наиболее точного времени.Every computer that is running the Windows Time service uses the service to maintain the most accurate time. Компьютеры, являющиеся членами домена, выступают в качестве клиента времени по умолчанию, поэтому в большинстве случаев настраивать Службу времени Windows не нужно. Computers that are members of a domain act as a time client by default, therefore, in most cases it is not necessary to configure the Windows Time Service. Однако Службу времени Windows можно настроить на выполнения запроса о времени из назначенного источника времени, кроме того служба также может предоставить время клиентам.However, the Windows Time Service can be configured to request time from a designated reference time source, and can also provide time to clients.
Степень точности времени компьютера называется страта.The degree to which a computer’s time is accurate is called a stratum. Наиболее точный источник времени в сети (например, аппаратные часы) занимает самый низкий уровень страты или страта один.The most accurate time source on a network (such as a hardware clock) occupies the lowest stratum level, or stratum one. Этот точный источник времени называется эталонными часами.This accurate time source is called a reference clock. Сервер NTP, который получает время непосредственно от эталонных часов, занимает страта, который находится на один уровень выше уровня эталонных часов. An NTP server that acquires its time directly from a reference clock occupies a stratum that is one level higher than that of the reference clock. Ресурсы, которые получают время от сервера NTP, находятся в двух шагах от эталонных часов, и поэтому занимают страту, на два пункта выше, чем самый точный источник времени, и т. д.Resources that acquire time from the NTP server are two steps away from the reference clock, and therefore occupy a stratum that is two higher than the most accurate time source, and so on. По мере увеличения числа страта пользователей компьютера, время на его системных часах может становиться менее точным.As a computer’s stratum number increases, the time on its system clock may become less accurate. Таким образом, уровень страты любого компьютера является показателем того, насколько тесно этот компьютер синхронизирован с наиболее точным источником времени.Therefore, the stratum level of any computer is an indicator of how closely that computer is synchronized with the most accurate time source.
При получении образцов времени диспетчер W32Time использует специальные алгоритмы в NTP, чтобы определить, какие из образцов времени наиболее подходят для использования.When the W32Time Manager receives time samples, it uses special algorithms in NTP to determine which of the time samples is the most appropriate for use. Служба времени также использует другой набор алгоритмов, чтобы определить, какой из настроенных источников времени является наиболее точным.The time service also uses another set of algorithms to determine which of the configured time sources is the most accurate. После определения наилучшего образца времени служба времени корректирует тактовою частоту местных часов, основываясь на приведенных выше условиях, чтобы позволить выполнение согласования в нужное время.When the time service has determined which time sample is best, based on the above criteria, it adjusts the local clock rate to allow it to converge toward the correct time. Если разница во времени между образцами местных часов и выбранного точного времени (также называемая «неравномерное распределение времени») слишком велика и ее нельзя скорректировать с помощью местной тактовой частоты, служба времени устанавливает местные часы на правильное время. If the time difference between the local clock and the selected accurate time sample (also called the time skew) is too large to correct by adjusting the local clock rate, the time service sets the local clock to the correct time. Эта корректировка тактовой частоты или непосредственного времени часов называется «правила работы с часами».This adjustment of clock rate or direct clock time change is known as clock discipline.
Архитектура службы времени WindowsWindows Time Service Architecture
Служба времени Windows состоит из следующих компонентов:The Windows Time service consists of the following components:
Диспетчер службService Control Manager
Диспетчер Службы времени WindowsWindows Time Service Manager
Правила работы с часамиClock Discipline
Поставщики времениTime providers
На следующем рисунке показана архитектура Службы времени Windows.The following figure shows the architecture of the Windows Time service.
Архитектура Службы времени WindowsWindows Time Service Architecture
Диспетчер служб отвечает за запуск и остановку Службы времени Windows.The Service Control Manager is responsible for starting and stopping the Windows Time service. Диспетчер служб Службы времени Windows отвечает за запуск действий поставщиков времени NTP, включенных в операционную систему.The Windows Time Service Manager is responsible for initiating the action of the NTP time providers included with the operating system. Диспетчер служб Службы времени Windows управляет всеми функциями Службы времени Windows и объединением всех образцов времени.The Windows Time Service Manager controls all functions of the Windows Time service and the coalescing of all time samples. Помимо предоставления информации о текущем состоянии системы, например, об текущем источнике времени или о последнем обновлении системных часов, диспетчер служб Службы времени Windows также отвечает за создание событий в журнале событий. In addition to providing information about the current system state, such as the current time source or the last time the system clock was updated, the Windows Time Service Manager is also responsible for creating events in the event log.
Процесс синхронизации времени состоит из следующих этапов.The time synchronization process involves the following steps:
Поставщики входных данных запрашивают и получают образцы времени из настроенных источников времени NTP.Input providers request and receive time samples from configured NTP time sources.
Эти примеры затем передаются в диспетчер служб Службы времени Windows, который собирает все образцы и передает их подкомпоненту «правила работы с часами».These time samples are then passed to the Windows Time Service Manager, which collects all the samples and passes them to the clock discipline subcomponent.
Подкомпонент «правила работы с часами» применяет алгоритмы NTP, которые приводят к выбору лучшего образца времени. The clock discipline subcomponent applies the NTP algorithms which results in the selection of the best time sample.
Подкомпонент «правила работы с часами» корректирует время системных часов до наиболее точного времени, изменяя тактовою частоту или непосредственно время.The clock discipline subcomponent adjusts the time of the system clock to the most accurate time by either adjusting the clock rate or directly changing the time.
Если компьютер назначен сервером времени, он может отправить время на любой компьютер, запрашивающий синхронизацию времени в любой момент этого процесса.If a computer has been designated as a time server, it can send the time on to any computer requesting time synchronization at any point in this process.
Протоколы времени для службы времени WindowsWindows Time Service Time Protocols
Протоколы времени определяют, насколько точно синхронизируются часы двух компьютеров.Time protocols determine how closely two computers’ clocks are synchronized. Протокол времени отвечает за определение наилучшей доступной информации о времени и синхронизацию часов, чтобы гарантировать, что в отдельных системах будет поддерживаться согласованное время.A time protocol is responsible for determining the best available time information and converging the clocks to ensure that a consistent time is maintained on separate systems.
Служба времени Windows использует протокол NTP для синхронизации времени по сети.The Windows Time service uses the Network Time Protocol (NTP) to help synchronize time across a network. NTP — это протокол времени в Интернете, включающий алгоритмы правил работы, необходимые для синхронизации часов.NTP is an Internet time protocol that includes the discipline algorithms necessary for synchronizing clocks. NTP является более точным протоколом времени, чем Simple Network Time Protocol (SNTP), который используется в некоторых версиях Windows; однако W32Time продолжает поддерживать SNTP для обеспечения обратной совместимости с компьютерами, на которых работают службы времени на основе SNTP, такие как Windows 2000. NTP is a more accurate time protocol than the Simple Network Time Protocol (SNTP) that is used in some versions of Windows; however W32Time continues to support SNTP to enable backward compatibility with computers running SNTP-based time services, such as Windows 2000.
Протокол сетевого времениNetwork Time Protocol
Протокол сетевого времени (NTP) — это стандартный протокол синхронизации времени, используемый Службой времени Windows в операционной системе.Network Time Protocol (NTP) is the default time synchronization protocol used by the Windows Time service in the operating system. NTP — это отказоустойчивый и высокомасштабируемый протокол времени, который чаще всего используется для синхронизации компьютерных часов с помощью указанной привязки времени.NTP is a fault-tolerant, highly scalable time protocol and is the protocol used most often for synchronizing computer clocks by using a designated time reference.
Синхронизация времени NTP происходит в течение определенного периода времени и включает в себя передачу пакетов NTP по сети. NTP time synchronization takes place over a period of time and involves the transfer of NTP packets over a network. Пакеты NTP содержат метки времени, которые включают образец времени как от клиента, так и от сервера, участвующих в синхронизации времени.NTP packets contain time stamps that include a time sample from both the client and the server participating in time synchronization.
NTP полагается на эталонные часы для определения наиболее точного времени и синхронизирует все часы в сети относительно этих эталонных часов.NTP relies on a reference clock to define the most accurate time to be used and synchronizes all clocks on a network to that reference clock. NTP использует время в формате UTC в качестве универсального стандарта для текущего времени.NTP uses Coordinated Universal Time (UTC) as the universal standard for current time. UTC не зависит от часовых поясов и позволяет использовать NTP в любой точке мира независимо от настроек часового пояса.UTC is independent of time zones and enables NTP to be used anywhere in the world regardless of time zone settings.
Алгоритм NTPNTP Algorithms
NTP включает два алгоритма: алгоритм фильтрации по часам и алгоритм выбора часов, которые используются для помощи Службе времени Windows при определении наилучшего образца времени.NTP includes two algorithms, a clock-filtering algorithm and a clock-selection algorithm, to assist the Windows Time service in determining the best time sample. Алгоритм фильтрации времени предназначен для просеивания образцов времени, полученных из источников времени, к которым выполнялся запрос, и определения лучших образцов времени из каждого источника.The clock-filtering algorithm is designed to sift through time samples that are received from queried time sources and determine the best time samples from each source. Затем алгоритм выбора часов определяет наиболее точный сервер времени в сети.The clock-selection algorithm then determines the most accurate time server on the network. Затем эта информация передается алгоритму правил работы с временем, который использует собранную информацию для исправления локальных часов компьютера, компенсируя при этом ошибки, вызванные задержкой сети и неточностью компьютерных часов. This information is then passed to the clock discipline algorithm, which uses the information gathered to correct the local clock of the computer, while compensating for errors due to network latency and computer clock inaccuracy.
Алгоритмы NTP наиболее точны при низкой и умеренной нагрузке сети и сервера.The NTP algorithms are most accurate under conditions of light-to-moderate network and server loads. Как и любой другой алгоритм, учитывающий время прохождения сети, алгоритмы NTP могут плохо работать в условиях сильной перегрузки сети.As with any algorithm that takes network transit time into account, NTP algorithms might perform poorly under conditions of extreme network congestion. Дополнительные сведения об алгоритмах NTP см. в документе RFC 1305 в базе данных RFC IETF.For more information about the NTP algorithms, see RFC 1305 in the IETF RFC Database.
Поставщик времени NTPNTP Time Provider
Служба времени Windows — это полный пакет синхронизации времени, который может поддерживать различные аппаратные устройства и протоколы времени. The Windows Time service is a complete time synchronization package that can support a variety of hardware devices and time protocols. Для включения этой поддержки сервис использует подключаемые поставщики времени.To enable this support, the service uses pluggable time providers. Поставщик времени отвечает за получение точных меток времени (от сети или оборудования) или предоставление этих меток времени другим компьютерам в сети.A time provider is responsible for either obtaining accurate time stamps (from the network or from hardware) or for providing those time stamps to other computers over the network.
Поставщик NTP является стандартным поставщиком времени, включенным в операционную систему.The NTP provider is the standard time provider included with the operating system. Поставщик NTP соответствует стандартам, указанным в NTP версии 3 для клиента и сервера, и может взаимодействовать с клиентами и серверами SNTP для обеспечения обратной совместимости с Windows 2000 и другими клиентами SNTP. The NTP provider follows the standards specified by NTP version 3 for a client and server, and can interact with SNTP clients and servers for backward compatibility with Windows 2000 and other SNTP clients. Поставщик NTP в Службе времени Windows состоит из следующих двух частей.The NTP provider in the Windows Time service consists of the following two parts:
Поставщик выходных данных NtpServer.NtpServer output provider. Это сервер времени, который отвечает на запросы времени клиента в сети.This is a time server that responds to client time requests on the network.
Поставщик выходных данных NtpClient.NtpClient input provider. Это клиент времени, который получает сведения о времени из другого источника, либо от аппаратного устройства, либо от сервера NTP, и может возвращать образцы времени, полезные для синхронизации локальных часов.This is a time client that obtains time information from another source, either a hardware device or an NTP server, and can return time samples that are useful for synchronizing the local clock.
Хотя фактические операции этих двух поставщиков тесно связаны, они отображаются независимо от службы времени.Although the actual operations of these two providers are closely related, they appear independent to the time service. Начиная с Windows 2000 Server, где есть подключение компьютера Windows к сети, он настраивается как NTP-клиент.Starting with Windows 2000 Server, when a Windows computer is connected to a network, it is configured as an NTP client. Кроме того, компьютеры, на которых запущена Служба времени Windows, по умолчанию пытаются синхронизировать время только с контроллером домена или вручную указанным источником времени.Also, computers running the Windows Time service only attempt to synchronize time with a domain controller or a manually specified time source by default. Это предпочтительные поставщики времени, потому что они доступны автоматически и защищают источники времени.These are the preferred time providers because they are automatically available, secure sources of time.
Безопасность NTPNTP Security
В лесу AD DS Служба времени Windows использует стандартные функции безопасности домена для обеспечения проверки подлинности данных времени.Within an AD DS forest, the Windows Time service relies on standard domain security features to enforce the authentication of time data. Безопасность пакетов NTP, отправляемых между компьютером–членом домена и контроллером локального домена, который действует в качестве сервера времени, основана на аутентификации по общему ключу.The security of NTP packets that are sent between a domain member computer and a local domain controller that is acting as a time server is based on shared key authentication. Служба времени Windows использует ключ сеанса Kerberos компьютера для создания подписей с проверкой подлинности в пакетах NTP, отправляемых по сети.The Windows Time service uses the computer’s Kerberos session key to create authenticated signatures on NTP packets that are sent across the network. Пакеты NTP не передаются в безопасном канале сетевого входа в систему. NTP packets are not transmitted inside the Net Logon secure channel. Вместо этого, когда компьютер запрашивает время у контроллера домена в иерархии домена, Служба времени Windows требует аутентификации времени.Instead, when a computer requests the time from a domain controller in the domain hierarchy, the Windows Time service requires that the time be authenticated. Затем контроллер домена возвращает необходимые сведения в формате 64-разрядного значения, которое прошло проверку подлинности с помощью ключа сеанса из службы сетевого входа в систему.The domain controller then returns the required information in the form of a 64-bit value that has been authenticated with the session key from the Net Logon service. Если возвращенный пакет NTP не подписан с помощью ключа сеанса компьютера или подписан неправильно — время отклоняется.If the returned NTP packet is not signed with the computer’s session key or is signed incorrectly, the time is rejected. Все такие ошибки проверки подлинности регистрируются в журнале событий. All such authentication failures are logged in the Event Log. Таким образом Служба времени Windows обеспечивает безопасность данных NTP в лесу AD DS.In this way, the Windows Time service provides security for NTP data in an AD DS forest.
Как правило, клиенты Службы времени Windows автоматически получают точное время для синхронизации с контроллеров домена в том же домене.Generally, Windows time clients automatically obtain accurate time for synchronization from domain controllers in the same domain. В лесу контроллеры дочернего домена синхронизируют время с контроллерами в родительских доменах.In a forest, the domain controllers of a child domain synchronize time with domain controllers in their parent domains. Когда сервер времени возвращает прошедший проверку подлинности пакет NTP на клиент, который запрашивает время, пакет подписывается с помощью ключа сеанса Kerberos, определенного учетной записью междоменного доверия.When a time server returns an authenticated NTP packet to a client that requests the time, the packet is signed by means of a Kerberos session key defined by an interdomain trust account. Учетная запись междоменного доверия создается, когда новый домен AD DS присоединяется к лесу, а служба сетевого входа в систему управляет ключом сеанса.The interdomain trust account is created when a new AD DS domain joins a forest, and the Net Logon service manages the session key. Таким образом, контроллер домена, настроенный как надежный в корневом домене леса, становится аутентифицированным источником времени для всех контроллеров домена, как в родительском, так и в дочернем домене, и косвенно для всех компьютеров, расположенных в дереве доменов.In this way, the domain controller that is configured as reliable in the forest root domain becomes the authenticated time source for all of the domain controllers in both the parent and child domains, and indirectly for all computers located in the domain tree.
Службу времени Windows можно настроить на работу между лесами, однако эта конфигурация не защищена.The Windows Time service can be configured to work between forests, but it is important to note that this configuration is not secure. Например, NTP-сервер может быть доступен в другом лесу.For example, an NTP server might be available in a different forest. Однако, поскольку этот компьютер находится в другом лесу, ключ сеанса Kerberos для подписывания и проверки подлинности пакетов NTP отсутствует.However, because that computer is in a different forest, there is no Kerberos session key with which to sign and authenticate NTP packets. Для получения точной синхронизации времени с компьютера в другом лесу клиенту нужен сетевой доступ к этому компьютеру, а служба времени должна быть настроена на использование определенного источника времени, расположенного в другом лесу.To obtain accurate time synchronization from a computer in a different forest, the client needs network access to that computer and the time service must be configured to use a specific time source located in the other forest. Если клиент вручную настроен на доступ к времени с NTP-сервера за пределами собственной доменной иерархии, то пакеты NTP, передаваемые между клиентом и сервером времени, не проходят проверку подлинности и, следовательно, не являются безопасными. If a client is manually configured to access time from an NTP server outside of its own domain hierarchy, the NTP packets sent between the client and the time server are not authenticated, and therefore are not secure. Несмотря на реализацию доверия лесов, Служба времени Windows не защищена между лесами.Even with the implementation of forest trusts, the Windows Time service is not secure across forests. Хотя безопасный канал сетевого входа в систему является механизмом проверки подлинности для Службы времени Windows, проверка подлинности в лесах не поддерживается.Although the Net Logon secure channel is the authentication mechanism for the Windows Time service, authentication across forests is not supported.
Аппаратные устройства, поддерживаемые Службой времени WindowsHardware Devices That Are Supported by the Windows Time Service
Часы на основе оборудования, такие как GPS или радиочасы, часто используются в качестве устройств с высокоточными эталонными часами.Hardware-based clocks such as GPS or radio clocks are often used as highly accurate reference clock devices. По умолчанию поставщик времени NTP Службы времени Windows не поддерживает прямое подключение аппаратного устройства к компьютеру, однако вы можете создать программный независимый поставщик времени, поддерживающий этот тип подключения.By default, the Windows Time service NTP time provider does not support the direct connection of a hardware device to a computer, although it is possible to create a software-based independent time provider that supports this type of connection. Этот тип поставщика, в сочетании со Службой времени Windows, может обеспечить надежную и стабильную привязку по времени.This type of provider, in conjunction with the Windows Time service, can provide a reliable, stable time reference.
Аппаратные устройства, такие как цезиевые часы или приемник GPS, обеспечивают точное текущее время, следуя стандарту для получения точного определения времени.Hardware devices, such as a cesium clock or a Global Positioning System (GPS) receiver, provide accurate current time by following a standard to obtain an accurate definition of time. Цезиевые часы чрезвычайно стабильны и не подвержены влиянию таких факторов, как температура, давление или влажность, но в то же время очень дорого стоят.Cesium clocks are extremely stable and are unaffected by factors such as temperature, pressure, or humidity, but are also very expensive. Приемник GPS намного дешевле в эксплуатации, а также является точными эталонными часами.A GPS receiver is much less expensive to operate and is also an accurate reference clock. Приемники GPS получают время со спутников, которым время предоставляют цезиевые часы.GPS receivers obtain their time from satellites that obtain their time from a cesium clock. Серверы времени Windows могут получать время, не используя независимый поставщик времени, подключившись к внешнему NTP-серверу, который подключен к аппаратному устройству с помощью телефона или Интернета.Without the use of an independent time provider, Windows time servers can acquire their time by connecting to an external NTP server, which is connected to a hardware device by means of a telephone or the Internet. Такие организации, как Военно-морская обсерватория США, предоставляют NTP-серверы, подключенные к чрезвычайно надежным эталонным часам.Organizations such as the United States Naval Observatory provide NTP servers that are connected to extremely reliable reference clocks.
Многие приемники GPS и другие устройства времени могут функционировать в сети как NTP-серверы.Many GPS receivers and other time devices can function as NTP servers on a network. Лес AD DS можно настроить на синхронизацию времени с этих внешних устройств, только если они также работают в сети как NTP-серверы.You can configure your AD DS forest to synchronize time from these external hardware devices only if they are also acting as NTP servers on your network. Для этого настройте контроллер домена в качестве эмулятора основного контроллера домена в корне леса, чтобы выполнить синхронизацию с NTP-сервером, предоставленным устройством GPS.To do so, configure the domain controller functioning as the primary domain controller (PDC) emulator in your forest root to synchronize with the NTP server provided by the GPS device. Сведения о том, как это сделать, см. статью Configure the Windows Time service on the PDC emulator in the Forest Root Domain (Настройка службы времени Windows для эмулятора основного контроллера домена в корневом домене леса).To do so, see Configure the Windows Time service on the PDC emulator in the Forest Root Domain.
Простой протокол сетевого времениSimple Network Time Protocol
Протокол SNTP — это упрощенный протокол, предназначенный для серверов и клиентов, которым не требуется степень точности, предоставляемая NTP.The Simple Network Time Protocol (SNTP) is a simplified time protocol that is intended for servers and clients that do not require the degree of accuracy that NTP provides. SNTP является более элементарной версией NTP — основного протокола времени, используемого в Windows 2000.SNTP, a more rudimentary version of NTP, is the primary time protocol that is used in Windows 2000. Так как форматы сетевых пакетов SNTP и NTP идентичны, эти два протокола являются взаимодействующими. Because the network packet formats of SNTP and NTP are identical, the two protocols are interoperable. Основное различие между ними заключается в том, что SNTP не поддерживает системы управления ошибками и сложные фильтры, предоставляемые NTP.The primary difference between the two is that SNTP does not have the error management and complex filtering systems that NTP provides. Дополнительные сведения о простом протоколе сетевого времени см. в документе RFC 1769 в базе данных RFC IETF.For more information about the Simple Network Time Protocol, see RFC 1769 in the IETF RFC Database.
Взаимодействие протокола времениTime Protocol Interoperability
Служба времени Windows может работать в смешанной среде компьютеров под управлением Windows 2000, Windows XP и Windows Server 2003, поскольку протокол SNTP, используемый в Windows 2000, совместим с протоколом NTP в Windows XP и Windows Server 2003.The Windows Time service can operate in a mixed environment of computers running Windows 2000, Windows XP, and Windows Server 2003, because the SNTP protocol used in Windows 2000 is interoperable with the NTP protocol in Windows XP and Windows Server 2003.
Служба времени в Windows NT Server 4.0, именуемая TimeServ, синхронизирует время в сети Windows NT 4.0.The time service in Windows NT Server 4.0, called TimeServ, synchronizes time across a Windows NT 4.0 network. TimeServ — это дополнительный компонент, доступный в составе Microsoft Windows NT 4.0 Resource Kit и не обеспечивающий степень надежности синхронизации времени, необходимой для Windows Server 2003.TimeServ is an add-on feature available as part of the Microsoft Windows NT 4.0 Resource Kit and does not provide the degree of reliability of time synchronization that is required by Windows Server 2003.
Служба времени Windows может взаимодействовать с компьютерами под управлением Windows NT 4.0, поскольку они могут синхронизировать время с компьютерами под управлением Windows 2000 или Windows Server 2003; однако компьютер под управлением Windows 2000 или Windows Server 2003 не обнаруживает серверы времени Windows NT 4.0 автоматически.The Windows Time service can interoperate with computers running Windows NT 4. 0 because they can synchronize time with computers running Windows 2000 or Windows Server 2003; however, a computer running Windows 2000 or Windows Server 2003 does not automatically discover Windows NT 4.0 time servers. Например, если ваш домен настроен на синхронизацию времени с помощью метода синхронизации на основе иерархии домена, и вы хотите, чтобы компьютеры в иерархии домена синхронизировали время с контроллером домена Windows NT 4.0, вам нужно настроить эти компьютеры на синхронизацию с контроллерами домена Windows NT 4.0 вручную.For example, if your domain is configured to synchronize time by using the domain hierarchy-based method of synchronization and you want computers in the domain hierarchy to synchronize time with a Windows NT 4.0 domain controller, you have to configure those computers manually to synchronize with the Windows NT 4.0 domain controllers.
В Windows NT 4.0 используется более простой механизм синхронизации времени, чем в Службе времени Windows.Windows NT 4. 0 uses a simpler mechanism for time synchronization than the Windows Time service uses. Таким образом, чтобы обеспечить точную синхронизацию времени по сети, рекомендуется обновить все контроллеры домена Windows NT 4.0 до Windows 2000 или Windows Server 2003.Therefore, to ensure accurate time synchronization across your network, it is recommended that you upgrade any Windows NT 4.0 domain controllers to Windows 2000 or Windows Server 2003.
Процессы и взаимодействия службы времени WindowsWindows Time Service Processes and Interactions
Служба времени Windows предназначена для синхронизации часов компьютеров в сети.The Windows Time service is designed to synchronize the clocks of computers on a network. Процесс синхронизации сетевого времени, называемый также согласованностью времени, происходит по сети, так как каждый компьютер получает доступ к времени с более точного сервера времени.The network time synchronization process, also called time convergence, occurs throughout a network as each computer accesses time from a more accurate time server. Согласованность времени подразумевает процесс, с помощью которого полномочный сервер предоставляет текущее время на клиентские компьютеры в виде пакетов NTP.Time convergence involves a process by which an authoritative server provides the current time to client computers in the form of NTP packets. Предоставленные в пакете сведения, указывают на необходимость настройки текущего времени компьютера таким образом, чтобы он синхронизировался с более точным сервером.The information provided within a packet indicates whether an adjustment needs to be made to the computer’s current clock time so that it is synchronized with the more accurate server.
В рамках процесса согласованности времени, члены домена пытаются синхронизировать время с любым контроллером домена, расположенным в том же домене.As part of the time convergence process, domain members attempt to synchronize time with any domain controller located in the same domain. Если компьютер является контроллером домена, он пытается выполнить синхронизацию с более полномочным контроллером домена. If the computer is a domain controller, it attempts to synchronize with a more authoritative domain controller.
Компьютеры под управлением Windows XP Home Edition или не присоединенных к домену компьютеров, не пытаются синхронизироваться с доменной иерархией, но по умолчанию настроены на получение времени от time.windows.com.Computers running Windows XP Home Edition or computers that are not joined to a domain do not attempt to synchronize with the domain hierarchy, but are configured by default to obtain time from time.windows.com.
Для установки компьютера под управлением Windows Server 2003 в качестве доверенного, компьютер должен быть настроен как надежный источник времени.To establish a computer running Windows Server 2003 as authoritative, the computer must be configured to be a reliable time source. По умолчанию первый контроллер домена, установленный в домене Windows Server 2003, автоматически настраивается как надежный источник времени.By default, the first domain controller that is installed on a Windows Server 2003 domain is automatically configured to be a reliable time source. Поскольку этот компьютер является полномочным для домена, он должен быть настроен на синхронизацию с внешним источником времени, а не с иерархией домена.Because it is the authoritative computer for the domain, it must be configured to synchronize with an external time source rather than with the domain hierarchy. Кроме того, по умолчанию все остальные члены домена Windows Server 2003 настроены на синхронизацию с иерархией домена.Also by default, all other Windows Server 2003 domain members are configured to synchronize with the domain hierarchy.
После установки сети Windows Server 2003 Службу времени Windows можно настроить на использование одного из следующих параметров синхронизации.After you have established a Windows Server 2003 network, you can configure the Windows Time service to use one of the following options for synchronization:
Синхронизация на основе иерархии доменаDomain hierarchy-based synchronization
Источник синхронизации, указанный вручнуюA manually-specified synchronization source
Все доступные механизмы синхронизацииAll available synchronization mechanisms
Без синхронизации. No synchronization.
Каждый из упомянутых типов синхронизации подробно рассматриваются в следующих разделах.Each of these synchronization types is discussed in the following section.
Синхронизация на основе иерархии доменаDomain Hierarchy-Based Synchronization
При синхронизации, основанной на иерархии доменов, иерархия домена AD DS используется для поиска надежного источника, с которым синхронизируется время.Synchronization that is based on a domain hierarchy uses the AD DS domain hierarchy to find a reliable source with which to synchronize time. На основе иерархии доменов Служба времени Windows определяет точность каждого сервера времени.Based on domain hierarchy, the Windows Time service determines the accuracy of each time server. В лесу Windows Server 2003 компьютер, имеющий роль мастера операций эмулятора основного контроллера домена (PDC), расположенный в корневом домене леса, содержит расположение лучшего источника времени, если не настроен другой надежный источник времени. In a Windows Server 2003 forest, the computer that holds the primary domain controller (PDC) emulator operations master role, located in the forest root domain, holds the position of best time source, unless another reliable time source has been configured. На следующем рисунке показан путь синхронизации времени между компьютерами в иерархии домена.The following figure illustrates a path of time synchronization between computers in a domain hierarchy.
Синхронизация времени в иерархии AD DS Time Synchronization in an AD DS Hierarchy
Конфигурация надежного источника времениReliable Time Source Configuration
Компьютер, настроенный как надежный источник времени, идентифицируется как корень службы времени.A computer that is configured to be a reliable time source is identified as the root of the time service. Корень службы времени является полномочным сервером для домена и обычно настраивается на получение времени с внешнего NTP-сервера или аппаратного устройства. The root of the time service is the authoritative server for the domain and typically is configured to retrieve time from an external NTP server or hardware device. Сервер времени можно настроить как надежный источник времени для оптимизации передачи времени по всей иерархии домена.A time server can be configured as a reliable time source to optimize how time is transferred throughout the domain hierarchy. Если контроллер домена настроен в качестве надежного источника времени, служба сетевого входа в систему объявляет этот контроллер домена надежным источником времени при входе в сеть.If a domain controller is configured to be a reliable time source, Net Logon service announces that domain controller as a reliable time source when it logs on to the network. Когда другие контроллеры домена ищут источник времени для синхронизации, они сначала выбирают надежный источник, если он доступен.When other domain controllers look for a time source to synchronize with, they choose a reliable source first if one is available.
Выбор источника данныхTime Source Selection
Процесс выбора источника времени может создать две проблемы в сети:The time source selection process can create two problems on a network:
Дополнительные циклы синхронизации.Additional synchronization cycles.
Увеличенный объем сетевого трафика.Increased volume in network traffic.
Цикл в сети синхронизации происходит, когда время остается согласованным между группой контроллеров домена и они непрерывно используют одно и то же время совместно без ресинхронизации с другим надежным источником времени.A cycle in the synchronization network occurs when time remains consistent between a group of domain controllers and the same time is shared between them continuously without a resynchronization with another reliable time source. Алгоритм выбора источника времени Службы времени Windows предназначен для защиты от проблем такого типа.The Windows Time service’s time source selection algorithm is designed to protect against these types of problems.
Компьютер использует один из следующих методов для задания источника времени для синхронизации.A computer uses one of the following methods to identify a time source to synchronize with:
Если компьютер не является членом домена, его следует настроить на синхронизацию с указанным источником времени.If the computer is not a member of a domain, it must be configured to synchronize with a specified time source.
Если компьютер является членом сервера или рабочей станции в домене, то по умолчанию он следует иерархии AD DS и синхронизирует свое время с контроллером домена в локальном домене, на котором в настоящее время работает Служба времени Windows.If the computer is a member server or workstation within a domain, by default, it follows the AD DS hierarchy and synchronizes its time with a domain controller in its local domain that is currently running the Windows Time service.
Если компьютер является контроллером домена, на поиск другого контроллера домена для синхронизации он выполняет до шести запросов. If the computer is a domain controller, it makes up to six queries to locate another domain controller to synchronize with. Каждый запрос предназначен для идентификации источника времени с определенными атрибутами, такими как тип контроллера домена, определенное местоположение, и является ли он надежным источником времени или нет.Each query is designed to identify a time source with certain attributes, such as a type of domain controller, a particular location, and whether or not it is a reliable time source. Источник времени также должен соответствовать следующим ограничениям.The time source must also adhere to the following constraints:
Надежный источник времени можно синхронизировать только с контроллером домена в родительском домене.A reliable time source can only synchronize with a domain controller in the parent domain.
Эмулятор основного контроллера домена может синхронизироваться с надежным источником времени в собственном домене или на любом контроллере в родительском домене. A PDC emulator can synchronize with a reliable time source in its own domain or any domain controller in the parent domain.
Если контроллер домена не поддерживает синхронизацию с типом запрашиваемого контроллера домена, запрос не выполняется.If the domain controller is not able to synchronize with the type of domain controller that it is querying, the query is not made. Контроллер домена знает, с какого типа компьютера он может получить время до того, как сделает запрос.The domain controller knows which type of computer it can obtain time from before it makes the query. Например, локальный эмулятор основного контроллера домена не пытается запросить номера три или шесть, так как контроллер домена не пытается выполнить синхронизацию с самим собой.For example, a local PDC emulator does not attempt to query numbers three or six because a domain controller does not attempt to synchronize with itself.
В следующей таблице перечислены запросы, которые контроллер домена выполняет для поиска источника времени и порядка, в котором выполняются запросы.The following table lists the queries that a domain controller makes to find a time source and the order in which the queries are made.
Запросы к источнику времени контроллера доменаDomain Controller Time Source Queries
Номер запросаQuery Number | Контроллер доменаDomain Controller | РасположениеLocation | Надежность источника времениReliability of Time Source |
---|---|---|---|
11 | Контроллер родительского доменаParent domain controller | На местеIn-site | Предпочитает надежный источник времени, но может синхронизироваться с ненадежным источником времени, если доступен только он.Prefers a reliable time source but it can synchronize with a non-reliable time source if that is all that is available. |
22 | Контроллер локального доменаLocal domain controller | На местеIn-site | Синхронизируется только с надежным источником времени.Only synchronizes with a reliable time source. |
33 | Эмулятор основного контроллера локального доменаLocal PDC emulator | На местеIn-site | Не применяется.Does not apply. Контроллер домена не пытается выполнить синхронизацию с самим собой.A domain controller does not attempt to synchronize with itself. |
44 | Контроллер родительского доменаParent domain controller | Вне узлаOut-of-site | Предпочитает надежный источник времени, но может синхронизироваться с ненадежным источником времени, если доступен только он.Prefers a reliable time source but it can synchronize with a non-reliable time source if that is all that is available. |
55 | Контроллер локального доменаLocal domain controller | Вне узлаOut-of-site | Синхронизируется только с надежным источником времени.Only synchronizes with a reliable time source. |
66 | Эмулятор основного контроллера локального доменаLocal PDC emulator | Вне узлаOut-of-site | Не применяется.Does not apply. Контроллер домена не пытается выполнить синхронизацию с самим собой.A domain controller does not attempt to synchronize with itself. |
ПримечаниеNote
- Компьютер никогда не синхронизируется с самим собой.A computer never synchronizes with itself. Если компьютер пытается синхронизироваться с эмулятором основного контроллера локального домена, он не пытается выполнить запросы 3 или 6.If the computer attempting synchronization is the local PDC emulator, it does not attempt Queries 3 or 6.
Каждый запрос возвращает список контроллеров домена, которые можно использовать в качестве источника времени.Each query returns a list of domain controllers that can be used as a time source. Служба времени Windows назначает каждому запрашиваемому контроллеру домена оценку, исходя из надежности и расположения контроллера домена.Windows Time assigns each domain controller that is queried a score based on the reliability and location of the domain controller. В следующей таблице перечислены оценки, назначенные Службой времени Windows каждому типу контроллера домена.The following table lists the scores assigned by Windows Time to each type of domain controller.
Определение оценкиScore Determination
Состояние контроллера доменаDomain Controller Status | ОценкаScore |
---|---|
Контроллер домена, расположенный на одном сайтеDomain controller located in same site | 88 |
Контроллер домена, помеченный как надежный источник времениDomain controller marked as a reliable time source | 44 |
Контроллер домена, расположенный в родительском доменеDomain controller located in the parent domain | 22 |
Контроллер домена, являющийся эмулятором PDCDomain controller that is a PDC emulator | 11 |
Когда Служба времени Windows определяет, что она идентифицировала контроллер домена с наилучшей оценкой, она больше не выполняет запросы.When the Windows Time service determines that it has identified the domain controller with the best possible score, no more queries are made. Оценки, присваиваемые службой времени, являются кумулятивными, что означает, что эмулятор PDC, расположенный на одном и том же сайте, получает оценку в девять баллов.The scores assigned by the time service are cumulative, which means that a PDC emulator located in the same site receives a score of nine.
Если корень службы времени не настроен на синхронизацию с внешним источником, временем управляют внутренние аппаратные часы компьютера.If the root of the time service is not configured to synchronize with an external source, the internal hardware clock of the computer governs the time.
Указанная вручную синхронизацияManually-Specified Synchronization
Указанная вручную синхронизация позволяет назначить один одноранговый узел или список узлов, с которых компьютер получает время.Manually-specified synchronization enables you to designate a single peer or list of peers from which a computer obtains time. Если компьютер не является членом домена, его следует настроить на синхронизацию с указанным источником времени вручную.If the computer is not a member of a domain, it must be manually configured to synchronize with a specified time source. Компьютер, являющийся членом домена, по умолчанию настроен на синхронизацию из иерархии домена. Ручная синхронизация наиболее полезна для корня леса домена или для компьютеров, которые не присоединены к домену.A computer that is a member of a domain is configured by default to synchronize from the domain hierarchy, manually-specified synchronization is most useful for the forest root of the domain or for computers that are not joined to a domain. Ручное указание внешнего NTP-сервера для синхронизации с уполномоченным компьютером для вашего домена обеспечивает надежное время.Manually specifying an external NTP server to synchronize with the authoritative computer for your domain provides reliable time. Однако настройка полномочного компьютера домена на синхронизацию с аппаратными часами на самом деле является лучшим решением для обеспечения наиболее точного и безопасного времени в домене.However, configuring the authoritative computer for your domain to synchronize with a hardware clock is actually a better solution for providing the most accurate, secure time to your domain.
Указанные вручную источники времени не проходят проверку подлинности, если для них не задан конкретный поставщик времени, и поэтому они уязвимы для злоумышленников.Manually-specified time sources are not authenticated unless a specific time provider is written for them, and they are therefore vulnerable to attackers. Также, если компьютер синхронизируется с источником, указанным вручную, а не с контроллером домена, который выполняет проверку подлинности, то эти два компьютера могут быть не синхронизированы, что вызовет сбой аутентификации Kerberos.Also, if a computer synchronizes with a manually-specified source rather than its authenticating domain controller, the two computers might be out of synchronization, causing Kerberos authentication to fail. Это может привести к сбою других действий, для которых требуется проверка подлинности сети, например печать или совместное использование файлов.This might cause other actions requiring network authentication to fail, such as printing or file sharing. Если на синхронизацию с внешним источником настроен только корень леса, все остальные компьютеры в лесу остаются синхронизированными друг с другом, что затрудняет повторные атаки.If only the forest root is configured to synchronize with an external source, all other computers within the forest remain synchronized with each other, making replay attacks difficult.
Все доступные механизмы синхронизацииAll Available Synchronization Mechanisms
Параметр «Все доступные механизмы синхронизации» является наиболее полезным методом синхронизации для пользователей в сети.The «all available synchronization mechanisms» option is the most valuable synchronization method for users on a network. Этот метод позволяет синхронизироваться с иерархией доменов и может также, в зависимости от конфигурации, предоставлять альтернативный источник времени, если иерархия домена становится недоступной.This method allows synchronization with the domain hierarchy and may also provide an alternate time source if the domain hierarchy becomes unavailable, depending on the configuration. Если клиенту не удается синхронизировать время с иерархией домена, источник времени автоматически возвращается к источнику времени, указанному параметром NtpServer.If the client is unable to synchronize time with the domain hierarchy, the time source automatically falls back to the time source specified by the NtpServer setting. Этот метод синхронизации наиболее часто обеспечивает точное время для клиентов.This method of synchronization is most likely to provide accurate time to clients.
Остановка синхронизации времениStopping Time Synchronization
Существуют ситуации, в которых синхронизацию времени на компьютере будет необходимо остановить.There are certain situations in which you will want to stop a computer from synchronizing its time. Например, если компьютер пытается выполнить синхронизацию из источника времени в Интернете или с другого сайта через глобальную сеть с помощью коммутируемого подключения, это может повлечь за собой дорогостоящую оплату по телефону.For example, if a computer attempts to synchronize from a time source on the Internet or from another site over a WAN by means of a dial-up connection, it can incur costly telephone charges. При отключении синхронизации на этом компьютере он не сможет получить доступ к источнику времени через коммутируемое подключение.When you disable synchronization on that computer, you prevent the computer from attempting to access a time source over a dial-up connection.
Синхронизацию также можно отключить, чтобы предотвратить создание ошибок в журнале событий.You can also disable synchronization to prevent the generation of errors in the event log. Каждый раз при попытке синхронизации с недоступным источником времени компьютер генерирует ошибку в журнале событий.Each time a computer attempts to synchronize with a time source that is unavailable, it generates an error in the Event Log. Если источник времени отключен от сети для планового обслуживания, и вы не собираетесь перенастраивать клиент для синхронизации с другим источником, синхронизацию на клиенте можно отключить для предотвращения попытки синхронизации, пока сервер времени недоступен.If a time source is taken off of the network for scheduled maintenance and you do not intend to reconfigure the client to synchronize from another source, you can disable synchronization on the client to prevent it from attempting synchronization while the time server is unavailable.
Рекомендуется отключить синхронизацию на компьютере, который обозначен как корень сети синхронизации.It is useful to disable synchronization on the computer that is designated as the root of the synchronization network. Это означает, что корневой компьютер доверяет своим локальным часам.This indicates that the root computer trusts its local clock. Если корень иерархии синхронизации не установлен на NoSync и если он не может синхронизироваться с другим источником времени, клиенты не принимают пакет, который посылает этот компьютер, потому что его времени нельзя доверять.If the root of the synchronization hierarchy is not set to NoSync and if it is unable to synchronize with another time source, clients do not accept the packet that this computer sends out because its time cannot be trusted.
Единственными серверами времени, которым клиенты доверяют, даже если они не синхронизировались с другим источником времени, являются те, которые были определены клиентом как надежные серверы времени.The only time servers that are trusted by clients even if they have not synchronized with another time source are those that have been identified by the client as reliable time servers.
Отключение Службы времени WindowsDisabling the Windows Time Service
Службу времени Windows (W32Time) можно отключить полностью.The Windows Time service (W32Time) can be completely disabled. Если вы решили реализовать сторонний продукт синхронизации времени, использующий NTP, сначала нужно отключить Службу времени Windows.If you choose to implement a third-party time synchronization product that uses NTP, you must disable the Windows Time service. Это связано с тем, что все NTP-серверы нуждаются в доступе к порту 123 UDP, и пока Служба времени Windows запущена на операционной системе Windows Server 2003, порт 123 остается зарезервированным Службой времени Windows.This is because all NTP servers need access to User Datagram Protocol (UDP) port 123, and as long as the Windows Time service is running on the Windows Server 2003 operating system, port 123 remains reserved by Windows Time.
Сетевые порты, используемые службой времени WindowsNetwork Ports Used by Windows Time Service
Служба времени Windows взаимодействует в сети для определения надежных источников времени, получения сведений о времени и предоставления сведений о времени другим компьютерам.The Windows Time service communicates on a network to identify reliable time sources, obtain time information, and provide time information to other computers. Этот обмен данными выполняется в соответствии с определением RFC и SNTP.It performs this communication as defined by the NTP and SNTP RFCs.
Назначения портов для Службы времени WindowsPort Assignments for the Windows Time Service
Служебное имяService name | UDPUDP | TCPTCP |
---|---|---|
NTPNTP | 123123 | Н/ДN/A |
SNTPSNTP | 123123 | Н/ДN/A |
См. такжеSee Also
Windows Time Service Technical Reference (Технический справочник по службе времени Windows) Windows Time Service Tools and Settings (Средства и параметры службы времени Windows) Статья 902229 базы знаний МайкрософтWindows Time Service Technical Reference Windows Time Service Tools and Settings Microsoft Knowledge Base article 902229
Точное время в Windows Server 2016
- Чтение занимает 5 мин
В этой статье
Применяется к: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows 10 или более поздних версийApplies to: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows 10 or later
Служба времени Windows — это компонент, использующий модель подключаемых модулей для клиентских и серверных поставщиков синхронизации времени.The Windows Time service is a component that uses a plug-in model for client and server time synchronization providers. В Windows есть два встроенных клиентских поставщика и доступны подключаемые модули сторонних поставщиков.There are two built-in client providers on Windows, and there are third-party plug-ins available. Один поставщик использует протокол NTP (RFC 1305) или MS-NTP для синхронизации локального системного времени с эталонным сервером, совместимым с этими протоколами.One provider uses NTP (RFC 1305) or MS-NTP to synchronize the local system time to an NTP and/or MS-NTP compliant reference server. Другой поставщик предназначен для Hyper-V и синхронизирует виртуальные машины с узлом Hyper-V.The other provider is for Hyper-V and synchronizes virtual machines (VM) to the Hyper-V host. Если есть несколько поставщиков, Windows выберет наилучшего поставщика, оценивая стратовый уровень, корневую задержку, корневую дисперсию, а затем смещение времени.When multiple providers exist, Windows will pick the best provider using stratum level first, followed by root delay, root dispersion, and finally time offset.
Примечание
Краткий обзор службы времени Windows см. в этом видео.For a quick overview of Windows Time service, take a look at this high-level overview video.
В этом разделе мы обсудим темы по мере их влияния на точность времени:In this topic, we discuss … these topics as they relate to enabling accurate time:
- УлучшенияImprovements
- ИзмеренияMeasurements
- Советы и рекомендацииBest Practices
Важно!
Дополнение, на которое ссылается статья о точном времени в Windows 2016, можно скачать здесь.An addendum referenced by the Windows 2016 Accurate Time article can be downloaded here. В этом документе содержатся дополнительные сведения о методологиях тестирования и измерения.This document provides more details about our testing and measurement methodologies.
Иерархия доменовDomain Hierarchy
Доменная и автономная конфигурации работают по-разному.Domain and Standalone configurations work differently.
Участники домена используют безопасный протокол NTP для проверки подлинности, обеспечивающий безопасность и подлинность ссылки времени.Domain members use a secure NTP protocol, which uses authentication to ensure the security and authenticity of the time reference. Участники домена синхронизируются с главными часами, определенными иерархией доменов и системой оценки.Domain members synchronize with a master clock determined by the domain hierarchy and a scoring system. В домене существует иерархический уровень страт времени, где каждый контроллер домена указывает на родительский контроллер домена с более точной стратой времени.In a domain, there is a hierarchical layer of time strata, whereby each DC points to a parent DC with a more accurate time stratum. Иерархия разрешается в основной контроллер домена, контроллер домена в корневом лесу или контроллер домена с меткой домена GTIMESERV, которая обозначает лучший сервер времени для домена.The hierarchy resolves to the PDC or a DC in the root forest, or a DC with the GTIMESERV domain flag, which denotes a Good Time Server for the domain. См. раздел «Указание надежной локальной службы времени с помощью GTIMESERV» ниже.See the [Specify a Local Reliable Time Service Using GTIMESERV section below.
По умолчанию автономные компьютеры настроены использовать time.windows.com.Standalone machines are configured to use time.windows.com by default. Это имя разрешается DNS-сервером, который должен указывать на ресурс, принадлежащий корпорации Майкрософт.This name is resolved by your DNS Server, which should point to a Microsoft owned resource. Все удаленно размещенные ссылки времени могут создавать сетевые сбои, препятствующие синхронизации.Like all remotely located time references, network outages, may prevent synchronization. Нагрузка сетевого трафика и асимметричные сетевые пути могут уменьшить точность синхронизации времени.Network traffic loads and asymmetrical network paths may reduce the accuracy of the time synchronization. Если вам требуется точность времени до 1 мс, удаленные источники времени будут неэффективны.For 1 ms accuracy, you can’t depend on a remote time sources.
При работе в гостевом компьютере вы можете столкнуться с различным поведением домена или автономной среды, так как у гостевых машин Hyper-V будут по крайней мере два поставщика времени Windows на выбор — время узла и NTP.Since Hyper-V guests will have at least two Windows Time providers to choose from, the host time and NTP, you might see different behaviors with either Domain or Standalone when running as a guest.
Примечание
Дополнительные сведения об иерархии доменов и системе оценки см. в записи блога, посвященной службе времени Windows.For more information about the domain hierarchy and scoring system, see the «What is Windows Time Service?» .blog post.
Примечание
Страта — это концепция, используемая в поставщиках NTP и Hyper-V, и ее значение указывает расположение часов в иерархии.Stratum is a concept used in both the NTP and Hyper-V providers, and its value indicates the clocks location in the hierarchy. Страта 1 резервируется для часов самого высокого уровня, а Страта 0 — для оборудования, время которого считается точным с минимальной или отсутствующей задержкой, связанной с ним.Stratum 1 is reserved for the highest-level clock, and stratum 0 is reserved for the hardware assumed to be accurate and has little or no delay associated with it. Страта 2 обращается к серверам страты 1, страта 3 — к страте 2 и т. д.Stratum 2 talk to stratum 1 servers, stratum 3 to stratum 2 and so on. Хотя страты более низкого уровня часто указывают более точное время, случаются несоответствия.While a lower stratum often indicates a more accurate clock, it is possible to find discrepancies. Кроме того, служба W32Time принимает только время из страты 15 или ниже.Also, W32time only accepts time from stratum 15 or below. Чтобы просмотреть страту клиента, используйте w32tm /query /status.To see the stratum of a client, use w32tm /query /status.
Критические факторы для определения точного времениCritical Factors for Accurate Time
Во всех случаях для определения точного времени есть три важных фактора:In every case for accurate time, there are three critical factors:
- Физический источник времени — исходные часы в домене должны быть стабильными и точными.Solid Source Clock — The source clock in your domain needs to be stable and accurate. Обычно это означает установку устройства GPS или указание на источник страты 1 с учетом страты 3.This usually means installing a GPS device or pointing to a Stratum 1 source, taking #3 into account. Аналогия такова: если у вас есть две лодки в воде и вы пытаетесь измерить высоту одной по сравнению с другой, точность будет правдивой, если исходная лодка очень стабильна и не движется.The analogy goes, if you have two boats on the water, and you are trying to measure the altitude of one compared to the other, your accuracy is best if the source boat is very stable and not moving. То же самое касается времени. Если исходные часы нестабильны, то влияние распространится на всю цепь синхронизации времени, усиливаясь на каждом этапе.The same goes for time, and if your source clock isn’t stable, then the entire chain of synchronized clocks is affected and magnified at each stage. Источник времени должен быть доступен, так как нарушения соединения могут помешать синхронизации времени.It also must be accessible because disruptions in the connection will interfere with time synchronization. И наконец, источник должен быть безопасным.And finally, it must be secure. Если источник ссылки времени обслуживается неправильно или им управляет потенциально вредоносная сторона, домен может подвергаться атакам на основе времени.If the time reference is not properly maintained, or operated by a potentially malicious party, you could expose your domain to time based attacks.
- Стабильные клиентские часы — часы, которые гарантируют, что естественное смещение осциллятора не будет критичным.Stable client clock — A stable client clocks assures that the natural drift of the oscillator is containable. NTP использует несколько выборок, возможно из нескольких серверов NTP, для настройки и согласования часов в ваших локальных компьютерах.NTP uses multiple samples from potentially multiple NTP servers to condition and discipline your local computers clock. Это не шаг изменения времени, а скорее замедление или ускорение местных часов, что позволяет гарантировать точность времени и обеспечить точность среди NTP-запросов.It does not step the time changes, but rather slows or speeds up the local clock so that you approach the accurate time quickly and stay accurate between NTP requests. Тем не менее, если осциллятор часов клиентского компьютера нестабилен, то могут возникнуть дополнительные отклонения между настройками и алгоритмы, используемые Windows для настройки часов, не будут работать точно.However, if the client computer clock’s oscillator is not stable, then more fluctuations in between adjustments can occur and the algorithms Windows uses to condition the clock don’t work accurately. В некоторых случаях для обеспечения точности времени могут потребоваться обновления встроенного ПО.In some cases, firmware updates might be needed for accurate time.
- Симметричное NTP-подключение — очень важно, чтобы подключение по протоколу NTP было симметричным.Symmetrical NTP communication — It is critical that the connection for NTP communication is symmetrical. NTP использует вычисления для корректировки времени, которые предполагают, что сетевой путь симметричен.NTP uses calculations to adjust the time that assume the network path is symmetrical. Если путь, по которому пакет NTP передается на сервер, возвращается за другой период времени, это повлияет на точность.If the path the NTP packet takes going to the server takes a different amount of time to return, the accuracy is affected. Например, путь может измениться из-за изменений в топологии сети или пакетов, направляемых через устройства с разными скоростями интерфейсов.For example, the path could change due to changes in network topology, or packets being routed through devices that have different interface speeds.
Для устройств с питанием от аккумулятора, как мобильных, так и переносимых, необходимо учитывать разные стратегии.For battery powered devices, both mobile and portable, you must consider different strategies. Мы советуем поддерживать точность времени, обеспечивая корректировку часов единожды в секунду, что соотносится с частотой обновления часов.As per our recommendation, keeping accurate time requires the clock to be disciplined once a second, which correlates to the Clock Update Frequency. Эти настройки будут требовать большего потребления энергии аккумулятора, чем ожидалось, и могут отрицательно влиять на режимы энергосбережения, доступные в Windows для таких устройств.These settings will consume more battery power than expected and can interfere with power saving modes available in Windows for such devices. В устройствах с питанием от аккумулятора также есть определенные режимы энергопитания, в которых останавливается работа всех приложений, что препятствует способности W32Time корректировать часы и поддерживать точность времени.Battery powered devices also have certain power modes which stop all applications from running, which interferes with W32time’s ability to discipline the clock and maintain accurate time. Кроме того, часы в мобильных устройствах могут быть изначально неточными.Additionally, clocks in mobile devices may not be very accurate to begin with. Условия окружающей среды влияют на точность часов, и мобильное устройство может попадать из одних условий в другие, что может помешать его способности поддерживать точность времени.Ambient environmental conditions affect clock accuracy and a mobile device can move from one ambient condition to the next which may interfere with its ability to keep time accurately. Поэтому мы не советуем выбирать для мобильных устройств с питанием от аккумулятора параметры высокой точности.Therefore, Microsoft does not recommend that you set up battery powered portable devices with high accuracy settings.
Почему важно время?Why is time important?
Есть множество различных причин, по которым может потребоваться точное время.There are many different reasons you might need accurate time. Типичным случаем для Windows является Kerberos, где для работы требуется 5-минутная точность между клиентом и сервером.The typical case for Windows is Kerberos, which requires 5 minutes of accuracy between the client and server. Тем не менее есть множество других областей, в которых важна точность времени, в том числе:However, there are many other areas that can be affected by time accuracy including:
- правительственное управление, к примеруGovernment Regulations like:
- 50 мс для FINRA в США;50 ms accuracy for FINRA in the US
- 1 мс для Европейской организации по ценным бумагам и рынкам (Директива Евросоюза «O рынках финансовых инструментов») в ЕС;1 ms ESMA (MiFID II) in the EU.
- алгоритмы шифрования;Cryptography Algorithms
- распределенные системы, такие как кластеры, SQL, Exchange и Document DB;Distributed systems like Cluster/SQL/Exchange and Document DBs
- платформа Блокчейн для биткойн-транзакций;Blockchain framework for bitcoin transactions
- распределенные журналы и анализ угроз;Distributed Logs and Threat Analysis
- Репликация Active DirectoryAD Replication
- отрасль платежных карт (сейчас требуется точность до 1 с).PCI (Payment Card Industry), currently 1 second accuracy
Дополнительная справкаAdditional references
Настройка NTP сервера Windows server 2016 в домене групповыми политиками — UniTec
Мы рассмотрим как настроить NTP сервер в сети предприятия, где компьютеры пользователей получают точное время от DC с ролью эмулятора PDC (главный контроллер домена – Primary Domain Controller), в свою очередь DC синхронизирует свое время с внешним источником времени. В данном примере мы будем получать время с серверов pool.ntp.org.
Начиная с Windows 2000 все операционные системы Windows включают в себя службу времени W32Time. Эта служба предназначена для синхронизации времени в пределах организации и отвечает за работу как клиентской, так и серверной части, причем один и тот же компьютер может быть одновременно и клиентом и сервером NTP (Network Time Protocol). По умолчанию клиенты в домене синхронизируют время с помощью службы времени Windows (Windows Time), а не с помощью протокола NTP.
Настройка сервера времени под Hyper-V
Для тех у кого контролер домена виртуализирован и поднят на Hyper-V, прежде необходимо отключить Time Synchronization, иначе виртуальная машина будет синхронизирована с Hyper-V сервером.
В настройках виртуальной машины, в разделе Management -> Integration Services отключаем Time Synchronization# Выключение синхронизации для VMware 5
Свойства машины - Options -> VMware Tools -> Synchronize guest time with host
# Выключение синхронизации для VMware 6
VMware Tools -> Time -> Synchronize guest time with host
Создание GPO для контроллера домена с ролью эмулятора PDC (главный контроллер домена – Primary Domain Controller)
1 . Создание фильтра WMI
Нам необходимо настроить групповую политику для синхронизации NTP для контролера домена PDC, в связи с тем что роль PDC может перемещаться между контроллерами домена, нам необходимо применить политику к текущему владельцу роли PDC. Для этого мы создадим WMI фильтр, чтобы политика была применена для сервера с ролью PDC.
Для этого в консоли управления Group Policy Management Console (GPMC.msc), в разделе WMI Filters создадим новый WMI фильтр с именем PDC selected и запросом: Select * from Win32_ComputerSystem where DomainRole = 5
Добавляем новый WMI фильтр с именем PDC selected и запросом:Select * from Win32_ComputerSystem where DomainRole = 5
2 . Создаем и редактируем новую GPO
2.1 Для контейнера Domain Controllers создаем групповую политику, в нашем случае это PDC Time Synchronization.
В пункте 2.1 ошибка. на картинке созданный фильтр не привязан к политике2.2 Редактируем политику PDC Time Synchronization, разворачиваем Computer Configuration -> Policies -> Administrative Templates -> System -> Windows Time Service -> Time Providers и включаем следующие политики:
Configure Windows NTP Client: Enabled Enable Windows NTP Client: Enabled Enable Windows NTP Server: Enabled
2.3 В настройках политики Enable Windows NTP Server, задаем:
NtpServer: 0.pool.ntp.org,0x1 1.pool.ntp.org,0x1 2.pool.ntp.org,0x1 Type: NTP CrossSiteSyncFlags: 2 ResolvePeerBackoffMinutes: 15 Resolve Peer BAckoffMaxTimes: 7 SpecilalPoolInterval: 3600 EventLogFlags: 0
Дополнительные опции политики
Enable Windows NTP Server
NoSync — NTP-сервер не синхронизируется с внешним источником времени. Используются встроенные часы в микросхему CMOS самого сервера; NTP — NTP-сервер синхронизируется серверами указаными в параметре NtpServer; NT5DS — NTP-сервер производит синхронизацию согласно доменной иерархии; AllSync — NTP-сервер использует для синхронизации все доступные источники.
Выбрать сервер для синхронизации вы можете по ссылке NTPPoolServers
Параметр NtpServer задает NTP-сервера, с которыми будем синхронизировать время. По умолчанию там задан NTP-сервер Microsoft (time.windows.com,0x1), дополнительные сервера можно добавит через пробел. В конце каждого имени сервера можно добавлять флаг (сервер,0x1) который определяет режим для синхронизации с сервером времени.
Допускаются следующие значения:
0x1 – SpecialInterval, использование специального интервала опроса; 0x2 – режим UseAsFallbackOnly; 0x4 – SymmetricActive, симметричный активный режим; 0x8 – Client, отправка запроса в клиентском режиме.
Настройка доменного сервера времени NTP в Windows Server 2012R2/2016 через GPO — GEEK LIBRARY
Сразу оговорим важные вещи:
- Работа по настройке точного времени на участниках домена через GPO часто делят на 2 части: настройки сервера/-ов и настройки клиентских машин.
- Настройку клиентских машин на получение точного времени некоторые администраторы делают через политики (в частности правкой политики Default Domain Policy), но я так не делаю, ибо все входящие в домен машины «автоматически узнают», что сервер времени для них — контроллер домена. Клиентские машины я только проверяю на правильное соединение с нашим сервером NTP.
Для начала определяю какой контроллер домена Windows Server 201x имеет роль PDC (если я этого не знаю )) ), если контроллеров домена несколько, как в моём случае. Для этого на любом компьютере или сервере, входящем в домен! , запускаю командную строку от имени Администратора:
Не будем обсуждать распределение ролей между контролерами, в тестовом домене у меня все роли принадлежат одному контроллеру, и перейдя на сервер ADDC01 (в моём случае) — начнем его настройку.
1. Для начала создадим WMI-фильтр, который будет применять нашу новую политику только к серверу с ролью эмулятора PDC
Select * from Win32_ComputerSystem where DomainRole = 5
Select * from Win32_ComputerSystem where DomainRole = 5 |
2. Создадим новую групповую политику и применим к ней фильтр WMI, созданный нами выше.
Нас интересует путь: Computer Configuration — Administrative Templates — System — Windows Time Service — Time Providers (Конфигурация компьютера -> Политики -> Административные шаблоны -> Система -> Служба времени Windows -> Поставщики времени)
Здесь нам нужно включить три политики:
Enable Windows NTP Client: Enabled
Enable Windows NTP Server: Enabled
Configure Windows NTP Client: Enabled
Пункт Configure Windows NTP client имеет следующие настройки:
Я использовал следующий список серверов точного времени:
0.ru.pool.ntp.org,0x9 1.ru.pool.ntp.org,0x9 2.ru.pool.ntp.org,0x9 3.ru.pool.ntp.org,0x9
0.ru.pool.ntp.org,0x9 1.ru.pool.ntp.org,0x9 2.ru.pool.ntp.org,0x9 3.ru.pool.ntp.org,0x9 |
3. Создав политику не забываем применить к ней фильтр WMI:
4. Пришло время обновить политики на сервере времени и синхронизировать время. Запускаем командную строку от имени Администратора.
Обновляем политики на контроллере PDC:
Запускаем ручную синхронизацию времени:
Проверяем текущие настройки NTP:
Делаем наш контроллер PDC в качестве надежного источника времени для клиентов:
w32tm /config /reliable:yes
w32tm /config /reliable:yes |
Всё, служба времени Windows Server должна: 1 — работать, 2 — успешно синхронизировать время с внешним источником и убедиться в этом можно выполнив команду:
w32tm /query /configuration
w32tm /query /configuration |
Проверка второго контроллера домена ADDC02 на успешную синхронизацию времени:
Так же, в командной строке от имени Администратора выполним на втором контроллере домена
Выполним те же команды, но на клиентской машине:
В том случае, если время не синхронизировалось, перезапустите службу времени Windows и сбросьте текущие настройки:
>> net stop w32time
>> w32tm.exe /unregister
>> w32tm.exe /register
>> net start w32time
Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.
Просмотров: 7 667
Пример настройки локального NTP сервера для работы с устройствами NetPing
Основные теги
Каталог устойств мониторинг серверных комнат и шкафов
Все устройства
Устройство UniPing v3
Устройство UniPing server solution v3/SMS
Устройство NetPing 2/PWR-220 v1/SMS
Устройство NetPing IO v2
Устройства NetPing
Каталог датчиков для устройств NetPing
Устройство NetPing 8/PWR-220 v3/SMS
Устройство NetPing 2/PWR-220 v3/ETH
Устройство NetPing 2/PWR-220 v2/SMS
Устройство NetPing 4/PWR-220 v3/SMS
Устройство NetPing SMS
Устройство NetPing /PWR-220 v3/ETH
Адаптер WiFi VAP11N
Коммутатор PS104GT
Устройство NetPing Mini-UPS
Коммутатор NP-SM4
Сплиттер POE 12В (стандарта 802.3af)
IRC-TR v2 (ИК модуль расширения)
Каталог устройств удалённого управления и распределения электропитания NetPing
Устройство UniPing server solution
Устройство UniPing server solution v3
Датчик разбития стекла (Стекло-3 ИО 329-4), 2м
Переходник для NetPing IO v2
Устройство NetPing PWR68-01
Датчик мониторинга 220В 1-wire
Адаптер DKST910.8
Устройство NetPing DKST61-01
Блок питания 48В 1,5А (мод.HRS20005)
Датчик температуры TS, 1м
Датчик температуры, (T811), 2м
Датчик температуры WT, 1м
Датчик протечки, модель 2605, 2м
Датчик протечки h3О
Датчик температуры 1-wire, (THS), 2м
МАЯК-12-СТ
Датчик движения (PYRONIX COLT QUAD PI ПИК детектор), 2м
Датчик движения (SWAN-QUAD ИК детектор квадросенсор), (2м)
BM8070D Силовое реле 16А/250В на DIN-рейку
MP701 Исполнительный элемент (4 независимых канала по 2 кВт 10А)
Датчик дыма комбинированный (дым/тепло) ИП 212/101-2М-A1R с базой Е412NL
МОЛЛЮСК-12/1,5
Внешний ИБП SKAT-12DC-1.0 Li-ion
ИКС-1 извещатель охранный инфракрасный активный однолучевой
Датчик охранный (Извещатель охранный ИО102-20/Б2П, 2м)
Блок розеток SNR-PDU-08S-1
Устройство NetPing 2/PWR-220 v4/SMS
Устройство UniPing server solution v4/SMS
Устройство NetPing 8/PWR-220 v4/SMS
VT592 кабельный датчик протечки
WLC10 кабель протечки
NetPing Connection board v2 (коммутационная плата для UniPing v3)
Инжектор питания POE (стандарта 802.3af)
NetPing датчик наличия электропитания 995S1
Устройство NetPing 2/PWR-220 v12/ETH
Устройство NetPing 2/PWR-220 v13/GSM3G
Датчик наличия 220В (мод. HRS05005), 1.5м
NetPing удлинитель-разветвитель 1-wire на 5 портов, модель R912R1
NetPing датчик качества электропитания 1-wire 910S20
Розетка 1-wire R910.6
▼ Все тегиНастроить авторитетное время — Windows Server
- 6 минут на чтение
В этой статье
В этой статье описывается, как настроить службу времени Windows и устранить неполадки, когда служба времени Windows работает некорректно.
Исходная версия продукта: Windows Server 2012 Standard, Windows Server 2012 Essentials
Исходный номер базы знаний: 816042
Чтобы настроить внутренний сервер времени для синхронизации с внешним источником времени, используйте следующий метод:
Чтобы настроить PDC в корне леса Active Directory для синхронизации с внешним источником времени, выполните следующие действия:
Измените тип сервера на NTP.Для этого выполните следующие действия:
Выберите Start > Run , введите regedit , а затем выберите OK .
Найдите и выберите следующий подраздел реестра:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ W32Time \ Parameters \ Type
На панели справа щелкните правой кнопкой мыши Тип , а затем выберите Изменить .
В Edit Value введите NTP в поле Value data , а затем выберите OK .
Установите для
AnnounceFlags
значение 5. Для этого выполните следующие действия:Найдите и выберите следующий подраздел реестра:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ W32Time \ Config \ AnnounceFlags
На панели справа щелкните правой кнопкой мыши AnnounceFlags , а затем выберите Изменить .
В Edit DWORD Value введите 5 в поле Value data , а затем выберите OK .
Примечание
- Если полномочный сервер времени, настроенный на использование значения
AnnounceFlag
0x5 , не синхронизируется с вышестоящим сервером времени, клиентский сервер может некорректно синхронизироваться с официальным сервером времени при синхронизации времени между авторитетным временем сервер и восходящий сервер времени возобновляют работу. Поэтому, если у вас плохое сетевое соединение или другие проблемы, которые могут вызвать сбой синхронизации времени полномочного сервера с вышестоящим сервером, установите значениеAnnounceFlag
на 0xA вместо 0x5 . - Если полномочный сервер времени настроен на использование значения
AnnounceFlag
0x5 и синхронизацию с вышестоящим сервером времени через фиксированный интервал, указанный вSpecialPollInterval
, клиентский сервер может неправильно синхронизироваться с авторитетным сервером времени. сервер времени после перезапуска полномочного сервера времени. Поэтому, если вы настраиваете полномочный сервер времени для синхронизации с вышестоящим сервером NTP с фиксированным интервалом, который указан вSpecialPollInterval
, установите значениеAnnounceFlag
на 0xA вместо 0x5 .
Включите NTPServer. Для этого выполните следующие действия:
Найдите и выберите следующий подраздел реестра:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ W32Time \ TimeProviders \ NtpServer
На панели справа щелкните правой кнопкой мыши Включено , а затем выберите Изменить .
В Edit DWORD Value введите 1 в поле Value data , а затем выберите OK .
Укажите источники времени. Для этого выполните следующие действия:
Найдите и щелкните следующий подраздел реестра:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ W32Time \ Parameters
На панели справа щелкните правой кнопкой мыши NtpServer , а затем выберите Изменить .
В Edit Value введите Peers в поле Value data , а затем выберите OK .
Примечание
Peers — это заполнитель для разделенного пробелами списка одноранговых узлов, от которых ваш компьютер получает отметки времени. Каждое указанное DNS-имя должно быть уникальным. Вы должны добавить , 0x1 в конец каждого DNS-имени. Если вы не добавите , 0x1 в конец каждого DNS-имени, изменения, внесенные на шаге 5, не вступят в силу.
Настройте параметры коррекции времени. Для этого выполните следующие действия:
Найдите и щелкните следующий подраздел реестра:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ W32Time \ Config \ MaxPosPhaseCorrection
На панели справа щелкните правой кнопкой мыши MaxPosPhaseCorrection , а затем выберите Изменить .
В Edit DWORD Value щелкните, чтобы выбрать Decimal в поле Base .
В Edit DWORD Value введите TimeInSeconds в поле Value data , а затем выберите OK .
Примечание
TimeInSeconds является заполнителем для разумного значения, например 1 час (3600) или 30 минут (1800). Выбранное значение будет зависеть от интервала опроса, состояния сети и внешнего источника времени.
Значение по умолчанию MaxPosPhaseCorrection составляет 48 часов в Windows Server 2008 R2 или более поздней версии.Найдите и щелкните следующий подраздел реестра:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ W32Time \ Config \ MaxNegPhaseCorrection
На панели справа щелкните правой кнопкой мыши MaxNegPhaseCorrection , а затем выберите Изменить .
В Edit DWORD Value щелкните, чтобы выбрать Decimal в поле Base .
В Edit DWORD Value введите TimeInSeconds в поле Value data , а затем выберите OK .
Примечание
TimeInSeconds является заполнителем для разумного значения, например 1 час (3600) или 30 минут (1800). Выбранное значение будет зависеть от интервала опроса, состояния сети и внешнего источника времени.
Значение по умолчанию MaxNegPhaseCorrection составляет 48 часов в Windows Server 2008 R2 или более поздней версии.
Закройте редактор реестра.
В командной строке введите следующую команду, чтобы перезапустить службу времени Windows, и нажмите Enter:
чистая остановка w32time && чистый старт w32time
Поиск и устранение неисправностей
Для правильной работы службы времени Windows должна правильно работать сетевая инфраструктура. К наиболее частым проблемам, влияющим на службу времени Windows, относятся следующие:
- Проблема с подключением TCP / IP, например, неработающий шлюз.
- Служба разрешения имен работает неправильно.
- В сети возникают большие задержки в объеме, особенно когда синхронизация происходит по каналам глобальной сети (WAN) с высокой задержкой.
- Служба времени Windows пытается синхронизироваться с неточными источниками времени.
Мы рекомендуем использовать служебную программу Netdiag.exe для устранения проблем, связанных с сетью. Netdiag.exe является частью пакета средств поддержки Windows Server 2003. См. Раздел «Справка по инструментам» для получения полного списка параметров командной строки, которые можно использовать с Netdiag.EXE. Если проблема все еще не решена, вы можете включить журнал отладки службы времени Windows. Поскольку журнал отладки может содержать очень подробную информацию, мы рекомендуем вам обратиться в службу поддержки клиентов Microsoft при включении журнала отладки службы времени Windows.
Примечание
В особых случаях плата, которая обычно взимается за обращения в службу поддержки, может быть отменена, если специалист службы поддержки Майкрософт определит, что конкретное обновление решит вашу проблему. Обычные расходы на поддержку будут применяться к дополнительным вопросам поддержки и проблемам, которые не соответствуют требованиям для конкретного рассматриваемого обновления.
Дополнительная информация
Windows Server включает W32Time, инструмент службы времени, необходимый для протокола проверки подлинности Kerberos. Служба времени Windows гарантирует, что все компьютеры в организации, работающие под управлением операционной системы Microsoft Windows 2000 Server или более поздних версий, используют общее время.
Чтобы гарантировать надлежащее общее использование времени, служба времени Windows использует иерархические отношения, которые контролируют полномочия, а служба времени Windows не допускает циклов.По умолчанию компьютеры под управлением Windows используют следующую иерархию:
- Все клиентские настольные компьютеры назначают аутентифицирующий контроллер домена своим входящим партнером по времени.
- Все рядовые серверы следуют тому же процессу, что и клиентские настольные компьютеры.
- Все контроллеры домена в домене назначают хозяина операций основного контроллера домена (PDC) своим входящим партнером по времени.
- Все операторы PDC следуют иерархии доменов при выборе своего входящего партнера по времени.
В этой иерархии хозяин операций PDC в корне леса становится полномочным для организации. Мы настоятельно рекомендуем настроить полномочный сервер времени для получения времени от источника оборудования. Когда вы настраиваете полномочный сервер времени для синхронизации с источником времени в Интернете, аутентификация не выполняется. Мы также рекомендуем вам сократить время корректировки настроек для ваших серверов и автономных клиентов. Эти рекомендации обеспечивают большую точность и безопасность вашего домена.
Список литературы
Дополнительные сведения о службе времени Windows см .:
Дополнительные сведения о службе времени Windows см. В разделе Служба времени Windows (W32Time).
Как работает служба времени Windows
- 23 минуты на чтение
В этой статье
Применимо к: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows 10 или более поздней версии
В этом разделе
Примечание
В Windows Server 2003 и Microsoft Windows 2000 Server служба каталогов называется службой каталогов Active Directory.В Windows Server 2008 и более поздних версиях служба каталогов называется доменными службами Active Directory (AD DS). Остальная часть этого раздела относится к AD DS, но эта информация также применима к Active Directory.
Хотя служба времени Windows не является точной реализацией протокола сетевого времени (NTP), она использует сложный набор алгоритмов, определенных в спецификациях NTP, чтобы гарантировать максимальную точность часов на компьютерах в сети.В идеале все часы компьютера в домене AD DS синхронизируются со временем полномочного компьютера. Многие факторы могут повлиять на синхронизацию времени в сети. На точность синхронизации в AD DS часто влияют следующие факторы:
Компьютеры, которые реже синхронизируют свое время или не присоединены к домену, по умолчанию настроены на синхронизацию с time.windows.com. Следовательно, невозможно гарантировать точность времени на компьютерах, которые имеют прерывистые сетевые соединения или не имеют их.
Лес AD DS имеет заранее заданную иерархию синхронизации времени. Служба времени Windows синхронизирует время между компьютерами в иерархии с наиболее точными эталонными часами наверху. Если на компьютере настроено несколько источников времени, Windows Time использует алгоритмы NTP для выбора наилучшего источника времени из настроенных источников на основе способности компьютера синхронизироваться с этим источником времени. Служба времени Windows не поддерживает сетевую синхронизацию от одноранговых узлов широковещательной или многоадресной рассылки.Дополнительные сведения об этих функциях NTP см. В RFC 1305 в базе данных RFC IETF.
Каждый компьютер, на котором работает служба времени Windows, использует эту службу для поддержания наиболее точного времени. Компьютеры, которые являются членами домена, по умолчанию действуют как клиенты времени, поэтому в большинстве случаев настраивать службу времени Windows не требуется. Однако службу времени Windows можно настроить так, чтобы она запрашивала время из указанного источника эталонного времени, а также могла предоставлять время клиентам.
Степень точности времени компьютера называется слоем. Источник наиболее точного времени в сети (например, аппаратные часы) занимает самый нижний уровень страты. Этот источник точного времени называется эталонными часами. Сервер NTP, который получает свое время непосредственно от эталонных часов, занимает слой, который на один уровень выше, чем у эталонных часов. Ресурсы, которые получают время от сервера NTP, находятся в двух шагах от эталонных часов и, следовательно, занимают слой, который на два выше, чем самый точный источник времени, и так далее.По мере увеличения числа слоев компьютера время на его системных часах может стать менее точным. Следовательно, уровень любого компьютера является показателем того, насколько точно этот компьютер синхронизирован с наиболее точным источником времени.
Когда W32Time Manager получает временные выборки, он использует специальные алгоритмы в NTP, чтобы определить, какая из временных выборок является наиболее подходящей для использования. Служба времени также использует другой набор алгоритмов, чтобы определить, какой из настроенных источников времени является наиболее точным.Когда служба времени определила, какая временная выборка является наилучшей, на основе вышеуказанных критериев, она регулирует локальную тактовую частоту, чтобы позволить ей приблизиться к правильному времени. Если разница во времени между локальными часами и выбранной выборкой точного времени (также называемая временным сдвигом) слишком велика, чтобы исправить ее путем регулировки частоты местных часов, служба времени устанавливает правильное время на местных часах. Эта регулировка тактовой частоты или прямое изменение времени известна как дисциплина часов.
Архитектура службы времени Windows
Служба времени Windows состоит из следующих компонентов:
На следующем рисунке показана архитектура службы времени Windows.
Архитектура службы времени Windows
Диспетчер управления службами отвечает за запуск и остановку службы времени Windows. Диспетчер службы времени Windows отвечает за запуск действий поставщиков времени NTP, включенных в операционную систему. Диспетчер службы времени Windows управляет всеми функциями службы времени Windows и объединением всех временных отсчетов. Помимо предоставления информации о текущем состоянии системы, например о текущем источнике времени или о времени последнего обновления системных часов, диспетчер службы времени Windows также отвечает за создание событий в журнале событий.
Процесс синхронизации времени включает следующие шаги:
Поставщики входных данных запрашивают и получают образцы времени из настроенных источников времени NTP.
Эти выборки времени затем передаются в диспетчер службы времени Windows, который собирает все выборки и передает их субкомпоненту дисциплины часов.
Подкомпонент дисциплины часов применяет алгоритмы NTP, что приводит к выбору наилучшей временной выборки.
Подкомпонент дисциплины часов настраивает время системных часов на наиболее точное время, либо регулируя тактовую частоту, либо напрямую изменяя время.
Если компьютер был назначен сервером времени, он может отправлять время на любой компьютер, запрашивая синхронизацию времени, в любой момент этого процесса.
Протоколы времени службы времени Windows
Протоколы времени определяют, насколько точно синхронизируются часы двух компьютеров.Протокол времени отвечает за определение наилучшей доступной информации о времени и согласование часов, чтобы гарантировать, что согласованное время поддерживается в отдельных системах.
Служба времени Windows использует протокол сетевого времени (NTP) для синхронизации времени в сети. NTP — это протокол времени в Интернете, который включает в себя дисциплинарные алгоритмы, необходимые для синхронизации часов. NTP — это более точный протокол времени, чем простой протокол сетевого времени (SNTP), который используется в некоторых версиях Windows; однако W32Time продолжает поддерживать SNTP для обеспечения обратной совместимости с компьютерами, на которых запущены службы времени на основе SNTP, такие как Windows 2000.
Протокол сетевого времени
Network Time Protocol (NTP) — это протокол синхронизации времени по умолчанию, используемый службой времени Windows в операционной системе. NTP — это отказоустойчивый протокол времени с высокой степенью масштабируемости, который чаще всего используется для синхронизации компьютерных часов с использованием заданной ссылки времени.
Синхронизация времени NTP происходит в течение определенного периода времени и включает передачу пакетов NTP по сети. Пакеты NTP содержат отметки времени, которые включают выборку времени как от клиента, так и от сервера, участвующих в синхронизации времени.
NTP полагается на эталонные часы для определения наиболее точного времени, которое будет использоваться, и синхронизирует все часы в сети с этими эталонными часами. NTP использует универсальное координированное время (UTC) в качестве универсального стандарта для текущего времени. UTC не зависит от часовых поясов и позволяет использовать NTP в любой точке мира независимо от настроек часового пояса.
Алгоритмы NTP
NTP включает в себя два алгоритма, алгоритм фильтрации часов и алгоритм выбора часов, чтобы помочь службе времени Windows определить наилучшую временную выборку.Алгоритм фильтрации часов разработан для фильтрации временных отсчетов, полученных из запрашиваемых источников времени, и определения лучших отсчетов времени из каждого источника. Затем алгоритм выбора часов определяет наиболее точный сервер времени в сети. Затем эта информация передается в алгоритм контроля часов, который использует собранную информацию для корректировки локальных часов компьютера, компенсируя при этом ошибки, вызванные задержкой в сети и неточностью часов компьютера.
Алгоритмы NTP наиболее точны в условиях легкой и умеренной нагрузки на сеть и сервер.Как и любой алгоритм, учитывающий время прохождения по сети, алгоритмы NTP могут плохо работать в условиях экстремальной перегрузки сети. Дополнительные сведения об алгоритмах NTP см. В RFC 1305 в базе данных RFC IETF.
Провайдер времени NTP
Служба времени Windows — это полный пакет синхронизации времени, который может поддерживать различные аппаратные устройства и протоколы времени. Чтобы включить эту поддержку, служба использует подключаемые поставщики времени. Поставщик времени отвечает либо за получение точных отметок времени (из сети или от оборудования), либо за предоставление этих отметок времени другим компьютерам по сети.
Поставщик NTP — это стандартный поставщик времени, включенный в операционную систему. Поставщик NTP следует стандартам, указанным в версии 3 NTP для клиента и сервера, и может взаимодействовать с клиентами и серверами SNTP для обеспечения обратной совместимости с Windows 2000 и другими клиентами SNTP. Поставщик NTP в службе времени Windows состоит из следующих двух частей:
Поставщик вывода NtpServer. Это сервер времени, который отвечает на запросы времени клиента в сети.
Поставщик ввода NtpClient. Это клиент времени, который получает информацию о времени из другого источника, будь то аппаратное устройство или сервер NTP, и может возвращать отсчеты времени, которые полезны для синхронизации локальных часов.
Хотя фактические операции этих двух провайдеров тесно связаны, они кажутся независимыми от службы времени. Начиная с Windows 2000 Server, когда компьютер Windows подключен к сети, он настраивается как клиент NTP.Кроме того, компьютеры, на которых работает служба времени Windows, по умолчанию пытаются синхронизировать время только с контроллером домена или с указанным вручную источником времени. Это предпочтительные поставщики времени, потому что они автоматически становятся доступными и безопасными источниками времени.
Безопасность NTP
В лесу AD DS служба времени Windows использует стандартные функции безопасности домена для обеспечения проверки подлинности данных времени. Безопасность пакетов NTP, которые отправляются между компьютером-членом домена и локальным контроллером домена, который действует как сервер времени, основана на проверке подлинности с общим ключом.Служба времени Windows использует сеансовый ключ Kerberos компьютера для создания подписей с проверкой подлинности для пакетов NTP, которые отправляются по сети. Пакеты NTP не передаются по безопасному каналу Net Logon. Вместо этого, когда компьютер запрашивает время у контроллера домена в иерархии домена, служба времени Windows требует, чтобы время было проверено. Затем контроллер домена возвращает необходимую информацию в виде 64-битного значения, которое было проверено с помощью сеансового ключа из службы сетевого входа.Если возвращенный пакет NTP не подписан с помощью сеансового ключа компьютера или подписан неправильно, время отклоняется. Все такие сбои аутентификации регистрируются в журнале событий. Таким образом, служба времени Windows обеспечивает безопасность данных NTP в лесу AD DS.
Обычно клиенты времени Windows автоматически получают точное время для синхронизации от контроллеров домена в том же домене. В лесу контроллеры домена дочернего домена синхронизируют время с контроллерами домена в своих родительских доменах.Когда сервер времени возвращает аутентифицированный NTP-пакет клиенту, который запрашивает время, пакет подписывается с помощью сеансового ключа Kerberos, определенного междоменной доверительной учетной записью. Учетная запись междоменного доверия создается, когда новый домен AD DS присоединяется к лесу, а служба сетевого входа в систему управляет ключом сеанса. Таким образом, контроллер домена, настроенный как надежный в корневом домене леса, становится источником времени с проверкой подлинности для всех контроллеров домена как в родительском, так и в дочернем доменах и косвенно для всех компьютеров, расположенных в дереве доменов.
Службу времени Windows можно настроить для работы между лесами, но важно отметить, что эта конфигурация небезопасна. Например, NTP-сервер может быть доступен в другом лесу. Однако, поскольку этот компьютер находится в другом лесу, нет сеансового ключа Kerberos, с помощью которого можно подписывать и проверять подлинность пакетов NTP. Чтобы получить точную синхронизацию времени с компьютера в другом лесу, клиенту необходим сетевой доступ к этому компьютеру, а служба времени должна быть настроена на использование определенного источника времени, расположенного в другом лесу.Если клиент вручную настроен для доступа ко времени с сервера NTP за пределами его собственной доменной иерархии, пакеты NTP, отправляемые между клиентом и сервером времени, не аутентифицируются и, следовательно, небезопасны. Даже при реализации доверительных отношений между лесами служба времени Windows не защищена в лесах. Хотя безопасный канал сетевого входа в систему является механизмом проверки подлинности для службы времени Windows, проверка подлинности в лесах не поддерживается.
Аппаратные устройства, поддерживаемые службой времени Windows
Аппаратные часы, такие как GPS или радиочасы, часто используются в качестве высокоточных эталонных часов.По умолчанию поставщик времени NTP службы времени Windows не поддерживает прямое подключение аппаратного устройства к компьютеру, хотя можно создать программный независимый поставщик времени, поддерживающий этот тип подключения. Этот тип поставщика в сочетании со службой времени Windows может обеспечить надежную и стабильную привязку времени.
Аппаратные устройства, такие как цезиевые часы или приемник глобальной системы позиционирования (GPS), обеспечивают точное текущее время, следуя стандарту для получения точного определения времени.Цезиевые часы чрезвычайно стабильны и не зависят от таких факторов, как температура, давление или влажность, но также очень дороги. Приемник GPS намного дешевле в эксплуатации и также является точным эталонным часом. Приемники GPS получают время от спутников, которые получают время от цезиевых часов. Без использования независимого поставщика времени серверы времени Windows могут получать свое время, подключаясь к внешнему серверу NTP, который подключен к аппаратному устройству с помощью телефона или Интернета.Такие организации, как Военно-морская обсерватория США, предоставляют серверы NTP, которые подключены к чрезвычайно надежным эталонным часам.
Многие приемники GPS и другие устройства времени могут функционировать как серверы NTP в сети. Вы можете настроить свой лес AD DS для синхронизации времени с этих внешних аппаратных устройств, только если они также действуют как NTP-серверы в вашей сети. Для этого настройте контроллер домена, работающий в качестве эмулятора основного контроллера домена (PDC) в корне леса, для синхронизации с сервером NTP, предоставляемым устройством GPS.Для этого см. Раздел Настройка службы времени Windows на эмуляторе основного контроллера домена в корневом домене леса.
Простой протокол сетевого времени
Простой сетевой протокол времени (SNTP) — это упрощенный протокол времени, который предназначен для серверов и клиентов, которым не требуется степень точности, обеспечиваемая NTP. SNTP, более рудиментарная версия NTP, является основным протоколом времени, который используется в Windows 2000. Поскольку форматы сетевых пакетов SNTP и NTP идентичны, эти два протокола совместимы.Основное различие между ними заключается в том, что SNTP не имеет систем управления ошибками и сложной фильтрации, которые предоставляет NTP. Дополнительные сведения о протоколе простого сетевого времени см. В RFC 1769 в базе данных RFC IETF.
Взаимодействие с протоколом времени
Служба времени Windows может работать в смешанной среде компьютеров под управлением Windows 2000, Windows XP и Windows Server 2003, поскольку протокол SNTP, используемый в Windows 2000, совместим с протоколом NTP в Windows XP и Windows Server 2003.
Служба времени в Windows NT Server 4.0, называемая TimeServ, синхронизирует время в сети Windows NT 4.0. TimeServ — это дополнительная функция, доступная как часть Microsoft Windows NT 4.0 Resource Kit и не обеспечивающая той степени надежности синхронизации времени, которая требуется для Windows Server 2003.
Служба времени Windows может взаимодействовать с компьютерами под управлением Windows NT 4.0, поскольку они могут синхронизировать время с компьютерами под управлением Windows 2000 или Windows Server 2003; однако компьютер под управлением Windows 2000 или Windows Server 2003 не обнаруживает Windows NT 4 автоматически.0 серверов времени. Например, если ваш домен настроен на синхронизацию времени с использованием метода синхронизации на основе иерархии доменов и вы хотите, чтобы компьютеры в иерархии домена синхронизировали время с контроллером домена Windows NT 4.0, вам необходимо вручную настроить эти компьютеры для синхронизации с контроллеры домена Windows NT 4.0.
Windows NT 4.0 использует более простой механизм синхронизации времени, чем служба времени Windows. Поэтому для обеспечения точной синхронизации времени в сети рекомендуется обновить любую Windows NT 4.0 на контроллеры домена Windows 2000 или Windows Server 2003.
Процессы и взаимодействия службы времени Windows
Служба времени Windows предназначена для синхронизации часов компьютеров в сети. Процесс сетевой синхронизации времени, также называемый конвергенцией времени, происходит по всей сети, когда каждый компьютер получает доступ ко времени с более точного сервера времени. Конвергенция времени включает в себя процесс, с помощью которого полномочный сервер предоставляет текущее время клиентским компьютерам в форме пакетов NTP.Информация, представленная в пакете, указывает, нужно ли вносить корректировки в текущее время компьютера, чтобы оно было синхронизировано с более точным сервером.
В рамках процесса конвергенции времени члены домена пытаются синхронизировать время с любым контроллером домена, находящимся в том же домене. Если компьютер является контроллером домена, он пытается синхронизироваться с более авторитетным контроллером домена.
Компьютеры под управлением Windows XP Home Edition или компьютеры, не присоединенные к домену, не пытаются синхронизироваться с иерархией домена, но по умолчанию настроены на получение времени от времени.windows.com.
Чтобы сделать компьютер под управлением Windows Server 2003 авторитетным, компьютер должен быть настроен на надежный источник времени. По умолчанию первый контроллер домена, установленный в домене Windows Server 2003, автоматически настраивается как надежный источник времени. Поскольку это авторитетный компьютер для домена, его необходимо настроить для синхронизации с внешним источником времени, а не с иерархией домена. Также по умолчанию все остальные члены домена Windows Server 2003 настроены на синхронизацию с иерархией домена.
После того, как вы установили сеть Windows Server 2003, вы можете настроить службу времени Windows для использования одного из следующих вариантов синхронизации:
Синхронизация на основе иерархии доменов
Указанный вручную источник синхронизации
Все доступные механизмы синхронизации
Нет синхронизации.
Каждый из этих типов синхронизации обсуждается в следующем разделе.
Синхронизация на основе иерархии доменов
Синхронизация, основанная на иерархии доменов, использует иерархию доменов AD DS, чтобы найти надежный источник для синхронизации времени. На основе иерархии доменов служба времени Windows определяет точность каждого сервера времени. В лесу Windows Server 2003 компьютер с ролью хозяина операций эмулятора основного контроллера домена (PDC), расположенный в корневом домене леса, занимает позицию лучшего источника времени, если не настроен другой надежный источник времени.На следующем рисунке показан путь синхронизации времени между компьютерами в иерархии домена.
Синхронизация времени в иерархии AD DS
Конфигурация надежного источника времени
Компьютер, который настроен как надежный источник времени, определяется как корень службы времени. Корень службы времени является официальным сервером для домена и обычно настроен для получения времени с внешнего сервера NTP или аппаратного устройства.Сервер времени можно настроить как надежный источник времени для оптимизации передачи времени по иерархии домена. Если контроллер домена настроен как надежный источник времени, служба сетевого входа в систему объявляет этот контроллер домена как надежный источник времени при входе в сеть. Когда другие контроллеры домена ищут источник времени для синхронизации, они сначала выбирают надежный источник, если он доступен.
Выбор источника времени
Процесс выбора источника времени может создать две проблемы в сети:
Цикл в сети синхронизации возникает, когда время остается согласованным между группой контроллеров домена и одно и то же время совместно используется между ними непрерывно без повторной синхронизации с другим надежным источником времени.Алгоритм выбора источника времени службы времени Windows разработан для защиты от подобных проблем.
Компьютер использует один из следующих методов для определения источника времени для синхронизации:
Если компьютер не является членом домена, он должен быть настроен на синхронизацию с указанным источником времени.
Если компьютер является рядовым сервером или рабочей станцией в домене, по умолчанию он следует иерархии AD DS и синхронизирует свое время с контроллером домена в своем локальном домене, на котором в данный момент работает служба времени Windows.
Если компьютер является контроллером домена, он выполняет до шести запросов, чтобы найти другой контроллер домена для синхронизации. Каждый запрос предназначен для идентификации источника времени с определенными атрибутами, такими как тип контроллера домена, конкретное местоположение и то, является ли он надежным источником времени. Источник времени также должен соответствовать следующим ограничениям:
Надежный источник времени может синхронизироваться только с контроллером домена в родительском домене.
Эмулятор PDC может синхронизироваться с надежным источником времени в собственном домене или с любым контроллером домена в родительском домене.
Если контроллер домена не может синхронизироваться с типом контроллера домена, который он запрашивает, запрос не выполняется. Контроллер домена знает, с какого типа компьютера он может получить время, прежде чем он сделает запрос. Например, локальный эмулятор PDC не пытается запрашивать номера три или шесть, потому что контроллер домена не пытается синхронизироваться с самим собой.
В следующей таблице перечислены запросы, выполняемые контроллером домена для поиска источника времени, и порядок выполнения запросов.
Контроллер домена Запросы источника времени
Номер запроса | Контроллер домена | Расположение | Надежность источника времени |
---|---|---|---|
1 | Контроллер родительского домена | на месте | Предпочитает надежный источник времени, но может синхронизироваться с ненадежным источником времени, если это все, что доступно. |
2 | Локальный контроллер домена | на месте | Синхронизируется только с надежным источником времени. |
3 | Эмулятор локального PDC | на месте | Не применяется. Контроллер домена не пытается синхронизироваться с самим собой. |
4 | Контроллер родительского домена | Нет | Предпочитает надежный источник времени, но может синхронизироваться с ненадежным источником времени, если это все, что доступно. |
5 | Локальный контроллер домена | Нет | Синхронизируется только с надежным источником времени. |
6 | Эмулятор локального PDC | Нет | Не применяется. Контроллер домена не пытается синхронизироваться с самим собой. |
Примечание
- Компьютер никогда не синхронизируется сам с собой. Если компьютер, выполняющий попытку синхронизации, является локальным эмулятором PDC, он не выполняет запросы 3 или 6.
Каждый запрос возвращает список контроллеров домена, которые можно использовать в качестве источника времени. Windows Time присваивает каждому запрашиваемому контроллеру домена оценку в зависимости от надежности и местоположения контроллера домена. В следующей таблице перечислены оценки, присвоенные Windows Time каждому типу контроллера домена.
Определение баллов
Состояние контроллера домена | Оценка |
---|---|
Контроллер домена, расположенный на том же сайте | 8 |
Контроллер домена отмечен как надежный источник времени | 4 |
Контроллер домена, расположенный в родительском домене | 2 |
Контроллер домена, который является эмулятором PDC | 1 |
Когда служба времени Windows определяет, что она идентифицировала контроллер домена с наилучшей возможной оценкой, запросы больше не выполняются.Баллы, присваиваемые службой времени, являются кумулятивными, что означает, что эмулятор PDC, расположенный на том же сайте, получает балл девять.
Если корень службы времени не настроен для синхронизации с внешним источником, внутренние аппаратные часы компьютера управляют временем.
Синхронизация, задаваемая вручную
Синхронизация, указанная вручную, позволяет указать одного узла или список одноранговых узлов, от которых компьютер получает время. Если компьютер не является членом домена, его необходимо вручную настроить для синхронизации с указанным источником времени.Компьютер, который является членом домена, по умолчанию настроен на синхронизацию из иерархии домена, синхронизация, указанная вручную, наиболее полезна для корня леса домена или для компьютеров, которые не присоединены к домену. Указание вручную внешнего сервера NTP для синхронизации с официальным компьютером для вашего домена обеспечивает надежное время. Однако настройка официального компьютера для вашего домена для синхронизации с аппаратными часами на самом деле является лучшим решением для обеспечения наиболее точного и безопасного времени для вашего домена.
Указанные вручную источники времени не аутентифицируются, если для них не написан конкретный поставщик времени, и поэтому они уязвимы для злоумышленников. Кроме того, если компьютер синхронизируется с источником, указанным вручную, а не с контроллером домена, выполняющим проверку подлинности, эти два компьютера могут не синхронизироваться, что приведет к сбою проверки подлинности Kerberos. Это может привести к сбою других действий, требующих сетевой аутентификации, таких как печать или совместное использование файлов. Если только корень леса настроен на синхронизацию с внешним источником, все остальные компьютеры в лесу будут синхронизированы друг с другом, что затрудняет повторные атаки.
Все доступные механизмы синхронизации
Параметр «все доступные механизмы синхронизации» является наиболее ценным методом синхронизации для пользователей в сети. Этот метод обеспечивает синхронизацию с иерархией домена, а также может предоставить альтернативный источник времени, если иерархия домена становится недоступной, в зависимости от конфигурации. Если клиент не может синхронизировать время с иерархией домена, источник времени автоматически возвращается к источнику времени, указанному в настройке NtpServer .Этот метод синхронизации, скорее всего, предоставит клиентам точное время.
Остановка синхронизации времени
Есть определенные ситуации, в которых вы захотите остановить компьютер от синхронизации своего времени. Например, если компьютер пытается выполнить синхронизацию из источника времени в Интернете или с другого сайта через глобальную сеть с помощью коммутируемого соединения, это может повлечь за собой дорогостоящие телефонные расходы. Когда вы отключаете синхронизацию на этом компьютере, вы предотвращаете попытки компьютера получить доступ к источнику времени через коммутируемое соединение.
Вы также можете отключить синхронизацию, чтобы предотвратить появление ошибок в журнале событий. Каждый раз, когда компьютер пытается синхронизироваться с недоступным источником времени, он генерирует ошибку в журнале событий. Если источник времени отключен от сети для планового обслуживания, и вы не собираетесь перенастраивать клиента для синхронизации из другого источника, вы можете отключить синхронизацию на клиенте, чтобы предотвратить попытки синхронизации, пока сервер времени недоступен.
Полезно отключить синхронизацию на компьютере, который обозначен как корень сети синхронизации. Это означает, что корневой компьютер доверяет своим локальным часам. Если для корня иерархии синхронизации не задано значение NoSync и если он не может синхронизироваться с другим источником времени, клиенты не принимают пакет, который отправляет этот компьютер, поскольку его времени нельзя доверять.
Единственные серверы времени, которым доверяют клиенты, даже если они не синхронизировались с другим источником времени, — это те, которые были определены клиентом как надежные серверы времени.
Отключение службы времени Windows
Службу времени Windows (W32Time) можно полностью отключить. Если вы решите внедрить сторонний продукт синхронизации времени, который использует NTP, вы должны отключить службу времени Windows. Это связано с тем, что всем NTP-серверам необходим доступ к порту 123 протокола пользовательских дейтаграмм (UDP), и пока служба времени Windows работает в операционной системе Windows Server 2003, порт 123 остается зарезервированным для службы времени Windows.
Сетевые порты, используемые службой времени Windows
Служба времени Windows обменивается данными по сети для определения надежных источников времени, получения информации о времени и предоставления информации о времени другим компьютерам.Он выполняет эту связь, как определено RFC NTP и SNTP.
Назначение портов для службы времени Windows
Название службы | UDP | TCP |
---|---|---|
NTP | 123 | НЕТ |
SNTP | 123 | НЕТ |
См. Также
Технический справочник службы времени Windows Инструменты и настройки службы времени Windows Статья базы знаний Майкрософт 9
Как настроить сервер NTP в Windows Server 2019
Введение
Давайте посмотрим, как настроить сервер NTP в Windows Server 2019.Служба времени Windows использует протокол сетевого времени (NTP) для синхронизации времени в сети. NTP — это протокол времени в Интернете, который включает в себя дисциплинарные алгоритмы, необходимые для синхронизации часов (Microsoft Docs).
Шаг 1: Откройте редактор реестра
Щелкните значок запуска на своем сервере и выполните поиск приложения « Run ». В приложении «Выполнить» введите « regedit » и нажмите «Enter». Это запустит наш редактор реестра, как показано ниже.
Появится окно, подобное приведенному ниже.
Шаг 2: Перейдите к пути NtpServer
Следуйте следующему дереву реестра, чтобы добраться до нашей целевой конфигурации. Компьютер> HKEY_LOCAL_MACHINE> SYSTEM> CurrentControlSet> Services> W32Time> TimeProviders> NtpServer .
На изображении ниже мы видим конец дерева. Как видите, на правой панели есть файлы, которые ищут.
Шаг 3. Включите NtpServer
Дважды щелкните файл « Enabled », откроется небольшое окно.В окне есть часть под названием «Данные значения». Измените значение с 0 на 1, как показано ниже. После изменения нажмите «ОК».
Шаг 4: Создайте AnnounceFlags 5
По этому пути: Компьютер> HKEY_LOCAL_MACHINE> SYSTEM> CurrentControlSet> Services> W32Time> , перейдите в «Config», то есть: Computer> HKEY_LOCAL_MACHINE> SYSTEM> CurrentControlSet> Services W32Time> Конфиг .
Находясь там, вы увидите файл с именем « AnnounceFlags » на правой панели, как показано выше.Как вы уже догадались, дважды щелкните по нему. Это откроет небольшое окно, подобное тому, что было на шаге 3. В разделе « Value data » измените значение с a на 5.
От Microsoft следующее описание всех доступных AnnounceFlags:
Entry управляет ли этот компьютер отмечен как надежный сервер времени. Компьютер не считается надежным, если он также не отмечен как сервер времени.
- 0x00 Не сервер времени
- 0x01 Всегда сервер времени
- 0x02 Автоматический сервер времени
- 0x04 Всегда надежный сервер времени
- 0x08 Автоматический надежный сервер времени
Значение по умолчанию для членов домена — 10.Значение по умолчанию для автономных клиентов и серверов — 10.
Шаг 5. Перезапустите NtpServer
Откройте « Services », нажав клавишу Windows и выполнив поиск Services. После открытия найдите «Время Windows». Щелкните его правой кнопкой мыши и выберите « Restart »
Шаг 6: Откройте порт 123 UDP в брандмауэре
Для этого следуйте инструкциям по открытию порта в брандмауэре Windows Server. Помните, что это порт UDP, а не TCP.
Настройте NTP-сервер в Windows 2019 с помощью PowerShell
Если вы являетесь специалистом по PowerShell, откройте свой Powershell от имени администратора и выполните приведенные ниже команды, и все будет хорошо.
Включить NtpServer
Set-ItemProperty -Path "HKLM: \ SYSTEM \ CurrentControlSet \ Services \ w32time \ TimeProviders \ NtpServer" -Name "Enabled" -Value 1
Сделать AnnounceFlags 5
Set-Item-Item : \ SYSTEM \ CurrentControlSet \ services \ W32Time \ Config "-Name" AnnounceFlags "-Value 5
Restart NtpServer
Restart-Service w32Time
Conclusion
Теперь наш NTP-сервер готов синхронизировать время в вашей сети.Затем мы собираемся добавить наших клиентов и наслаждаться лучшей синхронизацией времени. Спасибо, что провели время на сайте и прочитали. В блоге для вас есть еще несколько руководств, просто посмотрите образец ниже.
Установка и настройка Windows Admin Center на Windows Server 2019 / Windows 10
Установка Windows Terminal на Windows 10 / Windows Server 2019
Как разрешить эхо-ответ ICMP на Windows Server 2019
Установить и настроить OpenSSH Server на Windows Server 2019
Установка и настройка FTP-сервера на Windows Server 2019
Установка и настройка iSCSI Target на Windows Server 2019
Как запустить Linux на Windows Server 2019 с WSL
Как настроить NTP-сервер на Windows Server 2019
Network Time Protocol (NTP) работает на порту 123 UDP транспортного уровня и обеспечивает точную синхронизацию времени для сетевых компьютеров.Это устраняет несоответствия времени на серверах и клиентах во время ведения журнала файлов или репликации серверных баз данных среди других ресурсов.
В этой статье мы опишем процесс установки, настройки и запроса сервера NTP в Windows Server 2019.
Сервер NTP
Серверы NTPиспользуют протокол сетевого времени для отправки сигналов времени на серверы по всему миру по запросу. Серверы NTP используют источник времени в формате всемирного координированного времени (UTC) для синхронизации сигналов времени.
Основная цель серверов NTP — обеспечить синхронизацию времени серверов и компьютерных сетей с другими крупными сетевыми серверами и клиентами по всему миру. В свою очередь, это упрощает общение и транзакции по всему миру.
Установка и настройка NTP-сервера в Windows Server 2019Процесс установки, настройки и запроса NTP-сервера в Windows Server 2019 довольно прост.
Установить для службы NTP параметр Автоматически
Для начала нажмите Клавиша Windows + R , чтобы открыть диалоговое окно «Выполнить».Затем введите services.msc и нажмите ENTER.
В окне « Services » найдите службу « Windows Time» . Щелкните правой кнопкой мыши и выберите параметр « Properties », как показано:
Во всплывающем окне выберите тип запуска как « Автоматический ».
Наконец, нажмите « OK », а затем « Apply ».
Настройка NTP-сервера с помощью редактора реестраКак и раньше, запустите диалог запуска, нажав Windows Key + R. Затем введите « regedit » и нажмите ENTER.
Будет запущен редактор реестра, как показано:
Перейдите по пути, показанному ниже:
Компьютер \ HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ W32Time \ TimeProviders \ NtpServer
На правой панели найдите и дважды щелкните файл « Enabled », как показано:
Установите значение 1 и нажмите ОК.
Далее следуйте по этому пути.
Компьютер> HKEY_LOCAL_MACHINE> SYSTEM> CurrentControlSet> Services> W32Time> Config
На правой панели найдите файл «Announce Flags ».
Дважды щелкните файл и установите для него значение 5 в разделе « Value Data ».
Наконец, перезагрузите сервер NTP, чтобы изменения вступили в силу. Вернитесь в окно служб, щелкните правой кнопкой мыши « Windows Time » и выберите « Restart »
Настройка NTP-сервера в Windows 2019 с помощью Windows PowerShellЕсли вам нравится работать в Powershell, запустите Powershell от имени администратора и включите сервер NTP с помощью команды:
Set-ItemProperty -Path «HKLM: \ SYSTEM \ CurrentControlSet \ Services \ w32time \ TimeProviders \ NtpServer» -Name «Enabled» -Value 1
Затем настройте значение Announce Flags, как показано:
Set-ItemProperty -Path «HKLM: \ SYSTEM \ CurrentControlSet \ services \ W32Time \ Config» -Name «AnnounceFlags» -Value 5
Наконец, перезапустите сервер NTP с помощью команды:
Рестарт-сервис w32Time
Важное примечание: UDP-порт 123 должен быть открыт, чтобы трафик NTP-сервера достиг вашего Windows Server 2019.Если серверы NTP недоступны, вы можете проверить настройки брандмауэра, чтобы исправить это.
Другие полезные команды- w32tm / query / configuration для проверки и показывает конфигурацию сервера NTP.
- w32tm / query / peers для проверки списка серверов NTP, настроенных вместе с их статусом конфигурации
- w32tm / resync / nowait для принудительной синхронизации времени с вашим сервером NTP.
- w32tm / query / source , чтобы показать источник времени.
- w32tm / query / status , чтобы показать статус службы времени NTP.
Теперь ваши часы Windows Server 2019 синхронизированы со временем NTP-сервера pool.ntp.org и работают как NTP-клиент. Вы можете добиться полной синхронизации времени в сети и сопутствующей инфраструктуре, синхронизируя все сетевые рабочие станции, серверы, маршрутизаторы, концентраторы и коммутаторы.
Поскольку серверы NTP работают по протоколу UDP с использованием TCP / IP, эти сетевые инфраструктуры должны работать эффективно для эффективной работы сервера NTP.Если вы хотите разместить серверы времени на сервере Windows Server 2019 на виртуальной машине, вам следует отключить параметры синхронизации времени виртуальной машины и синхронизировать их время с доменом Windows Server 2019.
серверов Microsoft NTP страдают от сбоев
Утром 3 апреля серверы Microsoft Network Time Protocol (NTP) вышли из строя. Сначала сервер NTP Microsoft (time.windows.com) сообщил, что время на час позже, чем должно было быть.Затем сайт отключился. Наконец, 24 часа спустя сервер времени вернулся в нужное время.
Майкрософт отслеживает время, когда вы спите более суток.
Фото: Джо МакКендрикЧто случилось? Мы не знаем, и Microsoft не говорит. Microsoft еще не ответила на письма по этому поводу.
Вот как выглядел NTP-сервер Microsoft вначале с помощью команды Linux ntpdate:
$ ntpdate -q time.сервер windows.com 13.79.154.18, слой 16, смещение 16.852572, задержка 0,03661
Контрольным признаком того, что что-то не так, является «слой 16». Это сообщает администратору NTP, что сервер NTP не синхронизирован с часами. Как вы можете себе представить, если вы пытаетесь установить время на компьютере без часов, у вас большие проблемы.
Позже Microsoft переключила time.windows.com на новый адрес домена. Это тоже не сработало.
3 апр, 10:50:13 ntpdate [25672]: сервер, подходящий для синхронизации, не найден
К полудню EDT Microsoft устранила основную проблему, и время выставлялось правильно.
Впоследствии вы можете увидеть множество ошибок в ваших системах Windows, начиная от испорченных сообщений журнала и заканчивая странными отметками даты и времени электронной почты. Итак, если вы видите какие-то нечетные временные ошибки в других ваших программах, вы можете винить time.windows.com в сбоях.
Чтобы предотвратить появление ошибок такого рода в ваших системах, я предлагаю не полагаться исключительно на time.windows.com для хронометража вашей сети. Это можно сделать из интерфейса cmd Windows с помощью следующих команд на контроллере домена (DC):
w32tm.exe / config /manualpeerlist:»time.nist.gov time.windows.com 0.us.pool.ntp.org 1.us.pool.ntp.org 2.us.pool.ntp.org «/ syncfromflags: manual / надежный: ДА / update
w32tm.exe / config / update
Restart-Service w32time
Этот набор команд заставляет ваши машины использовать NIST, Microsoft и три сервера пула NTP в США для установки времени.
Вы также можете рассмотреть возможность запуска собственного сервера NTP и часов. Для этого вы даже можете использовать Raspberry Pi для создания надежного сервера NTP.
Если вы используете серверы Linux, я также предлагаю перейти с NTP, который не поддерживается в хорошем состоянии, на более новый и более безопасный NTPSec.
Похожие истории:
Как управлять серверами времени в Windows 10
Windows 10 использует протокол сетевого времени (NTP) для подключения к серверам времени в Интернете, чтобы обеспечить точное системное время. В противном случае, если часы не синхронизируются правильно, могут возникнуть проблемы с сетью, а документы и другие файлы, которые вы создаете, могут иметь неправильные отметки времени.
Хотя по большей части сервер времени по умолчанию является надежным, могут возникнуть ситуации, когда вам может потребоваться его изменить, например, если ваша текущая конфигурация заставляет ваше устройство отображать неправильное время, вы просто предпочитаете использовать другую службу, или ваша компания использует определенную конфигурацию.
Какова бы ни была причина, в Windows 10 можно переключать поставщиков времени и даже при необходимости добавлять в список настраиваемые серверы времени.
VPN-предложения: пожизненная лицензия за 16 долларов, ежемесячные планы за 1 доллар и более
В этом руководстве по Windows 10 мы расскажем, как использовать разные серверы времени, чтобы убедиться, что ваш компьютер получает правильное время с помощью панели управления.
Как изменить сервер времени в Windows 10
- Открыть панель управления .
- Щелкните Часы, язык и регион .
- Щелкните Дата и время .
- Щелкните вкладку Internet Time .
Нажмите кнопку Изменить настройки .
- Убедитесь, что для параметра Synchronize with an Internet time server выбрана опция.
- Используйте раскрывающееся меню, чтобы выбрать другой сервер.
Нажмите кнопку Обновить сейчас , чтобы синхронизировать время с новым сервером.
- Щелкните ОК .
- Щелкните Применить .
- Щелкните ОК .
После выполнения этих шагов Windows 10 будет синхронизировать время через Интернет с выбранным вами сервером.
Как добавить новые серверы времени в Windows 10
Если вы предпочитаете использовать другой сервер времени, которого нет в списке, можно также включить любой сервер NTP, который вы хотите.
- Открыть панель управления .
- Щелкните Часы, язык и регион .
- Щелкните Дата и время .
- Щелкните вкладку Internet Time .
Нажмите кнопку Изменить настройки .
- Убедитесь, что для параметра Synchronize with an Internet time server выбрана опция.
Щелкните раскрывающееся меню рядом с «Сервером» и введите новый адрес сервера времени.
- Нажмите кнопку Обновить сейчас , чтобы выполнить повторную синхронизацию.
- Щелкните ОК .
- Щелкните Применить .
- Щелкните ОК .
После добавления новой конфигурации вы можете быстро убедиться, что все работает должным образом, проверив вкладку Internet Time , которая теперь должна включать сообщение «Часы были успешно синхронизированы» со ссылкой на сервер NTP и датой и временем. синхронизации.
Добавление новых серверов времени с помощью реестра
Используя панель управления, вы можете изменить настройки времени в Интернете на что угодно, но список позволяет сохранить только одну дополнительную запись. Если вы хотите добавить в список несколько адресов, вам нужно будет использовать реестр.
Предупреждение: Это дружеское напоминание о том, что редактирование реестра рискованно и может нанести необратимый ущерб вашей установке, если вы не сделаете это правильно. Перед продолжением рекомендуется сделать полную резервную копию вашего ПК.
- Используйте сочетание клавиш Windows + R , чтобы открыть команду Выполнить .
- Введите regedit и нажмите ОК , чтобы открыть реестр.
Просмотрите следующий путь:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ DateTime \ Servers
Справа щелкните правой кнопкой мыши раздел Servers (папка), выберите New и щелкните String Value .
- Введите число, соответствующее положению новой записи в раскрывающемся меню сервера на панели управления.
- Дважды щелкните вновь созданное значение строки .
Введите адрес сервера протокола сетевого времени (NTP). Например, если вы хотите использовать общедоступный NTP-сервер Google, введите time.google.com .
- Щелкните ОК .
После выполнения этих шагов вы можете использовать инструкции для изменения сервера времени, но на шаге №6 выберите только что добавленный сервер и не забудьте нажать кнопку Обновить сейчас .
Как устранить проблемы синхронизации с сервером времени
Если после изменения настроек у вашего устройства по-прежнему возникают проблемы с подключением к NTP-серверу, вы можете сбросить настройки службы времени Windows с помощью командной строки.
- Откройте меню «Пуск» .
- Найдите cmd.exe , щелкните результат правой кнопкой мыши и выберите Запуск от имени администратора .
Введите следующую команду, чтобы отключить службу времени Windows, и нажмите Введите :
чистая остановка w32time
Введите следующую команду, чтобы отменить регистрацию службы времени Windows и удалить всю информацию о настройках из реестра, и нажмите Введите :
w32tm / отменить регистрацию
Введите следующую команду, чтобы зарегистрировать службу времени Windows и загрузить настройки по умолчанию в реестр, и нажмите Введите :
w32tm / регистр
Введите следующую команду, чтобы запустить службу времени Windows, и нажмите Введите :
чистый старт w32time
Введите следующую команду, чтобы компьютер синхронизировал компьютер без ожидания, и нажмите Введите :
w32tm / ресинхронизация / nowait
- Перезагрузите компьютер.
После того, как вы выполнили эти шаги, ваше устройство должно синхронизироваться со своими часами через Интернет.
Дополнительные ресурсы по Windows 10
Для получения дополнительных полезных статей, материалов и ответов на распространенные вопросы о Windows 10 посетите следующие ресурсы:
Стать мастером строительстваРуководство по строительству Вальхейма: Постройте свою базу правильно
Строительство хорошей, прочной базы в Вальхейме важно, но на самом деле это довольно сложный процесс.Вот несколько советов и приемов, которые помогут игрокам воплотить в жизнь свою мечту.
Приступай к работе!Руководство по верстаку Valheim: как построить, обновить и использовать для ремонта
В Вальхайме очень важно построить и модернизировать верстак. Без него вы не сможете построить убежище, а без его обновления вы также не сможете отремонтировать многие из необходимых инструментов. Вот как вы можете создавать и улучшать верстаки, а также как использовать их для ремонта.
Как создать автономный NTP-сервер в Windows
Я должен управлять часами, а не ими.”- Golda Meir
Вы, наверное, уже знаете, что важно установить точное время на всех клиентах и серверах. Когда часы компьютера расходятся, случаются очень плохие вещи. Например:
- Пользователи не могут войти в домен
- Приложения перезаписывают новые данные более старыми версиями
- Серверы не могут синхронизировать данные между собой, что вызывает конфликты версий
- Финансовые транзакции становятся предметом спора
- Нормативные требования не выполняются
К счастью, Windows учла это.Служба протокола сетевого времени (NTP) была встроена в Windows начиная с Windows XP и Windows Server 2003, и большинство реализаций Unix и Linux поддерживали NTP с момента их создания.
Синхронизация времени клиента и сервера Windows
К сожалению, большинство реализаций Windows не используют NTP, поскольку во многих ситуациях он не включен. Одна из таких ситуаций — сервер, не присоединенный к домену. Несвязанная система может функционировать как NTP-сервер и как клиент, но по умолчанию она не работает.
Я уже писал о настройке автономного компьютера с Windows для работы в качестве клиента NTP. Другой распространенной потребностью является создание автономного сервера NTP, который может обеспечивать синхронизацию времени для неподключенных компьютеров Windows, а также других операционных систем, таких как Linux и Mac OSX.
Настройка Windows как автономного сервера NTP
Windows реализует службу W32Time как клиент и сервер NTP. По умолчанию служба отключена. Таким образом, для настройки системы в качестве сервера NTP требуется как включить службу W32Time, так и настроить ее как сервер.Процесс очень прост.
Сначала воспользуйтесь консолью служб, чтобы найти службу времени Windows. Скорее всего, он будет выключен, как показано на рисунке 1.
Рисунок 1. Время Windows еще не включено или не запущено.
Вам необходимо запустить службу и настроить ее для автоматического запуска, как показано на рисунке 2.
Рисунок 2. Служба W32Time запущена и настроена для автоматического запуска.
Для включения службы сервера NTP требуется быстрое изменение реестра.Откройте Regedit и перейдите к HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ W32Time \ TimeProviders \ NtpServer и измените Enabled с 0 на 1. Это показано на рисунке 3.
Рисунок 3. Изменение значения NtpServer Enabled на 1.
Последний шаг — обновить текущую конфигурацию службы времени Windows. Для этого нужно открыть командную строку и ввести команду w32tm / config / update . Затем вы можете убедиться, что служба сервера NTP включена, с помощью команды w32tm / query / configuration .Оба они показаны на рисунке 4.
Рисунок 4. Выходные данные команды w32tm.
Обратите внимание, что в разделе VMICTimeProvider для параметра Enabled установлено значение 1.