Разное

Ntp сервер microsoft: Настройка до полномочного времени — Windows Server

01.07.2019

Содержание

Настройка до полномочного времени — Windows Server

  • Чтение занимает 5 мин

В этой статье

В этой статье описывается настройка службы времени Windows и устранение неполадок, когда служба времени Windows работает неправильно.

Исходная версия продукта:   Windows Server 2012 Standard, Windows Server 2012 Essentials
Исходный номер КБ:   816042

Чтобы настроить внутренний сервер времени для синхронизации с внешним источником времени, используйте следующий метод:

Чтобы настроить PDC в корне леса Active Directory для синхронизации с внешним источником времени, выполните следующие действия:

  1. Измените тип сервера на NTP. Для этого выполните следующие действия:

    1. Выберите >

      «Начните запуск», введите regedit и выберите «ОК».

    2. Найдите и выделите следующий подраздел реестра:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type

    3. В области справа щелкните правой кнопкой мыши «Введите» и выберите «Изменить».

    4. В поле «Изменение значения» введите NTP в поле данных «Значение» и выберите «ОК».

  2. Установите AnnounceFlags 5. Для этого выполните следующие действия:

    1. Найдите и выберите следующий подкомедий реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags

    2. В области справа щелкните правой кнопкой мыши AnnounceFlags и выберите «Изменить».

    3. В окне «Изменение значения DWORD»

      введите 5 в поле данных «Значение» и выберите «ОК».

    Примечание

    • Если достоверный сервер времени, настроенный на использование значения 0x5, не синхронизируется с сервером времени вышестояшего потока, клиентский сервер может не синхронизироваться правильно с достоверным сервером времени при возобновлении синхронизации времени между достоверным сервером времени и сервером времени. AnnounceFlag Поэтому при плохом сетевом подсети или других проблемах, которые могут привести к сбою синхронизации времени достоверного сервера с сервером вышестоячего, установите значение 0xA вместо AnnounceFlag 0x5.
    • Если достоверный сервер времени, настроенный для использования значения 0x5 и синхронизации с сервером с последующим временем с фиксированным интервалом, указанным в, клиентский сервер может неправильно синхронизироваться с достоверным сервером времени после перезапуска достоверного сервера
      AnnounceFlag
      SpecialPollInterval времени. Таким образом, если вы настроите достоверный сервер времени для синхронизации с сервером NTP с последующим сервером с фиксированным интервалом, указанным в, установите значение 0xA вместо 0x5 SpecialPollInterval AnnounceFlag .
  3. В включить NTPServer. Для этого выполните следующие действия:

    1. Найдите и выделите следующий подраздел реестра:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer

    2. В области справа щелкните правой кнопкой мыши «Включено» и выберите «Изменить».

    3. В окне «Изменение значения DWORD» введите 1 в поле данных «Значение» и выберите «ОК».

    4. Укажите источники времени. Для этого выполните следующие действия:

      1. Найдите и откройте следующий подраздел реестра:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters

      2. В области справа щелкните правой кнопкой мыши NtpServer и выберите «Изменить».

      3. В поле «Изменение значения» введите «Одноранговые» в поле данных «Значение» и выберите «ОК».

        Примечание

        Одноранговая часть — это замещенный пробелами список одноранговых пользователей, от которых компьютер получает отметки времени. Каждое перечисленное DNS-имя должно быть уникальным. Необходимо 0x1 в конец каждого DNS-имени. Если не внести 0x1 в конец каждого DNS-имени, изменения, внесенные на шаге 5, не будут действовать.

  4. Настройте параметры исправления времени. Для этого выполните следующие действия:

    1. Найдите и щелкните следующий подкомедий реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxPosPhaseCorrection

    2. В области справа щелкните правой кнопкой мыши MaxPosPhaseCorrection и выберите «Изменить».

    3. В окне «Изменить значение DWORD» щелкните, чтобы выбрать десятичность

      в базовом поле.

    4. В поле «Изменение значения DWORD» введите TimeInSeconds и выберите «ОК».

      Примечание

      TimeInSeconds — это место для разумного значения, например 1 час (3600) или 30 минут (1800). Выбранное значение будет зависеть от интервала опроса, условия сети и внешнего источника времени.
      Значение maxPosPhaseCorrection по умолчанию — 48 часов в Windows Server 2008 R2 или более поздней.

    5. Найдите и откройте следующий подраздел реестра:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxNegPhaseCorrection

    6. В области справа щелкните правой кнопкой мыши MaxNegPhaseCorrection

      и выберите «Изменить».

    7. В окне «Изменить значение DWORD» щелкните, чтобы выбрать десятичность в базовом поле.

    8. В поле «Изменение значения DWORD» введите TimeInSeconds и выберите «ОК».

      Примечание

      TimeInSeconds — это место для разумного значения, например 1 час (3600) или 30 минут (1800). Выбранное значение будет зависеть от интервала опроса, условия сети и внешнего источника времени.
      Значение maxNegPhaseCorrection по умолчанию — 48 часов в Windows Server 2008 R2 или более поздней.

  5. Закройте редактор реестра.

  6. Чтобы перезапустить службу времени Windows, введите в командной командной области следующую команду, а затем нажмите ввод:

    net stop w32time && net start w32time
    

Устранение неполадок

Чтобы служба времени Windows правильно функционировала, сетевая инфраструктура должна работать правильно. К наиболее распространенным проблемам, влияющим на службу времени Windows, относятся следующие:

  • Существует проблема с подключением TCP/IP, например с неавтерией шлюза.
  • Служба разрешения имен работает неправильно.
  • В сети возникают большие задержки, особенно при синхронизации по соединениям с широкой сетью с высокой задержкой.
  • Служба времени Windows пытается синхронизироваться с неточными источниками времени.

Для устранения неполадок, связанных с сетьюNetdiag.exe рекомендуется использовать с помощью этой Netdiag.exe. Netdiag.exe входит в пакет средств поддержки Windows Server 2003. Полный список параметров командной строки, которые можно использовать с Netdiag.exe. Если проблема не решена, можно включить журнал отлажки службы времени Windows. Так как журнал отлаки может содержать очень подробные сведения, мы рекомендуем обратиться в службу поддержки клиентов Майкрософт при включив журнал отлажки службы времени Windows.

Примечание

В особых случаях плата за вызовы в службу поддержки может быть отменена, если специалист службы поддержки Майкрософт решит проблему с определенным обновлением. Обычные затраты на поддержку будут применяться к дополнительным вопросам и вопросам, которые не относятся к конкретному обновлению.

Дополнительные сведения

Windows Server включает средство службы времени W32Time, необходимое протоколу проверки подлинности Kerberos.

Служба времени Windows позволяет убедиться, что все компьютеры в организации с операционной системой Microsoft Windows 2000 Server или более поздними версиями используют общее время.

Чтобы гарантировать правильное использование общего времени, служба времени Windows использует иерархическую связь, которая управляет полномочиями, а служба времени Windows не разрешает циклы. По умолчанию компьютеры с Windows используют следующую иерархию:

  • Все клиентские настольные компьютеры назначают контроллер домена для проверки подлинности в качестве связанного партнера по времени.
  • Все серверы-члены следуют той же процедуре, что и настольные компьютеры клиента.
  • Все контроллеры домена в домене назначают основного мастера операций контроллера домена (PDC) в качестве связанного партнера времени.
  • Все мастера операций PDC следуют иерархии доменов в выборе связанного партнера по времени.

В этой иерархии хозяин операций PDC в корне леса становится дополняемой для организации. Настоятельно рекомендуется настроить до полномочного сервера времени для получения времени из источника оборудования. При настройке достоверного сервера времени для синхронизации с источником интернет-времени проверка подлинности не происходит. Кроме того, рекомендуется сократить параметры исправления времени для серверов и автономных клиентов. Эти рекомендации обеспечивают большую точность и безопасность домена.

Ссылки

Дополнительные сведения о службе времени Windows см. в:

Дополнительные сведения о службе времени Windows см. в службе времени Windows (W32Time).

Инструменты и параметры службы времени Windows

  • Чтение занимает 27 мин

В этой статье

Применяется к: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows 10 или более поздних версийApplies to: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows 10 or later

В этом разделе вы узнаете о средствах и параметрах службы времени Windows (W32Time).

In this topic, you learn about tools and settings for Windows Time service (W32Time).

Если вам нужно синхронизировать время только для клиентского компьютера, присоединенного к домену, см. эту статью.If you want to synchronize time for only a domain-joined client computer, see Configure a client computer for automatic domain time synchronization. Дополнительные разделы о настройке службы времени Windows см. в статье Windows Time Service (W32Time) (Служба времени Windows W32Time).For additional topics about how to configure Windows Time service, see Where to Find Windows Time Service Configuration Information.

Внимание!

Для настройки или задания времени запуска службы времени Windows не следует использовать команду Net time.You should not use the Net time command to configure or set time when the Windows Time service is running.

Кроме того, на старых компьютерах под управлением Windows XP или более ранней версии команда Net time /querysntp отображала имя сервера NTP, с помощью которого настроена синхронизация компьютера, однако этот NTP-сервер используется только в том случае, если клиент времени компьютера настроен как NTP или AllSync. Also, on older computers that run Windows XP or earlier versions, the Net time /querysntp command displays the name of a Network Time Protocol (NTP) server with which a computer is configured to synchronize, but that NTP server is used only when the computer’s time client is configured as NTP or AllSync. Поэтому эта команда нерекомендуемая.That command has since been deprecated.

Большинство компьютеров-членов домена имеют тип клиента NT5DS, что означает синхронизацию времени из иерархии доменов.Most domain member computers have a time client type of NT5DS, which means that they synchronize time from the domain hierarchy. Единственным типичным исключением является контроллер домена, который выступает в роли хозяина операций эмулятора основного контроллера домена (PDC) корневого домена леса,The only typical exception to this is the domain controller that functions as the primary domain controller (PDC) emulator operations master of the forest root domain. который обычно настроен для синхронизации времени с внешним источником. The PDC emulator operations master is usually configured to synchronize time with an external time source. Чтобы просмотреть настройку времени клиента компьютера, выполните команду W32tm /query /configuration из командной строки с повышенными привилегиями в Windows Server 2008 и Windows Vista, а затем считайте Тип в выходных данных команды.To view the time client configuration of a computer (starting in Windows Server 2008 and Windows Vista), run the W32tm /query /configuration command from an elevated Command Prompt, and read the Type line in the command output. Дополнительные сведения см. в разделе How the Windows Time Service Works (Принцип работы службы времени Windows).For more information, see How Windows Time Service Works. Кроме того, вы можете выполнить команду reg query HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Parameters и считать значение NtpServer в выходных данных команды. Additionally, you can run the reg query HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Parameters command and read the value of NtpServer in the command output.

Указанные ниже инструменты связаны со службой времени Windows.The following tool is associated with the Windows Time service.

W32tm.exe: Служба времени WindowsW32tm.exe: Windows Time

КатегорияCategory

Этот инструмент является частью стандартной установки Windows (Windows XP и более поздних версий) и Windows Server (Windows Server 2003 и более поздних версий).This tool is part of the default installation of Windows (Windows XP and later versions) and Windows Server (Windows Server 2003 and later versions).

Совместимость версийVersion compatibility

Этот инструмент работает при стандартной установке Windows (Windows XP и более поздних версий) и Windows Server (Windows Server 2003 и более поздних версий). This tool works on the default installation of Windows (Windows XP and later versions) and Windows Server (Windows Server 2003 and later versions).

С помощью W32tm.exe можно настроить параметры службы времени Windows и диагностировать возникающие проблемы.You can use W32tm.exe to configure Windows Time service settings and to diagnose time service problems. W32tm.exe — это предпочтительная программа командной строки для настройки, мониторинга и устранения неполадок службы времени Windows.W32tm.exe is the preferred command-line tool for configuring, monitoring, or troubleshooting the Windows Time service.

В следующих таблицах описаны параметры, используемые с W32tm.exe.The following tables describe the parameters that you can use with W32tm.exe.

Основные параметры W32tm.exeW32tm.exe primary parameters

ПараметрParameter ОписаниеDescription
w32tm /?w32tm /? Отображает справку командной строки W32tm. Displays the W32tm command-line help
w32tm /registerw32tm /register Регистрирует службу времени для запуска в качестве службы и добавляет информацию о конфигурации по умолчанию в реестр.Registers the time service to run as a service and adds its default configuration information to the registry.
w32tm /unregisterw32tm /unregister Отменяет регистрацию службы времени и удаляет все сведения о конфигурации из реестра.Unregisters the time service and removes all of its configuration information from the registry.
w32tm /monitor [/domain:<domain name>] [/computers:<name>[,<name>[,<name>…]]] [/threads:<num>]w32tm /monitor [/domain:<domain name>] [/computers:<name>[,<name>[,<name>…]]] [/threads:<num>] Отслеживает службу времени Windows. Monitors the Windows Time service.

/domain: указывает, какой домен следует отслеживать./domain: Specifies which domain to monitor. Если имя домена не указано или не указан ни один из параметров /domain и /computers, используется домен по умолчанию.If no domain name is given, or neither the /domain nor /computers option is specified, the default domain is used. Этот параметр можно указывать многократно.This option might be used more than once.

/computers: наблюдает за заданным списком компьютеров./computers: Monitors the given list of computers. Имена компьютеров разделяются запятыми, без пробелов.Computer names are separated by commas, with no spaces. Если имя имеет префикс *, оно обрабатывается как имя основного контроллера домена. Этот параметр можно указывать многократно./threads: указывает число одновременно анализируемых компьютеров. If a name is prefixed with a *, it is treated as a PDC. This option might be used more than once./threads: Specifies the number of computers to analyze simultaneously. По умолчанию используется значение 3.The default value is three. Допустимый диапазон — 1–50.Allowed range is 1-50.

w32tm /ntte <NT time epoch>w32tm /ntte <NT time epoch> Преобразует системное время Windows NT (измеряется в интервалах 10-7 секунды, начиная с 0 ч. 1 января 1601 г.) в читаемый формат.Converts a Windows NT system time (measured in 10-7-second intervals starting from 0h 1-Jan 1601) into a readable format.
w32tm /ntpte <NTP time epoch>w32tm /ntpte <NTP time epoch> Преобразует время NTP (измеряется в интервалах 2-32 секунды, начиная с 0 ч. 1 января 1900 г.) в читаемый формат. Converts an NTP time (measured in 2-32-second intervals starting from 0h 1-Jan 1900) into a readable format.
w32tm /resync [/computer:<computer>] [/nowait] [/rediscover] [/soft]w32tm /resync [/computer:<computer>] [/nowait] [/rediscover] [/soft] Сообщает компьютеру о необходимости повторной синхронизации часов как можно скорее, вызывая всю накопленную статистику ошибок.Tells a computer that it should resynchronize its clock as soon as possible, throwing out all accumulated error statistics.

/computer:<computer> : указывает компьютер, который нужно повторно синхронизировать./computer:<computer>: Specifies the computer that should resynchronize. Если не указано, будет выполнена повторная синхронизация локального компьютера.If not specified, the local computer will resynchronize.

/nowait: не дожидайтесь повторной синхронизации; возвращайтесь немедленно. /nowait: do not wait for the resynchronize to occur; return immediately. В противном случае дождитесь завершения повторной синхронизации, прежде чем возвращать.Otherwise, wait for the resynchronize to complete before returning.

/rediscover: переопределение конфигурации сети и повторное обнаружение сетевых источников, а затем повторная синхронизация./rediscover: Redetects the network configuration and rediscovers network sources, then resynchronize.

/soft: повторная синхронизация с использованием существующей статистики ошибок./soft: Resynchronizes by using existing error statistics. Не полезно, предоставляется для обеспечения совместимости.Not useful, provided for compatibility.

w32tm /stripchart /computer:<target> [/period:<refresh>] [/dataonly] [/samples:<count>] [/rdtsc]w32tm /stripchart /computer:<target> [/period:<refresh>] [/dataonly] [/samples:<count>] [/rdtsc] Отображение ленточной диаграммы смещения между этим и другим компьютером. Displays a strip chart of the offset between this computer and another computer.

/computer:<target> : компьютер для измерения смещения./computer:<target>: The computer to measure the offset against.

/period:<refresh> : время между выборками в секундах./period:<refresh>: The time between samples, in seconds. Значение по умолчанию — две секунды.The default is two seconds.

/dataonly: отображает только данные без графиков./dataonly: Displays the data only, without graphics.

/samples:<count> : собирает примеры <count> с последующей остановкой./samples:<count>: Collects <count> samples, then stops. Если не указано, примеры будут собираться до нажатия CTRL + C.If not specified, samples will be collected until Ctrl+C is pressed.

/rdtsc: для каждого образца этот параметр выводит значения, разделенные запятыми, вместе с заголовками RdtscStart, RdtscEnd, FileTime, RoundtripDelay, NtpOffset вместо текстового графика./rdtsc: For each sample, this option prints comma-separated values along with the headers RdtscStart, RdtscEnd, FileTime, RoundtripDelay, and NtpOffset instead of the text graphic.

  • RdtscStart: значение RDTSC (счетчик метки времени чтения), собранное непосредственно перед созданием NTP-запроса.RdtscStart: RDTSC (Read Time Stamp Counter) value collected just before the NTP request was generated.
  • RdtscEnd: значение RDTSC, собранное сразу после получения и обработки NTP-ответа.RdtscEnd: RDTSC value collected just after the NTP response was received and processed.
  • FileTime: локальное значение FILETIME, используемое в NTP-запросе.FileTime: Local FILETIME value used in the NTP request.
  • RoundtripDelay: время в секундах между созданием NTP-запроса и обработкой полученного NTP-ответа, вычисленное в соответствии с операциями циклического прохождения NTP.RoundtripDelay: Time elapsed in seconds between generating the NTP request and processing the received NTP response, computed as per NTP roundtrip computations.
  • NTPOffset: смещение времени (в секундах) между локальным компьютером и NTP-сервером, вычисляемое согласно вычислениям NTP-смещения.NTPOffset: Time offset in seconds between the local computer and the NTP server, computed as per NTP offset computations.
w32tm /config [/computer:<target>] [/update] [/manualpeerlist:<peers>] [/syncfromflags:<source>] [/LocalClockDispersion:<seconds>] [/reliable:(YES|NO)] [/largephaseoffset:<milliseconds>]w32tm /config [/computer:<target>] [/update] [/manualpeerlist:<peers>] [/syncfromflags:<source>] [/LocalClockDispersion:<seconds>] [/reliable:(YES|NO)] [/largephaseoffset:<milliseconds>] /computer:<target> : настраивает конфигурацию <target>. /computer:<target>: Adjusts the configuration of <target>. Если значение не указано, по умолчанию используется локальный компьютер.If not specified, the default is the local computer.

/update: уведомляет службу времени об изменении конфигурации, что приводит к началу действия изменений./update: Notifies the time service that the configuration has changed, causing the changes to take effect.

/manualpeerlist:<peers> : задает для ручного списка одноранговых узлов <peers>, который представляет собой разделенный пробелами список DNS и IP-адресов./manualpeerlist:<peers>: Sets the manual peer list to <peers>, which is a space-delimited list of DNS and/or IP addresses. При указании нескольких одноранговых узлов этот параметр необходимо заключить в кавычки.When specifying multiple peers, this option must be enclosed in quotes.

/syncfromflags:<source> : задает, из каких источников должен синхронизироваться NTP-клиент./syncfromflags:<source>: Sets what sources the NTP client should synchronize from. Ожидается, что <source> — это список этих ключевых слов, разделенный запятыми (без учета реестра):<source> should be a comma-separated list of these keywords (not case sensitive):

  • MANUAL (Вручную): добавление одноранговых узлов вручную в список одноранговых узлов.MANUAL: Include peers from the manual peer list.
  • DOMHIER: синхронизация из контроллера домена (DC) в иерархии доменов.DOMHIER: Synchronize from a domain controller (DC) in the domain hierarchy.
/LocalClockDispersion:<seconds> : настраивает точность внутренних часов, которые будут присвоены W32Time, если не удается получить время из настроенных источников. /LocalClockDispersion:<seconds>: Configures the accuracy of the internal clock that W32Time will assume when it can’t acquire time from its configured sources.

/reliable:(YES|NO) : укажите, является ли этот компьютер надежным источником времени./reliable:(YES|NO): Set whether this computer is a reliable time source. Этот параметр имеет смысл только на контроллерах домена.This setting is only meaningful on domain controllers.

  • YES (Да): этот компьютер является надежной службой времени.YES: This computer is a reliable time service.
  • NO (Нет): этот компьютер является ненадежной службой времени.NO: This computer is not a reliable time service.
/largephaseoffset:<milliseconds> : задает разницу во времени между локальным и сетевым временем, которую W32Time будет рассматривать как пики./largephaseoffset:<milliseconds>: sets the time difference between local and network time which W32Time will consider a spike.
w32tm /tzw32tm /tz Отображение текущих параметров часового пояса.Display the current time zone settings.
w32tm /dumpreg [/subkey:<key>] [/computer:<target>]w32tm /dumpreg [/subkey:<key>] [/computer:<target>] Отображение значений, связанных с заданным ключом реестра.Display the values associated with a given registry key.

По умолчанию используется ключ HKLM\System\CurrentControlSet\Services\W32Time (корневой ключ для службы времени).The default key is HKLM\System\CurrentControlSet\Services\W32Time (the root key for the time service).

/subkey:<key> : отображает значения, связанные с подразделом ключа по умолчанию./subkey:<key>: Displays the values associated with subkey of the default key.

/computer:<target> : запрашивает параметры реестра для компьютера <target>. /computer:<target>: Queries registry settings for computer <target>

w32tm /query [/computer:<target>] {/source | /configuration | /peers | /status} [/verbose]w32tm /query [/computer:<target>] {/source | /configuration | /peers | /status} [/verbose] Отображает сведения о службе времени Windows на компьютере.Displays a computer’s Windows Time service information. Этот параметр впервые стал доступным в клиенте службы времени Windows в Windows Vista и Windows Server 2008.This parameter was first made available in the Windows Time client in Windows Vista and Windows Server 2008.

/computer:<target> : запрашивает сведения о <target>./computer:<target>: Queries the information of <target>. Если значение не указано, по умолчанию используется локальный компьютер. If not specified, the default value is the local computer.

/source: отображает источник времени./source: Displays the time source.

/configuration: отображение конфигурации времени выполнения и места, где берется параметр./configuration: Displays the configuration of run time and where the setting comes from. В режиме подробного протоколирования также отображается неопределенное или неиспользуемое значение.In verbose mode, display the undefined or unused setting too.

/peers: отображение списка узлов и их состояние./peers: Displays a list of peers and their status.

/status: отображение состояния службы времени Windows./status: Displays Windows Time service status.

/verbose: задание режима подробного протоколирования для отображения дополнительных сведений./verbose: Sets the verbose mode to display more information.

w32tm /debug {/disable | {/enable /file:<name> /size:/<bytes> /entries:<value> [/truncate]}}w32tm /debug {/disable | {/enable /file:<name> /size:/<bytes> /entries:<value> [/truncate]}} Включение или отключение закрытого журнала службы времени Windows для локального компьютера.Enables or disables the local computer Windows Time service private log. Этот параметр впервые стал доступным в клиенте службы времени Windows в Windows Vista и Windows Server 2008.This parameter was first made available in the Windows Time client in Windows Vista and Windows Server 2008.

/disable: отключает закрытый журнал./disable: Disables the private log.

/enable: включает закрытый журнал./enable: Enables the private log.

  • file:<name> : указывает абсолютное имя файла. file:<name>: Specifies the absolute file name.
  • size:<bytes> : указывает максимальный размер для циклического ведения журнала.size:<bytes>: Specifies the maximum size for circular logging.
  • entries:<value> : содержит список флагов, определяемых числом и разделенных запятыми, которые определяют типы данных, которые должны регистрироваться в журнале.entries:<value>: Contains a list of flags, specified by number and separated by commas, that specify the types of information that should be logged. Допустимые значения: от 0 до 300.Valid numbers are 0 to 300. Диапазон чисел является допустимым дополнением к отдельным числам, например 0–100,103,106.A range of numbers is valid, in addition to single numbers, such as 0-100,103,106. Значение 0–300 предназначено для ведения журнала всех сведений.Value 0-300 is for logging all information.
/truncate: усечение файла, если он существует./truncate: Truncate the file if it exists.

Дополнительные сведения о W32tm.exe см. в Справке Windows.For more information about W32tm.exe, see Windows help.

ПримерыExamples

Если вы хотите настроить локальный клиент службы времени Windows так, чтобы он указывал на два разных сервера времени (один с именем ntpserver.contoso.com, а второй — clock.adatum.com), введите в командной строке следующую команду и нажмите клавишу ВВОД:If you want to set the local Windows Time client to point to two different time servers, one named ntpserver.contoso.com and another named clock.adatum.com, type the following command at the command line, and then press ENTER:

w32tm /config /manualpeerlist:"ntpserver.contoso.com clock.adatum.com" /syncfromflags:manual /update

Если вы хотите проверить конфигурацию клиента службы времени Windows с клиентского компьютера под управлением Windows с именем узла CONTOSOW1, выполните следующую команду:If you want to check the Windows Time client configuration from a Windows-based client computer that has a host name of CONTOSOW1, run the following command:

W32tm /query /computer:contosoW1 /configuration

Выходные данные этой команды представляют собой список параметров конфигурации, заданных для клиента службы времени Windows. The output of this command is a list of configuration parameters that are set for the Windows Time client.

Важно!

В Windows Server 2016 улучшены алгоритмы синхронизации времени для соответствия спецификациям RFC.Windows Server 2016 has improved the time synchronization algorithms to align with RFC specifications. Поэтому если вы хотите настроить локальный клиент службы времени Windows так, чтобы он указывал на несколько одноранговых узлов, настоятельно рекомендуется подготовить три или более разных сервера времени.Therefore, if you want to set the local Windows Time client to point to multiple peers, it is highly recommended that you prepare three or more different time servers.

При наличии только двух серверов времени укажите флаг UseAsFallbackOnly (0x2), чтобы отменить назначение приоритета одному из них.If you have only two time servers, you should specify the UseAsFallbackOnly flag (0x2) to de-prioritize one of them. Например, если необходимо назначить приоритет ntpserver. contoso.com над clock.adatum.com, выполните следующую команду.For instance, if you want to prioritize ntpserver.contoso.com over clock.adatum.com, run the following command.

w32tm /config /manualpeerlist:"ntpserver.contoso.com,0x8 clock.adatum.com,0xa" /syncfromflags:manual /update

Значение указанного флага см. в разделе Записи подраздела HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Parameters.For the meaning of the specified flag, see «HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Parameters» subkey entries.

Использование групповой политики для настройки службы времени WindowsUsing Group Policy to configure the Windows Time service

Служба времени Windows сохраняет ряд свойств конфигурации в виде записей реестра.The Windows Time service stores a number of configuration properties as registry entries. Для настройки большинства этих данных можно использовать объекты групповой политики.You can use Group Policy Objects to configure most of this information. Например, объекты групповой политики можно использовать для настройки компьютера в качестве NTPServer или NTPClient, механизма синхронизации времени или компьютера в качестве надежного источника времени.For example, you can use GPOs to configure a computer to be an NTPServer or NTPClient, configure the time synchronization mechanism, or configure a computer to be a reliable time source.

Примечание

Параметры групповой политики для службы времени Windows можно настроить на контроллерах домена Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 и Windows Server 2008 R2, и они могут применяться только к компьютерам под управлением Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 и Windows Server 2008 R2.Group Policy settings for the Windows Time service can be configured on Windows Server 2003, Windows Server 2003 R2, Windows Server 2008, and Windows Server 2008 R2 domain controllers and can be applied only to computers running Windows Server 2003, Windows Server 2003 R2, Windows Server 2008, and Windows Server 2008 R2.

Windows хранит сведения о политике службы времени Windows в файле административного шаблона W32Time.admx в папке Computer Configuration\Administrative Templates\System\Windows Time Service.Windows stores the Windows Time service policy information in the W32Time.admx administrative template file, under Computer Configuration\Administrative Templates\System\Windows Time Service. Windows хранит сведения о конфигурации, определенной политиками в реестре, и использует эти записи реестра для настройки записей реестра для службы времени Windows.It stores the configuration information that the policies define in the registry, and uses those registry entries to configure the registry entries for the Windows Time service. В результате значения, определенные групповой политикой, перезапишут все существовавшие ранее значения в разделе реестра службы времени Windows.As a result, the values defined by Group Policy overwrite any pre-existing values in the Windows Time service section of the registry.

Например, предположим, что вы изменяете параметры политики Настроить NTP-клиент Windows.For example, suppose you edit policy settings in the Configure Windows NTP Client policy.

Изменения хранятся в следующем расположении в административном шаблоне:Your changes are stored in the following location in the administrative template:

Computer Configuration\Administrative Templates\System\Windows Time Service\Time Providers\Configure Windows NTP ClientComputer Configuration\Administrative Templates\System\Windows Time Service\Time Providers\ Configure Windows NTP Client

Windows загружает эти параметры в область политики реестра в следующем подразделе:Windows loads these settings into the policy area of the registry under the following subkey:

HKLM\Software\Policies\Microsoft\W32time\TimeProviders\NtpClientHKLM\Software\Policies\Microsoft\W32time\TimeProviders\NtpClient

Затем в Windows используются параметры политики для настройки связанных записей реестра службы времени Windows в следующем подразделе:Then Windows uses the policy settings to configure the related Windows Time service registry entries under the following subkey:

HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Time Providers\NTPClient\HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Time Providers\NTPClient\

В следующей таблице перечислены политики, которые можно настроить для службы времени Windows, а также подразделы реестра, на которые влияют эти политики. The following table lists the policies that you can configure for the Windows Time service, and the registry subkeys that those policies affect.

Примечание

При удалении параметра групповой политики Windows удаляет соответствующую запись из области политики реестра.When you remove a Group Policy setting, Windows removes the corresponding entry from the policy area of the registry.

Политика1Policy1 Расположения реестра2,3Registry locations2,3
Глобальные параметры конфигурацииGlobal Configuration Settings W32TimeW32Time
W32Time\ConfigW32Time\Config
W32Time\ParametersW32Time\Parameters
Time Providers\Configure Windows NTP ClientTime Providers\Configure Windows NTP Client W32Time\TimeProviders\NtpClientW32Time\TimeProviders\NtpClient
Time Providers\Enable Windows NTP ClientTime Providers\Enable Windows NTP Client W32Time\TimeProviders\NtpClientW32Time\TimeProviders\NtpClient
Time Providers\Enable Windows NTP ServerTime Providers\Enable Windows NTP Server W32Time\TimeProviders\NtpServerW32Time\TimeProviders\NtpServer

1 Путь к категории: Computer Configuration\Administrative Templates\System\Windows Time Service 2 Subkey: HKLM\SOFTWARE\Policies\Microsoft 3 Subkey: HKLM\SYSTEM\CurrentControlSet\Services1 Category path: Computer Configuration\Administrative Templates\System\Windows Time Service 2 Subkey: HKLM\SOFTWARE\Policies\Microsoft 3 Subkey: HKLM\SYSTEM\CurrentControlSet\Services

Включение ведения журнала W32TimeEnabling W32Time logging

Следующие три записи реестра не являются частью стандартной конфигурации W32Time, но их можно добавить в реестр, чтобы получить расширенные возможности ведения журнала. The following three registry entries are not a part of the W32Time default configuration but can be added to the registry to obtain increased logging capabilities. Регистрируемые в журнале системных событий сведения можно изменить, изменив значение параметра EventLogFlags в редакторе объектов групповой политики.The information logged to the System Event log can be modified by changing value for the EventLogFlags setting in the Group Policy Object Editor. По умолчанию служба времени регистрирует событие при каждом переключении на новый источник времени.By default, the time service logs an event every time that it switches to a new time source.

Чтобы включить ведение журнала W32Time, добавьте следующие записи реестра:In order to enable W32Time logging, add the following registry entries:

Запись реестраRegistry Entry ВерсииVersions ОписаниеDescription
FileLogEntriesFileLogEntries Все версииAll versions Управляет количеством записей, создаваемых в файле журнала службы времени Windows. Controls the number of entries created in the Windows Time log file. По умолчанию используется нулевое значение, которое не регистрирует никаких действий службы времени Windows.The default value is none, which does not log any Windows Time activity. Допустимые значения: 0300.Valid values are 0 to 300. Это значение не влияет на записи журнала событий, которые обычно создаются службой времени Windows.This value does not affect the event log entries normally created by Windows Time
FileLogNameFileLogName Все версииAll versions Определяет расположение и имя файла журнала службы времени Windows.Controls the location and file name of the Windows Time log. Значение по умолчанию пустое и не должно изменяться, пока не изменяется FileLogEntries.The default value is blank, and should not be changed unless FileLogEntries is changed. Допустимое значение — это полный путь и имя файла, которые служба времени Windows будет использовать для создания файла журнала.A valid value is a full path and file name that Windows Time will use to create the log file. Это значение не влияет на записи журнала событий, которые обычно создаются службой времени Windows.This value does not affect the event log entries normally created by Windows Time.
FileLogSizeFileLogSize Все версииAll versions Управляет поведением циклического ведения журнала файлов журнала службы времени Windows.Controls the circular logging behavior of Windows Time log files. При определении FileLogEntries и FileLogName запись определяет размер (в байтах), чтобы разрешить доступ к файлу журнала, прежде чем перезаписывать старые записи в журнал как новые.When FileLogEntries and FileLogName are defined, Entry defines the size, in bytes, to allow the log file to reach before overwriting the oldest log entries with new entries. Используйте для этого параметра значение — 1 000 000 или больше.Please use 1000000 or larger value for this setting. Это значение не влияет на записи журнала событий, которые обычно создаются службой времени Windows.This value does not affect the event log entries normally created by Windows Time.

Настройка службы времени Windows на сброс часов компьютераConfiguring how Windows Time service resets the computer clock

Чтобы Служба W32Time постепенно установила компьютерные часы, смещение должно одновременно быть меньше значения MaxAllowedPhaseOffset и соответствовать следующему уравнению:In order for W32Time to set the computer clock gradually, the offset must be less than the MaxAllowedPhaseOffset value and satisfy the following equation at the same time:

  • Windows Server 2016 и более поздних версийWindows Server 2016 and later versions:

    |CurrentTimeOffset| ÷ (16 × PhaseCorrectRate × pollIntervalInSeconds) ≤ SystemClockRate ÷ 2|CurrentTimeOffset| ÷ (16 × PhaseCorrectRate × pollIntervalInSeconds) ≤ SystemClockRate ÷ 2

  • Windows Server 2012 R2 и более ранних версий. Windows Server 2012 R2 and earlier versions:

    |CurrentTimeOffset| ÷ (PhaseCorrectRate × UpdateInterval) ≤ SystemClockRate ÷ 2|CurrentTimeOffset| ÷ (PhaseCorrectRate × UpdateInterval) ≤ SystemClockRate ÷ 2

Значение CurrentTimeOffset измеряется в тактах часов, где 1 мс = 10 000 тактов в системе Windows.The CurrentTimeOffset value is measured in clock ticks, where 1 ms = 10,000 clock ticks on a Windows system.

SystemClockRate и PhaseCorrectRate также измеряются в тактах часов.SystemClockRate and PhaseCorrectRate are also measured in clock ticks. Чтобы получить значение SystemClockRate, можно использовать следующую команду, а затем преобразовать его из секунд в такты часов, используя формулу секунды × 1 000 × 10 000:To get the SystemClockRate value, you can use the following command and convert it from seconds to clock ticks by using the formula of seconds × 1,000 × 10,000:

W32tm /query /status /verbose
ClockRate: 0. 0156000s

SystemClockRate — это частота часов в системе.SystemClockRate is the rate of the clock on the system. Например, при использовании 156 000 секунд значение SystemClockRate будет = 0,0156000 × 1 000 × 10 000 = 156 000 тактов.Using 156,000 seconds as an example, the SystemClockRate value would be 0.0156000 × 1,000 × 10,000 = 156,000 clock ticks.

MaxAllowedPhaseOffset также измеряется в секундах.MaxAllowedPhaseOffset is also measured in seconds. Чтобы преобразовать его в такты часов, умножьте MaxAllowedPhaseOffset × 1 000 × 10 000.To convert it to clock ticks, multiply MaxAllowedPhaseOffset × 1,000 × 10,000.

В следующих примерах показано, как применять эти вычисления при использовании Windows Server 2012 R2 или более ранней версии.The following examples show how to apply these calculations when you use Windows Server 2012 R2 or an earlier version.

Пример 1. Время отличается на четыре минутыExample 1: Time differs by four minutes

Например, ваше время — 11:05, а образец времени, который получен от однорангового узла и считается верным — 11:09.Your time is 11:05 and the time sample that you received from a peer and believe to be correct is 11:09.

PhaseCorrectRate = 1;PhaseCorrectRate = 1

UpdateInterval = 30 000 тактов;UpdateInterval = 30,000 clock ticks

SystemClockRate = 156 000 тактов;SystemClockRate = 156,000 clock ticks

MaxAllowedPhaseOffset = 10 мин = 600 секунд = 600 × 1 000 × 10 000 = 6 000 000 000 тактов;MaxAllowedPhaseOffset = 10 min = 600 seconds = 600 × 1,000 × 10,000 = 6,000,000,000 clock ticks

|CurrentTimeOffset| = 4 мин = 4 × 60 × 1 000 × 10 000 = 2 400 000 000 тактов;|CurrentTimeOffset| = 4 min = 4 × 60 × 1,000 × 10,000 = 2,400,000,000 clock ticks

CurrentTimeOffset ≤ MaxAllowedPhaseOffset?;Is CurrentTimeOffsetMaxAllowedPhaseOffset?

2 400 000 000 ≤ 6 000 000 000: TRUE2,400,000,000 ≤ 6,000,000,000: TRUE

И удовлетворяет ли он приведенное выше уравнение?AND does it satisfy the above equation?

(|CurrentTimeOffset| ÷(PhaseCorrectRate×UpdateInterval)≤SystemClockRate÷2)(|CurrentTimeOffset| ÷ (PhaseCorrectRate × UpdateInterval) ≤ SystemClockRate ÷ 2)

2 400 000 000/(30 000 × 1) ≤ 156 000 ÷ 2;Is 2,400,000,000 / (30,000 × 1) ≤ 156,000 ÷ 2

80 000 ≤ 78 000: FALSE80,000 ≤ 78,000: FALSE

Поэтому W32tm немедленно перевел бы часы обратно в исходное положение. Therefore, W32tm would set the clock back immediately.

Примечание

В этом случае, если вы хотите медленно вернуть часы обратно, вам также придется скорректировать значения PhaseCorrectRate или UpdateInterval в реестре, чтобы убедиться, что результат уравнения является TRUE.In this case, if you want to set the clock back slowly, you would also have to adjust the values of PhaseCorrectRate or UpdateInterval in the registry to make sure that the equation result is TRUE.

Пример 2. Время отличается на три минутыExample 2: Time differs by three minutes

PhaseCorrectRate = 1;PhaseCorrectRate = 1

UpdateInterval = 30 000 тактов;UpdateInterval = 30,000 clock ticks

SystemClockRate = 156 000 тактов;SystemClockRate = 156,000 clock ticks

MaxAllowedPhaseOffset = 10 мин = 600 секунд = 600 × 1 000 × 10 000 = 6 000 000 000 тактов;MaxAllowedPhaseOffset = 10 min = 600 seconds = 600 × 1,000 × 10,000 = 6,000,000,000 clock ticks

|CurrentTimeOffset| = 3 мин = 3×60×1 000×10 000 = 1 800 000 000 тактов|CurrentTimeOffset| = 3 mins = 3 × 60 × 1,000 × 10,000 = 1,800,000,000 clock ticks

|CurrentTimeOffset| ≤MaxAllowedPhaseOffset?Is |CurrentTimeOffset| ≤ MaxAllowedPhaseOffset?

1 800 000 000≤6 000 000 000: TRUE1,800,000,000 ≤ 6,000,000,000: TRUE

И удовлетворяет ли он приведенное выше уравнение?AND does it satisfy the above equation?

(|CurrentTimeOffset| ÷(PhaseCorrectRate×UpdateInterval)≤SystemClockRate÷2)(|CurrentTimeOffset| ÷ (PhaseCorrectRate × UpdateInterval) ≤ SystemClockRate ÷ 2)

3 минуты×(1 800 000 000) ÷ (30 000 × 1) ≤ 156 000 ÷ 2;Is 3 mins × (1,800,000,000) ÷ (30,000 × 1) ≤ 156,000 ÷ 2

60 000 ≤ 78 000: TRUEIs 60,000 ≤ 78,000: TRUE

В этом случае часы будут медленно возвращаться в исходное положение. In this case, the clock will be set back slowly.

Справочные материалы. Записи реестра службы времени WindowsReference: Windows Time service registry entries

Предупреждение

Сведения об этих записях реестра предоставляются в виде справки по устранению неполадок или проверке применения необходимых параметров.The information about these registry entries is provided as a reference for use in troubleshooting or verifying that the required settings are applied. Многие значения в разделе реестра W32Time используются службой W32Time внутренне для хранения информации.Many of the values in the W32Time section of the registry are used internally by W32Time to store information. Не изменяйте эти значения вручную.Do not manually change these values. Изменения в реестре не проверяются редактором реестра или операционной системой Windows перед их применением.Modifications to the registry are not validated by the registry editor or by Windows before they are applied. Если реестр содержит недопустимые значения, в Windows могут произойти неустранимые ошибки. If the registry contains invalid values, Windows may experience unrecoverable errors.

Служба времени Windows хранит сведения в следующих подразделах реестра:Windows Time service stores information under the following registry subkeys:

Кроме того, для устранения неполадок можно добавлять записи, чтобы настроить журналы.Additionally, for troubleshooting purposes, you can add entries in order to configure logs.

В следующих таблицах колонка «Все версии» ссылается на версии Windows 7, Windows 8, Windows 10, Windows Server 2008 и Windows Server 2008 R2, Windows Server 2012 и Windows Server 2012 R2, Windows Server 2016 и Windows Server 2019.In the following tables, «All versions» refers to versions of Windows that include Windows 7, Windows 8, Windows 10, Windows Server 2008 and Windows Server 2008 R2, Windows Server 2012 and Windows Server 2012 R2, Windows Server 2016, and Windows Server 2019. Некоторые записи доступны только в более новых версиях Windows.Some entries are only available on later Windows versions.

Примечание

Некоторые параметры в реестре измеряются в тактах часов, а некоторые — в секундах.Some of the parameters in the registry are measured in clock ticks and some are measured in seconds. Чтобы преобразовать время из тактов в секунды, используйте следующие коэффициенты преобразования:To convert the time from clock ticks to seconds, use these conversion factors:

  • 1 минута = 60 с1 minute = 60 sec
  • 1 с = 1000 мс1 sec = 1000 ms
  • 1 мс = 10 000 тактовых импульсов в системе Windows, как описано в разделе Свойство DateTime.Ticks.1 ms = 10,000 clock ticks on a Windows system, as described at DateTime.Ticks Property.

Например, 5 минут будет иметь значение 5 × 60 × 1000 × 10000 = 3 000 000 000 тактов.For example, 5 minutes becomes 5 × 60 × 1000 × 10000 = 3,000,000,000 clock ticks.

Записи в подразделе HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Config»HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Config» subkey entries

Запись реестраRegistry entry ВерсииVersions ОписаниеDescription
AnnounceFlagsAnnounceFlags Все версииAll versions Определяет, помечен ли этот компьютер как надежный сервер времени. Controls whether this computer is marked as a reliable time server. Компьютер не помечается как надежный, если он также не помечен как сервер времени.A computer is not marked as reliable unless it is also marked as a time server.
  • 0x00.0x00. Не сервер времени.Not a time server
  • 0x01.0x01. Всегда сервер времени.Always time server
  • 0x02.0x02. Автоматический сервер времени.Automatic time server
  • 0x04.0x04. Всегда надежный сервер времени.Always-reliable time server
  • 0x08.0x08. Автоматический надежный сервер времени.Automatic reliable time server

Значение по умолчанию для членов домена равно 10.The default value for domain members is 10. Значение по умолчанию для автономных клиентов и серверов равно 10.The default value for stand-alone clients and servers is 10.
ChainDisableChainDisable Определяет, отключен ли механизм связывания.Controls whether or not the chaining mechanism is disabled. Если механизм связывания отключен (имеет значение 0), контроллер домена только для чтения (RODC) может синхронизироваться с любым контроллером домена, но узлы, на которых не кэшированы пароли на RODC, не смогут синхронизироваться с RODC.If chaining is disabled (set to 0), a read-only domain controller (RODC) can synchronize with any domain controller, but hosts that do not have their passwords cached on the RODC will not be able to synchronize with the RODC. Это логический параметр, который по умолчанию имеет значение — 0.This is a boolean setting, and the default value is 0.
ChainEntryTimeoutChainEntryTimeout Указывает максимальное количество времени, в течение которого запись может оставаться в таблице цепочек до того, как она будет считаться просроченной. Specifies the maximum amount of time that an entry can remain in the chaining table before the entry is considered to be expired. Просроченные записи могут быть удалены при обработке следующего запроса или ответа.Expired entries may be removed when the next request or response is processed. Значение по умолчанию — 16 (секунд).The default value is 16 (seconds).
ChainLoggingRateChainLoggingRate Определяет частоту, с которой событие, указывающее количество успешных и неудачных попыток связывания, заносится в системный журнал в средство просмотра событий.Controls the frequency at which an event that indicates the number of successful and unsuccessful chaining attempts is logged to the System log in Event Viewer. Значение по умолчанию — 30 (минут).The default is 30 (minutes).
ChainMaxEntriesChainMaxEntries Определяет максимальное число записей, допустимых в таблице цепочек. Controls the maximum number of entries that are allowed in the chaining table. Если таблица цепочек заполнена и нет просроченных записей для удаления, все входящие запросы отклоняются.If the chaining table is full and no expired entries can be removed, any incoming requests are discarded. Значение по умолчанию — 128 (записей).The default value is 128 (entries).
ChainMaxHostEntriesChainMaxHostEntries Определяет максимальное число записей, допустимых в таблице цепочек для конкретного узла.Controls the maximum number of entries that are allowed in the chaining table for a particular host. Значение по умолчанию — 4 (записи).The default value is 4 (entries).
ClockAdjustmentAuditLimitClockAdjustmentAuditLimit Windows Server 2016 версии 1709 и более поздних; Windows 10 версии 1709 и более поздних.Windows Server 2016 Version 1709 and later versions; Windows 10 Version 1709 and later versions Задает минимальные локальные настройки часов, которые могут быть записаны в журнал событий службы W32time на целевом компьютере. Specifies the smallest local clock adjustments that may be logged to the W32time service event log on the target computer. Значение по умолчанию — 800 (частей на каждый миллион — PPM).The default value is 800 (parts per million — PPM).
ClockHoldoverPeriodClockHoldoverPeriod Windows Server 2016 версии 1709 и более поздних; Windows 10 версии 1709 и более поздних.Windows Server 2016 Version 1709 and later versions; Windows 10 Version 1709 and later versions Указывает максимальное количество секунд, в течение которых системные часы могут номинально сохранять свою точность без синхронизации с источником времени.Indicates the maximum number of seconds a system clock can nominally hold its accuracy without synchronizing with a time source. Если этот период времени завершается без получения службой W32time новых примеров от любого из поставщиков входных данных, она инициирует повторное обнаружение источников времени. If this period of time passes without W32time obtaining new samples from any of its input providers, W32time initiates a rediscovery of time sources. Default: 7 800 секунд.Default: 7,800 seconds.
EventLogFlagsEventLogFlags Все версииAll versions Управляет событиями, которые регистрируются службой времени.Controls which events that the time service logs.
  • 0x1.0x1. Перевод времени.Time jump
  • 0x2.0x2. Изменение источника.Source change
Значение по умолчанию для членов домена равно 2.The default value on domain members is 2. Значение по умолчанию на автономных клиентах и серверах равно 2.The default value on stand-alone clients and servers is 2.
FrequencyCorrectRateFrequencyCorrectRate Все версииAll versions Управляет скоростью, с которой часы исправляются. Controls the rate at which the clock is corrected. Если это значение слишком мало, часы нестабильны и превышают допустимые значения.If this value is too small, the clock is unstable and overcorrects. Если значение слишком велико, синхронизация часов занимает много времени.If the value is too large, the clock takes a long time to synchronize. Значение по умолчанию для членов домена равно 4.The default value on domain members is 4. Значение по умолчанию на автономных клиентах и серверах равно 4.The default value on stand-alone clients and servers is 4.

ПримечаниеNote
0 — это недопустимое значение для записи реестра FrequencyCorrectRate.Zero is not a valid value for the FrequencyCorrectRate registry entry. На компьютерах под управлением Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 и Windows Server 2008 R2, если значение равно 0, служба времени Windows автоматически изменяет его на 1. On Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 , and Windows Server 2008 R2 computers, if the value is set to 0, the Windows Time service automatically changes it to 1.

HoldPeriodHoldPeriod Все версииAll versions Контролирует период времени, в течение которого обнаружение пиков отключено для быстрого приведения локальных часов в режим синхронизации.Controls the period of time for which spike detection is disabled in order to bring the local clock into synchronization quickly. Пик — это пример времени, указывающий на то, что время отключается на несколько секунд, и обычно включается после возвращения согласованных образцов времени.A spike is a time sample indicating that time is off a number of seconds, and is usually received after good time samples have been returned consistently. Значение по умолчанию для членов домена равно 5.The default value on domain members is 5. Значение по умолчанию на автономных клиентах и серверах равно 5.The default value on stand-alone clients and servers is 5.
LargePhaseOffsetLargePhaseOffset Все версииAll versions Указывает, что смещение времени в 10-7 секунд, которое больше этого значения или равно ему, считается пиком.Specifies that a time offset greater than or equal to this value in 10-7 seconds is considered a spike. Нарушение работы сети, например, большой объем трафика, может вызвать пиковый скачок.A network disruption such as a large amount of traffic might cause a spike. Пик будет игнорироваться, если он не будет повторяться в течение длительного периода времени.A spike will be ignored unless it persists for a long period of time. Значение по умолчанию для членов домена равно 50 000 000.The default value on domain members is 50000000. Значение по умолчанию на автономных клиентах и серверах равно 50 000 000. The default value on stand-alone clients and servers is 50000000.
LastClockRateLastClockRate Все версииAll versions Поддерживается службой W32Time.Maintained by W32Time. Она содержит зарезервированные данные, используемые операционной системой Windows, и любые изменения этого параметра могут привести к непредсказуемым результатам.It contains reserved data that is used by the Windows operating system, and any changes to this setting can cause unpredictable results. Значение по умолчанию для членов домена равно 156 250.The default value on domain members is 156250. Значение по умолчанию на автономных клиентах и серверах равно 156 250.The default value on stand-alone clients and servers is 156250.
LocalClockDispersionLocalClockDispersion Все версииAll versions Определяет дисперсию (в секундах), которую необходимо предположить, если единственным источником времени являются встроенные часы CMOS. Controls the dispersion (in seconds) that you must assume when the only time source is the built-in CMOS clock. Значение по умолчанию для членов домена равно 10.The default value on domain members is 10. Значение по умолчанию на автономных клиентах и серверах равно 10.The default value on stand-alone clients and servers is 10.
MaxAllowedPhaseOffsetMaxAllowedPhaseOffset Все версииAll versions Указывает максимальное смещение (в секундах), в течение которого W32Time попытается настроить часы компьютера с помощью тактовой частоты.Specifies the maximum offset (in seconds) for which W32Time attempts to adjust the computer clock by using the clock rate. Если смещение превышает эту частоту, W32Time устанавливает часы компьютера напрямую.When the offset exceeds this rate, W32Time sets the computer clock directly. Значение по умолчанию для членов домена равно 300. The default value for domain members is 300. Значение по умолчанию для автономных клиентов и серверов равно 1.The default value for stand-alone clients and servers is 1. Дополнительные сведения см. в разделе Настройка службы времени Windows на сброс часов компьютера.For more information, see Configuring how Windows Time service resets the computer clock.
MaxClockRateMaxClockRate Все версииAll versions Поддерживается службой W32Time.Maintained by W32Time. Она содержит зарезервированные данные, используемые операционной системой Windows, и любые изменения этого параметра могут привести к непредсказуемым результатам.It contains reserved data that is used by the Windows operating system, and any changes to this setting can cause unpredictable results. Значение по умолчанию для членов домена равно 155 860.The default value for domain members is 155860. Значение по умолчанию для автономных клиентов и серверов равно 155 860.The default value for stand-alone clients and servers is 155860.
MaxNegPhaseCorrectionMaxNegPhaseCorrection Все версииAll versions Указывает самую большую отрицательную коррекцию времени в секундах, которую создает служба.Specifies the largest negative time correction, in seconds, that the service makes. Если служба определяет, что изменение больше, чем требуется, она записывает в журнал событие.If the service determines that a change larger than this is required, it logs an event instead.

ПримечаниеNote
Значение 0xFFFFFFFF является особым случаем.The value 0xFFFFFFFF is a special case. Оно означает, что служба всегда исправляет время.This value means that the service always corrects the time.

Значение по умолчанию для членов домена равно 0xFFFFFFFF. The default value for domain members is 0xFFFFFFFF. Значение по умолчанию для автономных клиентов и серверов равно 54 000 (15 часов).The default value for stand-alone clients and servers is 54,000 (15 hrs).

MaxPollIntervalMaxPollInterval Все версииAll versions Задает наибольший интервал в log2 секунд, допустимый для интервала опроса системы.Specifies the largest interval, in log2 seconds, allowed for the system polling interval. Обратите внимание, что хотя система должна опрашиваться в соответствии с запланированным интервалом, поставщик может отказаться от создания примеров по запросу.Note that while a system must poll according to the scheduled interval, a provider can refuse to produce samples when requested to do so. Значение по умолчанию для контроллеров домена 10.The default value for domain controllers is 10. Значение по умолчанию для членов домена равно 15. The default value for domain members is 15. Значение по умолчанию для автономных клиентов и серверов равно 15.The default value for stand-alone clients and servers is 15.
MaxPosPhaseCorrectionMaxPosPhaseCorrection Все версииAll versions Указывает самую большую положительную коррекцию времени в секундах, которую создает служба.Specifies the largest positive time correction in seconds that the service makes. Если служба определяет, что изменение больше, чем требуется, она записывает в журнал событие.If the service determines that a change larger than this is required, it logs an event instead.

ПримечаниеNote
Значение 0xFFFFFFFF является особым случаем.The value 0xFFFFFFFF is a special case. Оно означает, что служба всегда исправляет время.This value means that the service always corrects the time.

Значение по умолчанию для членов домена равно 0xFFFFFFFF.The default value for domain members is 0xFFFFFFFF. Значение по умолчанию для автономных клиентов и серверов равно 54 000 (15 часов).The default value for stand-alone clients and servers is 54,000 (15 hrs).

MinClockRateMinClockRate Все версииAll versions Поддерживается службой W32Time.Maintained by W32Time. Она содержит зарезервированные данные, используемые операционной системой Windows, и любые изменения этого параметра могут привести к непредсказуемым результатам.It contains reserved data that is used by the Windows operating system, and any changes to this setting can cause unpredictable results. Значение по умолчанию для членов домена равно 155 860.The default value for domain members is 155860. Значение по умолчанию для автономных клиентов и серверов равно 155 860. The default value for stand-alone clients and servers is 155860.
MinPollIntervalMinPollInterval Все версииAll versions Задает наименьший интервал в log2 секунд, допустимый для интервала опроса системы.Specifies the smallest interval, in log2 seconds, allowed for the system polling interval. Обратите внимание, что хотя система не запрашивает примеры чаще, поставщик может создавать образцы в любое время, кроме запланированного интервала.Note that while a system does not request samples more frequently than this, a provider can produce samples at times other than the scheduled interval. Значение по умолчанию для контроллеров домена равно 6.The default value for domain controllers is 6. Значение по умолчанию для членов домена равно 10.The default value for domain members is 10. Значение по умолчанию для автономных клиентов и серверов равно 10. The default value for stand-alone clients and servers is 10.
PhaseCorrectRatePhaseCorrectRate Все версииAll versions Управляет частотой исправления ошибки этапа.Controls the rate at which the phase error is corrected. Задание небольшого значения позволяет быстро устранить ошибку этапа, но может привести к нестабильной работе часов.Specifying a small value corrects the phase error quickly, but might cause the clock to become unstable. Если значение слишком велико, то для исправления ошибки на этапе потребуется больше времени.If the value is too large, it takes a longer time to correct the phase error.

Значение по умолчанию для членов домена равно 1.The default value on domain members is 1. Значение по умолчанию на автономных клиентах и серверах равно 7.The default value on stand-alone clients and servers is 7.

ПримечаниеNote
0 — недопустимое значение для записи реестра PhaseCorrectRate. Zero is not a valid value for the PhaseCorrectRate registry entry. На компьютерах под управлением Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 и Windows Server 2008 R2, если значение равно 0, служба времени Windows автоматически изменяет его на 1.On Windows Server 2003, Windows Server 2003 R2, Windows Server 2008, and Windows Server 2008 R2 computers, if the value is set to 0, the Windows Time service automatically changes it to 1.

PollAdjustFactorPollAdjustFactor Все версииAll versions Управляет принятием решения об увеличении или уменьшении интервала опроса для системы.Controls the decision to increase or decrease the poll interval for the system. Чем больше значение, тем меньше объем ошибки, что приводит к уменьшению интервала опроса.The larger the value, the smaller the amount of error that causes the poll interval to be decreased. Значение по умолчанию для членов домена равно 5.The default value on domain members is 5. Значение по умолчанию на автономных клиентах и серверах равно 5.The default value on stand-alone clients and servers is 5.
RequireSecureTimeSyncRequestsRequireSecureTimeSyncRequests Windows 8 и более поздние версииWindows 8 and later versions Определяет, будет ли контроллер домена отвечать на запросы синхронизации времени, использующие старые протоколы проверки подлинности.Controls whether or not the DC will respond to time sync requests that use older authentication protocols. Если параметр включен (имеет значение 1), контроллер домена не будет отвечать на запросы с помощью таких протоколов.If enabled (set to 1), the DC will not respond to requests using such protocols. Это логический параметр, который по умолчанию имеет значение — 0. This is a boolean setting, and the default value is 0.
SpikeWatchPeriodSpikeWatchPeriod Все версииAll versions Указывает время, в течение которого должно существовать подозрительное смещение, прежде чем оно будет принято как правильное (в секундах).Specifies the amount of time that a suspicious offset must persist before it is accepted as correct (in seconds). Значение по умолчанию для членов домена равно 900.The default value on domain members is 900. Значение по умолчанию на автономных клиентах и рабочих станциях равно 900.The default value on stand-alone clients and workstations is 900.
TimeJumpAuditOffsetTimeJumpAuditOffset Все версииAll versions Целое число без знака, которое указывает пороговое значение проверки скачка времени в секундах.An unsigned integer that indicates the time jump audit threshold, in seconds. Если служба времени настраивает местные часы, устанавливая их напрямую, и коррекция времени является большей за это значение, то служба времени регистрирует событие проверки.If the time service adjusts the local clock by setting the clock directly, and the time correction is more than this value, then the time service logs an audit event.
UpdateIntervalUpdateInterval Все версииAll versions Указывает количество тактов часов между настройками фазовой коррекции.Specifies the number of clock ticks between phase correction adjustments. Значение по умолчанию для контроллеров домена 100.The default value for domain controllers is 100. Значение по умолчанию для членов домена равно 30 000.The default value for domain members is 30,000. Значение по умолчанию для автономных клиентов и серверов равно 360 000.The default value for stand-alone clients and servers is 360,000.

ПримечаниеNote
0 — это недопустимое значение для записи реестра UpdateInterval.Zero is not a valid value for the UpdateInterval registry entry. На компьютерах под управлением Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 и Windows Server 2008 R2, если значение равно 0, служба времени Windows автоматически изменяет его на 1.On computers running Windows Server 2003, Windows Server 2003 R2, Windows Server 2008, and Windows Server 2008 R2, if the value is set to 0, the Windows Time service automatically changes it to 1.

UtilizeSslTimeDataUtilizeSslTimeData Версии Windows более поздние, чем версия 1511 сборки Windows 10Windows versions later than Windows 10 build 1511 Значение 1 указывает на то, что W32Time будет использовать несколько временных меток SSL для присвоения начального значения часам, которые являются совершенно неточными. Value of 1 indicates that W32Time uses multiple SSL timestamps to Seed a clock that is grossly inaccurate.

Записи подраздела HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Parameters»HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Parameters» subkey entries

Запись реестраRegistry entry ВерсииVersions ОписаниеDescription
AllowNonstandardModeCombinationsAllowNonstandardModeCombinations Все версииAll versions Указывает, что в синхронизации между одноранговыми узлами разрешены нестандартные сочетания режимов.Indicates that non-standard mode combinations are allowed in synchronization between peers. Значение по умолчанию для членов домена равно 1.The default value for domain members is 1. Значение по умолчанию для автономных клиентов и серверов равно 1.The default value for stand-alone clients and servers is 1.
NtpServerNtpServer Все версииAll versions Указывает разделенный пробелами список одноранговых узлов, из которых компьютер получает отметки времени, состоящие из одного или нескольких DNS-имен или IP-адресов в строке.Specifies a space-delimited list of peers from which a computer obtains time stamps, consisting of one or more DNS names or IP addresses per line. Каждое из указанных DNS-имен или IP-адресов должно быть уникальным.Each DNS name or IP address listed must be unique. Подключенные к домену компьютеры должны синхронизироваться с более надежным источником времени, таким как официальная часовая шкала США.Computers connected to a domain must synchronize with a more reliable time source, such as the official U.S. time clock.
  • 0x01 SpecialInterval0x01 SpecialInterval
  • 0x02 UseAsFallbackOnly0x02 UseAsFallbackOnly
  • 0x04 SymmetricActive: дополнительные сведения об этом режиме см. в статье Windows Time Server 3. 3 Modes of Operation (Сервер времени Windows. 3.3 Режимы операций).0x04 SymmetricActive: For more information about this mode, see Windows Time Server: 3.3 Modes of Operation.
  • 0x08 Client0x08 Client

Значение по умолчанию для этой записи реестра членов домена отсутствует.There is no default value for this registry entry on domain members. По умолчанию на автономных клиентах и серверах используется значение time.windows.com,0x1.The default value on stand-alone clients and servers is time.windows.com,0x1.
ServiceDllServiceDll Все версииAll versions Поддерживается службой W32Time.Maintained by W32Time. Она содержит зарезервированные данные, используемые операционной системой Windows, и любые изменения этого параметра могут привести к непредсказуемым результатам.It contains reserved data that is used by the Windows operating system, and any changes to this setting can cause unpredictable results. Расположение по умолчанию для этой DLL как для членов домена, так и для автономных клиентов и серверов — %windir%\System32\W32Time.dll.The default location for this DLL on both domain members and stand-alone clients and servers is %windir%\System32\W32Time.dll.
ServiceMainServiceMain Все версииAll versions Поддерживается службой W32Time.Maintained by W32Time. Она содержит зарезервированные данные, используемые операционной системой Windows, и любые изменения этого параметра могут привести к непредсказуемым результатам.It contains reserved data that is used by the Windows operating system, and any changes to this setting can cause unpredictable results. Значение по умолчанию для членов домена — SvchostEntry_W32Time.The default value on domain members is SvchostEntry_W32Time. Значение по умолчанию на автономных клиентах и серверах — SvchostEntry_W32Time.The default value on stand-alone clients and servers is SvchostEntry_W32Time.
TypeType Все версииAll versions Указывает, от каких одноранговых узлов следует принимать синхронизацию:Indicates which peers to accept synchronization from:
  • NoSync.NoSync. Служба времени не синхронизируется с другими источниками.The time service does not synchronize with other sources.
  • NTP.NTP. Служба времени синхронизируется с серверов, указанных в NtpServer.The time service synchronizes from the servers specified in the NtpServer. запись реестра.registry entry.
  • NT5DS.NT5DS. Служба времени синхронизируется из иерархии доменов.The time service synchronizes from the domain hierarchy.
  • AllSync.AllSync. Служба времени использует все доступные механизмы синхронизации.The time service uses all the available synchronization mechanisms.
Значение по умолчанию для членов домена равно NT5DS.The default value on domain members is NT5DS. Значение по умолчанию на автономных клиентах и серверах равно NTP.The default value on stand-alone clients and servers is NTP.

Записи подраздела HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient»HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient» subkey entries

Запись реестраRegistry entry ВерсияVersion ОписаниеDescription
AllowNonstandardModeCombinationsAllowNonstandardModeCombinations Все версииAll versions Указывает, что в синхронизации между одноранговыми узлами разрешены нестандартные сочетания режимов.Indicates that non-standard mode combinations are allowed in synchronization between peers. Значение по умолчанию для членов домена равно 1. The default value for domain members is 1. Значение по умолчанию для автономных клиентов и серверов равно 1.The default value for stand-alone clients and servers is 1.
CompatibilityFlagsCompatibilityFlags Все версииAll versions Задает следующие флаги и значения совместимости:Specifies the following compatibility flags and values:
  • 0x00000001 — DispersionInvalid;0x00000001 — DispersionInvalid
  • 0x00000002 — IgnoreFutureRefTimeStamp;0x00000002 — IgnoreFutureRefTimeStamp
  • 0x80000000 — AutodetectWin2K;0x80000000 — AutodetectWin2K
  • 0x40000000 — AutodetectWin2KStage2.0x40000000 — AutodetectWin2KStage2
Значение по умолчанию для членов домена равно 0x80000000.The default value for domain members is 0x80000000. Значение по умолчанию для автономных клиентов и серверов равно 0x80000000.The default value for stand-alone clients and servers is 0x80000000.
CrossSiteSyncFlagsCrossSiteSyncFlags Все версииAll versions Определяет, выбирает ли служба участников синхронизации за пределами домена компьютера.Determines whether the service chooses synchronization partners outside the domain of the computer. Параметры и значения:The options and values are:
  • 0 — нет;0 — None
  • 1 — PdcOnly;1 — PdcOnly
  • 2 — все.2 — All
Это значение пропускается, если значение NT5DS не задано.This value is ignored if the NT5DS value is not set. Значение по умолчанию для членов домена равно 2.The default value for domain members is 2. Значение по умолчанию для автономных клиентов и серверов равно 2. The default value for stand-alone clients and servers is 2.
DllNameDllName Все версииAll versions Указывает расположение библиотеки DLL для поставщика времени.Specifies the location of the DLL for the time provider.

Расположение по умолчанию для этой DLL как для членов домена, так и для автономных клиентов и серверов — %windir%\System32\W32Time.dll.The default location for this DLL on both domain members and stand-alone clients and servers is %windir%\System32\W32Time.dll.

ВключенEnabled Все версииAll versions Указывает, включен ли поставщик NtpClient в текущей службе времени.Indicates if the NtpClient provider is enabled in the current Time Service.
  • 1 — да;1 — Yes
  • 0 — нет.0 — No
Значение по умолчанию для членов домена равно 1. The default value on domain members is 1. Значение по умолчанию на автономных клиентах и серверах равно 1.The default value on stand-alone clients and servers is 1.
EventLogFlagsEventLogFlags Все версииAll versions Указывает события, регистрируемые службой времени Windows.Specifies the events logged by the Windows Time service.
  • 0x1 — изменение достижимости.0x1 — Reachability changes
  • 0x2 — пример сильного отклонения (это относится к Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 и Windows Server 2008 R2).0x2 — Large sample skew (This is applicable to Windows Server 2003, Windows Server 2003 R2, Windows Server 2008, and Windows Server 2008 R2 only)
Значение по умолчанию для членов домена равно 0x1.The default value on domain members is 0x1. Значение по умолчанию на автономных клиентах и серверах равно 0x1.The default value on stand-alone clients and servers is 0x1.
InputProviderInputProvider Все версииAll versions Указывает, следует ли включить NtpClient в качестве InputProvider, который получает сведения о времени от NtpServer.Indicates whether to enable the NtpClient as an InputProvider, which obtains time information from the NtpServer. NTP-сервер является сервером времени, который отвечает на запросы времени клиента по сети, возвращая полезные для синхронизации локальных часов образцы времени.The NtpServer is a time server that responds to client time requests on the network by returning time samples that are useful for synchronizing the local clock.
  • 1 — да;1 — Yes
  • 0 — нет.0 — No
Значение по умолчанию для членов домена и автономных клиентов — 1. Default value for both domain members and stand-alone clients is 1.
LargeSampleSkewLargeSampleSkew Все версииAll versions Указывает большое отклонение примера для ведения журнала в секундах.Specifies the large sample skew for logging, in seconds. Для соответствия спецификациям Комиссии по ценным бумагам и биржам (SEC), это значение должно быть равно трем секундам.To comply with Security and Exchange Commission (SEC) specifications, this should be set to three seconds. События будут регистрироваться для этого параметра только в том случае, если для EventLogFlags настроено большое отклонение примера 0x2.Events will be logged for this setting only when EventLogFlags is explicitly configured for 0x2 large sample skew. Значение по умолчанию для членов домена равно 3.The default value on domain members is 3. Значение по умолчанию на автономных клиентах и серверах равно 3.The default value on stand-alone clients and servers is 3.
ResolvePeerBackOffMaxTimesResolvePeerBackOffMaxTimes Все версииAll versions Указывает максимальное количество раз, после которых интервал ожидания будет удвоен при многократных попытках найти одноранговый узел для синхронизации, которые завершились ошибкой.Specifies the maximum number of times to double the wait interval when repeated attempts to locate a peer to synchronize with fail. Нулевое значение означает, что интервал ожидания всегда является минимальным.A value of zero means that the wait interval is always the minimum. Значение по умолчанию для членов домена равно 7.The default value on domain members is 7. Значение по умолчанию на автономных клиентах и серверах равно 7.The default value on stand-alone clients and servers is 7.
ResolvePeerBackoffMinutesResolvePeerBackoffMinutes Все версииAll versions Указывает начальный интервал ожидания (в минутах) перед попыткой нахождения однорангового узла для синхронизации. Specifies the initial interval to wait, in minutes, before attempting to locate a peer to synchronize with. Значение по умолчанию для членов домена равно 15.The default value on domain members is 15. Значение по умолчанию на автономных клиентах и серверах равно 15.The default value on stand-alone clients and servers is 15.
SpecialPollIntervalSpecialPollInterval Все версииAll versions Указывает специальный интервал опроса в секундах для одноранговых узлов, настроенных вручную.Specifies the special poll interval, in seconds, for manual peers. Если включен флаг 0x1 SpecialInterval, служба W32Time использует этот интервал опроса вместо интервала опроса, определяемого операционной системой.When the SpecialInterval 0x1 flag is enabled, W32Time uses this poll interval instead of a poll interval determined by the operating system. Значение по умолчанию для членов домена равно 3 600.The default value on domain members is 3,600. Значение по умолчанию на автономных клиентах и серверах равно 604 800.The default value on stand-alone clients and servers is 604,800.

Новые параметры для сборки 1703 SpecialPollInterval содержатся в значениях конфигурации реестра MinPollInterval и MaxPollInterval.New for build 1703, SpecialPollInterval is contained by the MinPollInterval and MaxPollInterval Config registry values.

SpecialPollTimeRemainingSpecialPollTimeRemaining Все версииAll versions Поддерживается службой W32Time.Maintained by W32Time. Она содержит зарезервированные данные, используемые операционной системой Windows.It contains reserved data that is used by the Windows operating system. В ней указывается время в секундах, по истечении которого служба W32Time будет повторно синхронизироваться после перезагрузки компьютера.It specifies the time, in seconds, before W32Time will resynchronize after the computer has restarted. Любые изменения этого параметра могут привести к непредсказуемым результатам.Any changes to this setting can cause unpredictable results. Значение по умолчанию для обоих членов домена, а также для изолированных клиентов и серверов остается пустым.The default value on both domain members and on stand-alone clients and servers is left blank.

Записи подраздела HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer»HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer» subkey entries

Запись реестраRegistry Entry ВерсииVersions ОписаниеDescription
AllowNonstandardModeCombinationsAllowNonstandardModeCombinations Все версииAll versions Указывает, что в синхронизации между клиентами и серверами разрешены нестандартные сочетания режимов. Indicates that non-standard mode combinations are allowed in synchronization between clients and servers. Значение по умолчанию для членов домена равно 1.The default value for domain members is 1. Значение по умолчанию для автономных клиентов и серверов равно 1.The default value for stand-alone clients and servers is 1.
DllNameDllName Все версииAll versions Указывает расположение библиотеки DLL для поставщика времени.Specifies the location of the DLL for the time provider. Расположение по умолчанию для этой DLL как для членов домена, так и для автономных клиентов и серверов — %windir%\System32\W32Time.dll.The default location for this DLL on both domain members and stand-alone clients and servers is %windir%\System32\W32Time.dll.
ВключенEnabled Все версииAll versions Указывает, включен ли поставщик NtpServer в текущей службе времени. Indicates if the NtpServer provider is enabled in the current Time Service.
  • 1 — да;1 — Yes
  • 0 — нет.0 — No
Значение по умолчанию для членов домена равно 1.The default value on domain members is 1. Значение по умолчанию на автономных клиентах и серверах равно 1.The default value on stand-alone clients and servers is 1.
InputProviderInputProvider Все версииAll versions Указывает, следует ли включить NtpClient в качестве InputProvider, который получает сведения о времени от NtpServer.Indicates whether to enable the NtpClient as an InputProvider, which obtains time information from the NtpServer. NTP-сервер является сервером времени, который отвечает на запросы времени клиента по сети, возвращая полезные для синхронизации локальных часов образцы времени.The NtpServer is a time server that responds to client time requests on the network by returning time samples that are useful for synchronizing the local clock.
  • 1 — да;1 — Yes
  • 0 — нет = 0.0 — No = 0
Значение по умолчанию для членов домена и автономных клиентов: 1Default value for both domain members and stand-alone clients: 1

Справочные материалы. Предварительно заданные значения параметров объекта групповой политики службы времени WindowsReference: Pre-set values for the Windows Time service GPO settings

В следующей таблице перечислены глобальные параметры групповой политики, связанные со службой времени Windows, и предварительно заданное значение, связанное с каждым параметром.The following table lists the global Group Policy settings that are associated with the Windows Time service and the pre-set value associated with each setting. Дополнительные сведения о каждом параметре см. в соответствующих записях реестра в разделе Справочные материалы. Записи реестра службы времени Windows ранее в этой статье.For more information about each setting, see the corresponding registry entries in Reference: Windows Time service registry entries earlier in this article. Следующие параметры содержатся в одном объекте групповой политики, который называется Глобальные параметры конфигурации.The following settings are contained in a single GPO called Global Configuration Settings.

Предварительно заданные значения для параметров «Глобальная групповая политика»Pre-set values for «Global Group Policy» settings

Параметр групповой политикиGroup Policy setting Предварительно заданное значениеPre-set value
AnnounceFlagsAnnounceFlags 1010
EventLogFlagsEventLogFlags 22
FrequencyCorrectRateFrequencyCorrectRate 44
HoldPeriodHoldPeriod 55
LargePhaseOffsetLargePhaseOffset 1 280 0001,280,000
LocalClockDispersionLocalClockDispersion 1010
MaxAllowedPhaseOffsetMaxAllowedPhaseOffset 300300
MaxNegPhaseCorrectionMaxNegPhaseCorrection 54 000 (15 часов)54,000 (15 hours)
MaxPollIntervalMaxPollInterval 1515
MaxPosPhaseCorrectionMaxPosPhaseCorrection 54 000 (15 часов)54,000 (15 hours)
MinPollIntervalMinPollInterval 1010
PhaseCorrectRatePhaseCorrectRate 77
PollAdjustFactorPollAdjustFactor 55
SpikeWatchPeriodSpikeWatchPeriod 9090
UpdateIntervalUpdateInterval 100100

Предварительно заданные значения параметров «Настроить NTP-клиент Windows»Pre-set values for «Configure Windows NTP Client» settings

В следующей таблице перечислены доступные параметры для Настройки объекта групповой политики NTP-клиента Windows и предварительно заданные значения, связанные со службой времени Windows. The following table lists the available settings for the Configure Windows NTP Client GPO and the pre-set values that are associated with the Windows Time service. Дополнительные сведения о каждом параметре см. в соответствующих записях реестра в разделе Справочные материалы. Записи реестра службы времени Windows ранее в этой статье.For more information about each setting, see the corresponding registry entries in Reference: Windows Time service registry entries earlier in this article.

Параметр групповой политикиGroup Policy setting Предварительно заданное значениеPre-set value
NtpServerNtpServer time.windows.com, 0x1.time.windows.com, 0x1
TypeType Параметры по умолчанию:Default options:
  • NTP.NTP. Для не присоединенных к домену компьютеров. Use on computers that are not joined to a domain.
  • NT5DS.NT5DS. Для присоединенных к домену компьютеров.Use on computers that are joined to a domain.
CrossSiteSyncFlagsCrossSiteSyncFlags 22
ResolvePeerBackoffMinutesResolvePeerBackoffMinutes 1515
ResolvePeerBackoffMaxTimesResolvePeerBackoffMaxTimes 77
SpecialPollIntervalSpecialPollInterval 3 6003,600
EventLogFlagsEventLogFlags 0;0

Справочные материалы. Сетевые порты, используемые службой времени WindowsReference: Network ports that the Windows Time service uses

Служба времени Windows соответствует спецификации NTP, которая требует использования UDP-порта 123 для постоянной синхронизации связи. Windows Time follows the NTP specification, which requires the use of UDP port 123 for all time synchronization communication. Этот порт зарезервирован службой времени Windows и остается зарезервированным на все время.This port is reserved by Windows Time and remains reserved at all times. Всякий раз, когда компьютер синхронизирует свои часы или предоставляет время другому компьютеру, эта связь осуществляется через UDP-порт 123.Whenever the computer synchronizes its clock or provides time to another computer, that communication is performed on UDP port 123.

Примечание

При наличии компьютера с несколькими сетевыми адаптерами (также называемый многосетевым компьютером) вы не сможете выборочно включить службу времени Windows на основе сетевого адаптера.If you have a computer that has multiple network adapters (also called a multihomed computer), you cannot selectively enable the Windows Time service based on the network adapter.

Следующие ресурсы содержат дополнительные сведения, относящиеся к этому разделу. The following resources contain additional information that is relevant to this section.

  • Документ RFC 1305 в базе данных RFC IETFRFC 1305 in the IETF RFC Database

Принцип работы службы времени Windows

  • Чтение занимает 21 мин

В этой статье

Применяется к: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows 10 или более поздних версийApplies to: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows 10 or later

Содержание разделаIn this section

Примечание

В этом разделе объясняется работа службы времени Windows (W32Time). This topic explains only how the Windows Time service (W32Time) works. Сведения о настройке службы времени Windows см. в статье Configuring Systems for High Accuracy (Настройка систем для обеспечения высокой точности).For information about how to configure Windows Time service, see Configuring Systems for High Accuracy.

Примечание

В Windows Server 2003 и Microsoft Windows 2000 Server служба каталогов называется «служба каталогов Active Directory»In Windows Server 2003 and Microsoft Windows 2000 Server, the directory service is named Active Directory directory service. В Windows Server 2008 и более поздних версиях служба каталогов называлась «Доменные службы Active Directory» (AD DS).In Windows Server 2008 and later versions, the directory service is named Active Directory Domain Services (AD DS). Остальная часть этой статьи относится к AD DS, но эти сведения применимы также и к Active Directory.The rest of this topic refers to AD DS, but the information is also applicable to Active Directory.

Хотя служба времени Windows не является точной реализацией протокола сетевого времени (NTP), она использует комплексный набор алгоритмов, определенных в спецификациях NTP, чтобы гарантировать максимальную точность часов на компьютерах в сети.Although the Windows Time service is not an exact implementation of the Network Time Protocol (NTP), it uses the complex suite of algorithms that is defined in the NTP specifications to ensure that clocks on computers throughout a network are as accurate as possible. В идеале все часы на компьютерах в домене AD DS синхронизируются со временем полномочного компьютера.Ideally, all computer clocks in an AD DS domain are synchronized with the time of an authoritative computer. На синхронизацию времени в сети могут повлиять многие факторы.Many factors can affect time synchronization on a network. На точность синхронизации в AD DS часто влияют следующие факторы:The following factors often affect the accuracy of synchronization in AD DS:

  • условия сети;Network conditions

  • точность аппаратных часов компьютера;The accuracy of the computer’s hardware clock

  • объем ресурсов ЦП и сети, доступных службе времени Windows. The amount of CPU and network resources available to the Windows Time service

Важно!

До Windows Server 2016 служба W32Time не предназначалась для поддержки зависящих от времени потребностей приложений.Prior to Windows Server 2016, the W32Time service was not designed to meet time-sensitive application needs. Не теперь обновления Windows Server 2016 позволяют реализовать в домене решение с точностью 1 мс.However, updates to Windows Server 2016 now allow you to implement a solution for 1ms accuracy in your domain. Дополнительные сведения см. в статьях Windows 2016 Accurate Time (Точное время для Windows Server 2016) и Support boundary for high-accuracy time (Граница области поддержки для сверхточного времени).See Windows 2016 Accurate Time and Support boundary to configure the Windows Time service for high-accuracy environments for more information.

Не подключенные к домену компьютеры, или компьютеры, которые реже синхронизируют свое время, по умолчанию настроены на синхронизацию с time. windows.com.Computers that synchronize their time less frequently or are not joined to a domain are configured, by default, to synchronize with time.windows.com. Таким образом невозможно гарантировать точность времени на компьютерах, сетевые соединения которых отсутствуют или прерываются.Therefore, it is impossible to guarantee time accuracy on computers that have intermittent or no network connections.

Лес AD DS имеет предварительно определенную иерархию синхронизации времени.An AD DS forest has a predetermined time synchronization hierarchy. Служба Windows Time синхронизирует время между компьютерами в иерархии, в верхней части которой находятся наиболее точные эталонные часы.The Windows Time service synchronizes time between computers within the hierarchy, with the most accurate reference clocks at the top. Если на компьютере настроено более одного источника времени, Служба времени Windows использует алгоритмы NTP для выбора наилучшего из настроенных источников времени, на основе способности компьютера синхронизироваться с этим источником времени. If more than one time source is configured on a computer, Windows Time uses NTP algorithms to select the best time source from the configured sources based on the computer’s ability to synchronize with that time source. Служба времени Windows не поддерживает сетевую синхронизацию из широковещательных или многоадресных узлов.The Windows Time service does not support network synchronization from broadcast or multicast peers. Дополнительные сведения об этих функциях NTP см. в документе RFC 1305 в базе данных RFC IETF.For more information about these NTP features, see RFC 1305 in the IETF RFC Database.

Каждый компьютер, на котором работает Служба времени Windows, использует службу для поддержания наиболее точного времени.Every computer that is running the Windows Time service uses the service to maintain the most accurate time. Компьютеры, являющиеся членами домена, выступают в качестве клиента времени по умолчанию, поэтому в большинстве случаев настраивать Службу времени Windows не нужно. Computers that are members of a domain act as a time client by default, therefore, in most cases it is not necessary to configure the Windows Time Service. Однако Службу времени Windows можно настроить на выполнения запроса о времени из назначенного источника времени, кроме того служба также может предоставить время клиентам.However, the Windows Time Service can be configured to request time from a designated reference time source, and can also provide time to clients.

Степень точности времени компьютера называется страта.The degree to which a computer’s time is accurate is called a stratum. Наиболее точный источник времени в сети (например, аппаратные часы) занимает самый низкий уровень страты или страта один.The most accurate time source on a network (such as a hardware clock) occupies the lowest stratum level, or stratum one. Этот точный источник времени называется эталонными часами.This accurate time source is called a reference clock. Сервер NTP, который получает время непосредственно от эталонных часов, занимает страта, который находится на один уровень выше уровня эталонных часов. An NTP server that acquires its time directly from a reference clock occupies a stratum that is one level higher than that of the reference clock. Ресурсы, которые получают время от сервера NTP, находятся в двух шагах от эталонных часов, и поэтому занимают страту, на два пункта выше, чем самый точный источник времени, и т. д.Resources that acquire time from the NTP server are two steps away from the reference clock, and therefore occupy a stratum that is two higher than the most accurate time source, and so on. По мере увеличения числа страта пользователей компьютера, время на его системных часах может становиться менее точным.As a computer’s stratum number increases, the time on its system clock may become less accurate. Таким образом, уровень страты любого компьютера является показателем того, насколько тесно этот компьютер синхронизирован с наиболее точным источником времени.Therefore, the stratum level of any computer is an indicator of how closely that computer is synchronized with the most accurate time source.

При получении образцов времени диспетчер W32Time использует специальные алгоритмы в NTP, чтобы определить, какие из образцов времени наиболее подходят для использования.When the W32Time Manager receives time samples, it uses special algorithms in NTP to determine which of the time samples is the most appropriate for use. Служба времени также использует другой набор алгоритмов, чтобы определить, какой из настроенных источников времени является наиболее точным.The time service also uses another set of algorithms to determine which of the configured time sources is the most accurate. После определения наилучшего образца времени служба времени корректирует тактовою частоту местных часов, основываясь на приведенных выше условиях, чтобы позволить выполнение согласования в нужное время.When the time service has determined which time sample is best, based on the above criteria, it adjusts the local clock rate to allow it to converge toward the correct time. Если разница во времени между образцами местных часов и выбранного точного времени (также называемая «неравномерное распределение времени») слишком велика и ее нельзя скорректировать с помощью местной тактовой частоты, служба времени устанавливает местные часы на правильное время. If the time difference between the local clock and the selected accurate time sample (also called the time skew) is too large to correct by adjusting the local clock rate, the time service sets the local clock to the correct time. Эта корректировка тактовой частоты или непосредственного времени часов называется «правила работы с часами».This adjustment of clock rate or direct clock time change is known as clock discipline.

Архитектура службы времени WindowsWindows Time Service Architecture

Служба времени Windows состоит из следующих компонентов:The Windows Time service consists of the following components:

  • Диспетчер службService Control Manager

  • Диспетчер Службы времени WindowsWindows Time Service Manager

  • Правила работы с часамиClock Discipline

  • Поставщики времениTime providers

На следующем рисунке показана архитектура Службы времени Windows.The following figure shows the architecture of the Windows Time service.

Архитектура Службы времени WindowsWindows Time Service Architecture

Диспетчер служб отвечает за запуск и остановку Службы времени Windows.The Service Control Manager is responsible for starting and stopping the Windows Time service. Диспетчер служб Службы времени Windows отвечает за запуск действий поставщиков времени NTP, включенных в операционную систему.The Windows Time Service Manager is responsible for initiating the action of the NTP time providers included with the operating system. Диспетчер служб Службы времени Windows управляет всеми функциями Службы времени Windows и объединением всех образцов времени.The Windows Time Service Manager controls all functions of the Windows Time service and the coalescing of all time samples. Помимо предоставления информации о текущем состоянии системы, например, об текущем источнике времени или о последнем обновлении системных часов, диспетчер служб Службы времени Windows также отвечает за создание событий в журнале событий. In addition to providing information about the current system state, such as the current time source or the last time the system clock was updated, the Windows Time Service Manager is also responsible for creating events in the event log.

Процесс синхронизации времени состоит из следующих этапов.The time synchronization process involves the following steps:

  • Поставщики входных данных запрашивают и получают образцы времени из настроенных источников времени NTP.Input providers request and receive time samples from configured NTP time sources.

  • Эти примеры затем передаются в диспетчер служб Службы времени Windows, который собирает все образцы и передает их подкомпоненту «правила работы с часами».These time samples are then passed to the Windows Time Service Manager, which collects all the samples and passes them to the clock discipline subcomponent.

  • Подкомпонент «правила работы с часами» применяет алгоритмы NTP, которые приводят к выбору лучшего образца времени. The clock discipline subcomponent applies the NTP algorithms which results in the selection of the best time sample.

  • Подкомпонент «правила работы с часами» корректирует время системных часов до наиболее точного времени, изменяя тактовою частоту или непосредственно время.The clock discipline subcomponent adjusts the time of the system clock to the most accurate time by either adjusting the clock rate or directly changing the time.

Если компьютер назначен сервером времени, он может отправить время на любой компьютер, запрашивающий синхронизацию времени в любой момент этого процесса.If a computer has been designated as a time server, it can send the time on to any computer requesting time synchronization at any point in this process.

Протоколы времени для службы времени WindowsWindows Time Service Time Protocols

Протоколы времени определяют, насколько точно синхронизируются часы двух компьютеров.Time protocols determine how closely two computers’ clocks are synchronized. Протокол времени отвечает за определение наилучшей доступной информации о времени и синхронизацию часов, чтобы гарантировать, что в отдельных системах будет поддерживаться согласованное время.A time protocol is responsible for determining the best available time information and converging the clocks to ensure that a consistent time is maintained on separate systems.

Служба времени Windows использует протокол NTP для синхронизации времени по сети.The Windows Time service uses the Network Time Protocol (NTP) to help synchronize time across a network. NTP — это протокол времени в Интернете, включающий алгоритмы правил работы, необходимые для синхронизации часов.NTP is an Internet time protocol that includes the discipline algorithms necessary for synchronizing clocks. NTP является более точным протоколом времени, чем Simple Network Time Protocol (SNTP), который используется в некоторых версиях Windows; однако W32Time продолжает поддерживать SNTP для обеспечения обратной совместимости с компьютерами, на которых работают службы времени на основе SNTP, такие как Windows 2000. NTP is a more accurate time protocol than the Simple Network Time Protocol (SNTP) that is used in some versions of Windows; however W32Time continues to support SNTP to enable backward compatibility with computers running SNTP-based time services, such as Windows 2000.

Протокол сетевого времениNetwork Time Protocol

Протокол сетевого времени (NTP) — это стандартный протокол синхронизации времени, используемый Службой времени Windows в операционной системе.Network Time Protocol (NTP) is the default time synchronization protocol used by the Windows Time service in the operating system. NTP — это отказоустойчивый и высокомасштабируемый протокол времени, который чаще всего используется для синхронизации компьютерных часов с помощью указанной привязки времени.NTP is a fault-tolerant, highly scalable time protocol and is the protocol used most often for synchronizing computer clocks by using a designated time reference.

Синхронизация времени NTP происходит в течение определенного периода времени и включает в себя передачу пакетов NTP по сети. NTP time synchronization takes place over a period of time and involves the transfer of NTP packets over a network. Пакеты NTP содержат метки времени, которые включают образец времени как от клиента, так и от сервера, участвующих в синхронизации времени.NTP packets contain time stamps that include a time sample from both the client and the server participating in time synchronization.

NTP полагается на эталонные часы для определения наиболее точного времени и синхронизирует все часы в сети относительно этих эталонных часов.NTP relies on a reference clock to define the most accurate time to be used and synchronizes all clocks on a network to that reference clock. NTP использует время в формате UTC в качестве универсального стандарта для текущего времени.NTP uses Coordinated Universal Time (UTC) as the universal standard for current time. UTC не зависит от часовых поясов и позволяет использовать NTP в любой точке мира независимо от настроек часового пояса.UTC is independent of time zones and enables NTP to be used anywhere in the world regardless of time zone settings.

Алгоритм NTPNTP Algorithms

NTP включает два алгоритма: алгоритм фильтрации по часам и алгоритм выбора часов, которые используются для помощи Службе времени Windows при определении наилучшего образца времени.NTP includes two algorithms, a clock-filtering algorithm and a clock-selection algorithm, to assist the Windows Time service in determining the best time sample. Алгоритм фильтрации времени предназначен для просеивания образцов времени, полученных из источников времени, к которым выполнялся запрос, и определения лучших образцов времени из каждого источника.The clock-filtering algorithm is designed to sift through time samples that are received from queried time sources and determine the best time samples from each source. Затем алгоритм выбора часов определяет наиболее точный сервер времени в сети.The clock-selection algorithm then determines the most accurate time server on the network. Затем эта информация передается алгоритму правил работы с временем, который использует собранную информацию для исправления локальных часов компьютера, компенсируя при этом ошибки, вызванные задержкой сети и неточностью компьютерных часов. This information is then passed to the clock discipline algorithm, which uses the information gathered to correct the local clock of the computer, while compensating for errors due to network latency and computer clock inaccuracy.

Алгоритмы NTP наиболее точны при низкой и умеренной нагрузке сети и сервера.The NTP algorithms are most accurate under conditions of light-to-moderate network and server loads. Как и любой другой алгоритм, учитывающий время прохождения сети, алгоритмы NTP могут плохо работать в условиях сильной перегрузки сети.As with any algorithm that takes network transit time into account, NTP algorithms might perform poorly under conditions of extreme network congestion. Дополнительные сведения об алгоритмах NTP см. в документе RFC 1305 в базе данных RFC IETF.For more information about the NTP algorithms, see RFC 1305 in the IETF RFC Database.

Поставщик времени NTPNTP Time Provider

Служба времени Windows — это полный пакет синхронизации времени, который может поддерживать различные аппаратные устройства и протоколы времени. The Windows Time service is a complete time synchronization package that can support a variety of hardware devices and time protocols. Для включения этой поддержки сервис использует подключаемые поставщики времени.To enable this support, the service uses pluggable time providers. Поставщик времени отвечает за получение точных меток времени (от сети или оборудования) или предоставление этих меток времени другим компьютерам в сети.A time provider is responsible for either obtaining accurate time stamps (from the network or from hardware) or for providing those time stamps to other computers over the network.

Поставщик NTP является стандартным поставщиком времени, включенным в операционную систему.The NTP provider is the standard time provider included with the operating system. Поставщик NTP соответствует стандартам, указанным в NTP версии 3 для клиента и сервера, и может взаимодействовать с клиентами и серверами SNTP для обеспечения обратной совместимости с Windows 2000 и другими клиентами SNTP. The NTP provider follows the standards specified by NTP version 3 for a client and server, and can interact with SNTP clients and servers for backward compatibility with Windows 2000 and other SNTP clients. Поставщик NTP в Службе времени Windows состоит из следующих двух частей.The NTP provider in the Windows Time service consists of the following two parts:

  • Поставщик выходных данных NtpServer.NtpServer output provider. Это сервер времени, который отвечает на запросы времени клиента в сети.This is a time server that responds to client time requests on the network.

  • Поставщик выходных данных NtpClient.NtpClient input provider. Это клиент времени, который получает сведения о времени из другого источника, либо от аппаратного устройства, либо от сервера NTP, и может возвращать образцы времени, полезные для синхронизации локальных часов.This is a time client that obtains time information from another source, either a hardware device or an NTP server, and can return time samples that are useful for synchronizing the local clock.

Хотя фактические операции этих двух поставщиков тесно связаны, они отображаются независимо от службы времени.Although the actual operations of these two providers are closely related, they appear independent to the time service. Начиная с Windows 2000 Server, где есть подключение компьютера Windows к сети, он настраивается как NTP-клиент.Starting with Windows 2000 Server, when a Windows computer is connected to a network, it is configured as an NTP client. Кроме того, компьютеры, на которых запущена Служба времени Windows, по умолчанию пытаются синхронизировать время только с контроллером домена или вручную указанным источником времени.Also, computers running the Windows Time service only attempt to synchronize time with a domain controller or a manually specified time source by default. Это предпочтительные поставщики времени, потому что они доступны автоматически и защищают источники времени.These are the preferred time providers because they are automatically available, secure sources of time.

Безопасность NTPNTP Security

В лесу AD DS Служба времени Windows использует стандартные функции безопасности домена для обеспечения проверки подлинности данных времени.Within an AD DS forest, the Windows Time service relies on standard domain security features to enforce the authentication of time data. Безопасность пакетов NTP, отправляемых между компьютером–членом домена и контроллером локального домена, который действует в качестве сервера времени, основана на аутентификации по общему ключу.The security of NTP packets that are sent between a domain member computer and a local domain controller that is acting as a time server is based on shared key authentication. Служба времени Windows использует ключ сеанса Kerberos компьютера для создания подписей с проверкой подлинности в пакетах NTP, отправляемых по сети.The Windows Time service uses the computer’s Kerberos session key to create authenticated signatures on NTP packets that are sent across the network. Пакеты NTP не передаются в безопасном канале сетевого входа в систему. NTP packets are not transmitted inside the Net Logon secure channel. Вместо этого, когда компьютер запрашивает время у контроллера домена в иерархии домена, Служба времени Windows требует аутентификации времени.Instead, when a computer requests the time from a domain controller in the domain hierarchy, the Windows Time service requires that the time be authenticated. Затем контроллер домена возвращает необходимые сведения в формате 64-разрядного значения, которое прошло проверку подлинности с помощью ключа сеанса из службы сетевого входа в систему.The domain controller then returns the required information in the form of a 64-bit value that has been authenticated with the session key from the Net Logon service. Если возвращенный пакет NTP не подписан с помощью ключа сеанса компьютера или подписан неправильно — время отклоняется.If the returned NTP packet is not signed with the computer’s session key or is signed incorrectly, the time is rejected. Все такие ошибки проверки подлинности регистрируются в журнале событий. All such authentication failures are logged in the Event Log. Таким образом Служба времени Windows обеспечивает безопасность данных NTP в лесу AD DS.In this way, the Windows Time service provides security for NTP data in an AD DS forest.

Как правило, клиенты Службы времени Windows автоматически получают точное время для синхронизации с контроллеров домена в том же домене.Generally, Windows time clients automatically obtain accurate time for synchronization from domain controllers in the same domain. В лесу контроллеры дочернего домена синхронизируют время с контроллерами в родительских доменах.In a forest, the domain controllers of a child domain synchronize time with domain controllers in their parent domains. Когда сервер времени возвращает прошедший проверку подлинности пакет NTP на клиент, который запрашивает время, пакет подписывается с помощью ключа сеанса Kerberos, определенного учетной записью междоменного доверия.When a time server returns an authenticated NTP packet to a client that requests the time, the packet is signed by means of a Kerberos session key defined by an interdomain trust account. Учетная запись междоменного доверия создается, когда новый домен AD DS присоединяется к лесу, а служба сетевого входа в систему управляет ключом сеанса.The interdomain trust account is created when a new AD DS domain joins a forest, and the Net Logon service manages the session key. Таким образом, контроллер домена, настроенный как надежный в корневом домене леса, становится аутентифицированным источником времени для всех контроллеров домена, как в родительском, так и в дочернем домене, и косвенно для всех компьютеров, расположенных в дереве доменов.In this way, the domain controller that is configured as reliable in the forest root domain becomes the authenticated time source for all of the domain controllers in both the parent and child domains, and indirectly for all computers located in the domain tree.

Службу времени Windows можно настроить на работу между лесами, однако эта конфигурация не защищена.The Windows Time service can be configured to work between forests, but it is important to note that this configuration is not secure. Например, NTP-сервер может быть доступен в другом лесу.For example, an NTP server might be available in a different forest. Однако, поскольку этот компьютер находится в другом лесу, ключ сеанса Kerberos для подписывания и проверки подлинности пакетов NTP отсутствует.However, because that computer is in a different forest, there is no Kerberos session key with which to sign and authenticate NTP packets. Для получения точной синхронизации времени с компьютера в другом лесу клиенту нужен сетевой доступ к этому компьютеру, а служба времени должна быть настроена на использование определенного источника времени, расположенного в другом лесу.To obtain accurate time synchronization from a computer in a different forest, the client needs network access to that computer and the time service must be configured to use a specific time source located in the other forest. Если клиент вручную настроен на доступ к времени с NTP-сервера за пределами собственной доменной иерархии, то пакеты NTP, передаваемые между клиентом и сервером времени, не проходят проверку подлинности и, следовательно, не являются безопасными. If a client is manually configured to access time from an NTP server outside of its own domain hierarchy, the NTP packets sent between the client and the time server are not authenticated, and therefore are not secure. Несмотря на реализацию доверия лесов, Служба времени Windows не защищена между лесами.Even with the implementation of forest trusts, the Windows Time service is not secure across forests. Хотя безопасный канал сетевого входа в систему является механизмом проверки подлинности для Службы времени Windows, проверка подлинности в лесах не поддерживается.Although the Net Logon secure channel is the authentication mechanism for the Windows Time service, authentication across forests is not supported.

Аппаратные устройства, поддерживаемые Службой времени WindowsHardware Devices That Are Supported by the Windows Time Service

Часы на основе оборудования, такие как GPS или радиочасы, часто используются в качестве устройств с высокоточными эталонными часами.Hardware-based clocks such as GPS or radio clocks are often used as highly accurate reference clock devices. По умолчанию поставщик времени NTP Службы времени Windows не поддерживает прямое подключение аппаратного устройства к компьютеру, однако вы можете создать программный независимый поставщик времени, поддерживающий этот тип подключения.By default, the Windows Time service NTP time provider does not support the direct connection of a hardware device to a computer, although it is possible to create a software-based independent time provider that supports this type of connection. Этот тип поставщика, в сочетании со Службой времени Windows, может обеспечить надежную и стабильную привязку по времени.This type of provider, in conjunction with the Windows Time service, can provide a reliable, stable time reference.

Аппаратные устройства, такие как цезиевые часы или приемник GPS, обеспечивают точное текущее время, следуя стандарту для получения точного определения времени.Hardware devices, such as a cesium clock or a Global Positioning System (GPS) receiver, provide accurate current time by following a standard to obtain an accurate definition of time. Цезиевые часы чрезвычайно стабильны и не подвержены влиянию таких факторов, как температура, давление или влажность, но в то же время очень дорого стоят.Cesium clocks are extremely stable and are unaffected by factors such as temperature, pressure, or humidity, but are also very expensive. Приемник GPS намного дешевле в эксплуатации, а также является точными эталонными часами.A GPS receiver is much less expensive to operate and is also an accurate reference clock. Приемники GPS получают время со спутников, которым время предоставляют цезиевые часы.GPS receivers obtain their time from satellites that obtain their time from a cesium clock. Серверы времени Windows могут получать время, не используя независимый поставщик времени, подключившись к внешнему NTP-серверу, который подключен к аппаратному устройству с помощью телефона или Интернета.Without the use of an independent time provider, Windows time servers can acquire their time by connecting to an external NTP server, which is connected to a hardware device by means of a telephone or the Internet. Такие организации, как Военно-морская обсерватория США, предоставляют NTP-серверы, подключенные к чрезвычайно надежным эталонным часам.Organizations such as the United States Naval Observatory provide NTP servers that are connected to extremely reliable reference clocks.

Многие приемники GPS и другие устройства времени могут функционировать в сети как NTP-серверы.Many GPS receivers and other time devices can function as NTP servers on a network. Лес AD DS можно настроить на синхронизацию времени с этих внешних устройств, только если они также работают в сети как NTP-серверы.You can configure your AD DS forest to synchronize time from these external hardware devices only if they are also acting as NTP servers on your network. Для этого настройте контроллер домена в качестве эмулятора основного контроллера домена в корне леса, чтобы выполнить синхронизацию с NTP-сервером, предоставленным устройством GPS.To do so, configure the domain controller functioning as the primary domain controller (PDC) emulator in your forest root to synchronize with the NTP server provided by the GPS device. Сведения о том, как это сделать, см. статью Configure the Windows Time service on the PDC emulator in the Forest Root Domain (Настройка службы времени Windows для эмулятора основного контроллера домена в корневом домене леса).To do so, see Configure the Windows Time service on the PDC emulator in the Forest Root Domain.

Простой протокол сетевого времениSimple Network Time Protocol

Протокол SNTP — это упрощенный протокол, предназначенный для серверов и клиентов, которым не требуется степень точности, предоставляемая NTP.The Simple Network Time Protocol (SNTP) is a simplified time protocol that is intended for servers and clients that do not require the degree of accuracy that NTP provides. SNTP является более элементарной версией NTP — основного протокола времени, используемого в Windows 2000.SNTP, a more rudimentary version of NTP, is the primary time protocol that is used in Windows 2000. Так как форматы сетевых пакетов SNTP и NTP идентичны, эти два протокола являются взаимодействующими. Because the network packet formats of SNTP and NTP are identical, the two protocols are interoperable. Основное различие между ними заключается в том, что SNTP не поддерживает системы управления ошибками и сложные фильтры, предоставляемые NTP.The primary difference between the two is that SNTP does not have the error management and complex filtering systems that NTP provides. Дополнительные сведения о простом протоколе сетевого времени см. в документе RFC 1769 в базе данных RFC IETF.For more information about the Simple Network Time Protocol, see RFC 1769 in the IETF RFC Database.

Взаимодействие протокола времениTime Protocol Interoperability

Служба времени Windows может работать в смешанной среде компьютеров под управлением Windows 2000, Windows XP и Windows Server 2003, поскольку протокол SNTP, используемый в Windows 2000, совместим с протоколом NTP в Windows XP и Windows Server 2003.The Windows Time service can operate in a mixed environment of computers running Windows 2000, Windows XP, and Windows Server 2003, because the SNTP protocol used in Windows 2000 is interoperable with the NTP protocol in Windows XP and Windows Server 2003.

Служба времени в Windows NT Server 4.0, именуемая TimeServ, синхронизирует время в сети Windows NT 4.0.The time service in Windows NT Server 4.0, called TimeServ, synchronizes time across a Windows NT 4.0 network. TimeServ — это дополнительный компонент, доступный в составе Microsoft Windows NT 4.0 Resource Kit и не обеспечивающий степень надежности синхронизации времени, необходимой для Windows Server 2003.TimeServ is an add-on feature available as part of the Microsoft Windows NT 4.0 Resource Kit and does not provide the degree of reliability of time synchronization that is required by Windows Server 2003.

Служба времени Windows может взаимодействовать с компьютерами под управлением Windows NT 4.0, поскольку они могут синхронизировать время с компьютерами под управлением Windows 2000 или Windows Server 2003; однако компьютер под управлением Windows 2000 или Windows Server 2003 не обнаруживает серверы времени Windows NT 4.0 автоматически.The Windows Time service can interoperate with computers running Windows NT 4. 0 because they can synchronize time with computers running Windows 2000 or Windows Server 2003; however, a computer running Windows 2000 or Windows Server 2003 does not automatically discover Windows NT 4.0 time servers. Например, если ваш домен настроен на синхронизацию времени с помощью метода синхронизации на основе иерархии домена, и вы хотите, чтобы компьютеры в иерархии домена синхронизировали время с контроллером домена Windows NT 4.0, вам нужно настроить эти компьютеры на синхронизацию с контроллерами домена Windows NT 4.0 вручную.For example, if your domain is configured to synchronize time by using the domain hierarchy-based method of synchronization and you want computers in the domain hierarchy to synchronize time with a Windows NT 4.0 domain controller, you have to configure those computers manually to synchronize with the Windows NT 4.0 domain controllers.

В Windows NT 4.0 используется более простой механизм синхронизации времени, чем в Службе времени Windows.Windows NT 4. 0 uses a simpler mechanism for time synchronization than the Windows Time service uses. Таким образом, чтобы обеспечить точную синхронизацию времени по сети, рекомендуется обновить все контроллеры домена Windows NT 4.0 до Windows 2000 или Windows Server 2003.Therefore, to ensure accurate time synchronization across your network, it is recommended that you upgrade any Windows NT 4.0 domain controllers to Windows 2000 or Windows Server 2003.

Процессы и взаимодействия службы времени WindowsWindows Time Service Processes and Interactions

Служба времени Windows предназначена для синхронизации часов компьютеров в сети.The Windows Time service is designed to synchronize the clocks of computers on a network. Процесс синхронизации сетевого времени, называемый также согласованностью времени, происходит по сети, так как каждый компьютер получает доступ к времени с более точного сервера времени.The network time synchronization process, also called time convergence, occurs throughout a network as each computer accesses time from a more accurate time server. Согласованность времени подразумевает процесс, с помощью которого полномочный сервер предоставляет текущее время на клиентские компьютеры в виде пакетов NTP.Time convergence involves a process by which an authoritative server provides the current time to client computers in the form of NTP packets. Предоставленные в пакете сведения, указывают на необходимость настройки текущего времени компьютера таким образом, чтобы он синхронизировался с более точным сервером.The information provided within a packet indicates whether an adjustment needs to be made to the computer’s current clock time so that it is synchronized with the more accurate server.

В рамках процесса согласованности времени, члены домена пытаются синхронизировать время с любым контроллером домена, расположенным в том же домене.As part of the time convergence process, domain members attempt to synchronize time with any domain controller located in the same domain. Если компьютер является контроллером домена, он пытается выполнить синхронизацию с более полномочным контроллером домена. If the computer is a domain controller, it attempts to synchronize with a more authoritative domain controller.

Компьютеры под управлением Windows XP Home Edition или не присоединенных к домену компьютеров, не пытаются синхронизироваться с доменной иерархией, но по умолчанию настроены на получение времени от time.windows.com.Computers running Windows XP Home Edition or computers that are not joined to a domain do not attempt to synchronize with the domain hierarchy, but are configured by default to obtain time from time.windows.com.

Для установки компьютера под управлением Windows Server 2003 в качестве доверенного, компьютер должен быть настроен как надежный источник времени.To establish a computer running Windows Server 2003 as authoritative, the computer must be configured to be a reliable time source. По умолчанию первый контроллер домена, установленный в домене Windows Server 2003, автоматически настраивается как надежный источник времени.By default, the first domain controller that is installed on a Windows Server 2003 domain is automatically configured to be a reliable time source. Поскольку этот компьютер является полномочным для домена, он должен быть настроен на синхронизацию с внешним источником времени, а не с иерархией домена.Because it is the authoritative computer for the domain, it must be configured to synchronize with an external time source rather than with the domain hierarchy. Кроме того, по умолчанию все остальные члены домена Windows Server 2003 настроены на синхронизацию с иерархией домена.Also by default, all other Windows Server 2003 domain members are configured to synchronize with the domain hierarchy.

После установки сети Windows Server 2003 Службу времени Windows можно настроить на использование одного из следующих параметров синхронизации.After you have established a Windows Server 2003 network, you can configure the Windows Time service to use one of the following options for synchronization:

  • Синхронизация на основе иерархии доменаDomain hierarchy-based synchronization

  • Источник синхронизации, указанный вручнуюA manually-specified synchronization source

  • Все доступные механизмы синхронизацииAll available synchronization mechanisms

  • Без синхронизации. No synchronization.

Каждый из упомянутых типов синхронизации подробно рассматриваются в следующих разделах.Each of these synchronization types is discussed in the following section.

Синхронизация на основе иерархии доменаDomain Hierarchy-Based Synchronization

При синхронизации, основанной на иерархии доменов, иерархия домена AD DS используется для поиска надежного источника, с которым синхронизируется время.Synchronization that is based on a domain hierarchy uses the AD DS domain hierarchy to find a reliable source with which to synchronize time. На основе иерархии доменов Служба времени Windows определяет точность каждого сервера времени.Based on domain hierarchy, the Windows Time service determines the accuracy of each time server. В лесу Windows Server 2003 компьютер, имеющий роль мастера операций эмулятора основного контроллера домена (PDC), расположенный в корневом домене леса, содержит расположение лучшего источника времени, если не настроен другой надежный источник времени. In a Windows Server 2003 forest, the computer that holds the primary domain controller (PDC) emulator operations master role, located in the forest root domain, holds the position of best time source, unless another reliable time source has been configured. На следующем рисунке показан путь синхронизации времени между компьютерами в иерархии домена.The following figure illustrates a path of time synchronization between computers in a domain hierarchy.

Синхронизация времени в иерархии AD DS Time Synchronization in an AD DS Hierarchy

Конфигурация надежного источника времениReliable Time Source Configuration

Компьютер, настроенный как надежный источник времени, идентифицируется как корень службы времени.A computer that is configured to be a reliable time source is identified as the root of the time service. Корень службы времени является полномочным сервером для домена и обычно настраивается на получение времени с внешнего NTP-сервера или аппаратного устройства. The root of the time service is the authoritative server for the domain and typically is configured to retrieve time from an external NTP server or hardware device. Сервер времени можно настроить как надежный источник времени для оптимизации передачи времени по всей иерархии домена.A time server can be configured as a reliable time source to optimize how time is transferred throughout the domain hierarchy. Если контроллер домена настроен в качестве надежного источника времени, служба сетевого входа в систему объявляет этот контроллер домена надежным источником времени при входе в сеть.If a domain controller is configured to be a reliable time source, Net Logon service announces that domain controller as a reliable time source when it logs on to the network. Когда другие контроллеры домена ищут источник времени для синхронизации, они сначала выбирают надежный источник, если он доступен.When other domain controllers look for a time source to synchronize with, they choose a reliable source first if one is available.

Выбор источника данныхTime Source Selection

Процесс выбора источника времени может создать две проблемы в сети:The time source selection process can create two problems on a network:

  • Дополнительные циклы синхронизации.Additional synchronization cycles.

  • Увеличенный объем сетевого трафика.Increased volume in network traffic.

Цикл в сети синхронизации происходит, когда время остается согласованным между группой контроллеров домена и они непрерывно используют одно и то же время совместно без ресинхронизации с другим надежным источником времени.A cycle in the synchronization network occurs when time remains consistent between a group of domain controllers and the same time is shared between them continuously without a resynchronization with another reliable time source. Алгоритм выбора источника времени Службы времени Windows предназначен для защиты от проблем такого типа.The Windows Time service’s time source selection algorithm is designed to protect against these types of problems.

Компьютер использует один из следующих методов для задания источника времени для синхронизации.A computer uses one of the following methods to identify a time source to synchronize with:

  • Если компьютер не является членом домена, его следует настроить на синхронизацию с указанным источником времени.If the computer is not a member of a domain, it must be configured to synchronize with a specified time source.

  • Если компьютер является членом сервера или рабочей станции в домене, то по умолчанию он следует иерархии AD DS и синхронизирует свое время с контроллером домена в локальном домене, на котором в настоящее время работает Служба времени Windows.If the computer is a member server or workstation within a domain, by default, it follows the AD DS hierarchy and synchronizes its time with a domain controller in its local domain that is currently running the Windows Time service.

Если компьютер является контроллером домена, на поиск другого контроллера домена для синхронизации он выполняет до шести запросов. If the computer is a domain controller, it makes up to six queries to locate another domain controller to synchronize with. Каждый запрос предназначен для идентификации источника времени с определенными атрибутами, такими как тип контроллера домена, определенное местоположение, и является ли он надежным источником времени или нет.Each query is designed to identify a time source with certain attributes, such as a type of domain controller, a particular location, and whether or not it is a reliable time source. Источник времени также должен соответствовать следующим ограничениям.The time source must also adhere to the following constraints:

  • Надежный источник времени можно синхронизировать только с контроллером домена в родительском домене.A reliable time source can only synchronize with a domain controller in the parent domain.

  • Эмулятор основного контроллера домена может синхронизироваться с надежным источником времени в собственном домене или на любом контроллере в родительском домене. A PDC emulator can synchronize with a reliable time source in its own domain or any domain controller in the parent domain.

Если контроллер домена не поддерживает синхронизацию с типом запрашиваемого контроллера домена, запрос не выполняется.If the domain controller is not able to synchronize with the type of domain controller that it is querying, the query is not made. Контроллер домена знает, с какого типа компьютера он может получить время до того, как сделает запрос.The domain controller knows which type of computer it can obtain time from before it makes the query. Например, локальный эмулятор основного контроллера домена не пытается запросить номера три или шесть, так как контроллер домена не пытается выполнить синхронизацию с самим собой.For example, a local PDC emulator does not attempt to query numbers three or six because a domain controller does not attempt to synchronize with itself.

В следующей таблице перечислены запросы, которые контроллер домена выполняет для поиска источника времени и порядка, в котором выполняются запросы.The following table lists the queries that a domain controller makes to find a time source and the order in which the queries are made.

Запросы к источнику времени контроллера доменаDomain Controller Time Source Queries

Номер запросаQuery Number Контроллер доменаDomain Controller РасположениеLocation Надежность источника времениReliability of Time Source
11 Контроллер родительского доменаParent domain controller На местеIn-site Предпочитает надежный источник времени, но может синхронизироваться с ненадежным источником времени, если доступен только он.Prefers a reliable time source but it can synchronize with a non-reliable time source if that is all that is available.
22 Контроллер локального доменаLocal domain controller На местеIn-site Синхронизируется только с надежным источником времени.Only synchronizes with a reliable time source.
33 Эмулятор основного контроллера локального доменаLocal PDC emulator На местеIn-site Не применяется.Does not apply.

Контроллер домена не пытается выполнить синхронизацию с самим собой.A domain controller does not attempt to synchronize with itself.

44 Контроллер родительского доменаParent domain controller Вне узлаOut-of-site Предпочитает надежный источник времени, но может синхронизироваться с ненадежным источником времени, если доступен только он.Prefers a reliable time source but it can synchronize with a non-reliable time source if that is all that is available.
55 Контроллер локального доменаLocal domain controller Вне узлаOut-of-site Синхронизируется только с надежным источником времени.Only synchronizes with a reliable time source.
66 Эмулятор основного контроллера локального доменаLocal PDC emulator Вне узлаOut-of-site Не применяется.Does not apply.

Контроллер домена не пытается выполнить синхронизацию с самим собой.A domain controller does not attempt to synchronize with itself.

ПримечаниеNote

  • Компьютер никогда не синхронизируется с самим собой.A computer never synchronizes with itself. Если компьютер пытается синхронизироваться с эмулятором основного контроллера локального домена, он не пытается выполнить запросы 3 или 6.If the computer attempting synchronization is the local PDC emulator, it does not attempt Queries 3 or 6.

Каждый запрос возвращает список контроллеров домена, которые можно использовать в качестве источника времени.Each query returns a list of domain controllers that can be used as a time source. Служба времени Windows назначает каждому запрашиваемому контроллеру домена оценку, исходя из надежности и расположения контроллера домена.Windows Time assigns each domain controller that is queried a score based on the reliability and location of the domain controller. В следующей таблице перечислены оценки, назначенные Службой времени Windows каждому типу контроллера домена.The following table lists the scores assigned by Windows Time to each type of domain controller.

Определение оценкиScore Determination

Состояние контроллера доменаDomain Controller Status ОценкаScore
Контроллер домена, расположенный на одном сайтеDomain controller located in same site 88
Контроллер домена, помеченный как надежный источник времениDomain controller marked as a reliable time source 44
Контроллер домена, расположенный в родительском доменеDomain controller located in the parent domain 22
Контроллер домена, являющийся эмулятором PDCDomain controller that is a PDC emulator 11

Когда Служба времени Windows определяет, что она идентифицировала контроллер домена с наилучшей оценкой, она больше не выполняет запросы.When the Windows Time service determines that it has identified the domain controller with the best possible score, no more queries are made. Оценки, присваиваемые службой времени, являются кумулятивными, что означает, что эмулятор PDC, расположенный на одном и том же сайте, получает оценку в девять баллов.The scores assigned by the time service are cumulative, which means that a PDC emulator located in the same site receives a score of nine.

Если корень службы времени не настроен на синхронизацию с внешним источником, временем управляют внутренние аппаратные часы компьютера.If the root of the time service is not configured to synchronize with an external source, the internal hardware clock of the computer governs the time.

Указанная вручную синхронизацияManually-Specified Synchronization

Указанная вручную синхронизация позволяет назначить один одноранговый узел или список узлов, с которых компьютер получает время.Manually-specified synchronization enables you to designate a single peer or list of peers from which a computer obtains time. Если компьютер не является членом домена, его следует настроить на синхронизацию с указанным источником времени вручную.If the computer is not a member of a domain, it must be manually configured to synchronize with a specified time source. Компьютер, являющийся членом домена, по умолчанию настроен на синхронизацию из иерархии домена. Ручная синхронизация наиболее полезна для корня леса домена или для компьютеров, которые не присоединены к домену.A computer that is a member of a domain is configured by default to synchronize from the domain hierarchy, manually-specified synchronization is most useful for the forest root of the domain or for computers that are not joined to a domain. Ручное указание внешнего NTP-сервера для синхронизации с уполномоченным компьютером для вашего домена обеспечивает надежное время.Manually specifying an external NTP server to synchronize with the authoritative computer for your domain provides reliable time. Однако настройка полномочного компьютера домена на синхронизацию с аппаратными часами на самом деле является лучшим решением для обеспечения наиболее точного и безопасного времени в домене.However, configuring the authoritative computer for your domain to synchronize with a hardware clock is actually a better solution for providing the most accurate, secure time to your domain.

Указанные вручную источники времени не проходят проверку подлинности, если для них не задан конкретный поставщик времени, и поэтому они уязвимы для злоумышленников.Manually-specified time sources are not authenticated unless a specific time provider is written for them, and they are therefore vulnerable to attackers. Также, если компьютер синхронизируется с источником, указанным вручную, а не с контроллером домена, который выполняет проверку подлинности, то эти два компьютера могут быть не синхронизированы, что вызовет сбой аутентификации Kerberos.Also, if a computer synchronizes with a manually-specified source rather than its authenticating domain controller, the two computers might be out of synchronization, causing Kerberos authentication to fail. Это может привести к сбою других действий, для которых требуется проверка подлинности сети, например печать или совместное использование файлов.This might cause other actions requiring network authentication to fail, such as printing or file sharing. Если на синхронизацию с внешним источником настроен только корень леса, все остальные компьютеры в лесу остаются синхронизированными друг с другом, что затрудняет повторные атаки.If only the forest root is configured to synchronize with an external source, all other computers within the forest remain synchronized with each other, making replay attacks difficult.

Все доступные механизмы синхронизацииAll Available Synchronization Mechanisms

Параметр «Все доступные механизмы синхронизации» является наиболее полезным методом синхронизации для пользователей в сети.The «all available synchronization mechanisms» option is the most valuable synchronization method for users on a network. Этот метод позволяет синхронизироваться с иерархией доменов и может также, в зависимости от конфигурации, предоставлять альтернативный источник времени, если иерархия домена становится недоступной.This method allows synchronization with the domain hierarchy and may also provide an alternate time source if the domain hierarchy becomes unavailable, depending on the configuration. Если клиенту не удается синхронизировать время с иерархией домена, источник времени автоматически возвращается к источнику времени, указанному параметром NtpServer.If the client is unable to synchronize time with the domain hierarchy, the time source automatically falls back to the time source specified by the NtpServer setting. Этот метод синхронизации наиболее часто обеспечивает точное время для клиентов.This method of synchronization is most likely to provide accurate time to clients.

Остановка синхронизации времениStopping Time Synchronization

Существуют ситуации, в которых синхронизацию времени на компьютере будет необходимо остановить.There are certain situations in which you will want to stop a computer from synchronizing its time. Например, если компьютер пытается выполнить синхронизацию из источника времени в Интернете или с другого сайта через глобальную сеть с помощью коммутируемого подключения, это может повлечь за собой дорогостоящую оплату по телефону.For example, if a computer attempts to synchronize from a time source on the Internet or from another site over a WAN by means of a dial-up connection, it can incur costly telephone charges. При отключении синхронизации на этом компьютере он не сможет получить доступ к источнику времени через коммутируемое подключение.When you disable synchronization on that computer, you prevent the computer from attempting to access a time source over a dial-up connection.

Синхронизацию также можно отключить, чтобы предотвратить создание ошибок в журнале событий.You can also disable synchronization to prevent the generation of errors in the event log. Каждый раз при попытке синхронизации с недоступным источником времени компьютер генерирует ошибку в журнале событий.Each time a computer attempts to synchronize with a time source that is unavailable, it generates an error in the Event Log. Если источник времени отключен от сети для планового обслуживания, и вы не собираетесь перенастраивать клиент для синхронизации с другим источником, синхронизацию на клиенте можно отключить для предотвращения попытки синхронизации, пока сервер времени недоступен.If a time source is taken off of the network for scheduled maintenance and you do not intend to reconfigure the client to synchronize from another source, you can disable synchronization on the client to prevent it from attempting synchronization while the time server is unavailable.

Рекомендуется отключить синхронизацию на компьютере, который обозначен как корень сети синхронизации.It is useful to disable synchronization on the computer that is designated as the root of the synchronization network. Это означает, что корневой компьютер доверяет своим локальным часам.This indicates that the root computer trusts its local clock. Если корень иерархии синхронизации не установлен на NoSync и если он не может синхронизироваться с другим источником времени, клиенты не принимают пакет, который посылает этот компьютер, потому что его времени нельзя доверять.If the root of the synchronization hierarchy is not set to NoSync and if it is unable to synchronize with another time source, clients do not accept the packet that this computer sends out because its time cannot be trusted.

Единственными серверами времени, которым клиенты доверяют, даже если они не синхронизировались с другим источником времени, являются те, которые были определены клиентом как надежные серверы времени.The only time servers that are trusted by clients even if they have not synchronized with another time source are those that have been identified by the client as reliable time servers.

Отключение Службы времени WindowsDisabling the Windows Time Service

Службу времени Windows (W32Time) можно отключить полностью.The Windows Time service (W32Time) can be completely disabled. Если вы решили реализовать сторонний продукт синхронизации времени, использующий NTP, сначала нужно отключить Службу времени Windows.If you choose to implement a third-party time synchronization product that uses NTP, you must disable the Windows Time service. Это связано с тем, что все NTP-серверы нуждаются в доступе к порту 123 UDP, и пока Служба времени Windows запущена на операционной системе Windows Server 2003, порт 123 остается зарезервированным Службой времени Windows.This is because all NTP servers need access to User Datagram Protocol (UDP) port 123, and as long as the Windows Time service is running on the Windows Server 2003 operating system, port 123 remains reserved by Windows Time.

Сетевые порты, используемые службой времени WindowsNetwork Ports Used by Windows Time Service

Служба времени Windows взаимодействует в сети для определения надежных источников времени, получения сведений о времени и предоставления сведений о времени другим компьютерам.The Windows Time service communicates on a network to identify reliable time sources, obtain time information, and provide time information to other computers. Этот обмен данными выполняется в соответствии с определением RFC и SNTP.It performs this communication as defined by the NTP and SNTP RFCs.

Назначения портов для Службы времени WindowsPort Assignments for the Windows Time Service

Служебное имяService name UDPUDP TCPTCP
NTPNTP 123123 Н/ДN/A
SNTPSNTP 123123 Н/ДN/A

См. такжеSee Also

Windows Time Service Technical Reference (Технический справочник по службе времени Windows) Windows Time Service Tools and Settings (Средства и параметры службы времени Windows) Статья 902229 базы знаний МайкрософтWindows Time Service Technical Reference Windows Time Service Tools and Settings Microsoft Knowledge Base article 902229

Точное время в Windows Server 2016

  • Чтение занимает 5 мин

В этой статье

Применяется к: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows 10 или более поздних версийApplies to: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows 10 or later

Служба времени Windows — это компонент, использующий модель подключаемых модулей для клиентских и серверных поставщиков синхронизации времени.The Windows Time service is a component that uses a plug-in model for client and server time synchronization providers. В Windows есть два встроенных клиентских поставщика и доступны подключаемые модули сторонних поставщиков.There are two built-in client providers on Windows, and there are third-party plug-ins available. Один поставщик использует протокол NTP (RFC 1305) или MS-NTP для синхронизации локального системного времени с эталонным сервером, совместимым с этими протоколами.One provider uses NTP (RFC 1305) or MS-NTP to synchronize the local system time to an NTP and/or MS-NTP compliant reference server. Другой поставщик предназначен для Hyper-V и синхронизирует виртуальные машины с узлом Hyper-V.The other provider is for Hyper-V and synchronizes virtual machines (VM) to the Hyper-V host. Если есть несколько поставщиков, Windows выберет наилучшего поставщика, оценивая стратовый уровень, корневую задержку, корневую дисперсию, а затем смещение времени.When multiple providers exist, Windows will pick the best provider using stratum level first, followed by root delay, root dispersion, and finally time offset.

Примечание

Краткий обзор службы времени Windows см. в этом видео.For a quick overview of Windows Time service, take a look at this high-level overview video.

В этом разделе мы обсудим темы по мере их влияния на точность времени:In this topic, we discuss … these topics as they relate to enabling accurate time:

  • УлучшенияImprovements
  • ИзмеренияMeasurements
  • Советы и рекомендацииBest Practices

Важно!

Дополнение, на которое ссылается статья о точном времени в Windows 2016, можно скачать здесь.An addendum referenced by the Windows 2016 Accurate Time article can be downloaded here. В этом документе содержатся дополнительные сведения о методологиях тестирования и измерения.This document provides more details about our testing and measurement methodologies.

Иерархия доменовDomain Hierarchy

Доменная и автономная конфигурации работают по-разному.Domain and Standalone configurations work differently.

  • Участники домена используют безопасный протокол NTP для проверки подлинности, обеспечивающий безопасность и подлинность ссылки времени.Domain members use a secure NTP protocol, which uses authentication to ensure the security and authenticity of the time reference. Участники домена синхронизируются с главными часами, определенными иерархией доменов и системой оценки.Domain members synchronize with a master clock determined by the domain hierarchy and a scoring system. В домене существует иерархический уровень страт времени, где каждый контроллер домена указывает на родительский контроллер домена с более точной стратой времени.In a domain, there is a hierarchical layer of time strata, whereby each DC points to a parent DC with a more accurate time stratum. Иерархия разрешается в основной контроллер домена, контроллер домена в корневом лесу или контроллер домена с меткой домена GTIMESERV, которая обозначает лучший сервер времени для домена.The hierarchy resolves to the PDC or a DC in the root forest, or a DC with the GTIMESERV domain flag, which denotes a Good Time Server for the domain. См. раздел «Указание надежной локальной службы времени с помощью GTIMESERV» ниже.See the [Specify a Local Reliable Time Service Using GTIMESERV section below.

  • По умолчанию автономные компьютеры настроены использовать time.windows.com.Standalone machines are configured to use time.windows.com by default. Это имя разрешается DNS-сервером, который должен указывать на ресурс, принадлежащий корпорации Майкрософт.This name is resolved by your DNS Server, which should point to a Microsoft owned resource. Все удаленно размещенные ссылки времени могут создавать сетевые сбои, препятствующие синхронизации.Like all remotely located time references, network outages, may prevent synchronization. Нагрузка сетевого трафика и асимметричные сетевые пути могут уменьшить точность синхронизации времени.Network traffic loads and asymmetrical network paths may reduce the accuracy of the time synchronization. Если вам требуется точность времени до 1 мс, удаленные источники времени будут неэффективны.For 1 ms accuracy, you can’t depend on a remote time sources.

При работе в гостевом компьютере вы можете столкнуться с различным поведением домена или автономной среды, так как у гостевых машин Hyper-V будут по крайней мере два поставщика времени Windows на выбор — время узла и NTP.Since Hyper-V guests will have at least two Windows Time providers to choose from, the host time and NTP, you might see different behaviors with either Domain or Standalone when running as a guest.

Примечание

Дополнительные сведения об иерархии доменов и системе оценки см. в записи блога, посвященной службе времени Windows.For more information about the domain hierarchy and scoring system, see the «What is Windows Time Service?» .blog post.

Примечание

Страта — это концепция, используемая в поставщиках NTP и Hyper-V, и ее значение указывает расположение часов в иерархии.Stratum is a concept used in both the NTP and Hyper-V providers, and its value indicates the clocks location in the hierarchy. Страта 1 резервируется для часов самого высокого уровня, а Страта 0 — для оборудования, время которого считается точным с минимальной или отсутствующей задержкой, связанной с ним.Stratum 1 is reserved for the highest-level clock, and stratum 0 is reserved for the hardware assumed to be accurate and has little or no delay associated with it. Страта 2 обращается к серверам страты 1, страта 3 — к страте 2 и т. д.Stratum 2 talk to stratum 1 servers, stratum 3 to stratum 2 and so on. Хотя страты более низкого уровня часто указывают более точное время, случаются несоответствия.While a lower stratum often indicates a more accurate clock, it is possible to find discrepancies. Кроме того, служба W32Time принимает только время из страты 15 или ниже.Also, W32time only accepts time from stratum 15 or below. Чтобы просмотреть страту клиента, используйте w32tm /query /status.To see the stratum of a client, use w32tm /query /status.

Критические факторы для определения точного времениCritical Factors for Accurate Time

Во всех случаях для определения точного времени есть три важных фактора:In every case for accurate time, there are three critical factors:

  1. Физический источник времени — исходные часы в домене должны быть стабильными и точными.Solid Source Clock — The source clock in your domain needs to be stable and accurate. Обычно это означает установку устройства GPS или указание на источник страты 1 с учетом страты 3.This usually means installing a GPS device or pointing to a Stratum 1 source, taking #3 into account. Аналогия такова: если у вас есть две лодки в воде и вы пытаетесь измерить высоту одной по сравнению с другой, точность будет правдивой, если исходная лодка очень стабильна и не движется.The analogy goes, if you have two boats on the water, and you are trying to measure the altitude of one compared to the other, your accuracy is best if the source boat is very stable and not moving. То же самое касается времени. Если исходные часы нестабильны, то влияние распространится на всю цепь синхронизации времени, усиливаясь на каждом этапе.The same goes for time, and if your source clock isn’t stable, then the entire chain of synchronized clocks is affected and magnified at each stage. Источник времени должен быть доступен, так как нарушения соединения могут помешать синхронизации времени.It also must be accessible because disruptions in the connection will interfere with time synchronization. И наконец, источник должен быть безопасным.And finally, it must be secure. Если источник ссылки времени обслуживается неправильно или им управляет потенциально вредоносная сторона, домен может подвергаться атакам на основе времени.If the time reference is not properly maintained, or operated by a potentially malicious party, you could expose your domain to time based attacks.
  2. Стабильные клиентские часы — часы, которые гарантируют, что естественное смещение осциллятора не будет критичным.Stable client clock — A stable client clocks assures that the natural drift of the oscillator is containable. NTP использует несколько выборок, возможно из нескольких серверов NTP, для настройки и согласования часов в ваших локальных компьютерах.NTP uses multiple samples from potentially multiple NTP servers to condition and discipline your local computers clock. Это не шаг изменения времени, а скорее замедление или ускорение местных часов, что позволяет гарантировать точность времени и обеспечить точность среди NTP-запросов.It does not step the time changes, but rather slows or speeds up the local clock so that you approach the accurate time quickly and stay accurate between NTP requests. Тем не менее, если осциллятор часов клиентского компьютера нестабилен, то могут возникнуть дополнительные отклонения между настройками и алгоритмы, используемые Windows для настройки часов, не будут работать точно.However, if the client computer clock’s oscillator is not stable, then more fluctuations in between adjustments can occur and the algorithms Windows uses to condition the clock don’t work accurately. В некоторых случаях для обеспечения точности времени могут потребоваться обновления встроенного ПО.In some cases, firmware updates might be needed for accurate time.
  3. Симметричное NTP-подключение — очень важно, чтобы подключение по протоколу NTP было симметричным.Symmetrical NTP communication — It is critical that the connection for NTP communication is symmetrical. NTP использует вычисления для корректировки времени, которые предполагают, что сетевой путь симметричен.NTP uses calculations to adjust the time that assume the network path is symmetrical. Если путь, по которому пакет NTP передается на сервер, возвращается за другой период времени, это повлияет на точность.If the path the NTP packet takes going to the server takes a different amount of time to return, the accuracy is affected. Например, путь может измениться из-за изменений в топологии сети или пакетов, направляемых через устройства с разными скоростями интерфейсов.For example, the path could change due to changes in network topology, or packets being routed through devices that have different interface speeds.

Для устройств с питанием от аккумулятора, как мобильных, так и переносимых, необходимо учитывать разные стратегии.For battery powered devices, both mobile and portable, you must consider different strategies. Мы советуем поддерживать точность времени, обеспечивая корректировку часов единожды в секунду, что соотносится с частотой обновления часов.As per our recommendation, keeping accurate time requires the clock to be disciplined once a second, which correlates to the Clock Update Frequency. Эти настройки будут требовать большего потребления энергии аккумулятора, чем ожидалось, и могут отрицательно влиять на режимы энергосбережения, доступные в Windows для таких устройств.These settings will consume more battery power than expected and can interfere with power saving modes available in Windows for such devices. В устройствах с питанием от аккумулятора также есть определенные режимы энергопитания, в которых останавливается работа всех приложений, что препятствует способности W32Time корректировать часы и поддерживать точность времени.Battery powered devices also have certain power modes which stop all applications from running, which interferes with W32time’s ability to discipline the clock and maintain accurate time. Кроме того, часы в мобильных устройствах могут быть изначально неточными.Additionally, clocks in mobile devices may not be very accurate to begin with. Условия окружающей среды влияют на точность часов, и мобильное устройство может попадать из одних условий в другие, что может помешать его способности поддерживать точность времени.Ambient environmental conditions affect clock accuracy and a mobile device can move from one ambient condition to the next which may interfere with its ability to keep time accurately. Поэтому мы не советуем выбирать для мобильных устройств с питанием от аккумулятора параметры высокой точности.Therefore, Microsoft does not recommend that you set up battery powered portable devices with high accuracy settings.

Почему важно время?Why is time important?

Есть множество различных причин, по которым может потребоваться точное время.There are many different reasons you might need accurate time. Типичным случаем для Windows является Kerberos, где для работы требуется 5-минутная точность между клиентом и сервером.The typical case for Windows is Kerberos, which requires 5 minutes of accuracy between the client and server. Тем не менее есть множество других областей, в которых важна точность времени, в том числе:However, there are many other areas that can be affected by time accuracy including:

  • правительственное управление, к примеруGovernment Regulations like:
    • 50 мс для FINRA в США;50 ms accuracy for FINRA in the US
    • 1 мс для Европейской организации по ценным бумагам и рынкам (Директива Евросоюза «O рынках финансовых инструментов») в ЕС;1 ms ESMA (MiFID II) in the EU.
  • алгоритмы шифрования;Cryptography Algorithms
  • распределенные системы, такие как кластеры, SQL, Exchange и Document DB;Distributed systems like Cluster/SQL/Exchange and Document DBs
  • платформа Блокчейн для биткойн-транзакций;Blockchain framework for bitcoin transactions
  • распределенные журналы и анализ угроз;Distributed Logs and Threat Analysis
  • Репликация Active DirectoryAD Replication
  • отрасль платежных карт (сейчас требуется точность до 1 с).PCI (Payment Card Industry), currently 1 second accuracy

Дополнительная справкаAdditional references

Настройка NTP сервера Windows server 2016 в домене групповыми политиками — UniTec

Мы рассмотрим как настроить NTP сервер в сети предприятия, где компьютеры пользователей получают точное время от DC с ролью эмулятора PDC (главный контроллер домена – Primary Domain Controller), в свою очередь DC синхронизирует свое время с внешним источником времени. В данном примере мы будем получать время с серверов pool.ntp.org.

Начиная с Windows 2000 все операционные системы Windows включают в себя службу времени W32Time. Эта служба предназначена для синхронизации времени в пределах организации и отвечает за работу как клиентской, так и серверной части, причем один и тот же компьютер может быть одновременно и клиентом и сервером NTP (Network Time Protocol). По умолчанию клиенты в домене синхронизируют время с помощью службы времени Windows (Windows Time), а не с помощью протокола NTP.

Настройка сервера времени под  Hyper-V

Для тех у кого контролер домена виртуализирован и поднят на Hyper-V, прежде необходимо отключить Time Synchronization, иначе виртуальная машина будет синхронизирована с Hyper-V сервером.

 В настройках виртуальной машины, в разделе Management -> Integration Services отключаем Time Synchronization
# Выключение синхронизации для VMware 5
Свойства машины - Options -> VMware Tools -> Synchronize guest time with host
# Выключение синхронизации для VMware 6
VMware Tools -> Time -> Synchronize guest time with host

Создание GPO для контроллера домена с ролью эмулятора PDC (главный контроллер домена – Primary Domain Controller)

1 . Создание фильтра WMI

Нам необходимо настроить групповую политику для синхронизации NTP для контролера домена PDC, в связи с тем что роль PDC может перемещаться между контроллерами домена, нам необходимо применить политику к текущему владельцу роли PDC. Для этого мы создадим WMI фильтр, чтобы политика была применена для сервера с ролью PDC.

Для этого в консоли управления Group Policy Management Console (GPMC.msc), в разделе WMI Filters создадим новый WMI фильтр с именем PDC selected и запросом: Select * from Win32_ComputerSystem where DomainRole = 5

Добавляем новый WMI фильтр с именем PDC selected и запросом:
Select * from Win32_ComputerSystem where DomainRole = 5

2 . Создаем и редактируем новую GPO

2.1 Для контейнера Domain Controllers создаем групповую политику, в нашем случае это PDC Time Synchronization.

В пункте 2.1 ошибка. на картинке созданный фильтр не привязан к политике

2.2 Редактируем политику PDC Time Synchronization, разворачиваем Computer Configuration -> Policies -> Administrative Templates -> System -> Windows Time Service -> Time Providers и включаем следующие политики:

Configure Windows NTP Client: Enabled
Enable Windows NTP Client: Enabled
Enable Windows NTP Server: Enabled

2.3 В настройках политики  Enable Windows NTP Server, задаем:

NtpServer: 0.pool.ntp.org,0x1 1.pool.ntp.org,0x1 2.pool.ntp.org,0x1
Type: NTP
CrossSiteSyncFlags: 2
ResolvePeerBackoffMinutes: 15
Resolve Peer BAckoffMaxTimes: 7
SpecilalPoolInterval: 3600
EventLogFlags: 0


Дополнительные опции  политики
Enable Windows NTP Server
NoSync — NTP-сервер не синхронизируется с внешним источником времени. Используются встроенные часы в микросхему CMOS самого сервера;
NTP — NTP-сервер синхронизируется серверами указаными в параметре NtpServer;
NT5DS — NTP-сервер производит синхронизацию согласно доменной иерархии;
AllSync — NTP-сервер использует для синхронизации все доступные источники.

Выбрать сервер для синхронизации вы можете по ссылке NTPPoolServers

Параметр NtpServer задает NTP-сервера, с которыми будем синхронизировать время. По умолчанию там задан NTP-сервер Microsoft (time.windows.com,0x1), дополнительные сервера можно добавит через пробел. В конце каждого имени сервера можно добавлять флаг (сервер,0x1) который определяет режим для синхронизации с сервером времени.
Допускаются следующие значения:

0x1 – SpecialInterval, использование специального интервала опроса;
0x2 – режим UseAsFallbackOnly;
0x4 – SymmetricActive, симметричный активный режим;
0x8 – Client, отправка запроса в клиентском режиме.

Настройка доменного сервера времени NTP в Windows Server 2012R2/2016 через GPO — GEEK LIBRARY

Сразу оговорим важные вещи:

  1. Работа по настройке точного времени на участниках домена через GPO часто делят на 2 части: настройки сервера/-ов и настройки клиентских машин.
  2. Настройку клиентских машин на получение точного времени некоторые администраторы делают через политики (в частности правкой политики Default Domain Policy), но я так не делаю, ибо все входящие в домен машины «автоматически узнают», что сервер времени для них — контроллер домена. Клиентские машины я только проверяю на правильное соединение с нашим сервером NTP.

Для начала определяю какой контроллер домена Windows Server 201x имеет роль PDC (если я этого не знаю )) ), если контроллеров домена несколько, как в моём случае. Для этого на любом компьютере или сервере, входящем в домен! , запускаю командную строку  от имени Администратора:

Не будем обсуждать распределение ролей между контролерами, в тестовом домене у меня все роли принадлежат одному контроллеру, и перейдя на сервер ADDC01 (в моём случае) — начнем его настройку.

1. Для начала создадим WMI-фильтр, который будет применять нашу новую политику только к серверу с ролью эмулятора PDC

Select * from Win32_ComputerSystem where DomainRole = 5

Select * from Win32_ComputerSystem where DomainRole = 5

2. Создадим новую групповую политику и применим к ней фильтр WMI, созданный нами выше.
Нас интересует путь: Computer Configuration — Administrative Templates — System — Windows Time Service — Time Providers (Конфигурация компьютера -> Политики -> Административные шаблоны -> Система -> Служба времени Windows -> Поставщики времени)

Здесь нам нужно включить три политики:
Enable Windows NTP Client: Enabled
Enable Windows NTP Server: Enabled
Configure Windows NTP Client: Enabled

 

Пункт Configure Windows NTP client имеет следующие настройки:


Я использовал следующий список серверов точного времени:

0.ru.pool.ntp.org,0x9 1.ru.pool.ntp.org,0x9 2.ru.pool.ntp.org,0x9 3.ru.pool.ntp.org,0x9

0.ru.pool.ntp.org,0x9 1.ru.pool.ntp.org,0x9 2.ru.pool.ntp.org,0x9 3.ru.pool.ntp.org,0x9

3. Создав политику не забываем применить к ней фильтр WMI:

4. Пришло время обновить политики на сервере времени и синхронизировать время. Запускаем командную строку от имени Администратора.

Обновляем политики на контроллере PDC:

Запускаем ручную синхронизацию времени:

Проверяем текущие настройки NTP:

Делаем наш контроллер PDC в качестве надежного источника времени для клиентов:

w32tm /config /reliable:yes

w32tm /config /reliable:yes

Всё, служба времени Windows Server должна: 1 — работать, 2 — успешно синхронизировать время с внешним источником и убедиться в этом можно выполнив команду:

w32tm /query /configuration

w32tm /query /configuration

 

Проверка второго контроллера домена ADDC02 на успешную синхронизацию времени:

Так же, в командной строке от имени Администратора выполним на втором контроллере домена

 

Выполним те же команды, но на клиентской машине:


В том случае, если время не синхронизировалось, перезапустите службу времени Windows и сбросьте текущие настройки:
>> net stop w32time
>> w32tm.exe /unregister
>> w32tm.exe /register
>> net start w32time