如何在 Windows Server 2003 中配置權威時間服務器
重要說明:本文包含有關如何修改註冊表的信息。修改註冊表之前,一定要先對其進行備份,並且一定要知道在出現問題時如何還原註冊表。有關如何備份、還原和修改註冊表的更多信息,請單擊下面的文章編號,以查看 Microsoft 知識庫中相應的文章:
256986 ([url]http://support.microsoft.com/kb/256986/[/url] ) 高級用戶的 Windows 註冊表信息
本頁
簡介
Windows 包含 W32Time,它是 Kerberos 身份驗證協議所需的時間服務工具。Windows 時間服務的目的是確保組織中運行 Microsoft...
Windows 包含 W32Time,它是 Kerberos 身份驗證協議所需的時間服務工具。Windows 時間服務的目的是確保組織中運行 Microsoft Windows 2000 或更高版本的所有計算機都使用同一個時間。
爲確保合理地使用公共時間,Windows 時間服務使用層級關係來控制授權,並且不允許出現循環。默認情況下,基於 Windows 的計算機使用下面的層級:
要將 PDC 主機配置爲不使用外部時間源,請更改 PDC 主機上的公告標誌。PDC 主機是存放域的林根 PDC 主機角色的服務器。這種配置會強制 PDC 主機將它自身宣佈爲可靠的時間源,從而使用內置的互補金屬氧化物半導體 (CMOS) 時鐘。要將 PDC 主機配置爲使用內部硬件時鐘,請按照下列步驟操作:
要獲取 Microsoft 產品支持服務電話號碼和支持費用信息的完整列表,請訪問下面的 Microsoft 網站:
爲確保合理地使用公共時間,Windows 時間服務使用層級關係來控制授權,並且不允許出現循環。默認情況下,基於 Windows 的計算機使用下面的層級:
- 所有客戶端桌面計算機都提名身份驗證域控制器作爲其入站時間夥伴。
- 所有成員服務器都遵循與客戶端桌面計算機相同的過程。
- 域中的所有域控制器都提名主域控制器 (PDC) 操作主機作爲其入站時間夥伴。
- 所有 PDC 操作主機都遵循域的層級來選擇其入站時間夥伴。
回到頂端配置 Windows 時間服務以使用內部硬件時鐘
警告:如果使用註冊表編輯器或其他方法錯誤地修改了註冊表,則可能會出現嚴重問題。這些問題可能需要重新安裝操作系統才能解決。Microsoft 不能保證可以解決這些問題。修改註冊表需要您自擔風險。要將 PDC 主機配置爲不使用外部時間源,請更改 PDC 主機上的公告標誌。PDC 主機是存放域的林根 PDC 主機角色的服務器。這種配置會強制 PDC 主機將它自身宣佈爲可靠的時間源,從而使用內置的互補金屬氧化物半導體 (CMOS) 時鐘。要將 PDC 主機配置爲使用內部硬件時鐘,請按照下列步驟操作:
- 單擊“開始”,單擊“運行”,鍵入 regedit,然後單擊“確定”。
- 找到並單擊下面的註冊表子項:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags
- 在右窗格中,右鍵單擊“AnnounceFlags”,然後單擊“修改”。
- 在“編輯 DWORD 值”的“數值數據”框中鍵入 A,然後單擊“確定”。
- 退出註冊表編輯器。
- 在命令提示符處,鍵入以下命令以重新啓動 Windows 時間服務,然後按 Enter:
net stop w32time && net start w32time
[url]http://www.rfc-editor.org/[/url] ([url]http://www.rfc-editor.org/[/url])
如果將 PDC 主機配置爲與自身同步,將在系統日誌中記錄以下事件:
類型: 信息
來源: W32Time
類別: 無
事件 ID: 38
計算機: ComputerName
描述: 時間提供程序 NtpClient 不能訪問,或當前正在從 NTP_server_IP_Address 接收無效的時間數據。有關更多信息,請參閱在 [url]http://support.microsoft.com[/url] 的幫助和支持中心。
來源: W32Time
類別: 無
事件 ID: 38
計算機: ComputerName
描述: 時間提供程序 NtpClient 不能訪問,或當前正在從 NTP_server_IP_Address 接收無效的時間數據。有關更多信息,請參閱在 [url]http://support.microsoft.com[/url] 的幫助和支持中心。
類型: 警告
來源: W32Time
類別: 無
事件 ID: 47
計算機: ComputerName
描述: 時間提供程序 NtpClient: 在嘗試聯繫它 8 次以後沒有收到來自手動配置的對等端 NTP_server_IP_Address 的有效響應。此對等端將不再被作爲時間源,並且 NtpClient 將嘗試用此 DNS 名稱發現一個新的對等端。有關更多信息,請參閱在 [url]http://support.microsoft.com[/url] 的幫助和支持中心。
來源: W32Time
類別: 無
事件 ID: 47
計算機: ComputerName
描述: 時間提供程序 NtpClient: 在嘗試聯繫它 8 次以後沒有收到來自手動配置的對等端 NTP_server_IP_Address 的有效響應。此對等端將不再被作爲時間源,並且 NtpClient 將嘗試用此 DNS 名稱發現一個新的對等端。有關更多信息,請參閱在 [url]http://support.microsoft.com[/url] 的幫助和支持中心。
類型: 錯誤
來源: W32Time
類別: 無
事件 ID: 29
計算機: ComputerName
描述: 時間提供程序 NtpClient 被配置爲從一個或多個時間源獲得時間,但是當前這些源沒有一個是可以訪問的。在 15 分鐘內不會進行聯繫時間源的嘗試。NtpClient 沒有一個能夠提供準確時間的時間源。有關更多信息,請參閱在 [url]http://support.microsoft.com[/url] 的幫助和支持中心。
如果 PDC 主機在沒有使用外部時間源的情況下運行,應用程序日誌中會記錄以下事件:
來源: W32Time
類別: 無
事件 ID: 29
計算機: ComputerName
描述: 時間提供程序 NtpClient 被配置爲從一個或多個時間源獲得時間,但是當前這些源沒有一個是可以訪問的。在 15 分鐘內不會進行聯繫時間源的嘗試。NtpClient 沒有一個能夠提供準確時間的時間源。有關更多信息,請參閱在 [url]http://support.microsoft.com[/url] 的幫助和支持中心。
時間提供程序 NtpClient: 此機器配置爲用域層級確定它的時間源,但它已經是林的根目錄域的 PDC 模擬器,因此在域層級沒有機器在它上面以用作時間源。建議您在根域上配置一個可靠的時間服務,或者手動配置 PDC 與外部時間源同步。否則,此機器將作爲域層級中的權威時間源。如果沒有爲此計算機配置或使用外部時間源,您可以選擇禁用 NtpClient。
這段文本是爲了提醒您使用外部時間源,您可以忽略它。配置 Windows 時間服務以使用外部時間源
要將內部時間服務器配置爲與外部時間源同步,請按照下列步驟操作:- 將服務器類型更改爲 NTP。爲此,請按照下列步驟操作:
- 單擊“開始”,單擊“運行”,鍵入 regedit,然後單擊“確定”。
- 找到並單擊下面的註冊表子項:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type
- 在右窗格中,右鍵單擊“Type”,然後單擊“修改”。
- 在“編輯值”的“數值數據”框中鍵入 NTP,然後單擊“確定”。
- 將 AnnounceFlags 設置爲 5。爲此,請按照下列步驟操作:
- 找到並單擊下面的註冊表子項:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags
- 在右窗格中,右鍵單擊“AnnounceFlags”,然後單擊“修改”。
- 在“編輯 DWORD 值”的“數值數據”框中鍵入 5,然後單擊“確定”。
- 找到並單擊下面的註冊表子項:
- 啓用 NTPServer。爲此,請按照下列步驟操作:
- 找到並單擊下面的註冊表子項:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer
- 在右窗格中,右鍵單擊“Enabled”,然後單擊“修改”。
- 在“編輯 DWORD 值”的“數值數據”框中鍵入 1,然後單擊“確定”。
- 找到並單擊下面的註冊表子項:
- 指定時間源。爲此,請按照下列步驟操作:
- 找到並單擊下面的註冊表子項:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\NtpServer
- 在右窗格中,右鍵單擊“NtpServer”,然後單擊“修改”。
- 在“編輯值”的“數值數據”框中鍵入 Peers,然後單擊“確定”。
注意:Peers 是一個佔位符,應替換爲您的計算機從中獲取時間戳的對等端列表(以空格分隔)。列出的每個 DNS 名稱都必須是唯一的。必須在每個 DNS 名稱後面附加 ,0x1。如果不在每個 DNS 名稱後面附加 ,0x1,則在步驟 5 中所做的更改將不會生效。
- 找到並單擊下面的註冊表子項:
- 選擇輪詢間隔。爲此,請按照下列步驟操作:
- 找到並單擊下面的註冊表子項:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\SpecialPollInterval
- 在右窗格中,右鍵單擊“SpecialPollInterval”,然後單擊“修改”。
- 在“編輯 DWORD 值”的“數值數據”框中鍵入 TimeInSeconds,然後單擊“確定”。
注意:TimeInSeconds 是一個佔位符,應替換爲您希望各次輪詢之間的間隔秒數。建議值爲 900(十進制)。該值將時間服務器配置爲每隔 15 分鐘輪詢一次。
- 找到並單擊下面的註冊表子項:
- 配置時間校準設置。爲此,請按照下列步驟操作:
- 找到並單擊下面的註冊表子項:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxPosPhaseCorrection
- 在右窗格中,右鍵單擊“MaxPosPhaseCorrection”,然後單擊“修改”。
- 在“編輯 DWORD 值”的“基數”框中單擊以選擇“十進制”。
- 在“編輯 DWORD 值”的“數值數據”框中鍵入 TimeInSeconds,然後單擊“確定”。
注意:TimeInSeconds 是一個佔位符,應替換爲適當的值,如 1 小時 (3600) 或 30 分鐘 (1800)。您選擇的值將因輪詢間隔、網絡狀況和外部時間源而異。 - 找到並單擊下面的註冊表子項:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxNegPhaseCorrection
- 在右窗格中,右鍵單擊“MaxNegPhaseCorrection”,然後單擊“修改”。
- 在“編輯 DWORD 值”的“基數”框中單擊以選擇“十進制”。
- 在“編輯 DWORD 值”的“數值數據”框中鍵入 TimeInSeconds,然後單擊“確定”。
注意:TimeInSeconds 是一個佔位符,應替換爲適當的值,如 1 小時 (3600) 或 30 分鐘 (1800)。您選擇的值將因輪詢間隔、網絡狀況和外部時間源而異。
- 找到並單擊下面的註冊表子項:
- 退出註冊表編輯器。
- 在命令提示符處,鍵入以下命令以重新啓動 Windows 時間服務,然後按 Enter:
net stop w32time && net start w32time
故障排除
要使 Windows 時間服務能夠正常運行,網絡基礎結構必須正常運行。影響 Windows 時間服務的最常見問題包括以下這些:- TCP/IP 連接存在問題,如出現死網關。
- 名稱解析服務未正確運行。
- 網絡出現高延遲,尤其是在通過高延遲的廣域網 (WAN) 鏈接進行同步時。
- Windows 時間服務嘗試與不準確的時間源同步。
要獲取 Microsoft 產品支持服務電話號碼和支持費用信息的完整列表,請訪問下面的 Microsoft 網站:
[url]http://support.microsoft.com/default.aspx?scid=fh;[/url][LN];CNTACTMS ([url]http://support.microsoft.com/default.aspx?scid=fh;%5Bln%5D;cntactms[/url])
注意:特殊情況下,如果 Microsoft 支持專業人員確定某個特定的更新能夠解決您的問題,可免收通常情況下收取的電話支持服務費用。對於特定更新無法解決的其他支持問題和事項,將照常收取支持費用。
更多信息
NTP 支持多個不同的數據包類型。通常,NTP 客戶端和簡單網絡時間協議 (SNTP) 客戶端會將客戶端模式請求數據包發送給 NTP 服務器。NTP 服務器用服...
NTP 支持多個不同的數據包類型。通常,NTP 客戶端和簡單網絡時間協議 (SNTP) 客戶端會將客戶端模式請求數據包發送給 NTP 服務器。NTP 服務器用服務器模式數據包進行響應。要配置 W32time 服務以將對稱活動模式數據包(不是客戶端模式數據包)發送給 NTP 服務器,請在命令提示符處鍵入以下命令:
如果沒有硬件時間源,W32time 會被配置爲 NTP 類型。您必須重新配置 MaxPosPhaseCorrection 和 MaxNegPhaseCorrection 這兩個註冊表項。根據時間源、網絡狀況和安全要求的不同,建議將該值設置爲 15 分鐘或更低。該要求也適用於被配置爲時間同步子網中的林根時間源的任何可靠的時間源。有關這兩個註冊表項的更多信息,請參見本文中的“Windows 時間服務註冊表項”一節。
注意:除非爲手動指定的時間源編寫特定的時間提供程序,否則它們不會經過身份驗證,因此這些時間源很容易受到***。另外,如果計算機與手動指定的源同步,而不是與它的身份驗證域控制器同步,則這兩臺計算機可能不同步。這種情況會導致 Kerberos 身份驗證失敗,還會導致其他需要網絡身份驗證的操作(如打印或文件共享)失敗。只要將林根配置爲與一個外部源同步,則林中的所有其他計算機就會彼此同步。這種配置會使得重播***很難發生。
w32tm /config /manualpeerlist:<server>,0x4 /syncfromflags:MANUAL
注意:使用 0x8 標誌強制 W32time 發送普通的客戶端請求而不是對稱模式活動數據包。NTP 服務器會照常答覆這些普通的客戶端請求。
可靠的時間源配置
被配置爲可靠時間源的計算機會被標識爲 Windows 時間服務的根。Windows 時間服務的根是域的權威服務器,通常被配置爲從外部 NTP 服務器或硬件設備檢索時間。您可以將一臺時間服務器配置爲可靠的時間源,以優化在整個域層級中傳輸時間的方式。如果將某個域控制器配置爲可靠的時間源,Net Logon 服務將在該域控制器登錄到網絡時將其宣佈爲可靠的時間源。當其他域控制器查找要與之同步的時間源時,它們將首先選擇可靠的時間源(如果有)。手動指定的同步
在使用手動指定的同步時,您可以指定計算機從中獲得時間的單個對等端或一個對等端列表。如果計算機不是域的成員,必須手動將其配置爲與指定的時間源同步。默認情況下,屬於域成員的計算機會被配置爲從域層級同步。手動指定的同步對域的林根或未加入域的計算機非常有用。當您手動指定外部 NTP 服務器與域的權威計算機同步時,您就提供了可靠的時間。但是,爲了向域提供高準確性和安全性,建議您將域的權威計算機配置爲與硬件時鐘同步。如果沒有硬件時間源,W32time 會被配置爲 NTP 類型。您必須重新配置 MaxPosPhaseCorrection 和 MaxNegPhaseCorrection 這兩個註冊表項。根據時間源、網絡狀況和安全要求的不同,建議將該值設置爲 15 分鐘或更低。該要求也適用於被配置爲時間同步子網中的林根時間源的任何可靠的時間源。有關這兩個註冊表項的更多信息,請參見本文中的“Windows 時間服務註冊表項”一節。
注意:除非爲手動指定的時間源編寫特定的時間提供程序,否則它們不會經過身份驗證,因此這些時間源很容易受到***。另外,如果計算機與手動指定的源同步,而不是與它的身份驗證域控制器同步,則這兩臺計算機可能不同步。這種情況會導致 Kerberos 身份驗證失敗,還會導致其他需要網絡身份驗證的操作(如打印或文件共享)失敗。只要將林根配置爲與一個外部源同步,則林中的所有其他計算機就會彼此同步。這種配置會使得重播***很難發生。
所有可用的同步機制
“所有可用的同步機制”選項是最適合網絡用戶的同步方法。這種方法可實現與域層級的同步,並且根據具體的配置,它還可以在域層級不可用時提供備用的時間源。如果客戶端無法與域層級同步時間,時間源將自動切換爲“NtpServer”設置指定的時間源。這種同步方法最有可能爲客戶端提供準確的時間。Windows 時間服務註冊表項
以下註冊表項位於 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\ 下:收起該表格
| 註冊表項 | MaxPosPhaseCorrection |
| 路徑 | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config |
| 注意: | 該項指定服務可進行的最大正時間校準量(以秒爲單位)。如果服務確定某個更改幅度大於所需的幅度,它將記錄一個事件。(0xFFFFFFFF 是一種特殊情況,它表示總是校準時間。)域成員的默認值是 0xFFFFFFFF。獨立客戶端和服務器的默認值是 54,000,即 15 小時。 |
收起該表格
| 註冊表項 | MaxNegPhaseCorrection |
| 路徑 | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config |
| 注意: | 該項指定服務可進行的最大負時間校準量(以秒爲單位)。如果服務確定某個更改幅度大於所需的幅度,它將轉而記錄一個事件。(-1 是一種特殊情況,它表示總是校準時間。)域成員的默認值是 0xFFFFFFFF。獨立客戶端和服務器的默認值是 54,000,即 15 小時。 |
收起該表格
| 註冊表項 | MaxPollInterval |
| 路徑 | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config |
| 注意: | 該項指定系統輪詢間隔所允許的最大間隔(單位是對數表示的秒)。儘管系統必須根據預定的間隔進行輪詢,但是提供程序可以根據請求拒絕生成示例。域成員的默認值是 10。獨立客戶端和服務器的默認值是 15。 |
收起該表格
| 註冊表項 | SpecialPollInterval |
| 路徑 | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient |
| 注意: | 該項指定手動對等端的特殊輪詢間隔(以秒爲單位)。當啓用 SpecialInterval 0x1 標誌時,W32Time 將使用此輪詢間隔而非操作系統確定的輪詢間隔。域成員的默認值是 3,600。獨立客戶端和服務器的默認值是 604,800。 |
收起該表格
| 註冊表項 | MaxAllowedPhaseOffset |
| 路徑 | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config |
| 注意: | 該項指定 W32Time 嘗試使用時鐘速率調整計算機時鐘的最大偏移量(以秒爲單位)。當偏移量大於該速率時,W32Time 將直接設置計算機時鐘。域成員的默認值是 300。獨立客戶端和服務器的默認值是 1。 |
參考
有關 Windows 時間服務的更多信息,請單擊下面的文章編號,以查看 Microsoft 知識庫中相應的文章: 816043 ([url]http://support...[/url]
有關 Windows 時間服務的更多信息,請單擊下面的文章編號,以查看 Microsoft 知識庫中相應的文章:
816043 ([url]http://support.microsoft.com/kb/816043/[/url] ) 如何打開 Windows 時間服務中的調試日誌
884776 ([url]http://support.microsoft.com/kb/884776/[/url] ) 配置 Windows 時間服務以防出現大的時間偏移
321708 ([url]http://support.microsoft.com/kb/321708/[/url] ) 如何在 Windows 2000 中使用網絡診斷工具 (Netdiag.exe)
314054 ([url]http://support.microsoft.com/kb/314054/[/url] ) 如何在 Windows XP 中配置權威時間服務器
216734 ([url]http://support.microsoft.com/kb/216734/[/url] ) 如何在 Windows 2000 中配置權威時間服務器
有關基於 Windows Server 2003 的林中的 Windows 時間服務的更多信息,請訪問下面的 Microsoft 網站:
[url]http://technet2.microsoft.com/windowsserver/en/library/A0FCD250-E5F7-41B3-B0E8-240F8236E2101033.mspx[/url]
這篇文章中的信息適用於:
- Microsoft Windows Server 2003 Datacenter Edition
- Microsoft Windows Server 2003 Enterprise Edition
- Microsoft Windows Server 2003 Standard Edition
- Microsoft Windows Server 2003 Web Edition
- Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
- Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems