Windows 包含 W32Time,它是 Kerberos 身份驗證協議所需的時間服務工具。Windows 時間服務的目的是確保組織中運行 Microsoft Windows 2000 或更高版本的所有計算機都使用同一個時間。
爲確保合理地使用公共時間,Windows 時間服務使用層級關係來控制授權,並且不允許出現循環。默認情況下,基於 Windows 的計算機使用下面的層級:
| • |
所有客戶端桌面計算機都提名身份驗證域控制器作爲其入站時間夥伴。 |
| • |
所有成員服務器都遵循與客戶端桌面計算機相同的過程。 |
| • |
域中的所有域控制器都提名主域控制器 (PDC) 操作主機作爲其入站時間夥伴。 |
| • |
所有 PDC 操作主機都遵循域的層級來選擇其入站時間夥伴。 |
在此層級中,位於林根的 PDC 操作主機成爲組織的權威時間服務器。我們極力建議您將權威時間服務器配置爲從硬件源收集時間。當您將權威時間服務器配置爲與 Internet 時間源同步時,不會有任何身份驗證。我們還建議您降低服務器和獨立客戶端的時間校準設置。這些建議可以爲您的域提供更準確的時間和更高的安全性。
配置 Windows 時間服務以使用內部硬件時鐘
警告:如果使用註冊表編輯器或其他方法錯誤地修改了註冊表,可能導致嚴重問題。這些問題可能需要重新安裝操作系統才能解決。Microsoft 不能保證您可以解決這些問題。修改註冊表需要您自擔風險。
要將 PDC 主機配置爲不使用外部時間源,請更改 PDC 主機上的公告標誌。PDC 主機是存放域的林根 PDC 主機角色的服務器。這種配置會強制 PDC 主機將它自身宣佈爲可靠的時間源,從而使用內置的互補金屬氧化物半導體 (CMOS) 時鐘。要將 PDC 主機配置爲使用內部硬件時鐘,請按照下列步驟操作:
| 1. |
單擊“開始”,單擊“運行”,鍵入 regedit,然後單擊“確定”。 |
| 2. |
找到並單擊下面的註冊表子項:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags |
| 3. |
在右窗格中,右鍵單擊“AnnounceFlags”,然後單擊“修改”。 |
| 4. |
在“編輯 DWORD 值”的“數值數據”框中鍵入 A,然後單擊“確定”。 |
| 5. |
退出註冊表編輯器。 |
| 6. |
在命令提示符處,鍵入以下命令以重新啓動 Windows 時間服務,然後按 Enter:
net stop w32time && net start w32time |
注意:決不能將 PDC 主機配置爲與它自身同步。如果 PDC 主機配置爲與它自身同步,應用程序日誌中將記錄以下事件:
時間提供程序 NtpClient 不能訪問,或當前正在從 192.168.1.1 (ntp.m|0x0|192.168.1.1:123->192.168.1.1:123) 接收無效的時間數據。
在嘗試聯繫它 8 次以後,沒有收到來自手動對等端 192.168.1.1 的響應。此對等端將不再被作爲時間源,同時 NtpClient 將嘗試發現一個新的對等端以與其同步。
時間提供程序 NtpClient 被配置爲從一個或多個時間源獲得時間,但是當前這些源沒有一個是可以訪問的。在 960 分鐘內,不會進行聯繫時間源的嘗試。NtpClient 沒有一個能夠提供準確時間的時間源。
如果 PDC 主機在沒有使用外部時間源的情況下運行,應用程序日誌中會記錄以下事件:
時間提供程序 NtpClient:此機器配置爲用域層級確定它的時間源,但它已經是林的根目錄域的 PDC 模擬器,因此在域層級沒有機器在它上面以用作時間源。建議您在根域上配置一個可靠的時間服務,或者手動配置 PDC 與外部時間源同步。否則,此機器將作爲域層級中的權威時間源。如果沒有爲此計算機配置或使用外部時間源,您可以選擇禁用 NtpClient。
這段文本是爲了提醒您使用外部時間源;您可以忽略它。
配置 Windows 時間服務以使用外部時間源
要將內部時間服務器配置爲與外部時間源同步,請按照下列步驟操作:
| 1. |
將服務器類型更改爲 NTP。爲此,請按照下列步驟操作:
| a. |
單擊“開始”,單擊“運行”,鍵入 regedit,然後單擊“確定”。 |
| b. |
找到並單擊下面的註冊表子項:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type |
| c. |
在右窗格中,右鍵單擊“Type”,然後單擊“修改”。 |
| d. |
在“編輯值”的“數值數據”框中鍵入 NTP,然後單擊“確定”。 | |
| 2. |
將 AnnounceFlags 設置爲 5。爲此,請按照下列步驟操作:
| a. |
找到並單擊下面的註冊表子項:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags |
| b. |
在右窗格中,右鍵單擊“AnnounceFlags”,然後單擊“修改”。 |
| c. |
在“編輯 DWORD 值”的“數值數據”框中鍵入 5,然後單擊“確定”。 | |
| 3. |
啓用 NTPServer。爲此,請按照下列步驟操作:
| a. |
找到並單擊下面的註冊表子項:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer |
| b. |
在右窗格中,右鍵單擊“Enabled”,然後單擊“修改”。 |
| c. |
在“編輯 DWORD 值”的“數值數據”框中鍵入 1,然後單擊“確定”。 | |
| 4. |
指定時間源。爲此,請按照下列步驟操作:
| a. |
找到並單擊下面的註冊表子項:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\NtpServer |
| b. |
在右窗格中,右鍵單擊“NtpServer”,然後單擊“修改”。 |
| c. |
在“編輯值”的“數值數據”框中鍵入 Peers,然後單擊“確定”。
注意:Peers 是一個佔位符,應替換爲您的計算機從中獲取時間戳的對等端列表(以空格分隔)。列出的每個 DNS 名稱都必須是唯一的。必須在每個 DNS 名稱後面附加 ,0x1。如果不在每個 DNS 名稱後面附加 ,0x1,則在步驟 5 中所做的更改將不會生效。 | |
| 5. |
選擇輪詢間隔。爲此,請按照下列步驟操作:
| a. |
找到並單擊下面的註冊表子項:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\SpecialPollInterval |
| b. |
在右窗格中,右鍵單擊“SpecialPollInterval”,然後單擊“修改”。 |
| c. |
在“編輯 DWORD 值”的“數值數據”框中鍵入 TimeInSeconds,然後單擊“確定”。
注意:TimeInSeconds 是一個佔位符,應替換爲您希望各次輪詢之間的間隔秒數。建議值爲 900(十進制)。該值將時間服務器配置爲每隔 15 分鐘輪詢一次。 | |
| 6. |
配置時間校準設置。爲此,請按照下列步驟操作:
| a. |
找到並單擊下面的註冊表子項:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxPosPhaseCorrection |
| b. |
在右窗格中,右鍵單擊“MaxPosPhaseCorrection”,然後單擊“修改”。 |
| c. |
在“編輯 DWORD 值”的“基數”框中單擊以選擇“十進制”。 |
| d. |
在“編輯 DWORD 值”的“數值數據”框中鍵入 TimeInSeconds,然後單擊“確定”。
注意:TimeInSeconds 是一個佔位符,應替換爲適當的值,如 1 小時 (3600) 或 30 分鐘 (1800)。您選擇的值將因輪詢間隔、網絡狀況和外部時間源而異。 |
| e. |
找到並單擊下面的註冊表子項:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxNegPhaseCorrection |
| f. |
在右窗格中,右鍵單擊“MaxNegPhaseCorrection”,然後單擊“修改”。 |
| g. |
在“編輯 DWORD 值”的“基數”框中單擊以選擇“十進制”。 |
| h. |
在“編輯 DWORD 值”的“數值數據”框中鍵入 TimeInSeconds,然後單擊“確定”。
注意:TimeInSeconds 是一個佔位符,應替換爲適當的值,如 1 小時 (3600) 或 30 分鐘 (1800)。您選擇的值將因輪詢間隔、網絡狀況和外部時間源而異。 | |
| 7. |
退出註冊表編輯器。 |
| 8. |
在命令提示符處,鍵入以下命令以重新啓動 Windows 時間服務,然後按 Enter:
net stop w32time && net start w32time |
被配置爲可靠時間源的計算機會被標識爲 Windows 時間服務的根。Windows 時間服務的根是域的權威服務器,通常被配置爲從外部 NTP 服務器或硬件設備檢索時間。您可以將一臺時間服務器配置爲可靠的時間源,以優化在整個域層級中傳輸時間的方式。如果將某個域控制器配置爲可靠的時間源,Net Logon 服務將在該域控制器登錄到網絡時將其宣佈爲可靠的時間源。當其他域控制器查找要與之同步的時間源時,它們將首先選擇可靠的時間源(如果有)。
在使用手動指定的同步時,您可以指定計算機從中獲得時間的單個對等端或一個對等端列表。如果計算機不是域的成員,必須手動將其配置爲與指定的時間源同步。默認情況下,屬於域成員的計算機會被配置爲從域層級同步。手動指定的同步對域的林根或未加入域的計算機非常有用。當您手動指定外部 NTP 服務器與域的權威計算機同步時,您就提供了可靠的時間。但是,爲了向域提供高準確性和安全性,建議您將域的權威計算機配置爲與硬件時鐘同步。
如果沒有硬件時間源,W32time 會被配置爲 NTP 類型。您必須重新配置 MaxPosPhaseCorrection 和 MaxNegPhaseCorrection 這兩個註冊表項。根據時間源、網絡狀況和安全要求的不同,建議將該值設置爲 15 分鐘或更低。該要求也適用於被配置爲時間同步子網中的林根時間源的任何可靠的時間源。有關這兩個註冊表項的更多信息,請參見本文中的“Windows 時間服務註冊表項”一節。
注意:除非爲手動指定的時間源編寫特定的時間提供程序,否則它們不會經過身份驗證,因此這些時間源很容易受到***。另外,如果計算機與手動指定的源同步,而不是與它的身份驗證域控制器同步,則這兩臺計算機可能不同步。這種情況會導致 Kerberos 身份驗證失敗,還會導致其他需要網絡身份驗證的操作(如打印或文件共享)失敗。只要將林根配置爲與一個外部源同步,則林中的所有其他計算機就會彼此同步。這種配置會使得重播***很難發生。
“所有可用的同步機制”選項是最適合網絡用戶的同步方法。這種方法可實現與域層級的同步,並且根據具體的配置,它還可以在域層級不可用時提供備用的時間源。如果客戶端無法與域層級同步時間,時間源將自動切換爲“NtpServer”設置指定的時間源。這種同步方法最有可能爲客戶端提供準確的時間。
以下註冊表項位於 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\ 下:
| 註冊表項 |
MaxPosPhaseCorrection |
| 路徑 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config |
| 注意: |
該項指定服務可進行的最大正時間校準量(以秒爲單位)。如果服務確定某個更改幅度大於所需的幅度,它將記錄一個事件。(0xFFFFFFFF 是一種特殊情況,它表示總是校準時間。)域成員的默認值是 0xFFFFFFFF。獨立客戶端和服務器的默認值是 54,000,即 15 小時。 |
| 註冊表項 |
MaxNegPhaseCorrection |
| 路徑 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config |
| 注意: |
該項指定服務可進行的最大負時間校準量(以秒爲單位)。如果服務確定某個更改幅度大於所需的幅度,它將轉而記錄一個事件。(-1 是一種特殊情況,它表示總是校準時間。)域成員的默認值是 0xFFFFFFFF。獨立客戶端和服務器的默認值是 54,000,即 15 小時。 |
| 註冊表項 |
MaxPollInterval |
| 路徑 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config |
| 注意: |
該項指定系統輪詢間隔所允許的最大間隔(單位是對數表示的秒)。儘管系統必須根據預定的間隔進行輪詢,但是提供程序可以根據請求拒絕生成示例。域成員的默認值是 10。獨立客戶端和服務器的默認值是 15。 |
| 註冊表項 |
SpecialPollInterval |
| 路徑 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient |
| 注意: |
該項指定手動對等端的特殊輪詢間隔(以秒爲單位)。當啓用 SpecialInterval 0x1 標誌時,W32Time 將使用此輪詢間隔而非操作系統確定的輪詢間隔。域成員的默認值是 3,600。獨立客戶端和服務器的默認值是 604,800。 |
| 註冊表項 |
MaxAllowedPhaseOffset |
| 路徑 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config |
| 注意: |
該項指定 W32Time 嘗試使用時鐘速率調整計算機時鐘的最大偏移量(以秒爲單位)。當偏移量大於該速率時,W32Time 將直接設置計算機時鐘。域成員的默認值是 300。獨立客戶端和服務器的默認值是 1。 |
Ctrl+Enter 發佈
發佈
取消