Windows Server 2016-Windows 時間服務概覽

同步 Windows 時間服務 (W32Time) 的日期和時間的所有運行 Active Directory 域服務 (AD DS) 的計算機。 時間同步至關重要的許多 Windows 服務和的業務線 (LOB) 應用正常運行。 Windows 時間服務使用的網絡時協議 (NTP) 來同步網絡上的計算機時鐘。 NTP 確保，準確時鐘值或時間戳，即可分配到網絡驗證和資源的訪問權限請求。

時間協議的重要性

兩臺計算機若要交換時間信息，然后使用該信息同步他們時鐘之間進行通信時間協議。 使用 Windows 時服務時間協議，的客戶端從服務器請求時間信息，并使其時鐘根據所收到的信息同步。

Windows 時間服務使用 NTP 幫助同步網絡上的時間。 NTP 是包含不必同步時鐘專業算法 Internet 時間協議。 NTP 是更精確的時間協議比簡單網絡時間協議 (SNTP)，可在某些版本的 Windows。但是，W32Time 仍支持 SNTP 啟用與計算機運行 SNTP 基于時間的服務，如 Windows 2000 的后向兼容性。

Windows 10和Windows Server 2016中的時間準確性得到了顯著提高，同時保持了與舊Windows版本完全向后的NTP兼容性。在正確的操作條件下，運行Windows 10或Windows Server 2016及更新版本的系統可以提供1秒，50毫秒（毫秒）或1毫秒的精度。（時間精度：時間精度需要從高度準確的權威時間源到終端設備的端到端精確時間分配。任何引入網絡不對稱的因素都會對準確性產生負面影響，例如物理網絡設備或目標系統上的高CPU負載。）

Windows 時間服務結構：

Windows 時間服務包含以下組件：

• 服務控制管理器

• Windows 時間服務管理器

• 時鐘專業

• 時間提供程序

下圖顯示的體系結構 Windows 時間服務。

服務控制管理器負責啟動和停止 Windows 時間服務。 Windows 時間服務管理器負責啟動附帶操作系統 NTP 時間提供商的操作。 Windows 時間服務管理器來控制 Windows 時間服務的所有功能和合并所有時間樣本。 除了提供有關當前系統狀態，如當前時間源或最后時間系統時鐘已更新信息，Windows 時間服務管理器程序還負責創建事件日志中的事件。

時間同步進程中涉及以下步驟：

• 輸入提供商要求，接收來自配置 NTP 時間來源時間樣本。

• 這些時間示例將傳遞到 Windows 時服務管理器，它將收集所有樣本，并將其傳輸到時鐘專業子組件。

• 時鐘專業子組件適用 NTP 算法這會導致的最佳時間示例所選內容旁。

• 時鐘專業子組件調整通過調整時鐘率或直接更改的時間的最準確的時間到系統時鐘的時間。

如果計算機已指定時間服務器為，它可以發送到請求時間同步此過程中任何位置的任何計算機的時間。

Windows 時間服務時間協議

時間協議確定程度兩臺計算機的時鐘同步。 時間協議負責確定的最佳可用時間信息和匯聚時鐘，以確保在不同的系統中確保保持一致的時間。

Windows 時間服務使用的網絡時協議 (NTP) 來通過網絡同步時間。 NTP 是包含不必同步時鐘專業算法 Internet 時間協議。 NTP 是更精確的時間協議比簡單網絡時間協議 (SNTP)，可在某些版本的 Windows。但是 W32Time 繼續支持 SNTP 啟用與計算機運行 SNTP 基于時間的服務，如 Windows 2000 的后向兼容性。

網絡時間協議

網絡時協議 (NTP) 是默認的時間使用 Windows 時間服務操作系統中的同步協議。 NTP 是能力故障、 高度可擴展時間協議，并且在使用最常使用指定的時間參考同步計算機時鐘的協議。

NTP 時間同步發生一段時間內通過，并且涉及 NTP 數據包傳輸通過網絡。 NTP 數據包包含在時間同步中包含的客戶端和服務器參與時間示例的時間戳。

NTP 依賴于參考時鐘定義最精確的時間要使用，并同步到該參考時鐘網絡上的所有時鐘。 NTP 當前時間協調世界時 (UTC) 使用通用標準。 UTC 獨立時區的時間，并使 NTP 在無論時區的區域設置世界隨時隨地使用。

NTP 包括兩個算法、 時鐘篩選算法和時鐘選擇算法，幫助確定的最佳時間示例 Windows 時間服務。時鐘篩選算法旨在篩選的時間和示例，將收到了來自查詢的時間源確定每個來源的最佳時間示例。時鐘選擇算法然后確定網絡上的最準確的時間服務器。 此信息然后傳遞時鐘專業算法，使用時，由于網絡延遲和計算機時鐘不準確性錯誤補償更正的計算機，本地時鐘中收集的信息。

NTP 算法是最準確的燈到中等網絡和服務器加載的情況下。 與會考慮網絡公交時間任何算法，NTP 算法的支持，可能很好地運行 extreme 網絡擁堵的情況下。

Windows 時間服務，可支持的各種硬件設備和時間協議一個完整的時間同步包。 若要啟用此支持，該服務使用可插入時間提供商。 時間提供程序是負責任一獲取精確的時間戳 （從網絡或硬件） 或通過網絡提供的其他計算機這些時間戳。

NTP 提供程序附帶操作系統標準時間提供商。 NTP 提供商遵循 NTP 版本 3 的客戶端和服務器，由指定的標準，并可與 SNTP 客戶端和服務器 Windows 2000 和其他 SNTP 客戶端的后向兼容性的交互。在 Windows 時間服務 NTP 提供商由以下兩部分組成：

• NtpServer 輸出提供商。 這是響應網絡上的客戶端時間請求時間服務器。

• NtpClient 輸入提供商。 這是從硬件設備或 NTP 服務器的其他來源獲取時間的信息，并可以返回同步本地時鐘有用的時間示例的時間客戶端。

盡管這些兩個提供商的實際操作密切相關，它們將顯示獨立到時間服務。 從 Windows 2000 Server、 Windows 計算機連接到網絡時，它被配置為 NTP 客戶端。 此外，計算機運行的 Windows 時間 service 僅嘗試同步域控制器或手動指定的時長源默認的時間。 以下是時間的首選的時間提供商，因為它們是時間的可用自動、 安全來源。

在AD DS林中，Windows時間服務依賴于標準域安全功能來強制執行時間數據身份驗證。在域成員計算機和充當時間服務器的本地域控制器之間發送的NTP數據包的安全性基于共享密鑰身份驗證。 Windows時間服務使用計算機的Kerberos會話密鑰在通過網絡發送的NTP數據包上創建經過身份驗證的簽名。 NTP數據包不在Net Logon安全通道內傳輸。相反，當計算機從域層次結構中的域控制器請求時間時，Windows時間服務要求對時間進行身份驗證。然后，域控制器以64位值的形式返回所需信息，該值已使用Net Logon服務中的會話密鑰進行了身份驗證。如果返回的NTP數據包未使用計算機的會話密鑰簽名或簽名不正確，則會拒絕該時間。所有此類身份驗證失敗都記錄在事件日志中。通過這種方式，Windows時間服務為AD DS林中的NTP數據提供安全性。

通常，Windows時間客戶端會自動從同一域中的域控制器獲取準確的同步時間。在林中，子域的域控制器與其父域中的域控制器同步時間。當時間服務器將經過身份驗證的NTP數據包返回給請求時間的客戶端時，數據包將通過域間信任帳戶定義的Kerberos會話密鑰進行簽名。當新的AD DS域加入林時，將創建域間信任帳戶，并且Net Logon服務將管理會話密鑰。通過這種方式，在林根域中配置為可靠的域控制器將成為父域和子域中所有域控制器的經過身份驗證的時間源，并間接成為域樹中所有計算機的域。

可以將Windows時間服務配置為在林之間工作，但請務必注意，此配置不安全。例如，NTP服務器可能在不同的林中可用。但是，由于該計算機位于不同的林中，因此沒有用于對NTP數據包進行簽名和身份驗證的Kerberos會話密鑰。要從不同林中的計算機獲得準確的時間同步，客戶端需要對該計算機進行網絡訪問，并且必須將時間服務配置為使用位于其他林中的特定時間源。如果客戶端被手動配置為從其自己的域層次結構之外的NTP服務器訪問時間，則客戶端和時間服務器之間發送的NTP數據包未經過身份驗證，因此不安全。即使實施了林信任，Windows時間服務也不能跨林安全。雖然Net Logon安全通道是Windows時間服務的身份驗證機制，但不支持跨林的身份驗證。

諸如GPS或無線電時鐘之類的基于硬件的時鐘通常用作高度精確的參考時鐘設備。默認情況下，Windows時間服務NTP時間提供程序不支持將硬件設備直接連接到計算機，但可以創建支持此類連接的基于軟件的獨立時間提供程序。這種類型的提供程序與Windows時間服務一起提供可靠，穩定的時間參考

硬件設備，如 cesium 時鐘或全球定位系統 (GPS) 接收器，提供按照以獲取時間準確清晰度標準準確的當前時間。 Cesium 時鐘極穩定和不受溫度、 壓力或濕度，如因素的影響，但也非常高。 GPS 接收器更便宜運行，并且還準確參考時鐘。 GPS 接收器獲得從從 cesium 時鐘獲得時間的衛星時間。 不提供商的名字獨立次使用時，Windows 時間服務器可以獲取通過連接到外部的 NTP 服務器，通過電話或 Internet 連接到硬件設備的時間。 如美國海軍觀測組織提供的連接到參考非常可靠時鐘 NTP 服務器。

許多 GPS 接收器和其他時間設備可以作為 NTP 網絡上的服務器。 您可以配置AD DS 林以也作為 NTP 網絡上的服務器時，才同步來自以下硬件外部設備的時間。 若要執行此操作，將配置充當主域控制器 (PDC) 的模擬器，在你林根與提供 GPS 設備 NTP 服務器同步域控制器。

簡單網絡時協議

簡單的網絡時協議 (SNTP) 是精確度的適用于服務器和不需要 NTP 提供的客戶端簡化的時間協議。SNTP，NTP，更加基本版本是 Windows 2000 中使用的時間主要協議。 因為 SNTP 和 NTP 的網絡數據包格式相同，兩種協議進行互操作。 兩者之間的主要區別在于 SNTP 沒有錯誤管理和復雜 NTP 提供的篩選系統。

時間協議互操作性

因為 Windows 2000 可用 SNTP 協議與在 Windows XP 和 Windows Server 2003 NTP 協議互操作，可以混合的計算機運行的 Windows 2000、 Windows XP 和 Windows Server 2003 環境中運行 Windows 時間服務。

在 Windows NT 服務器 4.0，稱為 TimeServ，時間服務跨 Windows NT 4.0 網絡同步時間。 TimeServ 是可以作為加載項功能的一部分Microsoft Windows NT 4.0 資源工具包并不提供程度時間同步所需的 Windows Server 2003 的可靠性。

Windows 時間服務可與運行 Windows NT 4.0，因為它們可以與運行 Windows 2000 或 Windows Server 2003; 計算機同步時間的計算機兼容但是的計算機運行的 Windows 2000 或 Windows Server 2003 未自動檢測 Windows NT 4.0 時間服務器。 例如，如果你的域配置為使用層次基于域同步時間付款方式同步，并且你想要域層次進行同步時，使用 Windows NT 4.0 域控制器中的計算機，你需要將這些計算機手動同步使用 Windows NT 4.0 域控制器配置。

Windows NT 4.0 使用更易于使用機制時間比 Windows 時間服務使用的同步。 因此，以確保在你的網絡精確的時間同步，建議你對 Windows 2000 或 Windows Server 2003 升級任何 Windows NT 4.0 域控制器。

Windows 時間服務進程和交互

Windows 時間服務旨在同步網絡上計算機的時鐘。 網絡時同步進程，也稱為時間融合為每個計算機訪問時間發生整個網絡的更精確的時間服務器。 時間融合涉及的進程權威服務器提供給客戶端計算機以以下形式出現： NTP 數據包當前時間。 數據包中提供的信息指示是否需要這樣就與更準確服務器同步到計算機的當前時鐘時間進行了調整。

作為時融合過程的一部分，域成員嘗試同步的任何位于同一的域的域控制器的時間。 如果計算機域控制器，它將嘗試與更權威的域控制器同步。

運行 Windows XP Home Edition 或未加入域的計算機的計算機不嘗試與域層次同步，但配置默認情況下，以獲取從 time.windows.com 時間。

若要建立運行 Windows Server 2003 為權威的計算機，必須將計算機配置為可靠的時間源。 默認情況下，安裝在 Windows Server 2003 域第一個域控制器自動配置為時間可靠的源。 是域權威的計算機，因為它必須配置外部時間源而不是與域層次同步。 此外默認情況下，其他 Windows Server 2003 域成員配置為與域層次同步。

建立 Windows Server 2003 網絡后，您可以配置 Windows 時間服務同步使用下列選項之一：

• 域分層基于同步

• 手動指定同步源

• 所有可用的同步機制

• 未同步。

每個同步的類型是以下部分中所述的。

域分層基于同步

同步基于域層次使用AD DS 域優先級來查找要與之同步時間可靠的源。 根據層次域，Windows 時間服務確定每次服務器的準確性。 在 Windows Server 2003 樹林中，計算機上擁有主域控制器 (PDC) 仿真器操作主角色，位于森林根域中，保存的位置的最佳時間源，除非另一個可靠的時間源已配置。下圖說明時間同步計算機在域層次之間的路徑。

AD DS 架構中時間同步

配置為時間可靠的源的計算機被標識為時間服務根。 根時間服務的是域權威服務器，通常配置為檢索外部 NTP 服務器或硬件設備的時間。 作為可靠的時間源優化域層次整個傳輸時間的方式，可以配置時間服務器。 如果域控制器配置為時間可靠的源，網絡登錄服務將在該域控制器其登錄到該網絡時宣布為時間可靠的源。 其他域控制器查找時間源與進行同步，當他們所選擇可靠的源首先如果可用。

時間源的選擇過程可以創建在網絡上的兩個問題：

• 其他同步周期。

• 在網絡通信提高的音量。

發生一次在同步網絡時時間保持一致之間的一組域控制器同時共享它們不與其他可靠的時間源重新同步持續之間。 Windows 時間服務時間源選擇算法設計防御這些類型的問題。

一臺計算機使用以下方法之一來標識時間源與同步：

• 如果計算機不屬于某個域，它必須配置為與指定的時長源同步。

• 計算機是否成員服務器或工作站在某個域，默認情況下，它將遵循AD DS 層次并且與當前運行的 Windows 時間服務其本地域中的域控制器同步它的時間。

如果計算機域控制器，它使達六個查詢以查找其他域控制器與進行同步。 每個查詢旨在確定時間源某些屬性，如一種類型的域控制器，某個特定的位置，以及它是否已可靠的時間源。 時間源必須還遵守以下限制：

• 只能與父域中的域控制器同步可靠的時間源。

• 具有可靠的時間源其自己的域中或家長域中的任何域控制器，PDC 模擬器可以同步。

手動指定同步

手動指定同步可以讓你指定的單個對方或對從計算機中獲取時間等的列表。 如果計算機不屬于某個域，必須手動將其配置為與指定的時長源同步。 計算機的是域中的成員配置默認情況下，若要從域層次同步，最有用的域的森林根或的未加入域的計算機是手動指定的同步。 手動指定外部 NTP 服務器來與您的域權威的計算機同步提供可靠的時間。 但是，配置為可與硬件時鐘同步你域權威的計算機是實際上提供給你的域的最準確、 安全時間更好的解決方案。

除非在特定時間提供商編寫對他們來說，因此是易受***者，不身份驗證手動指定時間來源。 此外，如果計算機同步手動指定的源代碼，而不是其身份驗證的域控制器，兩臺計算機可能利用同步時，導致 Kerberos 身份驗證失敗。 這可能導致要求網絡身份驗證失敗，打印或共享文件等的其他操作。 如果只森林根配置為與外部的源同步，森林中的其他計算機保持同步相互，進行重播***困難。

所有可用的同步機制

"在所有可用的同步機制"選項是網絡上的用戶最有價值同步方法。 此方法使與域層次同步，并且還可能會提供一種替代時間源如果域層次變為不可用，具體取決于配置。 如果無法與域層次同步時間客戶端，將時間源自動回退到指定的時間源NtpServer設置。 同步此方法是最有可能提供給客戶端精確的時間。

停止同步的時間

有某些情況的下，你將需要停止同步時間的計算機。 例如，如果的計算機嘗試通過撥號連接同步 WAN 通過從 Internet 上的時間源或其他網站，它可能會產生高電話費用。 禁用該計算機上的同步，當你嘗試訪問時間源通過撥號連接阻止計算機。

你還可以禁用同步以防止代事件日志中的錯誤。 每次嘗試與不可用，時間源同步的計算機它事件日志中生成一個錯誤。 如果不打算重新配置的客戶端從其他來源同步時間源拍攝計劃維護網絡注銷，您可以禁用用于阻止時間服務器不可用時，請嘗試同步的客戶端上同步。

它可禁用指在同步網絡根在計算機上的同步。 這表示根計算機信任其本地時鐘。 如果同步層次根未設置為非同步和客戶端無法與另一次源同步時，如果不接受這臺計算機發送出，因為它的時間不能為受信任的數據包中。

僅時間，即使他們未同步的其他時間源的客戶端信任服務器那些客戶端標識為服務器可靠的時間。

禁用 Windows 時間服務

Windows 時間服務 (W32Time) 可以完全禁用。 如果你選擇要實現的第三方時間同步產品使用 NTP，必須先禁用 Windows 時間服務。 這是因為所有 NTP 服務器都需要訪問用戶數據報協議 (UDP) 端口 123，并且只要在 Windows Server 2003 操作系統上運行的 Windows 時間服務，端口 123 保持保留通過 Windows 時間。

使用 Windows 時服務的網絡端口

Windows 時間服務通信網絡標識可靠的時間來源、 獲取時間信息和時間信息提供給其他計算機上。它將由 NTP 和 SNTP Rfc 定義執行此通信。

歡迎關注微信公眾號：小溫研習社