同步 Windows 时间服务 (W32Time) 的日期和时间的所有运行 Active Directory 域服务 (AD DS) 的计算机。 时间同步至关重要的许多 Windows 服务和的业务线 (LOB) 应用正常运行。 Windows 时间服务使用的网络时协议 (NTP) 来同步网络上的计算机时钟。 NTP 确保,准确时钟值或时间戳,即可分配到网络验证和资源的访问权限请求。
时间协议的重要性
两台计算机若要交换时间信息,然后使用该信息同步他们时钟之间进行通信时间协议。 使用 Windows 时服务时间协议,的客户端从服务器请求时间信息,并使其时钟根据所收到的信息同步。
Windows 时间服务使用 NTP 帮助同步网络上的时间。 NTP 是包含不必同步时钟专业算法 Internet 时间协议。 NTP 是更精确的时间协议比简单网络时间协议 (SNTP),可在某些版本的 Windows。但是,W32Time 仍支持 SNTP 启用与计算机运行 SNTP 基于时间的服务,如 Windows 2000 的后向兼容性。
Windows 10和Windows Server 2016中的时间准确性得到了显着提高,同时保持了与旧Windows版本完全向后的NTP兼容性。在正确的操作条件下,运行Windows 10或Windows Server 2016及更新版本的系统可以提供1秒,50毫秒(毫秒)或1毫秒的精度。(时间精度:时间精度需要从高度准确的权威时间源到终端设备的端到端精确时间分配。任何引入网络不对称的因素都会对准确性产生负面影响,例如物理网络设备或目标系统上的高CPU负载。)
Windows 时间服务结构:
Windows 时间服务包含以下组件:
-
服务控制管理器
-
Windows 时间服务管理器
-
时钟专业
-
时间提供程序
下图显示的体系结构 Windows 时间服务。
服务控制管理器负责启动和停止 Windows 时间服务。 Windows 时间服务管理器负责启动附带操作系统 NTP 时间提供商的操作。 Windows 时间服务管理器来控制 Windows 时间服务的所有功能和合并所有时间样本。 除了提供有关当前系统状态,如当前时间源或最后时间系统时钟已更新信息,Windows 时间服务管理器程序还负责创建事件日志中的事件。
时间同步进程中涉及以下步骤:
-
输入提供商要求,接收来自配置 NTP 时间来源时间样本。
-
这些时间示例将传递到 Windows 时服务管理器,它将收集所有样本,并将其传输到时钟专业子组件。
-
时钟专业子组件适用 NTP 算法这会导致的最佳时间示例所选内容旁。
-
时钟专业子组件调整通过调整时钟率或直接更改的时间的最准确的时间到系统时钟的时间。
如果计算机已指定时间服务器为,它可以发送到请求时间同步此过程中任何位置的任何计算机的时间。
Windows 时间服务时间协议
时间协议确定程度两台计算机的时钟同步。 时间协议负责确定的最佳可用时间信息和汇聚时钟,以确保在不同的系统中确保保持一致的时间。
Windows 时间服务使用的网络时协议 (NTP) 来通过网络同步时间。 NTP 是包含不必同步时钟专业算法 Internet 时间协议。 NTP 是更精确的时间协议比简单网络时间协议 (SNTP),可在某些版本的 Windows。但是 W32Time 继续支持 SNTP 启用与计算机运行 SNTP 基于时间的服务,如 Windows 2000 的后向兼容性。
网络时间协议
网络时协议 (NTP) 是默认的时间使用 Windows 时间服务操作系统中的同步协议。 NTP 是能力故障、 高度可扩展时间协议,并且在使用最常使用指定的时间参考同步计算机时钟的协议。
NTP 时间同步发生一段时间内通过,并且涉及 NTP 数据包传输通过网络。 NTP 数据包包含在时间同步中包含的客户端和服务器参与时间示例的时间戳。
NTP 依赖于参考时钟定义最精确的时间要使用,并同步到该参考时钟网络上的所有时钟。 NTP 当前时间协调世界时 (UTC) 使用通用标准。 UTC 独立时区的时间,并使 NTP 在无论时区的区域设置世界随时随地使用。
NTP 算法的支持
NTP 包括两个算法、 时钟筛选算法和时钟选择算法,帮助确定的最佳时间示例 Windows 时间服务。时钟筛选算法旨在筛选的时间和示例,将收到了来自查询的时间源确定每个来源的最佳时间示例。时钟选择算法然后确定网络上的最准确的时间服务器。 此信息然后传递时钟专业算法,使用时,由于网络延迟和计算机时钟不准确性错误补偿更正的计算机,本地时钟中收集的信息。
NTP 算法是最准确的灯到中等网络和服务器加载的情况下。 与会考虑网络公交时间任何算法,NTP 算法的支持,可能很好地运行 extreme 网络拥堵的情况下。
NTP 时间提供程序
Windows 时间服务,可支持的各种硬件设备和时间协议一个完整的时间同步包。 若要启用此支持,该服务使用可插入时间提供商。 时间提供程序是负责任一获取精确的时间戳 (从网络或硬件) 或通过网络提供的其他计算机这些时间戳。
NTP 提供程序附带操作系统标准时间提供商。 NTP 提供商遵循 NTP 版本 3 的客户端和服务器,由指定的标准,并可与 SNTP 客户端和服务器 Windows 2000 和其他 SNTP 客户端的后向兼容性的交互。在 Windows 时间服务 NTP 提供商由以下两部分组成:
-
NtpServer 输出提供商。 这是响应网络上的客户端时间请求时间服务器。
-
NtpClient 输入提供商。 这是从硬件设备或 NTP 服务器的其他来源获取时间的信息,并可以返回同步本地时钟有用的时间示例的时间客户端。
尽管这些两个提供商的实际操作密切相关,它们将显示独立到时间服务。 从 Windows 2000 Server、 Windows 计算机连接到网络时,它被配置为 NTP 客户端。 此外,计算机运行的 Windows 时间 service 仅尝试同步域控制器或手动指定的时长源默认的时间。 以下是时间的首选的时间提供商,因为它们是时间的可用自动、 安全来源。
NTP 安全
在AD DS林中,Windows时间服务依赖于标准域安全功能来强制执行时间数据身份验证。在域成员计算机和充当时间服务器的本地域控制器之间发送的NTP数据包的安全性基于共享密钥身份验证。 Windows时间服务使用计算机的Kerberos会话密钥在通过网络发送的NTP数据包上创建经过身份验证的签名。 NTP数据包不在Net Logon安全通道内传输。相反,当计算机从域层次结构中的域控制器请求时间时,Windows时间服务要求对时间进行身份验证。然后,域控制器以64位值的形式返回所需信息,该值已使用Net Logon服务中的会话密钥进行了身份验证。如果返回的NTP数据包未使用计算机的会话密钥签名或签名不正确,则会拒绝该时间。所有此类身份验证失败都记录在事件日志中。通过这种方式,Windows时间服务为AD DS林中的NTP数据提供安全性。
通常,Windows时间客户端会自动从同一域中的域控制器获取准确的同步时间。在林中,子域的域控制器与其父域中的域控制器同步时间。当时间服务器将经过身份验证的NTP数据包返回给请求时间的客户端时,数据包将通过域间信任帐户定义的Kerberos会话密钥进行签名。当新的AD DS域加入林时,将创建域间信任帐户,并且Net Logon服务将管理会话密钥。通过这种方式,在林根域中配置为可靠的域控制器将成为父域和子域中所有域控制器的经过身份验证的时间源,并间接成为域树中所有计算机的域。
可以将Windows时间服务配置为在林之间工作,但请务必注意,此配置不安全。例如,NTP服务器可能在不同的林中可用。但是,由于该计算机位于不同的林中,因此没有用于对NTP数据包进行签名和身份验证的Kerberos会话密钥。要从不同林中的计算机获得准确的时间同步,客户端需要对该计算机进行网络访问,并且必须将时间服务配置为使用位于其他林中的特定时间源。如果客户端被手动配置为从其自己的域层次结构之外的NTP服务器访问时间,则客户端和时间服务器之间发送的NTP数据包未经过身份验证,因此不安全。即使实施了林信任,Windows时间服务也不能跨林安全。虽然Net Logon安全通道是Windows时间服务的身份验证机制,但不支持跨林的身份验证。
受 Windows 时间服务的硬件设备
诸如GPS或无线电时钟之类的基于硬件的时钟通常用作高度精确的参考时钟设备。默认情况下,Windows时间服务NTP时间提供程序不支持将硬件设备直接连接到计算机,但可以创建支持此类连接的基于软件的独立时间提供程序。这种类型的提供程序与Windows时间服务一起提供可靠,稳定的时间参考
硬件设备,如 cesium 时钟或全球定位系统 (GPS) 接收器,提供按照以获取时间准确清晰度标准准确的当前时间。 Cesium 时钟极稳定和不受温度、 压力或湿度,如因素的影响,但也非常高。 GPS 接收器更便宜运行,并且还准确参考时钟。 GPS 接收器获得从从 cesium 时钟获得时间的卫星时间。 不提供商的名字独立次使用时,Windows 时间服务器可以获取通过连接到外部的 NTP 服务器,通过电话或 Internet 连接到硬件设备的时间。 如美国海军观测组织提供的连接到参考非常可靠时钟 NTP 服务器。
许多 GPS 接收器和其他时间设备可以作为 NTP 网络上的服务器。 您可以配置AD DS 林以也作为 NTP 网络上的服务器时,才同步来自以下硬件外部设备的时间。 若要执行此操作,将配置充当主域控制器 (PDC) 的模拟器,在你林根与提供 GPS 设备 NTP 服务器同步域控制器。
简单网络时协议
简单的网络时协议 (SNTP) 是精确度的适用于服务器和不需要 NTP 提供的客户端简化的时间协议。SNTP,NTP,更加基本版本是 Windows 2000 中使用的时间主要协议。 因为 SNTP 和 NTP 的网络数据包格式相同,两种协议进行互操作。 两者之间的主要区别在于 SNTP 没有错误管理和复杂 NTP 提供的筛选系统。
时间协议互操作性
因为 Windows 2000 可用 SNTP 协议与在 Windows XP 和 Windows Server 2003 NTP 协议互操作,可以混合的计算机运行的 Windows 2000、 Windows XP 和 Windows Server 2003 环境中运行 Windows 时间服务。
在 Windows NT 服务器 4.0,称为 TimeServ,时间服务跨 Windows NT 4.0 网络同步时间。 TimeServ 是可以作为加载项功能的一部分Microsoft Windows NT 4.0 资源工具包并不提供程度时间同步所需的 Windows Server 2003 的可靠性。
Windows 时间服务可与运行 Windows NT 4.0,因为它们可以与运行 Windows 2000 或 Windows Server 2003; 计算机同步时间的计算机兼容但是的计算机运行的 Windows 2000 或 Windows Server 2003 未自动检测 Windows NT 4.0 时间服务器。 例如,如果你的域配置为使用层次基于域同步时间付款方式同步,并且你想要域层次进行同步时,使用 Windows NT 4.0 域控制器中的计算机,你需要将这些计算机手动同步使用 Windows NT 4.0 域控制器配置。
Windows NT 4.0 使用更易于使用机制时间比 Windows 时间服务使用的同步。 因此,以确保在你的网络精确的时间同步,建议你对 Windows 2000 或 Windows Server 2003 升级任何 Windows NT 4.0 域控制器。
Windows 时间服务进程和交互
Windows 时间服务旨在同步网络上计算机的时钟。 网络时同步进程,也称为时间融合为每个计算机访问时间发生整个网络的更精确的时间服务器。 时间融合涉及的进程权威服务器提供给客户端计算机以以下形式出现: NTP 数据包当前时间。 数据包中提供的信息指示是否需要这样就与更准确服务器同步到计算机的当前时钟时间进行了调整。
作为时融合过程的一部分,域成员尝试同步的任何位于同一的域的域控制器的时间。 如果计算机域控制器,它将尝试与更权威的域控制器同步。
运行 Windows XP Home Edition 或未加入域的计算机的计算机不尝试与域层次同步,但配置默认情况下,以获取从 time.windows.com 时间。
若要建立运行 Windows Server 2003 为权威的计算机,必须将计算机配置为可靠的时间源。 默认情况下,安装在 Windows Server 2003 域第一个域控制器自动配置为时间可靠的源。 是域权威的计算机,因为它必须配置外部时间源而不是与域层次同步。 此外默认情况下,其他 Windows Server 2003 域成员配置为与域层次同步。
建立 Windows Server 2003 网络后,您可以配置 Windows 时间服务同步使用下列选项之一:
-
域分层基于同步
-
手动指定同步源
-
所有可用的同步机制
-
未同步。
每个同步的类型是以下部分中所述的。
域分层基于同步
同步基于域层次使用AD DS 域优先级来查找要与之同步时间可靠的源。 根据层次域,Windows 时间服务确定每次服务器的准确性。 在 Windows Server 2003 树林中,计算机上拥有主域控制器 (PDC) 仿真器操作主角色,位于森林根域中,保存的位置的最佳时间源,除非另一个可靠的时间源已配置。下图说明时间同步计算机在域层次之间的路径。
AD DS 架构中时间同步
时间可靠的源配置
配置为时间可靠的源的计算机被标识为时间服务根。 根时间服务的是域权威服务器,通常配置为检索外部 NTP 服务器或硬件设备的时间。 作为可靠的时间源优化域层次整个传输时间的方式,可以配置时间服务器。 如果域控制器配置为时间可靠的源,网络登录服务将在该域控制器其登录到该网络时宣布为时间可靠的源。 其他域控制器查找时间源与进行同步,当他们所选择可靠的源首先如果可用。
时间源所选内容
时间源的选择过程可以创建在网络上的两个问题:
-
其他同步周期。
-
在网络通信提高的音量。
发生一次在同步网络时时间保持一致之间的一组域控制器同时共享它们不与其他可靠的时间源重新同步持续之间。 Windows 时间服务时间源选择算法设计防御这些类型的问题。
一台计算机使用以下方法之一来标识时间源与同步:
-
如果计算机不属于某个域,它必须配置为与指定的时长源同步。
-
计算机是否成员服务器或工作站在某个域,默认情况下,它将遵循AD DS 层次并且与当前运行的 Windows 时间服务其本地域中的域控制器同步它的时间。
如果计算机域控制器,它使达六个查询以查找其他域控制器与进行同步。 每个查询旨在确定时间源某些属性,如一种类型的域控制器,某个特定的位置,以及它是否已可靠的时间源。 时间源必须还遵守以下限制:
-
只能与父域中的域控制器同步可靠的时间源。
-
具有可靠的时间源其自己的域中或家长域中的任何域控制器,PDC 模拟器可以同步。
手动指定同步
手动指定同步可以让你指定的单个对方或对从计算机中获取时间等的列表。 如果计算机不属于某个域,必须手动将其配置为与指定的时长源同步。 计算机的是域中的成员配置默认情况下,若要从域层次同步,最有用的域的森林根或的未加入域的计算机是手动指定的同步。 手动指定外部 NTP 服务器来与您的域权威的计算机同步提供可靠的时间。 但是,配置为可与硬件时钟同步你域权威的计算机是实际上提供给你的域的最准确、 安全时间更好的解决方案。
除非在特定时间提供商编写对他们来说,因此是易受攻击者,不身份验证手动指定时间来源。 此外,如果计算机同步手动指定的源代码,而不是其身份验证的域控制器,两台计算机可能利用同步时,导致 Kerberos 身份验证失败。 这可能导致要求网络身份验证失败,打印或共享文件等的其他操作。 如果只森林根配置为与外部的源同步,森林中的其他计算机保持同步相互,进行重播攻击困难。
所有可用的同步机制
"在所有可用的同步机制"选项是网络上的用户最有价值同步方法。 此方法使与域层次同步,并且还可能会提供一种替代时间源如果域层次变为不可用,具体取决于配置。 如果无法与域层次同步时间客户端,将时间源自动回退到指定的时间源NtpServer设置。 同步此方法是最有可能提供给客户端精确的时间。
停止同步的时间
有某些情况的下,你将需要停止同步时间的计算机。 例如,如果的计算机尝试通过拨号连接同步 WAN 通过从 Internet 上的时间源或其他网站,它可能会产生高电话费用。 禁用该计算机上的同步,当你尝试访问时间源通过拨号连接阻止计算机。
你还可以禁用同步以防止代事件日志中的错误。 每次尝试与不可用,时间源同步的计算机它事件日志中生成一个错误。 如果不打算重新配置的客户端从其他来源同步时间源拍摄计划维护网络注销,您可以禁用用于阻止时间服务器不可用时,请尝试同步的客户端上同步。
它可禁用指在同步网络根在计算机上的同步。 这表示根计算机信任其本地时钟。 如果同步层次根未设置为非同步和客户端无法与另一次源同步时,如果不接受这台计算机发送出,因为它的时间不能为受信任的数据包中。
仅时间,即使他们未同步的其他时间源的客户端信任服务器那些客户端标识为服务器可靠的时间。
禁用 Windows 时间服务
Windows 时间服务 (W32Time) 可以完全禁用。 如果你选择要实现的第三方时间同步产品使用 NTP,必须先禁用 Windows 时间服务。 这是因为所有 NTP 服务器都需要访问用户数据报协议 (UDP) 端口 123,并且只要在 Windows Server 2003 操作系统上运行的 Windows 时间服务,端口 123 保持保留通过 Windows 时间。
使用 Windows 时服务的网络端口
Windows 时间服务通信网络标识可靠的时间来源、 获取时间信息和时间信息提供给其他计算机上。它将由 NTP 和 SNTP Rfc 定义执行此通信。
服务名称 |
UDP |
TCP |
NTP |
123 |
不适用 |
SNTP |
123 |
不适用 |
欢迎关注微信公众号:小温研习社