Принцип работы службы времени WindowsHow the Windows Time Service Works

Применяется к: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows 10 или более поздних версийApplies to: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows 10 or later

Содержание разделаIn this section

Примечание

В этом разделе объясняется работа службы времени Windows (W32Time).This topic explains only how the Windows Time service (W32Time) works. Сведения о настройке службы времени Windows см. в статье Configuring Systems for High Accuracy (Настройка систем для обеспечения высокой точности).For information about how to configure Windows Time service, see Configuring Systems for High Accuracy.

Примечание

В Windows Server 2003 и Microsoft Windows 2000 Server служба каталогов называется "служба каталогов Active Directory"In Windows Server 2003 and Microsoft Windows 2000 Server, the directory service is named Active Directory directory service. В Windows Server 2008 и более поздних версиях служба каталогов называлась "Доменные службы Active Directory" (AD DS).In Windows Server 2008 and later versions, the directory service is named Active Directory Domain Services (AD DS). Остальная часть этой статьи относится к AD DS, но эти сведения применимы также и к Active Directory.The rest of this topic refers to AD DS, but the information is also applicable to Active Directory.

Хотя служба времени Windows не является точной реализацией протокола сетевого времени (NTP), она использует комплексный набор алгоритмов, определенных в спецификациях NTP, чтобы гарантировать максимальную точность часов на компьютерах в сети.Although the Windows Time service is not an exact implementation of the Network Time Protocol (NTP), it uses the complex suite of algorithms that is defined in the NTP specifications to ensure that clocks on computers throughout a network are as accurate as possible. В идеале все часы на компьютерах в домене AD DS синхронизируются со временем полномочного компьютера.Ideally, all computer clocks in an AD DS domain are synchronized with the time of an authoritative computer. На синхронизацию времени в сети могут повлиять многие факторы.Many factors can affect time synchronization on a network. На точность синхронизации в AD DS часто влияют следующие факторы:The following factors often affect the accuracy of synchronization in AD DS:

  • условия сети;Network conditions

  • точность аппаратных часов компьютера;The accuracy of the computer's hardware clock

  • объем ресурсов ЦП и сети, доступных службе времени Windows.The amount of CPU and network resources available to the Windows Time service

Важно!

До Windows Server 2016 служба W32Time не предназначалась для поддержки зависящих от времени потребностей приложений.Prior to Windows Server 2016, the W32Time service was not designed to meet time-sensitive application needs. Не теперь обновления Windows Server 2016 позволяют реализовать в домене решение с точностью 1 мс.However, updates to Windows Server 2016 now allow you to implement a solution for 1ms accuracy in your domain. Дополнительные сведения см. в статьях Windows 2016 Accurate Time (Точное время для Windows Server 2016) и Support boundary for high-accuracy time (Граница области поддержки для сверхточного времени).See Windows 2016 Accurate Time and Support boundary to configure the Windows Time service for high-accuracy environments for more information.

Не подключенные к домену компьютеры, или компьютеры, которые реже синхронизируют свое время, по умолчанию настроены на синхронизацию с time.windows.com.Computers that synchronize their time less frequently or are not joined to a domain are configured, by default, to synchronize with time.windows.com. Таким образом невозможно гарантировать точность времени на компьютерах, сетевые соединения которых отсутствуют или прерываются.Therefore, it is impossible to guarantee time accuracy on computers that have intermittent or no network connections.

Лес AD DS имеет предварительно определенную иерархию синхронизации времени.An AD DS forest has a predetermined time synchronization hierarchy. Служба Windows Time синхронизирует время между компьютерами в иерархии, в верхней части которой находятся наиболее точные эталонные часы.The Windows Time service synchronizes time between computers within the hierarchy, with the most accurate reference clocks at the top. Если на компьютере настроено более одного источника времени, Служба времени Windows использует алгоритмы NTP для выбора наилучшего из настроенных источников времени, на основе способности компьютера синхронизироваться с этим источником времени.If more than one time source is configured on a computer, Windows Time uses NTP algorithms to select the best time source from the configured sources based on the computer's ability to synchronize with that time source. Служба времени Windows не поддерживает сетевую синхронизацию из широковещательных или многоадресных узлов.The Windows Time service does not support network synchronization from broadcast or multicast peers. Дополнительные сведения об этих функциях NTP см. в документе RFC 1305 в базе данных RFC IETF.For more information about these NTP features, see RFC 1305 in the IETF RFC Database.

Каждый компьютер, на котором работает Служба времени Windows, использует службу для поддержания наиболее точного времени.Every computer that is running the Windows Time service uses the service to maintain the most accurate time. Компьютеры, являющиеся членами домена, выступают в качестве клиента времени по умолчанию, поэтому в большинстве случаев настраивать Службу времени Windows не нужно.Computers that are members of a domain act as a time client by default, therefore, in most cases it is not necessary to configure the Windows Time Service. Однако Службу времени Windows можно настроить на выполнения запроса о времени из назначенного источника времени, кроме того служба также может предоставить время клиентам.However, the Windows Time Service can be configured to request time from a designated reference time source, and can also provide time to clients.

Степень точности времени компьютера называется страта.The degree to which a computer's time is accurate is called a stratum. Наиболее точный источник времени в сети (например, аппаратные часы) занимает самый низкий уровень страты или страта один.The most accurate time source on a network (such as a hardware clock) occupies the lowest stratum level, or stratum one. Этот точный источник времени называется эталонными часами.This accurate time source is called a reference clock. Сервер NTP, который получает время непосредственно от эталонных часов, занимает страта, который находится на один уровень выше уровня эталонных часов.An NTP server that acquires its time directly from a reference clock occupies a stratum that is one level higher than that of the reference clock. Ресурсы, которые получают время от сервера NTP, находятся в двух шагах от эталонных часов, и поэтому занимают страту, на два пункта выше, чем самый точный источник времени, и т. д.Resources that acquire time from the NTP server are two steps away from the reference clock, and therefore occupy a stratum that is two higher than the most accurate time source, and so on. По мере увеличения числа страта пользователей компьютера, время на его системных часах может становиться менее точным.As a computer's stratum number increases, the time on its system clock may become less accurate. Таким образом, уровень страты любого компьютера является показателем того, насколько тесно этот компьютер синхронизирован с наиболее точным источником времени.Therefore, the stratum level of any computer is an indicator of how closely that computer is synchronized with the most accurate time source.

При получении образцов времени диспетчер W32Time использует специальные алгоритмы в NTP, чтобы определить, какие из образцов времени наиболее подходят для использования.When the W32Time Manager receives time samples, it uses special algorithms in NTP to determine which of the time samples is the most appropriate for use. Служба времени также использует другой набор алгоритмов, чтобы определить, какой из настроенных источников времени является наиболее точным.The time service also uses another set of algorithms to determine which of the configured time sources is the most accurate. После определения наилучшего образца времени служба времени корректирует тактовою частоту местных часов, основываясь на приведенных выше условиях, чтобы позволить выполнение согласования в нужное время.When the time service has determined which time sample is best, based on the above criteria, it adjusts the local clock rate to allow it to converge toward the correct time. Если разница во времени между образцами местных часов и выбранного точного времени (также называемая "неравномерное распределение времени") слишком велика и ее нельзя скорректировать с помощью местной тактовой частоты, служба времени устанавливает местные часы на правильное время.If the time difference between the local clock and the selected accurate time sample (also called the time skew) is too large to correct by adjusting the local clock rate, the time service sets the local clock to the correct time. Эта корректировка тактовой частоты или непосредственного времени часов называется "правила работы с часами".This adjustment of clock rate or direct clock time change is known as clock discipline.

Архитектура службы времени WindowsWindows Time Service Architecture

Служба времени Windows состоит из следующих компонентов:The Windows Time service consists of the following components:

  • Диспетчер службService Control Manager

  • Диспетчер Службы времени WindowsWindows Time Service Manager

  • Правила работы с часамиClock Discipline

  • Поставщики времениTime providers

На следующем рисунке показана архитектура Службы времени Windows.The following figure shows the architecture of the Windows Time service.

Архитектура Службы времени WindowsWindows Time Service Architecture

Служба времени Windows

Диспетчер служб отвечает за запуск и остановку Службы времени Windows.The Service Control Manager is responsible for starting and stopping the Windows Time service. Диспетчер служб Службы времени Windows отвечает за запуск действий поставщиков времени NTP, включенных в операционную систему.The Windows Time Service Manager is responsible for initiating the action of the NTP time providers included with the operating system. Диспетчер служб Службы времени Windows управляет всеми функциями Службы времени Windows и объединением всех образцов времени.The Windows Time Service Manager controls all functions of the Windows Time service and the coalescing of all time samples. Помимо предоставления информации о текущем состоянии системы, например, об текущем источнике времени или о последнем обновлении системных часов, диспетчер служб Службы времени Windows также отвечает за создание событий в журнале событий.In addition to providing information about the current system state, such as the current time source or the last time the system clock was updated, the Windows Time Service Manager is also responsible for creating events in the event log.

Процесс синхронизации времени состоит из следующих этапов.The time synchronization process involves the following steps:

  • Поставщики входных данных запрашивают и получают образцы времени из настроенных источников времени NTP.Input providers request and receive time samples from configured NTP time sources.

  • Эти примеры затем передаются в диспетчер служб Службы времени Windows, который собирает все образцы и передает их подкомпоненту "правила работы с часами".These time samples are then passed to the Windows Time Service Manager, which collects all the samples and passes them to the clock discipline subcomponent.

  • Подкомпонент "правила работы с часами" применяет алгоритмы NTP, которые приводят к выбору лучшего образца времени.The clock discipline subcomponent applies the NTP algorithms which results in the selection of the best time sample.

  • Подкомпонент "правила работы с часами" корректирует время системных часов до наиболее точного времени, изменяя тактовою частоту или непосредственно время.The clock discipline subcomponent adjusts the time of the system clock to the most accurate time by either adjusting the clock rate or directly changing the time.

Если компьютер назначен сервером времени, он может отправить время на любой компьютер, запрашивающий синхронизацию времени в любой момент этого процесса.If a computer has been designated as a time server, it can send the time on to any computer requesting time synchronization at any point in this process.

Протоколы времени для службы времени WindowsWindows Time Service Time Protocols

Протоколы времени определяют, насколько точно синхронизируются часы двух компьютеров.Time protocols determine how closely two computers' clocks are synchronized. Протокол времени отвечает за определение наилучшей доступной информации о времени и синхронизацию часов, чтобы гарантировать, что в отдельных системах будет поддерживаться согласованное время.A time protocol is responsible for determining the best available time information and converging the clocks to ensure that a consistent time is maintained on separate systems.

Служба времени Windows использует протокол NTP для синхронизации времени по сети.The Windows Time service uses the Network Time Protocol (NTP) to help synchronize time across a network. NTP — это протокол времени в Интернете, включающий алгоритмы правил работы, необходимые для синхронизации часов.NTP is an Internet time protocol that includes the discipline algorithms necessary for synchronizing clocks. NTP является более точным протоколом времени, чем Simple Network Time Protocol (SNTP), который используется в некоторых версиях Windows; однако W32Time продолжает поддерживать SNTP для обеспечения обратной совместимости с компьютерами, на которых работают службы времени на основе SNTP, такие как Windows 2000.NTP is a more accurate time protocol than the Simple Network Time Protocol (SNTP) that is used in some versions of Windows; however W32Time continues to support SNTP to enable backward compatibility with computers running SNTP-based time services, such as Windows 2000.

Протокол сетевого времениNetwork Time Protocol

Протокол сетевого времени (NTP) — это стандартный протокол синхронизации времени, используемый Службой времени Windows в операционной системе.Network Time Protocol (NTP) is the default time synchronization protocol used by the Windows Time service in the operating system. NTP — это отказоустойчивый и высокомасштабируемый протокол времени, который чаще всего используется для синхронизации компьютерных часов с помощью указанной привязки времени.NTP is a fault-tolerant, highly scalable time protocol and is the protocol used most often for synchronizing computer clocks by using a designated time reference.

Синхронизация времени NTP происходит в течение определенного периода времени и включает в себя передачу пакетов NTP по сети.NTP time synchronization takes place over a period of time and involves the transfer of NTP packets over a network. Пакеты NTP содержат метки времени, которые включают образец времени как от клиента, так и от сервера, участвующих в синхронизации времени.NTP packets contain time stamps that include a time sample from both the client and the server participating in time synchronization.

NTP полагается на эталонные часы для определения наиболее точного времени и синхронизирует все часы в сети относительно этих эталонных часов.NTP relies on a reference clock to define the most accurate time to be used and synchronizes all clocks on a network to that reference clock. NTP использует время в формате UTC в качестве универсального стандарта для текущего времени.NTP uses Coordinated Universal Time (UTC) as the universal standard for current time. UTC не зависит от часовых поясов и позволяет использовать NTP в любой точке мира независимо от настроек часового пояса.UTC is independent of time zones and enables NTP to be used anywhere in the world regardless of time zone settings.

Алгоритм NTPNTP Algorithms

NTP включает два алгоритма: алгоритм фильтрации по часам и алгоритм выбора часов, которые используются для помощи Службе времени Windows при определении наилучшего образца времени.NTP includes two algorithms, a clock-filtering algorithm and a clock-selection algorithm, to assist the Windows Time service in determining the best time sample. Алгоритм фильтрации времени предназначен для просеивания образцов времени, полученных из источников времени, к которым выполнялся запрос, и определения лучших образцов времени из каждого источника.The clock-filtering algorithm is designed to sift through time samples that are received from queried time sources and determine the best time samples from each source. Затем алгоритм выбора часов определяет наиболее точный сервер времени в сети.The clock-selection algorithm then determines the most accurate time server on the network. Затем эта информация передается алгоритму правил работы с временем, который использует собранную информацию для исправления локальных часов компьютера, компенсируя при этом ошибки, вызванные задержкой сети и неточностью компьютерных часов.This information is then passed to the clock discipline algorithm, which uses the information gathered to correct the local clock of the computer, while compensating for errors due to network latency and computer clock inaccuracy.

Алгоритмы NTP наиболее точны при низкой и умеренной нагрузке сети и сервера.The NTP algorithms are most accurate under conditions of light-to-moderate network and server loads. Как и любой другой алгоритм, учитывающий время прохождения сети, алгоритмы NTP могут плохо работать в условиях сильной перегрузки сети.As with any algorithm that takes network transit time into account, NTP algorithms might perform poorly under conditions of extreme network congestion. Дополнительные сведения об алгоритмах NTP см. в документе RFC 1305 в базе данных RFC IETF.For more information about the NTP algorithms, see RFC 1305 in the IETF RFC Database.

Поставщик времени NTPNTP Time Provider

Служба времени Windows — это полный пакет синхронизации времени, который может поддерживать различные аппаратные устройства и протоколы времени.The Windows Time service is a complete time synchronization package that can support a variety of hardware devices and time protocols. Для включения этой поддержки сервис использует подключаемые поставщики времени.To enable this support, the service uses pluggable time providers. Поставщик времени отвечает за получение точных меток времени (от сети или оборудования) или предоставление этих меток времени другим компьютерам в сети.A time provider is responsible for either obtaining accurate time stamps (from the network or from hardware) or for providing those time stamps to other computers over the network.

Поставщик NTP является стандартным поставщиком времени, включенным в операционную систему.The NTP provider is the standard time provider included with the operating system. Поставщик NTP соответствует стандартам, указанным в NTP версии 3 для клиента и сервера, и может взаимодействовать с клиентами и серверами SNTP для обеспечения обратной совместимости с Windows 2000 и другими клиентами SNTP.The NTP provider follows the standards specified by NTP version 3 for a client and server, and can interact with SNTP clients and servers for backward compatibility with Windows 2000 and other SNTP clients. Поставщик NTP в Службе времени Windows состоит из следующих двух частей.The NTP provider in the Windows Time service consists of the following two parts:

  • Поставщик выходных данных NtpServer.NtpServer output provider. Это сервер времени, который отвечает на запросы времени клиента в сети.This is a time server that responds to client time requests on the network.

  • Поставщик выходных данных NtpClient.NtpClient input provider. Это клиент времени, который получает сведения о времени из другого источника, либо от аппаратного устройства, либо от сервера NTP, и может возвращать образцы времени, полезные для синхронизации локальных часов.This is a time client that obtains time information from another source, either a hardware device or an NTP server, and can return time samples that are useful for synchronizing the local clock.

Хотя фактические операции этих двух поставщиков тесно связаны, они отображаются независимо от службы времени.Although the actual operations of these two providers are closely related, they appear independent to the time service. Начиная с Windows 2000 Server, где есть подключение компьютера Windows к сети, он настраивается как NTP-клиент.Starting with Windows 2000 Server, when a Windows computer is connected to a network, it is configured as an NTP client. Кроме того, компьютеры, на которых запущена Служба времени Windows, по умолчанию пытаются синхронизировать время только с контроллером домена или вручную указанным источником времени.Also, computers running the Windows Time service only attempt to synchronize time with a domain controller or a manually specified time source by default. Это предпочтительные поставщики времени, потому что они доступны автоматически и защищают источники времени.These are the preferred time providers because they are automatically available, secure sources of time.

Безопасность NTPNTP Security

В лесу AD DS Служба времени Windows использует стандартные функции безопасности домена для обеспечения проверки подлинности данных времени.Within an AD DS forest, the Windows Time service relies on standard domain security features to enforce the authentication of time data. Безопасность пакетов NTP, отправляемых между компьютером–членом домена и контроллером локального домена, который действует в качестве сервера времени, основана на аутентификации по общему ключу.The security of NTP packets that are sent between a domain member computer and a local domain controller that is acting as a time server is based on shared key authentication. Служба времени Windows использует ключ сеанса Kerberos компьютера для создания подписей с проверкой подлинности в пакетах NTP, отправляемых по сети.The Windows Time service uses the computer's Kerberos session key to create authenticated signatures on NTP packets that are sent across the network. Пакеты NTP не передаются в безопасном канале сетевого входа в систему.NTP packets are not transmitted inside the Net Logon secure channel. Вместо этого, когда компьютер запрашивает время у контроллера домена в иерархии домена, Служба времени Windows требует аутентификации времени.Instead, when a computer requests the time from a domain controller in the domain hierarchy, the Windows Time service requires that the time be authenticated. Затем контроллер домена возвращает необходимые сведения в формате 64-разрядного значения, которое прошло проверку подлинности с помощью ключа сеанса из службы сетевого входа в систему.The domain controller then returns the required information in the form of a 64-bit value that has been authenticated with the session key from the Net Logon service. Если возвращенный пакет NTP не подписан с помощью ключа сеанса компьютера или подписан неправильно — время отклоняется.If the returned NTP packet is not signed with the computer's session key or is signed incorrectly, the time is rejected. Все такие ошибки проверки подлинности регистрируются в журнале событий.All such authentication failures are logged in the Event Log. Таким образом Служба времени Windows обеспечивает безопасность данных NTP в лесу AD DS.In this way, the Windows Time service provides security for NTP data in an AD DS forest.

Как правило, клиенты Службы времени Windows автоматически получают точное время для синхронизации с контроллеров домена в том же домене.Generally, Windows time clients automatically obtain accurate time for synchronization from domain controllers in the same domain. В лесу контроллеры дочернего домена синхронизируют время с контроллерами в родительских доменах.In a forest, the domain controllers of a child domain synchronize time with domain controllers in their parent domains. Когда сервер времени возвращает прошедший проверку подлинности пакет NTP на клиент, который запрашивает время, пакет подписывается с помощью ключа сеанса Kerberos, определенного учетной записью междоменного доверия.When a time server returns an authenticated NTP packet to a client that requests the time, the packet is signed by means of a Kerberos session key defined by an interdomain trust account. Учетная запись междоменного доверия создается, когда новый домен AD DS присоединяется к лесу, а служба сетевого входа в систему управляет ключом сеанса.The interdomain trust account is created when a new AD DS domain joins a forest, and the Net Logon service manages the session key. Таким образом, контроллер домена, настроенный как надежный в корневом домене леса, становится аутентифицированным источником времени для всех контроллеров домена, как в родительском, так и в дочернем домене, и косвенно для всех компьютеров, расположенных в дереве доменов.In this way, the domain controller that is configured as reliable in the forest root domain becomes the authenticated time source for all of the domain controllers in both the parent and child domains, and indirectly for all computers located in the domain tree.

Службу времени Windows можно настроить на работу между лесами, однако эта конфигурация не защищена.The Windows Time service can be configured to work between forests, but it is important to note that this configuration is not secure. Например, NTP-сервер может быть доступен в другом лесу.For example, an NTP server might be available in a different forest. Однако, поскольку этот компьютер находится в другом лесу, ключ сеанса Kerberos для подписывания и проверки подлинности пакетов NTP отсутствует.However, because that computer is in a different forest, there is no Kerberos session key with which to sign and authenticate NTP packets. Для получения точной синхронизации времени с компьютера в другом лесу клиенту нужен сетевой доступ к этому компьютеру, а служба времени должна быть настроена на использование определенного источника времени, расположенного в другом лесу.To obtain accurate time synchronization from a computer in a different forest, the client needs network access to that computer and the time service must be configured to use a specific time source located in the other forest. Если клиент вручную настроен на доступ к времени с NTP-сервера за пределами собственной доменной иерархии, то пакеты NTP, передаваемые между клиентом и сервером времени, не проходят проверку подлинности и, следовательно, не являются безопасными.If a client is manually configured to access time from an NTP server outside of its own domain hierarchy, the NTP packets sent between the client and the time server are not authenticated, and therefore are not secure. Несмотря на реализацию доверия лесов, Служба времени Windows не защищена между лесами.Even with the implementation of forest trusts, the Windows Time service is not secure across forests. Хотя безопасный канал сетевого входа в систему является механизмом проверки подлинности для Службы времени Windows, проверка подлинности в лесах не поддерживается.Although the Net Logon secure channel is the authentication mechanism for the Windows Time service, authentication across forests is not supported.

Аппаратные устройства, поддерживаемые Службой времени WindowsHardware Devices That Are Supported by the Windows Time Service

Часы на основе оборудования, такие как GPS или радиочасы, часто используются в качестве устройств с высокоточными эталонными часами.Hardware-based clocks such as GPS or radio clocks are often used as highly accurate reference clock devices. По умолчанию поставщик времени NTP Службы времени Windows не поддерживает прямое подключение аппаратного устройства к компьютеру, однако вы можете создать программный независимый поставщик времени, поддерживающий этот тип подключения.By default, the Windows Time service NTP time provider does not support the direct connection of a hardware device to a computer, although it is possible to create a software-based independent time provider that supports this type of connection. Этот тип поставщика, в сочетании со Службой времени Windows, может обеспечить надежную и стабильную привязку по времени.This type of provider, in conjunction with the Windows Time service, can provide a reliable, stable time reference.

Аппаратные устройства, такие как цезиевые часы или приемник GPS, обеспечивают точное текущее время, следуя стандарту для получения точного определения времени.Hardware devices, such as a cesium clock or a Global Positioning System (GPS) receiver, provide accurate current time by following a standard to obtain an accurate definition of time. Цезиевые часы чрезвычайно стабильны и не подвержены влиянию таких факторов, как температура, давление или влажность, но в то же время очень дорого стоят.Cesium clocks are extremely stable and are unaffected by factors such as temperature, pressure, or humidity, but are also very expensive. Приемник GPS намного дешевле в эксплуатации, а также является точными эталонными часами.A GPS receiver is much less expensive to operate and is also an accurate reference clock. Приемники GPS получают время со спутников, которым время предоставляют цезиевые часы.GPS receivers obtain their time from satellites that obtain their time from a cesium clock. Серверы времени Windows могут получать время, не используя независимый поставщик времени, подключившись к внешнему NTP-серверу, который подключен к аппаратному устройству с помощью телефона или Интернета.Without the use of an independent time provider, Windows time servers can acquire their time by connecting to an external NTP server, which is connected to a hardware device by means of a telephone or the Internet. Такие организации, как Военно-морская обсерватория США, предоставляют NTP-серверы, подключенные к чрезвычайно надежным эталонным часам.Organizations such as the United States Naval Observatory provide NTP servers that are connected to extremely reliable reference clocks.

Многие приемники GPS и другие устройства времени могут функционировать в сети как NTP-серверы.Many GPS receivers and other time devices can function as NTP servers on a network. Лес AD DS можно настроить на синхронизацию времени с этих внешних устройств, только если они также работают в сети как NTP-серверы.You can configure your AD DS forest to synchronize time from these external hardware devices only if they are also acting as NTP servers on your network. Для этого настройте контроллер домена в качестве эмулятора основного контроллера домена в корне леса, чтобы выполнить синхронизацию с NTP-сервером, предоставленным устройством GPS.To do so, configure the domain controller functioning as the primary domain controller (PDC) emulator in your forest root to synchronize with the NTP server provided by the GPS device. Сведения о том, как это сделать, см. статью Configure the Windows Time service on the PDC emulator in the Forest Root Domain (Настройка службы времени Windows для эмулятора основного контроллера домена в корневом домене леса).To do so, see Configure the Windows Time service on the PDC emulator in the Forest Root Domain.

Простой протокол сетевого времениSimple Network Time Protocol

Протокол SNTP — это упрощенный протокол, предназначенный для серверов и клиентов, которым не требуется степень точности, предоставляемая NTP.The Simple Network Time Protocol (SNTP) is a simplified time protocol that is intended for servers and clients that do not require the degree of accuracy that NTP provides. SNTP является более элементарной версией NTP — основного протокола времени, используемого в Windows 2000.SNTP, a more rudimentary version of NTP, is the primary time protocol that is used in Windows 2000. Так как форматы сетевых пакетов SNTP и NTP идентичны, эти два протокола являются взаимодействующими.Because the network packet formats of SNTP and NTP are identical, the two protocols are interoperable. Основное различие между ними заключается в том, что SNTP не поддерживает системы управления ошибками и сложные фильтры, предоставляемые NTP.The primary difference between the two is that SNTP does not have the error management and complex filtering systems that NTP provides. Дополнительные сведения о простом протоколе сетевого времени см. в документе RFC 1769 в базе данных RFC IETF.For more information about the Simple Network Time Protocol, see RFC 1769 in the IETF RFC Database.

Взаимодействие протокола времениTime Protocol Interoperability

Служба времени Windows может работать в смешанной среде компьютеров под управлением Windows 2000, Windows XP и Windows Server 2003, поскольку протокол SNTP, используемый в Windows 2000, совместим с протоколом NTP в Windows XP и Windows Server 2003.The Windows Time service can operate in a mixed environment of computers running Windows 2000, Windows XP, and Windows Server 2003, because the SNTP protocol used in Windows 2000 is interoperable with the NTP protocol in Windows XP and Windows Server 2003.

Служба времени в Windows NT Server 4.0, именуемая TimeServ, синхронизирует время в сети Windows NT 4.0.The time service in Windows NT Server 4.0, called TimeServ, synchronizes time across a Windows NT 4.0 network. TimeServ — это дополнительный компонент, доступный в составе Microsoft Windows NT 4.0 Resource Kit и не обеспечивающий степень надежности синхронизации времени, необходимой для Windows Server 2003.TimeServ is an add-on feature available as part of the Microsoft Windows NT 4.0 Resource Kit and does not provide the degree of reliability of time synchronization that is required by Windows Server 2003.

Служба времени Windows может взаимодействовать с компьютерами под управлением Windows NT 4.0, поскольку они могут синхронизировать время с компьютерами под управлением Windows 2000 или Windows Server 2003; однако компьютер под управлением Windows 2000 или Windows Server 2003 не обнаруживает серверы времени Windows NT 4.0 автоматически.The Windows Time service can interoperate with computers running Windows NT 4.0 because they can synchronize time with computers running Windows 2000 or Windows Server 2003; however, a computer running Windows 2000 or Windows Server 2003 does not automatically discover Windows NT 4.0 time servers. Например, если ваш домен настроен на синхронизацию времени с помощью метода синхронизации на основе иерархии домена, и вы хотите, чтобы компьютеры в иерархии домена синхронизировали время с контроллером домена Windows NT 4.0, вам нужно настроить эти компьютеры на синхронизацию с контроллерами домена Windows NT 4.0 вручную.For example, if your domain is configured to synchronize time by using the domain hierarchy-based method of synchronization and you want computers in the domain hierarchy to synchronize time with a Windows NT 4.0 domain controller, you have to configure those computers manually to synchronize with the Windows NT 4.0 domain controllers.

В Windows NT 4.0 используется более простой механизм синхронизации времени, чем в Службе времени Windows.Windows NT 4.0 uses a simpler mechanism for time synchronization than the Windows Time service uses. Таким образом, чтобы обеспечить точную синхронизацию времени по сети, рекомендуется обновить все контроллеры домена Windows NT 4.0 до Windows 2000 или Windows Server 2003.Therefore, to ensure accurate time synchronization across your network, it is recommended that you upgrade any Windows NT 4.0 domain controllers to Windows 2000 or Windows Server 2003.

Процессы и взаимодействия службы времени WindowsWindows Time Service Processes and Interactions

Служба времени Windows предназначена для синхронизации часов компьютеров в сети.The Windows Time service is designed to synchronize the clocks of computers on a network. Процесс синхронизации сетевого времени, называемый также согласованностью времени, происходит по сети, так как каждый компьютер получает доступ к времени с более точного сервера времени.The network time synchronization process, also called time convergence, occurs throughout a network as each computer accesses time from a more accurate time server. Согласованность времени подразумевает процесс, с помощью которого полномочный сервер предоставляет текущее время на клиентские компьютеры в виде пакетов NTP.Time convergence involves a process by which an authoritative server provides the current time to client computers in the form of NTP packets. Предоставленные в пакете сведения, указывают на необходимость настройки текущего времени компьютера таким образом, чтобы он синхронизировался с более точным сервером.The information provided within a packet indicates whether an adjustment needs to be made to the computer's current clock time so that it is synchronized with the more accurate server.

В рамках процесса согласованности времени, члены домена пытаются синхронизировать время с любым контроллером домена, расположенным в том же домене.As part of the time convergence process, domain members attempt to synchronize time with any domain controller located in the same domain. Если компьютер является контроллером домена, он пытается выполнить синхронизацию с более полномочным контроллером домена.If the computer is a domain controller, it attempts to synchronize with a more authoritative domain controller.

Компьютеры под управлением Windows XP Home Edition или не присоединенных к домену компьютеров, не пытаются синхронизироваться с доменной иерархией, но по умолчанию настроены на получение времени от time.windows.com.Computers running Windows XP Home Edition or computers that are not joined to a domain do not attempt to synchronize with the domain hierarchy, but are configured by default to obtain time from time.windows.com.

Для установки компьютера под управлением Windows Server 2003 в качестве доверенного, компьютер должен быть настроен как надежный источник времени.To establish a computer running Windows Server 2003 as authoritative, the computer must be configured to be a reliable time source. По умолчанию первый контроллер домена, установленный в домене Windows Server 2003, автоматически настраивается как надежный источник времени.By default, the first domain controller that is installed on a Windows Server 2003 domain is automatically configured to be a reliable time source. Поскольку этот компьютер является полномочным для домена, он должен быть настроен на синхронизацию с внешним источником времени, а не с иерархией домена.Because it is the authoritative computer for the domain, it must be configured to synchronize with an external time source rather than with the domain hierarchy. Кроме того, по умолчанию все остальные члены домена Windows Server 2003 настроены на синхронизацию с иерархией домена.Also by default, all other Windows Server 2003 domain members are configured to synchronize with the domain hierarchy.

После установки сети Windows Server 2003 Службу времени Windows можно настроить на использование одного из следующих параметров синхронизации.After you have established a Windows Server 2003 network, you can configure the Windows Time service to use one of the following options for synchronization:

  • Синхронизация на основе иерархии доменаDomain hierarchy-based synchronization

  • Источник синхронизации, указанный вручнуюA manually-specified synchronization source

  • Все доступные механизмы синхронизацииAll available synchronization mechanisms

  • Без синхронизации.No synchronization.

Каждый из упомянутых типов синхронизации подробно рассматриваются в следующих разделах.Each of these synchronization types is discussed in the following section.

Синхронизация на основе иерархии доменаDomain Hierarchy-Based Synchronization

При синхронизации, основанной на иерархии доменов, иерархия домена AD DS используется для поиска надежного источника, с которым синхронизируется время.Synchronization that is based on a domain hierarchy uses the AD DS domain hierarchy to find a reliable source with which to synchronize time. На основе иерархии доменов Служба времени Windows определяет точность каждого сервера времени.Based on domain hierarchy, the Windows Time service determines the accuracy of each time server. В лесу Windows Server 2003 компьютер, имеющий роль мастера операций эмулятора основного контроллера домена (PDC), расположенный в корневом домене леса, содержит расположение лучшего источника времени, если не настроен другой надежный источник времени.In a Windows Server 2003 forest, the computer that holds the primary domain controller (PDC) emulator operations master role, located in the forest root domain, holds the position of best time source, unless another reliable time source has been configured. На следующем рисунке показан путь синхронизации времени между компьютерами в иерархии домена.The following figure illustrates a path of time synchronization between computers in a domain hierarchy.

Синхронизация времени в иерархии AD DS Служба времени WindowsTime Synchronization in an AD DS Hierarchy Windows Time

Конфигурация надежного источника времениReliable Time Source Configuration

Компьютер, настроенный как надежный источник времени, идентифицируется как корень службы времени.A computer that is configured to be a reliable time source is identified as the root of the time service. Корень службы времени является полномочным сервером для домена и обычно настраивается на получение времени с внешнего NTP-сервера или аппаратного устройства.The root of the time service is the authoritative server for the domain and typically is configured to retrieve time from an external NTP server or hardware device. Сервер времени можно настроить как надежный источник времени для оптимизации передачи времени по всей иерархии домена.A time server can be configured as a reliable time source to optimize how time is transferred throughout the domain hierarchy. Если контроллер домена настроен в качестве надежного источника времени, служба сетевого входа в систему объявляет этот контроллер домена надежным источником времени при входе в сеть.If a domain controller is configured to be a reliable time source, Net Logon service announces that domain controller as a reliable time source when it logs on to the network. Когда другие контроллеры домена ищут источник времени для синхронизации, они сначала выбирают надежный источник, если он доступен.When other domain controllers look for a time source to synchronize with, they choose a reliable source first if one is available.

Выбор источника данныхTime Source Selection

Процесс выбора источника времени может создать две проблемы в сети:The time source selection process can create two problems on a network:

  • Дополнительные циклы синхронизации.Additional synchronization cycles.

  • Увеличенный объем сетевого трафика.Increased volume in network traffic.

Цикл в сети синхронизации происходит, когда время остается согласованным между группой контроллеров домена и они непрерывно используют одно и то же время совместно без ресинхронизации с другим надежным источником времени.A cycle in the synchronization network occurs when time remains consistent between a group of domain controllers and the same time is shared between them continuously without a resynchronization with another reliable time source. Алгоритм выбора источника времени Службы времени Windows предназначен для защиты от проблем такого типа.The Windows Time service's time source selection algorithm is designed to protect against these types of problems.

Компьютер использует один из следующих методов для задания источника времени для синхронизации.A computer uses one of the following methods to identify a time source to synchronize with:

  • Если компьютер не является членом домена, его следует настроить на синхронизацию с указанным источником времени.If the computer is not a member of a domain, it must be configured to synchronize with a specified time source.

  • Если компьютер является членом сервера или рабочей станции в домене, то по умолчанию он следует иерархии AD DS и синхронизирует свое время с контроллером домена в локальном домене, на котором в настоящее время работает Служба времени Windows.If the computer is a member server or workstation within a domain, by default, it follows the AD DS hierarchy and synchronizes its time with a domain controller in its local domain that is currently running the Windows Time service.

Если компьютер является контроллером домена, на поиск другого контроллера домена для синхронизации он выполняет до шести запросов.If the computer is a domain controller, it makes up to six queries to locate another domain controller to synchronize with. Каждый запрос предназначен для идентификации источника времени с определенными атрибутами, такими как тип контроллера домена, определенное местоположение, и является ли он надежным источником времени или нет.Each query is designed to identify a time source with certain attributes, such as a type of domain controller, a particular location, and whether or not it is a reliable time source. Источник времени также должен соответствовать следующим ограничениям.The time source must also adhere to the following constraints:

  • Надежный источник времени можно синхронизировать только с контроллером домена в родительском домене.A reliable time source can only synchronize with a domain controller in the parent domain.

  • Эмулятор основного контроллера домена может синхронизироваться с надежным источником времени в собственном домене или на любом контроллере в родительском домене.A PDC emulator can synchronize with a reliable time source in its own domain or any domain controller in the parent domain.

Если контроллер домена не поддерживает синхронизацию с типом запрашиваемого контроллера домена, запрос не выполняется.If the domain controller is not able to synchronize with the type of domain controller that it is querying, the query is not made. Контроллер домена знает, с какого типа компьютера он может получить время до того, как сделает запрос.The domain controller knows which type of computer it can obtain time from before it makes the query. Например, локальный эмулятор основного контроллера домена не пытается запросить номера три или шесть, так как контроллер домена не пытается выполнить синхронизацию с самим собой.For example, a local PDC emulator does not attempt to query numbers three or six because a domain controller does not attempt to synchronize with itself.

В следующей таблице перечислены запросы, которые контроллер домена выполняет для поиска источника времени и порядка, в котором выполняются запросы.The following table lists the queries that a domain controller makes to find a time source and the order in which the queries are made.

Запросы к источнику времени контроллера доменаDomain Controller Time Source Queries

Номер запросаQuery Number Контроллер доменаDomain Controller РасположениеLocation Надежность источника времениReliability of Time Source
11 Контроллер родительского доменаParent domain controller На местеIn-site Предпочитает надежный источник времени, но может синхронизироваться с ненадежным источником времени, если доступен только он.Prefers a reliable time source but it can synchronize with a non-reliable time source if that is all that is available.
22 Контроллер локального доменаLocal domain controller На местеIn-site Синхронизируется только с надежным источником времени.Only synchronizes with a reliable time source.
33 Эмулятор основного контроллера локального доменаLocal PDC emulator На местеIn-site Не применяется.Does not apply.

Контроллер домена не пытается выполнить синхронизацию с самим собой.A domain controller does not attempt to synchronize with itself.

44 Контроллер родительского доменаParent domain controller Вне узлаOut-of-site Предпочитает надежный источник времени, но может синхронизироваться с ненадежным источником времени, если доступен только он.Prefers a reliable time source but it can synchronize with a non-reliable time source if that is all that is available.
55 Контроллер локального доменаLocal domain controller Вне узлаOut-of-site Синхронизируется только с надежным источником времени.Only synchronizes with a reliable time source.
66 Эмулятор основного контроллера локального доменаLocal PDC emulator Вне узлаOut-of-site Не применяется.Does not apply.

Контроллер домена не пытается выполнить синхронизацию с самим собой.A domain controller does not attempt to synchronize with itself.

ПримечаниеNote

  • Компьютер никогда не синхронизируется с самим собой.A computer never synchronizes with itself. Если компьютер пытается синхронизироваться с эмулятором основного контроллера локального домена, он не пытается выполнить запросы 3 или 6.If the computer attempting synchronization is the local PDC emulator, it does not attempt Queries 3 or 6.

Каждый запрос возвращает список контроллеров домена, которые можно использовать в качестве источника времени.Each query returns a list of domain controllers that can be used as a time source. Служба времени Windows назначает каждому запрашиваемому контроллеру домена оценку, исходя из надежности и расположения контроллера домена.Windows Time assigns each domain controller that is queried a score based on the reliability and location of the domain controller. В следующей таблице перечислены оценки, назначенные Службой времени Windows каждому типу контроллера домена.The following table lists the scores assigned by Windows Time to each type of domain controller.

Определение оценкиScore Determination

Состояние контроллера доменаDomain Controller Status ОценкаScore
Контроллер домена, расположенный на одном сайтеDomain controller located in same site 88
Контроллер домена, помеченный как надежный источник времениDomain controller marked as a reliable time source 44
Контроллер домена, расположенный в родительском доменеDomain controller located in the parent domain 22
Контроллер домена, являющийся эмулятором PDCDomain controller that is a PDC emulator 11

Когда Служба времени Windows определяет, что она идентифицировала контроллер домена с наилучшей оценкой, она больше не выполняет запросы.When the Windows Time service determines that it has identified the domain controller with the best possible score, no more queries are made. Оценки, присваиваемые службой времени, являются кумулятивными, что означает, что эмулятор PDC, расположенный на одном и том же сайте, получает оценку в девять баллов.The scores assigned by the time service are cumulative, which means that a PDC emulator located in the same site receives a score of nine.

Если корень службы времени не настроен на синхронизацию с внешним источником, временем управляют внутренние аппаратные часы компьютера.If the root of the time service is not configured to synchronize with an external source, the internal hardware clock of the computer governs the time.

Указанная вручную синхронизацияManually-Specified Synchronization

Указанная вручную синхронизация позволяет назначить один одноранговый узел или список узлов, с которых компьютер получает время.Manually-specified synchronization enables you to designate a single peer or list of peers from which a computer obtains time. Если компьютер не является членом домена, его следует настроить на синхронизацию с указанным источником времени вручную.If the computer is not a member of a domain, it must be manually configured to synchronize with a specified time source. Компьютер, являющийся членом домена, по умолчанию настроен на синхронизацию из иерархии домена. Ручная синхронизация наиболее полезна для корня леса домена или для компьютеров, которые не присоединены к домену.A computer that is a member of a domain is configured by default to synchronize from the domain hierarchy, manually-specified synchronization is most useful for the forest root of the domain or for computers that are not joined to a domain. Ручное указание внешнего NTP-сервера для синхронизации с уполномоченным компьютером для вашего домена обеспечивает надежное время.Manually specifying an external NTP server to synchronize with the authoritative computer for your domain provides reliable time. Однако настройка полномочного компьютера домена на синхронизацию с аппаратными часами на самом деле является лучшим решением для обеспечения наиболее точного и безопасного времени в домене.However, configuring the authoritative computer for your domain to synchronize with a hardware clock is actually a better solution for providing the most accurate, secure time to your domain.

Указанные вручную источники времени не проходят проверку подлинности, если для них не задан конкретный поставщик времени, и поэтому они уязвимы для злоумышленников.Manually-specified time sources are not authenticated unless a specific time provider is written for them, and they are therefore vulnerable to attackers. Также, если компьютер синхронизируется с источником, указанным вручную, а не с контроллером домена, который выполняет проверку подлинности, то эти два компьютера могут быть не синхронизированы, что вызовет сбой аутентификации Kerberos.Also, if a computer synchronizes with a manually-specified source rather than its authenticating domain controller, the two computers might be out of synchronization, causing Kerberos authentication to fail. Это может привести к сбою других действий, для которых требуется проверка подлинности сети, например печать или совместное использование файлов.This might cause other actions requiring network authentication to fail, such as printing or file sharing. Если на синхронизацию с внешним источником настроен только корень леса, все остальные компьютеры в лесу остаются синхронизированными друг с другом, что затрудняет повторные атаки.If only the forest root is configured to synchronize with an external source, all other computers within the forest remain synchronized with each other, making replay attacks difficult.

Все доступные механизмы синхронизацииAll Available Synchronization Mechanisms

Параметр "Все доступные механизмы синхронизации" является наиболее полезным методом синхронизации для пользователей в сети.The "all available synchronization mechanisms" option is the most valuable synchronization method for users on a network. Этот метод позволяет синхронизироваться с иерархией доменов и может также, в зависимости от конфигурации, предоставлять альтернативный источник времени, если иерархия домена становится недоступной.This method allows synchronization with the domain hierarchy and may also provide an alternate time source if the domain hierarchy becomes unavailable, depending on the configuration. Если клиенту не удается синхронизировать время с иерархией домена, источник времени автоматически возвращается к источнику времени, указанному параметром NtpServer.If the client is unable to synchronize time with the domain hierarchy, the time source automatically falls back to the time source specified by the NtpServer setting. Этот метод синхронизации наиболее часто обеспечивает точное время для клиентов.This method of synchronization is most likely to provide accurate time to clients.

Остановка синхронизации времениStopping Time Synchronization

Существуют ситуации, в которых синхронизацию времени на компьютере будет необходимо остановить.There are certain situations in which you will want to stop a computer from synchronizing its time. Например, если компьютер пытается выполнить синхронизацию из источника времени в Интернете или с другого сайта через глобальную сеть с помощью коммутируемого подключения, это может повлечь за собой дорогостоящую оплату по телефону.For example, if a computer attempts to synchronize from a time source on the Internet or from another site over a WAN by means of a dial-up connection, it can incur costly telephone charges. При отключении синхронизации на этом компьютере он не сможет получить доступ к источнику времени через коммутируемое подключение.When you disable synchronization on that computer, you prevent the computer from attempting to access a time source over a dial-up connection.

Синхронизацию также можно отключить, чтобы предотвратить создание ошибок в журнале событий.You can also disable synchronization to prevent the generation of errors in the event log. Каждый раз при попытке синхронизации с недоступным источником времени компьютер генерирует ошибку в журнале событий.Each time a computer attempts to synchronize with a time source that is unavailable, it generates an error in the Event Log. Если источник времени отключен от сети для планового обслуживания, и вы не собираетесь перенастраивать клиент для синхронизации с другим источником, синхронизацию на клиенте можно отключить для предотвращения попытки синхронизации, пока сервер времени недоступен.If a time source is taken off of the network for scheduled maintenance and you do not intend to reconfigure the client to synchronize from another source, you can disable synchronization on the client to prevent it from attempting synchronization while the time server is unavailable.

Рекомендуется отключить синхронизацию на компьютере, который обозначен как корень сети синхронизации.It is useful to disable synchronization on the computer that is designated as the root of the synchronization network. Это означает, что корневой компьютер доверяет своим локальным часам.This indicates that the root computer trusts its local clock. Если корень иерархии синхронизации не установлен на NoSync и если он не может синхронизироваться с другим источником времени, клиенты не принимают пакет, который посылает этот компьютер, потому что его времени нельзя доверять.If the root of the synchronization hierarchy is not set to NoSync and if it is unable to synchronize with another time source, clients do not accept the packet that this computer sends out because its time cannot be trusted.

Единственными серверами времени, которым клиенты доверяют, даже если они не синхронизировались с другим источником времени, являются те, которые были определены клиентом как надежные серверы времени.The only time servers that are trusted by clients even if they have not synchronized with another time source are those that have been identified by the client as reliable time servers.

Отключение Службы времени WindowsDisabling the Windows Time Service

Службу времени Windows (W32Time) можно отключить полностью.The Windows Time service (W32Time) can be completely disabled. Если вы решили реализовать сторонний продукт синхронизации времени, использующий NTP, сначала нужно отключить Службу времени Windows.If you choose to implement a third-party time synchronization product that uses NTP, you must disable the Windows Time service. Это связано с тем, что все NTP-серверы нуждаются в доступе к порту 123 UDP, и пока Служба времени Windows запущена на операционной системе Windows Server 2003, порт 123 остается зарезервированным Службой времени Windows.This is because all NTP servers need access to User Datagram Protocol (UDP) port 123, and as long as the Windows Time service is running on the Windows Server 2003 operating system, port 123 remains reserved by Windows Time.

Сетевые порты, используемые службой времени WindowsNetwork Ports Used by Windows Time Service

Служба времени Windows взаимодействует в сети для определения надежных источников времени, получения сведений о времени и предоставления сведений о времени другим компьютерам.The Windows Time service communicates on a network to identify reliable time sources, obtain time information, and provide time information to other computers. Этот обмен данными выполняется в соответствии с определением RFC и SNTP.It performs this communication as defined by the NTP and SNTP RFCs.

Назначения портов для Службы времени WindowsPort Assignments for the Windows Time Service

Служебное имяService name UDPUDP TCPTCP
NTPNTP 123123 Н/ДN/A
SNTPSNTP 123123 Н/ДN/A

См. такжеSee Also

Windows Time Service Technical Reference (Технический справочник по службе времени Windows) Windows Time Service Tools and Settings (Средства и параметры службы времени Windows) Статья 902229 базы знаний МайкрософтWindows Time Service Technical Reference Windows Time Service Tools and Settings Microsoft Knowledge Base article 902229