Принципы работы службы времени Windows
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows 10 или более поздней версии, Azure Stack HCI, версии 21H2 и 20H2
В этом разделе
Примечание.
В этом разделе объясняется работа службы времени Windows (W32Time). Сведения о настройке службы времени Windows см. в статье Configuring Systems for High Accuracy (Настройка систем для обеспечения высокой точности).
Примечание.
В Windows Server 2003 и Microsoft Windows 2000 Server служба каталогов называется "служба каталогов Active Directory" В Windows Server 2008 и более поздних версиях служба каталогов называлась "Доменные службы Active Directory" (AD DS). Остальная часть этой статьи относится к AD DS, но эти сведения применимы также и к Active Directory.
Хотя служба времени Windows не является точной реализацией протокола сетевого времени (NTP), она использует комплексный набор алгоритмов, определенных в спецификациях NTP, чтобы гарантировать максимальную точность часов на компьютерах в сети. В идеале все часы на компьютерах в домене AD DS синхронизируются со временем полномочного компьютера. На синхронизацию времени в сети могут повлиять многие факторы. На точность синхронизации в AD DS часто влияют следующие факторы:
условия сети;
точность аппаратных часов компьютера;
объем ресурсов ЦП и сети, доступных службе времени Windows.
Внимание
До Windows Server 2016 служба W32Time не предназначалась для поддержки зависящих от времени потребностей приложений. Не теперь обновления Windows Server 2016 позволяют реализовать в домене решение с точностью 1 мс. Просмотрите границу точного времени и поддержки Windows 2016, чтобы настроить службу времени Windows для сред с высокой точностью для получения дополнительных сведений.
Не подключенные к домену компьютеры, или компьютеры, которые реже синхронизируют свое время, по умолчанию настроены на синхронизацию с time.windows.com. Таким образом невозможно гарантировать точность времени на компьютерах, сетевые соединения которых отсутствуют или прерываются.
Лес AD DS имеет предварительно определенную иерархию синхронизации времени. Служба Windows Time синхронизирует время между компьютерами в иерархии, в верхней части которой находятся наиболее точные эталонные часы. Если на компьютере настроено более одного источника времени, Служба времени Windows использует алгоритмы NTP для выбора наилучшего из настроенных источников времени, на основе способности компьютера синхронизироваться с этим источником времени. Служба времени Windows не поддерживает сетевую синхронизацию из широковещательных или многоадресных узлов. Дополнительные сведения об этих функциях NTP см. в документе RFC 1305 в базе данных RFC IETF.
Каждый компьютер, на котором работает Служба времени Windows, использует службу для поддержания наиболее точного времени. Компьютеры, являющиеся членами домена, выступают в качестве клиента времени по умолчанию, поэтому в большинстве случаев настраивать Службу времени Windows не нужно. Однако Службу времени Windows можно настроить на выполнения запроса о времени из назначенного источника времени, кроме того служба также может предоставить время клиентам.
Степень точности времени компьютера называется страта. Наиболее точный источник времени в сети (например, аппаратные часы) занимает самый низкий уровень страты или страта один. Этот точный источник времени называется эталонными часами. Сервер NTP, который получает время непосредственно от эталонных часов, занимает страта, который находится на один уровень выше уровня эталонных часов. Ресурсы, которые получают время от сервера NTP, находятся в двух шагах от эталонных часов, и поэтому занимают страту, на два пункта выше, чем самый точный источник времени, и т. д. По мере увеличения числа страта пользователей компьютера, время на его системных часах может становиться менее точным. Таким образом, уровень страты любого компьютера является показателем того, насколько тесно этот компьютер синхронизирован с наиболее точным источником времени.
При получении образцов времени диспетчер W32Time использует специальные алгоритмы в NTP, чтобы определить, какие из образцов времени наиболее подходят для использования. Служба времени также использует другой набор алгоритмов, чтобы определить, какой из настроенных источников времени является наиболее точным. После определения наилучшего образца времени служба времени корректирует тактовою частоту местных часов, основываясь на приведенных выше условиях, чтобы позволить выполнение согласования в нужное время. Если разница во времени между образцами местных часов и выбранного точного времени (также называемая "неравномерное распределение времени") слишком велика и ее нельзя скорректировать с помощью местной тактовой частоты, служба времени устанавливает местные часы на правильное время. Эта корректировка тактовой частоты или непосредственного времени часов называется "правила работы с часами".
Архитектура службы времени Windows
Служба времени Windows состоит из следующих компонентов:
Service Control Manager
Диспетчер Службы времени Windows
Правила работы с часами
Поставщики времени
На следующем рисунке показана архитектура Службы времени Windows.
Архитектура службы времени Windows
Диспетчер служб отвечает за запуск и остановку Службы времени Windows. Диспетчер служб Службы времени Windows отвечает за запуск действий поставщиков времени NTP, включенных в операционную систему. Диспетчер служб Службы времени Windows управляет всеми функциями Службы времени Windows и объединением всех образцов времени. Помимо предоставления информации о текущем состоянии системы, например, об текущем источнике времени или о последнем обновлении системных часов, диспетчер служб Службы времени Windows также отвечает за создание событий в журнале событий.
Процесс синхронизации времени состоит из следующих этапов.
Поставщики входных данных запрашивают и получают образцы времени из настроенных источников времени NTP.
Эти примеры затем передаются в диспетчер служб Службы времени Windows, который собирает все образцы и передает их подкомпоненту "правила работы с часами".
Подкомпонент "правила работы с часами" применяет алгоритмы NTP, которые приводят к выбору лучшего образца времени.
Подкомпонент "правила работы с часами" корректирует время системных часов до наиболее точного времени, изменяя тактовою частоту или непосредственно время.
Если компьютер назначен сервером времени, он может отправить время на любой компьютер, запрашивающий синхронизацию времени в любой момент этого процесса.
Протоколы времени для службы времени Windows
Протоколы времени определяют, насколько точно синхронизируются часы двух компьютеров. Протокол времени отвечает за определение наилучшей доступной информации о времени и синхронизацию часов, чтобы гарантировать, что в отдельных системах будет поддерживаться согласованное время.
Служба времени Windows использует протокол NTP для синхронизации времени по сети. NTP — это протокол времени в Интернете, включающий алгоритмы правил работы, необходимые для синхронизации часов. NTP является более точным протоколом времени, чем Simple Network Time Protocol (SNTP), который используется в некоторых версиях Windows; однако W32Time продолжает поддерживать SNTP для обеспечения обратной совместимости с компьютерами, на которых работают службы времени на основе SNTP, такие как Windows 2000.
Протокол сетевого времени
Протокол сетевого времени (NTP) — это стандартный протокол синхронизации времени, используемый Службой времени Windows в операционной системе. NTP — это отказоустойчивый и высокомасштабируемый протокол времени, который чаще всего используется для синхронизации компьютерных часов с помощью указанной привязки времени.
Синхронизация времени NTP происходит в течение определенного периода времени и включает в себя передачу пакетов NTP по сети. Пакеты NTP содержат метки времени, которые включают образец времени как от клиента, так и от сервера, участвующих в синхронизации времени.
NTP полагается на эталонные часы для определения наиболее точного времени и синхронизирует все часы в сети относительно этих эталонных часов. NTP использует время в формате UTC в качестве универсального стандарта для текущего времени. UTC не зависит от часовых поясов и позволяет использовать NTP в любой точке мира независимо от настроек часового пояса.
Алгоритм NTP
NTP включает два алгоритма: алгоритм фильтрации по часам и алгоритм выбора часов, которые используются для помощи Службе времени Windows при определении наилучшего образца времени. Алгоритм фильтрации времени предназначен для просеивания образцов времени, полученных из источников времени, к которым выполнялся запрос, и определения лучших образцов времени из каждого источника. Затем алгоритм выбора часов определяет наиболее точный сервер времени в сети. Затем эта информация передается алгоритму правил работы с временем, который использует собранную информацию для исправления локальных часов компьютера, компенсируя при этом ошибки, вызванные задержкой сети и неточностью компьютерных часов.
Алгоритмы NTP наиболее точны при низкой и умеренной нагрузке сети и сервера. Как и любой другой алгоритм, учитывающий время прохождения сети, алгоритмы NTP могут плохо работать в условиях сильной перегрузки сети. Дополнительные сведения об алгоритмах NTP см. в документе RFC 1305 в базе данных RFC IETF.
Поставщик времени NTP
Служба времени Windows — это полный пакет синхронизации времени, который может поддерживать различные аппаратные устройства и протоколы времени. Для включения этой поддержки сервис использует подключаемые поставщики времени. Поставщик времени отвечает за получение точных меток времени (от сети или оборудования) или предоставление этих меток времени другим компьютерам в сети.
Поставщик NTP является стандартным поставщиком времени, включенным в операционную систему. Поставщик NTP соответствует стандартам, указанным в NTP версии 3 для клиента и сервера, и может взаимодействовать с клиентами и серверами SNTP для обеспечения обратной совместимости с Windows 2000 и другими клиентами SNTP. Поставщик NTP в Службе времени Windows состоит из следующих двух частей.
Поставщик выходных данных NtpServer. Это сервер времени, который отвечает на запросы времени клиента в сети.
Поставщик выходных данных NtpClient. Это клиент времени, который получает сведения о времени из другого источника, либо от аппаратного устройства, либо от сервера NTP, и может возвращать образцы времени, полезные для синхронизации локальных часов.
Хотя фактические операции этих двух поставщиков тесно связаны, они отображаются независимо от службы времени. Начиная с Windows 2000 Server, где есть подключение компьютера Windows к сети, он настраивается как NTP-клиент. Кроме того, компьютеры, на которых запущена Служба времени Windows, по умолчанию пытаются синхронизировать время только с контроллером домена или вручную указанным источником времени. Это предпочтительные поставщики времени, потому что они доступны автоматически и защищают источники времени.
Безопасность NTP
В лесу AD DS Служба времени Windows использует стандартные функции безопасности домена для обеспечения проверки подлинности данных времени. Безопасность пакетов NTP, отправляемых между компьютером–членом домена и контроллером локального домена, который действует в качестве сервера времени, основана на аутентификации по общему ключу. Служба времени Windows использует ключ сеанса Kerberos компьютера для создания подписей с проверкой подлинности в пакетах NTP, отправляемых по сети. Пакеты NTP не передаются в безопасном канале сетевого входа в систему. Вместо этого, когда компьютер запрашивает время у контроллера домена в иерархии домена, Служба времени Windows требует аутентификации времени. Затем контроллер домена возвращает необходимые сведения в формате 64-разрядного значения, которое прошло проверку подлинности с помощью ключа сеанса из службы сетевого входа в систему. Если возвращенный пакет NTP не подписан с помощью ключа сеанса компьютера или подписан неправильно — время отклоняется. Все такие ошибки проверки подлинности регистрируются в журнале событий. Таким образом Служба времени Windows обеспечивает безопасность данных NTP в лесу AD DS.
Как правило, клиенты Службы времени Windows автоматически получают точное время для синхронизации с контроллеров домена в том же домене. В лесу контроллеры дочернего домена синхронизируют время с контроллерами в родительских доменах. Когда сервер времени возвращает прошедший проверку подлинности пакет NTP на клиент, который запрашивает время, пакет подписывается с помощью ключа сеанса Kerberos, определенного учетной записью междоменного доверия. Учетная запись междоменного доверия создается, когда новый домен AD DS присоединяется к лесу, а служба сетевого входа в систему управляет ключом сеанса. Таким образом, контроллер домена, настроенный как надежный в корневом домене леса, становится аутентифицированным источником времени для всех контроллеров домена, как в родительском, так и в дочернем домене, и косвенно для всех компьютеров, расположенных в дереве доменов.
Службу времени Windows можно настроить на работу между лесами, однако эта конфигурация не защищена. Например, NTP-сервер может быть доступен в другом лесу. Однако, поскольку этот компьютер находится в другом лесу, ключ сеанса Kerberos для подписывания и проверки подлинности пакетов NTP отсутствует. Для получения точной синхронизации времени с компьютера в другом лесу клиенту нужен сетевой доступ к этому компьютеру, а служба времени должна быть настроена на использование определенного источника времени, расположенного в другом лесу. Если клиент вручную настроен на доступ к времени с NTP-сервера за пределами собственной доменной иерархии, то пакеты NTP, передаваемые между клиентом и сервером времени, не проходят проверку подлинности и, следовательно, не являются безопасными. Несмотря на реализацию доверия лесов, Служба времени Windows не защищена между лесами. Хотя безопасный канал сетевого входа в систему является механизмом проверки подлинности для Службы времени Windows, проверка подлинности в лесах не поддерживается.
Аппаратные устройства, поддерживаемые Службой времени Windows
Часы на основе оборудования, такие как GPS или радиочасы, часто используются в качестве устройств с высокоточными эталонными часами. По умолчанию поставщик времени NTP Службы времени Windows не поддерживает прямое подключение аппаратного устройства к компьютеру, однако вы можете создать программный независимый поставщик времени, поддерживающий этот тип подключения. Этот тип поставщика, в сочетании со Службой времени Windows, может обеспечить надежную и стабильную привязку по времени.
Аппаратные устройства, такие как цезиевые часы или приемник GPS, обеспечивают точное текущее время, следуя стандарту для получения точного определения времени. Цезиевые часы чрезвычайно стабильны и не подвержены влиянию таких факторов, как температура, давление или влажность, но в то же время очень дорого стоят. Приемник GPS намного дешевле в эксплуатации, а также является точными эталонными часами. Приемники GPS получают время со спутников, которым время предоставляют цезиевые часы. Серверы времени Windows могут получать время, не используя независимый поставщик времени, подключившись к внешнему NTP-серверу, который подключен к аппаратному устройству с помощью телефона или Интернета. Такие организации, как Военно-морская обсерватория США, предоставляют NTP-серверы, подключенные к чрезвычайно надежным эталонным часам.
Многие приемники GPS и другие устройства времени могут функционировать в сети как NTP-серверы. Лес AD DS можно настроить на синхронизацию времени с этих внешних устройств, только если они также работают в сети как NTP-серверы. Для этого настройте контроллер домена в качестве эмулятора основного контроллера домена в корне леса, чтобы выполнить синхронизацию с NTP-сервером, предоставленным устройством GPS. Сведения о том, как это сделать, см. статью Configure the Windows Time service on the PDC emulator in the Forest Root Domain (Настройка службы времени Windows для эмулятора основного контроллера домена в корневом домене леса).
Простой протокол сетевого времени
Протокол SNTP — это упрощенный протокол, предназначенный для серверов и клиентов, которым не требуется степень точности, предоставляемая NTP. SNTP является более элементарной версией NTP — основного протокола времени, используемого в Windows 2000. Так как форматы сетевых пакетов SNTP и NTP идентичны, эти два протокола являются взаимодействующими. Основное различие между ними заключается в том, что SNTP не поддерживает системы управления ошибками и сложные фильтры, предоставляемые NTP. Дополнительные сведения о простом протоколе сетевого времени см. в документе RFC 1769 в базе данных RFC IETF.
Взаимодействие протокола времени
Служба времени Windows может работать в смешанной среде компьютеров под управлением Windows 2000, Windows XP и Windows Server 2003, поскольку протокол SNTP, используемый в Windows 2000, совместим с протоколом NTP в Windows XP и Windows Server 2003.
Служба времени в Windows NT Server 4.0, именуемая TimeServ, синхронизирует время в сети Windows NT 4.0. TimeServ — это дополнительный компонент, доступный в составе Microsoft Windows NT 4.0 Resource Kit и не обеспечивающий степень надежности синхронизации времени, необходимой для Windows Server 2003.
Служба времени Windows может взаимодействовать с компьютерами под управлением Windows NT 4.0, поскольку они могут синхронизировать время с компьютерами под управлением Windows 2000 или Windows Server 2003; однако компьютер под управлением Windows 2000 или Windows Server 2003 не обнаруживает серверы времени Windows NT 4.0 автоматически. Например, если ваш домен настроен на синхронизацию времени с помощью метода синхронизации на основе иерархии домена, и вы хотите, чтобы компьютеры в иерархии домена синхронизировали время с контроллером домена Windows NT 4.0, вам нужно настроить эти компьютеры на синхронизацию с контроллерами домена Windows NT 4.0 вручную.
В Windows NT 4.0 используется более простой механизм синхронизации времени, чем в Службе времени Windows. Таким образом, чтобы обеспечить точную синхронизацию времени по сети, рекомендуется обновить все контроллеры домена Windows NT 4.0 до Windows 2000 или Windows Server 2003.
Процессы и взаимодействия службы времени Windows
Служба времени Windows предназначена для синхронизации часов компьютеров в сети. Процесс синхронизации сетевого времени, называемый также согласованностью времени, происходит по сети, так как каждый компьютер получает доступ к времени с более точного сервера времени. Согласованность времени подразумевает процесс, с помощью которого полномочный сервер предоставляет текущее время на клиентские компьютеры в виде пакетов NTP. Предоставленные в пакете сведения, указывают на необходимость настройки текущего времени компьютера таким образом, чтобы он синхронизировался с более точным сервером.
В рамках процесса согласованности времени, члены домена пытаются синхронизировать время с любым контроллером домена, расположенным в том же домене. Если компьютер является контроллером домена, он пытается выполнить синхронизацию с более полномочным контроллером домена.
Компьютеры под управлением Windows XP Home Edition или не присоединенных к домену компьютеров, не пытаются синхронизироваться с доменной иерархией, но по умолчанию настроены на получение времени от time.windows.com.
Для установки компьютера под управлением Windows Server 2003 в качестве доверенного, компьютер должен быть настроен как надежный источник времени. По умолчанию первый контроллер домена, установленный в домене Windows Server 2003, автоматически настраивается как надежный источник времени. Поскольку этот компьютер является полномочным для домена, он должен быть настроен на синхронизацию с внешним источником времени, а не с иерархией домена. Кроме того, по умолчанию все остальные члены домена Windows Server 2003 настроены на синхронизацию с иерархией домена.
После установки сети Windows Server 2003 Службу времени Windows можно настроить на использование одного из следующих параметров синхронизации.
Синхронизация на основе иерархии домена
Источник синхронизации, указанный вручную
Все доступные механизмы синхронизации
Без синхронизации.
Каждый из упомянутых типов синхронизации подробно рассматриваются в следующих разделах.
Синхронизация на основе иерархии домена
При синхронизации, основанной на иерархии доменов, иерархия домена AD DS используется для поиска надежного источника, с которым синхронизируется время. На основе иерархии доменов Служба времени Windows определяет точность каждого сервера времени. В лесу Windows Server 2003 компьютер, имеющий роль мастера операций эмулятора основного контроллера домена (PDC), расположенный в корневом домене леса, содержит расположение лучшего источника времени, если не настроен другой надежный источник времени. На следующем рисунке показан путь синхронизации времени между компьютерами в иерархии домена.
Синхронизация времени в иерархии AD DS
Конфигурация надежного источника времени
Компьютер, настроенный как надежный источник времени, идентифицируется как корень службы времени. Корень службы времени является полномочным сервером для домена и обычно настраивается на получение времени с внешнего NTP-сервера или аппаратного устройства. Сервер времени можно настроить как надежный источник времени для оптимизации передачи времени по всей иерархии домена. Если контроллер домена настроен в качестве надежного источника времени, служба сетевого входа в систему объявляет этот контроллер домена надежным источником времени при входе в сеть. Когда другие контроллеры домена ищут источник времени для синхронизации, они сначала выбирают надежный источник, если он доступен.
Выбор источника данных
Процесс выбора источника времени может создать две проблемы в сети:
Дополнительные циклы синхронизации.
Увеличенный объем сетевого трафика.
Цикл в сети синхронизации происходит, когда время остается согласованным между группой контроллеров домена и они непрерывно используют одно и то же время совместно без ресинхронизации с другим надежным источником времени. Алгоритм выбора источника времени Службы времени Windows предназначен для защиты от проблем такого типа.
Компьютер использует один из следующих методов для задания источника времени для синхронизации.
Если компьютер не является членом домена, его следует настроить на синхронизацию с указанным источником времени.
Если компьютер является членом сервера или рабочей станции в домене, то по умолчанию он следует иерархии AD DS и синхронизирует свое время с контроллером домена в локальном домене, на котором в настоящее время работает Служба времени Windows.
Если компьютер является контроллером домена, на поиск другого контроллера домена для синхронизации он выполняет до шести запросов. Каждый запрос предназначен для идентификации источника времени с определенными атрибутами, такими как тип контроллера домена, определенное местоположение, и является ли он надежным источником времени или нет. Источник времени также должен соответствовать следующим ограничениям.
Надежный источник времени можно синхронизировать только с контроллером домена в родительском домене.
Эмулятор основного контроллера домена может синхронизироваться с надежным источником времени в собственном домене или на любом контроллере в родительском домене.
Если контроллер домена не поддерживает синхронизацию с типом запрашиваемого контроллера домена, запрос не выполняется. Контроллер домена знает, с какого типа компьютера он может получить время до того, как сделает запрос. Например, локальный эмулятор основного контроллера домена не пытается запросить номера три или шесть, так как контроллер домена не пытается выполнить синхронизацию с самим собой.
В следующей таблице перечислены запросы, которые контроллер домена выполняет для поиска источника времени и порядка, в котором выполняются запросы.
Запросы к источнику времени контроллера домена
| Номер запроса | Контроллер домена | Расположение | Надежность источника времени |
|---|---|---|---|
| 1 | Контроллер родительского домена | На месте | Предпочитает надежный источник времени, но может синхронизироваться с ненадежным источником времени, если доступен только он. |
| 2 | Контроллер локального домена | На месте | Синхронизируется только с надежным источником времени. |
| 3 | Эмулятор основного контроллера локального домена | На месте | Не применяется. Контроллер домена не пытается выполнить синхронизацию с самим собой. |
| 4 | Контроллер родительского домена | Вне узла | Предпочитает надежный источник времени, но может синхронизироваться с ненадежным источником времени, если доступен только он. |
| 5 | Контроллер локального домена | Вне узла | Синхронизируется только с надежным источником времени. |
| 6 | Эмулятор основного контроллера локального домена | Вне узла | Не применяется. Контроллер домена не пытается выполнить синхронизацию с самим собой. |
Примечание
- Компьютер никогда не синхронизируется с самим собой. Если компьютер пытается синхронизироваться с эмулятором основного контроллера локального домена, он не пытается выполнить запросы 3 или 6.
Каждый запрос возвращает список контроллеров домена, которые можно использовать в качестве источника времени. Служба времени Windows назначает каждому запрашиваемому контроллеру домена оценку, исходя из надежности и расположения контроллера домена. В следующей таблице перечислены оценки, назначенные Службой времени Windows каждому типу контроллера домена.
Определение оценки
| Состояние контроллера домена | Балл |
|---|---|
| Контроллер домена, расположенный на одном сайте | 8 |
| Контроллер домена, помеченный как надежный источник времени | 4 |
| Контроллер домена, расположенный в родительском домене | 2 |
| Контроллер домена, являющийся эмулятором PDC | 1 |
Когда Служба времени Windows определяет, что она идентифицировала контроллер домена с наилучшей оценкой, она больше не выполняет запросы. Оценки, присваиваемые службой времени, являются кумулятивными, что означает, что эмулятор PDC, расположенный на одном и том же сайте, получает оценку в девять баллов.
Если корень службы времени не настроен на синхронизацию с внешним источником, временем управляют внутренние аппаратные часы компьютера.
Указанная вручную синхронизация
Указанная вручную синхронизация позволяет назначить один одноранговый узел или список узлов, с которых компьютер получает время. Если компьютер не является членом домена, его следует настроить на синхронизацию с указанным источником времени вручную. Компьютер, являющийся членом домена, по умолчанию настроен на синхронизацию из иерархии домена. Ручная синхронизация наиболее полезна для корня леса домена или для компьютеров, которые не присоединены к домену. Ручное указание внешнего NTP-сервера для синхронизации с уполномоченным компьютером для вашего домена обеспечивает надежное время. Однако настройка полномочного компьютера домена на синхронизацию с аппаратными часами на самом деле является лучшим решением для обеспечения наиболее точного и безопасного времени в домене.
Указанные вручную источники времени не проходят проверку подлинности, если для них не задан конкретный поставщик времени, и поэтому они уязвимы для злоумышленников. Также, если компьютер синхронизируется с источником, указанным вручную, а не с контроллером домена, который выполняет проверку подлинности, то эти два компьютера могут быть не синхронизированы, что вызовет сбой аутентификации Kerberos. Это может привести к сбою других действий, для которых требуется проверка подлинности сети, например печать или совместное использование файлов. Если на синхронизацию с внешним источником настроен только корень леса, все остальные компьютеры в лесу остаются синхронизированными друг с другом, что затрудняет повторные атаки.
Все доступные механизмы синхронизации
Параметр "Все доступные механизмы синхронизации" является наиболее полезным методом синхронизации для пользователей в сети. Этот метод позволяет синхронизироваться с иерархией доменов и может также, в зависимости от конфигурации, предоставлять альтернативный источник времени, если иерархия домена становится недоступной. Если клиенту не удается синхронизировать время с иерархией домена, источник времени автоматически возвращается к источнику времени, указанному параметром NtpServer. Этот метод синхронизации наиболее часто обеспечивает точное время для клиентов.
Остановка синхронизации времени
Существуют ситуации, в которых синхронизацию времени на компьютере будет необходимо остановить. Например, если компьютер пытается выполнить синхронизацию из источника времени в Интернете или с другого сайта через глобальную сеть с помощью коммутируемого подключения, это может повлечь за собой дорогостоящую оплату по телефону. При отключении синхронизации на этом компьютере он не сможет получить доступ к источнику времени через коммутируемое подключение.
Синхронизацию также можно отключить, чтобы предотвратить создание ошибок в журнале событий. Каждый раз при попытке синхронизации с недоступным источником времени компьютер генерирует ошибку в журнале событий. Если источник времени отключен от сети для планового обслуживания, и вы не собираетесь перенастраивать клиент для синхронизации с другим источником, синхронизацию на клиенте можно отключить для предотвращения попытки синхронизации, пока сервер времени недоступен.
Рекомендуется отключить синхронизацию на компьютере, который обозначен как корень сети синхронизации. Это означает, что корневой компьютер доверяет своим локальным часам. Если корень иерархии синхронизации не установлен на NoSync и если он не может синхронизироваться с другим источником времени, клиенты не принимают пакет, который посылает этот компьютер, потому что его времени нельзя доверять.
Единственными серверами времени, которым клиенты доверяют, даже если они не синхронизировались с другим источником времени, являются те, которые были определены клиентом как надежные серверы времени.
Отключение Службы времени Windows
Службу времени Windows (W32Time) можно отключить полностью. Если вы решили реализовать сторонний продукт синхронизации времени, использующий NTP, сначала нужно отключить Службу времени Windows. Это связано с тем, что все NTP-серверы нуждаются в доступе к порту 123 UDP, и пока Служба времени Windows запущена на операционной системе Windows Server 2003, порт 123 остается зарезервированным Службой времени Windows.
Сетевые порты, используемые службой времени Windows
Служба времени Windows взаимодействует в сети для определения надежных источников времени, получения сведений о времени и предоставления сведений о времени другим компьютерам. Этот обмен данными выполняется в соответствии с определением RFC и SNTP.
Назначения портов для Службы времени Windows
| Service name | UDP | TCP |
|---|---|---|
| NTP | 123 | Н/П |
| SNTP | 123 | Н/П |
См. также
Технические справочные материалы службы времени Windows и службы времени Параметры Windows Time Service(W32Time)