Cara Kerja Layanan Waktu Windows
Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows 10 atau yang lebih baru, Azure Stack HCI, versi 21H2 dan 20H2
Di bagian ini
Catatan
Topik ini hanya menjelaskan cara kerja layanan Waktu Windows (W32Time). Untuk informasi tentang cara mengonfigurasi layanan Windows Time, lihat Mengonfigurasi Sistem untuk Akurasi Tinggi.
Catatan
Di Windows Server 2003 dan Microsoft Windows 2000 Server, layanan direktori diberi nama layanan direktori Direktori Aktif. Di Windows Server 2008 dan versi yang lebih baru, layanan direktori diberi nama Active Directory Domain Services (AD DS). Topik lainnya mengacu pada AD DS, tetapi informasinya juga berlaku untuk Direktori Aktif.
Meskipun layanan Waktu Windows bukan implementasi yang tepat dari Protokol Waktu Jaringan (NTP), layanan ini menggunakan rangkaian algoritma kompleks yang ditentukan dalam spesifikasi NTP untuk memastikan bahwa jam pada komputer di seluruh jaringan seakurat mungkin. Idealnya, semua jam komputer di domain AD DS disinkronkan dengan waktu komputer otoritatif. Banyak faktor dapat memengaruhi sinkronisasi waktu pada jaringan. Faktor-faktor berikut sering memengaruhi akurasi sinkronisasi di AD DS:
Kondisi jaringan
Akurasi jam perangkat keras komputer
Jumlah CPU dan sumber daya jaringan yang tersedia untuk layanan Windows Time
Penting
Sebelum Windows Server 2016, layanan W32Time tidak dirancang untuk memenuhi kebutuhan aplikasi yang sensitif terhadap waktu. Namun, pembaruan untuk Windows Server 2016 sekarang memungkinkan Anda menerapkan solusi untuk akurasi 1ms di domain Anda. Lihat Batas Waktu dan Dukungan Akurat Windows 2016 untuk mengonfigurasi layanan Waktu Windows untuk lingkungan akurasi tinggi untuk informasi selengkapnya.
Komputer yang menyinkronkan waktunya lebih jarang atau tidak bergabung ke domain dikonfigurasi, secara default, untuk disinkronkan dengan time.windows.com. Oleh karena itu, tidak mungkin untuk menjamin akurasi waktu pada komputer yang memiliki koneksi jaringan terputus-terputus atau tidak ada.
Forest AD DS memiliki hierarki sinkronisasi waktu yang telah ditentukan. Layanan Windows Time menyinkronkan waktu antar komputer dalam hierarki, dengan jam referensi paling akurat di bagian atas. Jika lebih dari satu kali sumber dikonfigurasi di komputer, Windows Time menggunakan algoritma NTP untuk memilih sumber waktu terbaik dari sumber yang dikonfigurasi berdasarkan kemampuan komputer untuk menyinkronkan dengan sumber waktu tersebut. Layanan Windows Time tidak mendukung sinkronisasi jaringan dari serekan siaran atau multicast. Untuk informasi selengkapnya tentang fitur NTP ini, lihat RFC 1305 di Database RFC IETF.
Setiap komputer yang menjalankan layanan Windows Time menggunakan layanan untuk mempertahankan waktu yang paling akurat. Komputer yang merupakan anggota domain bertindak sebagai klien waktu secara default, oleh karena itu, dalam kebanyakan kasus tidak perlu mengonfigurasi Layanan Waktu Windows. Namun, Layanan Waktu Windows dapat dikonfigurasi untuk meminta waktu dari sumber waktu referensi yang ditunjuk, dan juga dapat memberikan waktu kepada klien.
Tingkat di mana waktu komputer akurat disebut stratum. Sumber waktu yang paling akurat pada jaringan (seperti jam perangkat keras) menempati tingkat stratum terendah, atau stratum satu. Sumber waktu yang akurat ini disebut jam referensi. Server NTP yang memperoleh waktunya langsung dari jam referensi menempati stratum yang satu tingkat lebih tinggi dari jam referensi. Sumber daya yang memperoleh waktu dari server NTP adalah dua langkah jauhnya dari jam referensi, dan oleh karena itu menempati stratum yang dua lebih tinggi dari sumber waktu yang paling akurat, dan sebagainya. Ketika jumlah stratum komputer meningkat, waktu pada jam sistemnya mungkin menjadi kurang akurat. Oleh karena itu, tingkat stratum komputer apa pun adalah indikator seberapa dekat komputer tersebut disinkronkan dengan sumber waktu yang paling akurat.
Ketika W32Time Manager menerima sampel waktu, W32Time Manager menggunakan algoritma khusus di NTP untuk menentukan sampel waktu mana yang paling tepat untuk digunakan. Layanan waktu juga menggunakan serangkaian algoritma lain untuk menentukan sumber waktu mana yang dikonfigurasi yang paling akurat. Ketika layanan waktu telah menentukan sampel waktu mana yang terbaik, berdasarkan kriteria di atas, layanan waktu menyesuaikan laju jam lokal untuk memungkinkannya bertemu dengan waktu yang benar. Jika perbedaan waktu antara jam lokal dan sampel waktu akurat yang dipilih (juga disebut penyimpangan waktu) terlalu besar untuk diperbaik dengan menyesuaikan laju jam lokal, layanan waktu mengatur jam lokal ke waktu yang benar. Penyesuaian laju jam atau perubahan waktu jam langsung ini dikenal sebagai disiplin jam.
Arsitektur Layanan Waktu Windows
Layanan Windows Time terdiri dari komponen berikut:
Manajer Kontrol Layanan
Pengelola Layanan Waktu Windows
Disiplin Jam
Penyedia waktu
Gambar berikut menunjukkan arsitektur layanan Windows Time.
Arsitektur Layanan Waktu Windows
Manajer Kontrol Layanan bertanggung jawab untuk memulai dan menghentikan layanan Windows Time. Windows Time Service Manager bertanggung jawab untuk memulai tindakan penyedia waktu NTP yang disertakan dengan sistem operasi. Windows Time Service Manager mengontrol semua fungsi layanan Windows Time dan coalescing dari semua sampel waktu. Selain memberikan informasi tentang status sistem saat ini, seperti sumber waktu saat ini atau terakhir kali jam sistem diperbarui, Windows Time Service Manager juga bertanggung jawab untuk membuat peristiwa di log peristiwa.
Proses sinkronisasi waktu melibatkan langkah-langkah berikut:
Penyedia input meminta dan menerima sampel waktu dari sumber waktu NTP yang dikonfigurasi.
Sampel waktu ini kemudian diteruskan ke Windows Time Service Manager, yang mengumpulkan semua sampel dan meneruskannya ke subkomponen disiplin jam.
Subkomponen disiplin jam menerapkan algoritma NTP yang menghasilkan pemilihan sampel waktu terbaik.
Subkomponen disiplin jam menyesuaikan waktu jam sistem ke waktu yang paling akurat dengan menyesuaikan laju jam atau secara langsung mengubah waktu.
Jika komputer telah ditetapkan sebagai server waktu, komputer dapat mengirim waktu ke komputer mana pun yang meminta sinkronisasi waktu kapan saja dalam proses ini.
Protokol Waktu Layanan Waktu Windows
Protokol waktu menentukan seberapa dekat dua jam komputer disinkronkan. Protokol waktu bertanggung jawab untuk menentukan informasi waktu terbaik yang tersedia dan memusatkan jam untuk memastikan bahwa waktu yang konsisten dipertahankan pada sistem terpisah.
Layanan Waktu Windows menggunakan Protokol Waktu Jaringan (NTP) untuk membantu menyinkronkan waktu di seluruh jaringan. NTP adalah protokol waktu Internet yang mencakup algoritma disiplin yang diperlukan untuk menyinkronkan jam. NTP adalah protokol waktu yang lebih akurat daripada Simple Network Time Protocol (SNTP) yang digunakan di beberapa versi Windows; namun W32Time terus mendukung SNTP untuk mengaktifkan kompatibilitas mundur dengan komputer yang menjalankan layanan waktu berbasis SNTP, seperti Windows 2000.
Protokol Waktu Jaringan
Network Time Protocol (NTP) adalah protokol sinkronisasi waktu default yang digunakan oleh layanan Windows Time dalam sistem operasi. NTP adalah protokol waktu yang toleran terhadap kesalahan dan sangat dapat diskalakan dan merupakan protokol yang paling sering digunakan untuk menyinkronkan jam komputer dengan menggunakan referensi waktu yang ditentukan.
Sinkronisasi waktu NTP berlangsung selama jangka waktu tertentu dan melibatkan transfer paket NTP melalui jaringan. Paket NTP berisi stempel waktu yang menyertakan sampel waktu dari klien dan server yang berpartisipasi dalam sinkronisasi waktu.
NTP mengandalkan jam referensi untuk menentukan waktu yang paling akurat untuk digunakan dan menyinkronkan semua jam pada jaringan ke jam referensi tersebut. NTP menggunakan Waktu Universal Terkoordinasi (UTC) sebagai standar universal untuk waktu saat ini. UTC tidak bergantung pada zona waktu dan memungkinkan NTP digunakan di mana saja di dunia terlepas dari pengaturan zona waktu.
Algoritma NTP
NTP mencakup dua algoritma, algoritma pemfilteran jam dan algoritma pemilihan jam, untuk membantu layanan Waktu Windows dalam menentukan sampel waktu terbaik. Algoritma pemfilteran jam dirancang untuk menyaring sampel waktu yang diterima dari sumber waktu yang dikueri dan menentukan sampel waktu terbaik dari setiap sumber. Algoritma pemilihan jam kemudian menentukan server waktu yang paling akurat pada jaringan. Informasi ini kemudian diteruskan ke algoritma disiplin jam, yang menggunakan informasi yang dikumpulkan untuk memperbaiki jam lokal komputer, sambil mengimbangi kesalahan karena latensi jaringan dan ketidakakuratan jam komputer.
Algoritma NTP paling akurat dalam kondisi jaringan ringan hingga sedang dan beban server. Seperti halnya algoritma apa pun yang memperhitungkan waktu transit jaringan, algoritma NTP mungkin berkinerja buruk dalam kondisi kemacetan jaringan ekstrem. Untuk informasi selengkapnya tentang algoritma NTP, lihat RFC 1305 di Database IETF RFC.
Penyedia Waktu NTP
Layanan Windows Time adalah paket sinkronisasi waktu lengkap yang dapat mendukung berbagai perangkat keras dan protokol waktu. Untuk mengaktifkan dukungan ini, layanan menggunakan penyedia waktu yang dapat dicolokkan. Penyedia waktu bertanggung jawab untuk mendapatkan stempel waktu yang akurat (dari jaringan atau dari perangkat keras) atau untuk memberikan stempel waktu tersebut ke komputer lain melalui jaringan.
Penyedia NTP adalah penyedia waktu standar yang disertakan dengan sistem operasi. Penyedia NTP mengikuti standar yang ditentukan oleh NTP versi 3 untuk klien dan server, dan dapat berinteraksi dengan klien dan server SNTP untuk kompatibilitas mundur dengan Windows 2000 dan klien SNTP lainnya. Penyedia NTP dalam layanan Windows Time terdiri dari dua bagian berikut:
Penyedia output NtpServer. Ini adalah server waktu yang merespons permintaan waktu klien di jaringan.
Penyedia input NtpClient. Ini adalah klien waktu yang mendapatkan informasi waktu dari sumber lain, baik perangkat keras atau server NTP, dan dapat mengembalikan sampel waktu yang berguna untuk menyinkronkan jam lokal.
Meskipun operasi aktual dari kedua penyedia ini terkait erat, mereka tampak independen terhadap layanan waktu. Dimulai dengan Windows 2000 Server, ketika komputer Windows tersambung ke jaringan, komputer dikonfigurasi sebagai klien NTP. Selain itu, komputer yang menjalankan layanan Windows Time hanya mencoba menyinkronkan waktu dengan pengendali domain atau sumber waktu yang ditentukan secara manual secara default. Ini adalah penyedia waktu yang disukai karena tersedia secara otomatis, sumber waktu yang aman.
Keamanan NTP
Dalam forest AD DS, layanan Windows Time bergantung pada fitur keamanan domain standar untuk memberlakukan autentikasi data waktu. Keamanan paket NTP yang dikirim antara komputer anggota domain dan pengendali domain lokal yang bertindak sebagai server waktu didasarkan pada autentikasi kunci bersama. Layanan Windows Time menggunakan kunci sesi Kerberos komputer untuk membuat tanda tangan terautentikasi pada paket NTP yang dikirim di seluruh jaringan. Paket NTP tidak ditransmisikan di dalam saluran aman Net Logon. Sebagai gantinya, ketika komputer meminta waktu dari pengendali domain dalam hierarki domain, layanan Windows Time mengharuskan waktu diautentikasi. Pengendali domain kemudian mengembalikan informasi yang diperlukan dalam bentuk nilai 64-bit yang telah diautentikasi dengan kunci sesi dari layanan Net Logon. Jika paket NTP yang dikembalikan tidak ditandatangani dengan kunci sesi komputer atau salah ditandatangani, waktu ditolak. Semua kegagalan autentikasi tersebut dicatat di Log Peristiwa. Dengan cara ini, layanan Windows Time menyediakan keamanan untuk data NTP di forest AD DS.
Umumnya, klien waktu Windows secara otomatis mendapatkan waktu yang akurat untuk sinkronisasi dari pengendali domain di domain yang sama. Di forest, pengendali domain domain anak menyinkronkan waktu dengan pengendali domain di domain induknya. Ketika server waktu mengembalikan paket NTP terautentikasi ke klien yang meminta waktu, paket ditandatangani dengan menggunakan kunci sesi Kerberos yang ditentukan oleh akun kepercayaan antardomain. Akun kepercayaan interdomain dibuat saat domain AD DS baru bergabung dengan forest, dan layanan Net Logon mengelola kunci sesi. Dengan cara ini, pengendali domain yang dikonfigurasi sebagai dapat diandalkan di domain akar hutan menjadi sumber waktu yang diautentikasi untuk semua pengontrol domain di domain induk dan anak, dan secara tidak langsung untuk semua komputer yang terletak di pohon domain.
Layanan Windows Time dapat dikonfigurasi untuk bekerja antar forest, tetapi penting untuk dicatat bahwa konfigurasi ini tidak aman. Misalnya, server NTP mungkin tersedia di forest yang berbeda. Namun, karena komputer itu berada di forest yang berbeda, tidak ada kunci sesi Kerberos untuk menandatangani dan mengautentikasi paket NTP. Untuk mendapatkan sinkronisasi waktu yang akurat dari komputer di forest yang berbeda, klien memerlukan akses jaringan ke komputer tersebut dan layanan waktu harus dikonfigurasi untuk menggunakan sumber waktu tertentu yang terletak di forest lain. Jika klien dikonfigurasi secara manual untuk mengakses waktu dari server NTP di luar hierarki domainnya sendiri, paket NTP yang dikirim antara klien dan server waktu tidak diautentikasi, dan oleh karena itu tidak aman. Bahkan dengan implementasi kepercayaan hutan, layanan Windows Time tidak aman di seluruh forest. Meskipun saluran aman Net Logon adalah mekanisme autentikasi untuk layanan Windows Time, autentikasi di seluruh forest tidak didukung.
Perangkat Keras yang Didukung oleh Layanan Waktu Windows
Jam berbasis perangkat keras seperti GPS atau jam radio sering digunakan sebagai perangkat jam referensi yang sangat akurat. Secara default, penyedia waktu NTP layanan Windows Time tidak mendukung koneksi langsung perangkat keras ke komputer, meskipun dimungkinkan untuk membuat penyedia waktu independen berbasis perangkat lunak yang mendukung jenis koneksi ini. Jenis penyedia ini, bersama dengan layanan Windows Time, dapat memberikan referensi waktu yang andal dan stabil.
Perangkat keras, seperti jam cesium atau penerima Global Positioning System (GPS), memberikan waktu saat ini yang akurat dengan mengikuti standar untuk mendapatkan definisi waktu yang akurat. Jam cesium sangat stabil dan tidak terpengaruh oleh faktor-faktor seperti suhu, tekanan, atau kelembaban, tetapi juga sangat mahal. Penerima GPS jauh lebih murah untuk dioperasikan dan juga merupakan jam referensi yang akurat. Penerima GPS mendapatkan waktu mereka dari satelit yang mendapatkan waktu mereka dari jam cesium. Tanpa menggunakan penyedia waktu independen, server waktu Windows dapat memperoleh waktu mereka dengan menyambungkan ke server NTP eksternal, yang terhubung ke perangkat keras melalui telepon atau Internet. Organisasi seperti Amerika Serikat Naval Observatory menyediakan server NTP yang terhubung ke jam referensi yang sangat andal.
Banyak penerima GPS dan perangkat waktu lain dapat berfungsi sebagai server NTP di jaringan. Anda dapat mengonfigurasi forest AD DS untuk menyinkronkan waktu dari perangkat keras eksternal ini hanya jika mereka juga bertindak sebagai server NTP di jaringan Anda. Untuk melakukannya, konfigurasikan pengendali domain yang berfungsi sebagai emulator pengendali domain utama (PDC) di akar forest Anda untuk disinkronkan dengan server NTP yang disediakan oleh perangkat GPS. Untuk melakukannya, lihat Mengonfigurasi layanan Windows Time pada emulator PDC di Domain Akar Hutan.
Protokol Waktu Jaringan Sederhana
Protokol Waktu Jaringan Sederhana (SNTP) adalah protokol waktu yang disederhanakan yang ditujukan untuk server dan klien yang tidak memerlukan tingkat akurasi yang disediakan NTP. SNTP, versi NTP yang lebih rudimenter, adalah protokol waktu utama yang digunakan di Windows 2000. Karena format paket jaringan SNTP dan NTP identik, kedua protokol dapat dioperasikan. Perbedaan utama antara keduanya adalah bahwa SNTP tidak memiliki manajemen kesalahan dan sistem pemfilteran kompleks yang disediakan NTP. Untuk informasi selengkapnya tentang Protokol Waktu Jaringan Sederhana, lihat RFC 1769 di Database RFC IETF.
Interoperabilitas Protokol Waktu
Layanan Windows Time dapat beroperasi di lingkungan campuran komputer yang menjalankan Windows 2000, Windows XP, dan Windows Server 2003, karena protokol SNTP yang digunakan di Windows 2000 dapat dioperasikan dengan protokol NTP di Windows XP dan Windows Server 2003.
Layanan waktu di Windows NT Server 4.0, yang disebut TimeServ, menyinkronkan waktu di seluruh jaringan Windows NT 4.0. TimeServ adalah fitur add-on yang tersedia sebagai bagian dari Microsoft Windows NT 4.0 Resource Kit dan tidak memberikan tingkat keandalan sinkronisasi waktu yang diperlukan oleh Windows Server 2003.
Layanan Windows Time dapat beroperasi dengan komputer yang menjalankan Windows NT 4.0 karena dapat menyinkronkan waktu dengan komputer yang menjalankan Windows 2000 atau Windows Server 2003; namun, komputer yang menjalankan Windows 2000 atau Windows Server 2003 tidak secara otomatis menemukan server waktu Windows NT 4.0. Misalnya, jika domain Anda dikonfigurasi untuk menyinkronkan waktu dengan menggunakan metode sinkronisasi berbasis hierarki domain dan Anda ingin komputer dalam hierarki domain menyinkronkan waktu dengan pengontrol domain Windows NT 4.0, Anda harus mengonfigurasi komputer tersebut secara manual untuk disinkronkan dengan pengontrol domain Windows NT 4.0.
Windows NT 4.0 menggunakan mekanisme yang lebih sederhana untuk sinkronisasi waktu daripada yang digunakan layanan Windows Time. Oleh karena itu, untuk memastikan sinkronisasi waktu yang akurat di seluruh jaringan Anda, disarankan agar Anda meningkatkan pengontrol domain Windows NT 4.0 ke Windows 2000 atau Windows Server 2003.
Proses dan Interaksi Layanan Waktu Windows
Layanan Windows Time dirancang untuk menyinkronkan jam komputer pada jaringan. Proses sinkronisasi waktu jaringan, juga disebut konvergensi waktu, terjadi di seluruh jaringan karena setiap komputer mengakses waktu dari server waktu yang lebih akurat. Konvergensi waktu melibatkan proses di mana server otoritatif menyediakan waktu saat ini ke komputer klien dalam bentuk paket NTP. Informasi yang diberikan dalam paket menunjukkan apakah penyesuaian perlu dilakukan pada waktu jam komputer saat ini sehingga disinkronkan dengan server yang lebih akurat.
Sebagai bagian dari proses konvergensi waktu, anggota domain mencoba menyinkronkan waktu dengan pengendali domain apa pun yang terletak di domain yang sama. Jika komputer adalah pengendali domain, komputer mencoba menyinkronkan dengan pengendali domain yang lebih otoritatif.
Komputer yang menjalankan Windows XP Home Edition atau komputer yang tidak bergabung ke domain tidak mencoba menyinkronkan dengan hierarki domain, tetapi dikonfigurasi secara default untuk mendapatkan waktu dari time.windows.com.
Untuk membuat komputer yang menjalankan Windows Server 2003 sebagai otoritatif, komputer harus dikonfigurasi agar menjadi sumber waktu yang dapat diandalkan. Secara default, pengendali domain pertama yang diinstal pada domain Windows Server 2003 secara otomatis dikonfigurasi untuk menjadi sumber waktu yang dapat diandalkan. Karena merupakan komputer otoritatif untuk domain, komputer tersebut harus dikonfigurasi untuk disinkronkan dengan sumber waktu eksternal daripada dengan hierarki domain. Selain itu, semua anggota domain Windows Server 2003 lainnya dikonfigurasi untuk disinkronkan dengan hierarki domain.
Setelah Anda membuat jaringan Windows Server 2003, Anda dapat mengonfigurasi layanan Windows Time untuk menggunakan salah satu opsi berikut untuk sinkronisasi:
Sinkronisasi berbasis hierarki domain
Sumber sinkronisasi yang ditentukan secara manual
Semua mekanisme sinkronisasi yang tersedia
Tidak ada sinkronisasi.
Masing-masing jenis sinkronisasi ini dibahas di bagian berikut.
Sinkronisasi Berbasis Hierarki Domain
Sinkronisasi yang didasarkan pada hierarki domain menggunakan hierarki domain AD DS untuk menemukan sumber yang dapat diandalkan untuk menyinkronkan waktu. Berdasarkan hierarki domain, layanan Windows Time menentukan akurasi setiap kali server. Di forest Windows Server 2003, komputer yang memegang peran utama master operasi emulator pengendali domain utama (PDC), yang terletak di domain akar hutan, memegang posisi sumber waktu terbaik, kecuali sumber waktu yang dapat diandalkan lainnya telah dikonfigurasi. Gambar berikut mengilustrasikan jalur sinkronisasi waktu antara komputer dalam hierarki domain.
Sinkronisasi Waktu dalam Hierarki AD DS
Konfigurasi Sumber Waktu yang Andal
Komputer yang dikonfigurasi untuk menjadi sumber waktu yang dapat diandalkan diidentifikasi sebagai akar layanan waktu. Akar layanan waktu adalah server otoritatif untuk domain dan biasanya dikonfigurasi untuk mengambil waktu dari server NTP eksternal atau perangkat keras. Server waktu dapat dikonfigurasi sebagai sumber waktu yang dapat diandalkan untuk mengoptimalkan bagaimana waktu ditransfer di seluruh hierarki domain. Jika pengendali domain dikonfigurasi untuk menjadi sumber waktu yang dapat diandalkan, layanan Net Logon mengumumkan bahwa pengontrol domain sebagai sumber waktu yang dapat diandalkan saat masuk ke jaringan. Ketika pengendali domain lain mencari sumber waktu untuk disinkronkan, mereka memilih sumber yang dapat diandalkan terlebih dahulu jika tersedia.
Pilihan Sumber Waktu
Proses pemilihan sumber waktu dapat membuat dua masalah pada jaringan:
Siklus sinkronisasi tambahan.
Peningkatan volume dalam lalu lintas jaringan.
Siklus dalam jaringan sinkronisasi terjadi ketika waktu tetap konsisten antara sekelompok pengendali domain dan waktu yang sama dibagikan di antara mereka terus menerus tanpa sinkronisasi ulang dengan sumber waktu yang dapat diandalkan lainnya. Algoritma pemilihan sumber waktu layanan Waktu Windows dirancang untuk melindungi dari jenis masalah ini.
Komputer menggunakan salah satu metode berikut untuk mengidentifikasi sumber waktu untuk disinkronkan dengan:
Jika komputer bukan anggota domain, komputer harus dikonfigurasi untuk disinkronkan dengan sumber waktu yang ditentukan.
Jika komputer adalah server anggota atau stasiun kerja dalam domain, secara default, komputer mengikuti hierarki AD DS dan menyinkronkan waktunya dengan pengendali domain di domain lokalnya yang saat ini menjalankan layanan Windows Time.
Jika komputer adalah pengendali domain, ia membuat hingga enam kueri untuk menemukan pengontrol domain lain untuk disinkronkan. Setiap kueri dirancang untuk mengidentifikasi sumber waktu dengan atribut tertentu, seperti jenis pengendali domain, lokasi tertentu, dan apakah itu adalah sumber waktu yang dapat diandalkan atau tidak. Sumber waktu juga harus mematuhi batasan berikut:
Sumber waktu yang dapat diandalkan hanya dapat disinkronkan dengan pengendali domain di domain induk.
Emulator PDC dapat disinkronkan dengan sumber waktu yang dapat diandalkan di domainnya sendiri atau pengendali domain apa pun di domain induk.
Jika pengendali domain tidak dapat disinkronkan dengan jenis pengendali domain yang dikueri, kueri tidak dibuat. Pengendali domain mengetahui tipe komputer mana yang bisa diperolehnya waktu sebelum membuat kueri. Misalnya, emulator PDC lokal tidak mencoba mengkueri nomor tiga atau enam karena pengendali domain tidak mencoba menyinkronkan dengan dirinya sendiri.
Tabel berikut mencantumkan kueri yang dibuat pengontrol domain untuk menemukan sumber waktu dan urutan kueri dibuat.
Kueri Sumber Waktu Pengendali Domain
| Nomor Kueri | Pengendali Domain | Lokasi | Keandalan Sumber Waktu |
|---|---|---|---|
| 1 | Pengontrol domain induk | Di situs | Lebih suka sumber waktu yang dapat diandalkan tetapi dapat disinkronkan dengan sumber waktu yang tidak dapat diandalkan jika hanya itu yang tersedia. |
| 2 | Pengontrol domain lokal | Di situs | Hanya disinkronkan dengan sumber waktu yang dapat diandalkan. |
| 3 | Emulator PDC lokal | Di situs | Tidak berlaku. Pengendali domain tidak mencoba menyinkronkan dengan dirinya sendiri. |
| 4 | Pengontrol domain induk | Di luar situs | Lebih suka sumber waktu yang dapat diandalkan tetapi dapat disinkronkan dengan sumber waktu yang tidak dapat diandalkan jika hanya itu yang tersedia. |
| 5 | Pengontrol domain lokal | Di luar situs | Hanya disinkronkan dengan sumber waktu yang dapat diandalkan. |
| 6 | Emulator PDC lokal | Di luar situs | Tidak berlaku. Pengendali domain tidak mencoba menyinkronkan dengan dirinya sendiri. |
Catatan
- Komputer tidak pernah disinkronkan dengan dirinya sendiri. Jika komputer yang mencoba sinkronisasi adalah emulator PDC lokal, komputer tidak mencoba Kueri 3 atau 6.
Setiap kueri mengembalikan daftar pengendali domain yang dapat digunakan sebagai sumber waktu. Windows Time menetapkan setiap pengontrol domain yang dikueri skor berdasarkan keandalan dan lokasi pengendali domain. Tabel berikut mencantumkan skor yang ditetapkan oleh Windows Time untuk setiap jenis pengendali domain.
Penentuan Skor
| Status Pengendali Domain | Skor |
|---|---|
| Pengendali domain yang terletak di situs yang sama | 8 |
| Pengendali domain ditandai sebagai sumber waktu yang dapat diandalkan | 4 |
| Pengendali domain yang terletak di domain induk | 2 |
| Pengendali domain yang merupakan emulator PDC | 1 |
Ketika layanan Windows Time menentukan bahwa layanan tersebut telah mengidentifikasi pengendali domain dengan skor terbaik, tidak ada lagi kueri yang dibuat. Skor yang ditetapkan oleh layanan waktu bersifat kumulatif, yang berarti bahwa emulator PDC yang terletak di situs yang sama menerima skor sembilan.
Jika akar layanan waktu tidak dikonfigurasi untuk disinkronkan dengan sumber eksternal, jam perangkat keras internal komputer mengatur waktu.
Sinkronisasi yang Ditentukan Secara Manual
Sinkronisasi yang ditentukan secara manual memungkinkan Anda menunjuk satu rekan atau daftar serekan tempat komputer mendapatkan waktu. Jika komputer bukan anggota domain, komputer harus dikonfigurasi secara manual untuk disinkronkan dengan sumber waktu yang ditentukan. Komputer yang merupakan anggota domain dikonfigurasi secara default untuk menyinkronkan dari hierarki domain, sinkronisasi yang ditentukan secara manual paling berguna untuk akar forest domain atau untuk komputer yang tidak bergabung ke domain. Menentukan server NTP eksternal secara manual untuk disinkronkan dengan komputer otoritatif untuk domain Anda memberikan waktu yang dapat diandalkan. Namun, mengonfigurasi komputer otoritatif untuk domain Anda untuk disinkronkan dengan jam perangkat keras sebenarnya adalah solusi yang lebih baik untuk memberikan waktu yang paling akurat dan aman ke domain Anda.
Sumber waktu yang ditentukan secara manual tidak diautentikasi kecuali penyedia waktu tertentu ditulis untuk mereka, dan karenanya rentan terhadap penyerang. Selain itu, jika komputer disinkronkan dengan sumber yang ditentukan secara manual daripada pengontrol domain autentikasinya, kedua komputer mungkin tidak sinkron, menyebabkan autentikasi Kerberos gagal. Ini dapat menyebabkan tindakan lain yang mengharuskan autentikasi jaringan gagal, seperti pencetakan atau berbagi file. Jika hanya akar hutan yang dikonfigurasi untuk disinkronkan dengan sumber eksternal, semua komputer lain di dalam forest tetap disinkronkan satu sama lain, membuat serangan pemutaran ulang menjadi sulit.
Semua Mekanisme Sinkronisasi yang Tersedia
Opsi "semua mekanisme sinkronisasi yang tersedia" adalah metode sinkronisasi yang paling berharga untuk pengguna di jaringan. Metode ini memungkinkan sinkronisasi dengan hierarki domain dan juga dapat menyediakan sumber waktu alternatif jika hierarki domain menjadi tidak tersedia, tergantung pada konfigurasi. Jika klien tidak dapat menyinkronkan waktu dengan hierarki domain, sumber waktu secara otomatis kembali ke sumber waktu yang ditentukan oleh pengaturan NtpServer . Metode sinkronisasi ini kemungkinan besar akan memberikan waktu yang akurat kepada klien.
Menghentikan Sinkronisasi Waktu
Ada situasi tertentu di mana Anda ingin menghentikan komputer menyinkronkan waktunya. Misalnya, jika komputer mencoba menyinkronkan dari sumber waktu di Internet atau dari situs lain melalui WAN melalui koneksi dial-up, komputer dapat dikenakan biaya telepon yang mahal. Ketika Anda menonaktifkan sinkronisasi pada komputer tersebut, Anda mencegah komputer mencoba mengakses sumber waktu melalui sambungan putar-nomor.
Anda juga dapat menonaktifkan sinkronisasi untuk mencegah pembuatan kesalahan di log peristiwa. Setiap kali komputer mencoba menyinkronkan dengan sumber waktu yang tidak tersedia, komputer akan menghasilkan kesalahan di Log Peristiwa. Jika sumber waktu diambil dari jaringan untuk pemeliharaan terjadwal dan Anda tidak ingin mengonfigurasi ulang klien untuk disinkronkan dari sumber lain, Anda dapat menonaktifkan sinkronisasi pada klien untuk mencegahnya mencoba sinkronisasi saat server waktu tidak tersedia.
Sangat berguna untuk menonaktifkan sinkronisasi pada komputer yang ditetapkan sebagai akar jaringan sinkronisasi. Ini menunjukkan bahwa komputer akar mempercayai jam lokalnya. Jika akar hierarki sinkronisasi tidak diatur ke NoSync dan jika tidak dapat disinkronkan dengan sumber waktu lain, klien tidak menerima paket yang dikirim komputer ini karena waktunya tidak dapat dipercaya.
Satu-satunya server waktu yang dipercaya oleh klien bahkan jika mereka belum disinkronkan dengan sumber waktu lain adalah server yang telah diidentifikasi oleh klien sebagai server waktu yang andal.
Menonaktifkan Layanan Waktu Windows
Layanan Windows Time (W32Time) dapat dinonaktifkan sepenuhnya. Jika Anda memilih untuk menerapkan produk sinkronisasi waktu pihak ketiga yang menggunakan NTP, Anda harus menonaktifkan layanan Windows Time. Ini karena semua server NTP memerlukan akses ke port Protokol Datagram Pengguna (UDP) 123, dan selama layanan Windows Time berjalan pada sistem operasi Windows Server 2003, port 123 tetap dicadangkan oleh Windows Time.
Port Jaringan yang Digunakan oleh Layanan Waktu Windows
Layanan Waktu Windows berkomunikasi pada jaringan untuk mengidentifikasi sumber waktu yang andal, mendapatkan informasi waktu, dan memberikan informasi waktu ke komputer lain. Ini melakukan komunikasi ini seperti yang didefinisikan oleh RFC NTP dan SNTP.
Penetapan Port untuk Layanan Waktu Windows
| Nama layanan | UDP | TCP |
|---|---|---|
| NTP | 123 | T/A |
| SNTP | 123 | T/A |
Lihat Juga
Windows Time Service Technical ReferenceWindows Time Service Tools dan Pengaturan Windows Time Service (W32Time)