Windows タイム サービスのしくみ

  • [アーティクル]

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012、Windows 10 以降、Azure Stack HCI、バージョン 21H2 および 20H2

このセクションの内容

注意

このトピックでは、Windows タイム サービス (W32Time) の動作方法のみを説明します。 Windows タイム サービスを構成する方法の詳細については、「高精度のシステムの構成」を参照してください。

注意

Windows Server 2003 および Microsoft Windows 2000 Server では、ディレクトリ サービスを Active Directory ディレクトリ サービスと呼びます。 Windows Server 2008 以降では、ディレクトリ サービスを Active Directory ドメイン サービス (AD DS) と呼びます。 このトピックの残りの部分では、AD DS について言及しますが、その情報は Active Directory にも適用できます。

Windows タイム サービスは、ネットワーク タイム プロトコル (NTP) の正確な実装ではありませんが、ネットワーク全体のコンピューターのクロックが可能な限り正確であることを確認する NTP 仕様で定義されているアルゴリズムの複雑なスイートを使用します。 理想的には、AD DS ドメインにあるすべてのコンピューターのクロックは、権限のあるコンピューターの時間と同期されます。 多くの要因は、ネットワーク上の時刻の同期に影響を与えます。 次の要因は、AD DS の同期の精度に多くの場合、影響を与えます。

  • ネットワークの状態

  • コンピューターのハードウェア クロックの精度

  • Windows タイム サービスを利用可能な CPU とネットワーク リソースの量

重要

Windows Server 2016 より前の W32Time サービスは、精密な時間管理を必要とするアプリケーションのニーズを満たすように設計されていませんでした。 しかし、Windows Server 2016 の更新プログラムによって、1 ミリ秒の精度のソリューションをドメインに実装できるようになりました。 詳細については、Windows 2016 の正確な時刻および高精度の環境向けに Windows タイム サービスを構成するためのサポート範囲に関する記事を参照してください。

時刻が頻繁に同期されない、またはドメインに参加しないコンピューターは、既定で time.windows.com と同期するように構成されます。 このため、ネットワーク接続が断続的であるか存在しないコンピューターでは、時間の精度を保証することはできません。

AD DS フォレストでは、あらかじめ決められた時間同期階層を持ちます。 Windows タイム サービスは、上部にある最も正確な参照時計と、階層内のコンピューター間の時間を同期します。 1 つ以上のタイム ソースがコンピューターで構成されている場合、Windows タイムはそのタイム ソースと同期するコンピューターの機能に基づいて構成されたソースから最適なタイム ソースを選択する NTP アルゴリズムを使用します。 Windows タイム サービスは、ネットワークのブロードキャストまたはマルチキャストのピアからの同期をサポートしていません。 これらの NTP 機能に関する詳細については、IETF RFC データベースでの RFC 1305 を参照してください。

Windows タイム サービスを実行しているすべてのコンピューターでは、最も正確な時間を維持するために、サービスを使用します。 ドメインのメンバーであるコンピューターは、既定ではタイム クライアントとして機能します。そのため、ほとんどの場合、Windows タイム サービスを構成する必要はありません。 ただし、指定された参照のタイム ソースから時間を要求するように Windows タイム サービスを構成でき、時間をクライアントに提供することもできます。

コンピューターの時刻が正確な程度は、階層と呼ばれます。 (ハードウェア クロック) などのネットワーク上の正確なタイム ソースは、最下位の階層レベル、またはいずれかの階層を占有します。 この正しいタイム ソースは、参照のクロックと呼ばれます。 参照クロックから直接、時間を取得し、NTP サーバーは、1 つ参照クロックよりも上位レベルである階層を占有します。 NTP サーバーからの時間を取得するリソースは参照クロックから 2 つの手順は 2 つの階層を最も正確なタイム ソースを超える占有され具合です。 コンピューターの階層数としてが増えると、そのシステム クロックの時刻になります正確さに欠けます。 したがって、すべてのコンピュータの階層レベルは、そのコンピューターが最も正確なタイム ソースと同期されているどの程度近いかを示すインジケーターです。

W32Time Manager タイム サンプルが受け取ると、タイム サンプルの使用に最も適したは NTP で特殊なアルゴリズムを使っています。 タイム サービスでは、構成された時間のソースは、最も正確なアルゴリズムの別のセットも使用します。 タイム サービスは、どのタイム サンプルが最適だと判断が、上記の基準に基づいて、速度を調整しますローカル クロックを正しい時刻にまとめることができます。 ローカル クロックと選択した正確な時刻 (もという名前のサンプルの時間ずれ) との時差がローカル クロック速度を調整して修正するのには大きすぎる場合は、タイム サービスは、ローカル クロックを正しい時刻に設定します。 この調整のクロック周波数または直接クロック時間の変更は、クロック統制と呼ばれます。

Windows タイム サービスのアーキテクチャ

Windows タイム サービスは、次のコンポーネントで構成されます。

  • サービス コントロール マネージャー

  • Windows タイム サービス マネージャー

  • クロック統制

  • タイム プロバイダ

次の図は、Windows タイム サービスのアーキテクチャを示しています。

Windows タイム サービスのアーキテクチャ

Diagram that shows the architecture of the Windows Time service.

サービス コントロール マネージャーは、開始と、Windows タイム サービスを停止します。 Windows タイム サービス マネージャーは、オペレーティング システムに含まれている NTP タイム プロバイダの操作を開始します。 Windows タイム サービス マネージャーでは、Windows タイム サービスのすべての機能とすべてのタイム サンプルの結合を制御します。 他に、現在のシステム状態に関する情報など、現在のタイム ソースまたは最後に、システム クロックが更新されてを提供する Windows タイム サービス マネージャーも行いますイベント ログにイベントを作成するため。

時刻同期のプロセスでは、次の手順があります。

  • プロバイダーの要求を入力し、構成されている NTP タイム ソースからタイム サンプルが表示されます。

  • これらのタイム サンプルには、Windows タイム サービス マネージャーをすべてのサンプルを収集して、クロック統制サブコンポーネントに渡してが渡されます。

  • クロック統制サブコンポーネントの情報には、その結果、最適なタイム サンプルの選択範囲の NTP アルゴリズムが適用されます。

  • クロック統制サブコンポーネントの情報は、クロック速度を調整するか、時刻を直接変更する、最も正確な時刻に、システム クロックの時間を調整します。

場合は、コンピューターは、タイム サーバーとして指定されている、このプロセスのどの時点で時刻の同期を要求している任意のコンピューターにログオン時間を送信することができます。

Windows タイム サービス時間プロトコル

時間プロトコルがどの程度 2 台のコンピューターを決定の時計が同期されます。 タイム プロトコルは、最適な使用可能な時間に関する情報の確認および維持するため、一貫性のある時間は、別のシステム クロックの収束を担当します。

Windows タイム サービスは、ネットワーク経由で時間を同期しやすく、ネットワーク タイム プロトコル (NTP) を使用します。 NTP は、時計を同期させるために必要な作業分野のアルゴリズムを含むインターネット時刻プロトコルです。 NTP がより正確なタイム プロトコルよりも、単純なネットワーク タイム プロトコル (SNTP) Windows; の一部のバージョンで使用されています。ただし W32Time は、Windows 2000 などの SNTP ベースのタイム サービスを実行しているコンピューターとの下位互換性を有効にする SNTP をサポートするために続行します。

ネットワーク タイム プロトコル

ネットワーク タイム プロトコル (NTP) は、既定のオペレーティング システムで Windows タイム サービスによって使用される同期プロトコルの時間します。 NTP はフォールト トレラントで拡張性の高いタイム プロトコルで、指定された時刻に参照を使用してコンピューターのクロックを同期するために最もよく使用されるプロトコルです。

NTP 時刻の同期では、時間の期間にわたってが行われ、ネットワーク経由で NTP パケットの転送は、です。 NTP のパケットには、時刻の同期に、クライアントと参加しているサーバーの両方からタイム サンプルが含まれるタイムスタンプが含まれています。

NTP では、使用する最も正確な時間を定義する参照クロックに基づいてし、その参照の時計をネットワーク上のすべてのクロックを同期します。 NTP は、普遍的な基準として、現在の時刻を世界協定時刻 (UTC) を使用します。 UTC はタイム ゾーンから独立しており、タイム ゾーンの設定に関係なく、世界中どこでも使用する NTP を使用します。

NTP アルゴリズム

NTP には、2 つのアルゴリズム、クロックのフィルタ リング アルゴリズム、最適なタイム サンプルを決定する際、Windows タイム サービスを支援するために、クロック選択アルゴリズムが含まれています。 クロックのフィルタ リング アルゴリズムは、照会されたタイム ソースから受信され、各ソースから最適なタイム サンプルを確認するタイム サンプルを詳しく調べて設計されています。 クロック選択アルゴリズムは、ネットワーク上の正確なタイム サーバーを決定します。 この情報は、ネットワークの待機時間とコンピューター時計の不正確さによるエラーの補正中に、コンピューターのローカル クロックを修正する収集された情報を使用して、クロック統制アルゴリズムに渡されます。

NTP アルゴリズムは、ライトから中レベルのネットワークおよびサーバーの負荷の条件下で最も正確なです。 ネットワーク転送時間を考慮した任意のアルゴリズムと同様に NTP アルゴリズムでは極端なネットワークの混雑の条件下でが不十分な実行可能性があります。 NTP アルゴリズムの詳細については、IETF RFC データベースでの RFC 1305 を参照してください。

NTP タイム プロバイダー

Windows タイム サービスは、さまざまなハードウェア デバイスと時刻のプロトコルをサポートする完全な時刻同期パッケージです。 このサポートを有効にするのには、サービスは、プラグ可能なタイム プロバイダーを使用します。 タイム プロバイダが (ネットワークまたはハードウェアを使用して)、取得するときの正確な時刻スタンプまたはネットワーク経由で他のコンピューターにそれらのタイムスタンプを提供する責任を負う。

NTP プロバイダーは、オペレーティング システムに含まれている標準時のプロバイダーです。 NTP プロバイダーは、NTP クライアントとサーバーのバージョン 3 で指定された標準に従いし、SNTP クライアントおよび Windows 2000 やその他の SNTP クライアントとの下位互換性のためのサーバーと対話することができます。 Windows タイム サービスの NTP プロバイダーは、次の 2 つの部分で構成されます。

  • クライアントは、プロバイダーを出力します。 これは、ネットワーク上のクライアントに要求に応答する時間のサーバーです。

  • NtpClient 入力プロバイダーです。 これは、タイム クライアント、ハードウェア デバイスまたは、NTP サーバーのいずれかの別のソースから時刻の情報を取得し、ローカルの時計を同期するのに便利なタイム サンプルを返すことができます。

これら 2 つのプロバイダーの実際の処理は密接に関連すると、タイム サービスに依存しない表示されます。 以降、Windows 2000 Server では Windows コンピューターがネットワークに接続されている場合、NTP クライアントとして構成されます。 また、Windows タイムを実行しているコンピューターはサービス既定では、ドメイン コント ローラーや、手動で指定されたタイム ソースと時刻を同期する試みのみです。 これらは、時間のソースを自動的に利用可能なセキュリティで保護されるため、希望するタイム プロバイダーです。

NTP セキュリティ

AD DS フォレスト内では、Windows タイム サービスは、時間データの認証を強制する標準のドメインのセキュリティ機能に依存します。 ドメイン メンバー コンピューターと、タイム サーバーとして機能しているローカル ドメイン コント ローラーの間で送信される NTP パッケージのセキュリティは、共有キー認証に基づきます。 Windows タイム サービスは、ネットワーク経由で送信されるパケットを NTP 認証済みの署名を作成するのに、コンピューターの Kerberos セッション キーを使用します。 Net Logon のセキュリティで保護されたチャネルの内部 NTP パケットは送信されません。 代わりに、要求すると、コンピューター、時間、ドメインの階層内のドメイン コント ローラーから、Windows タイム サービス時間が認証することを要求します。 ドメイン コント ローラーは、Net Logon サービスからのセッション キーを使用して認証されている 64 ビット値の形式で、必要な情報を返します。 返された NTP のパケットは、コンピューターのセッション キーで署名されていないまたは正しく署名されて、時刻は拒否されます。 このようなすべての認証エラーは、イベント ログに記録されます。 この方法では、Windows タイム サービスは、AD DS フォレスト内の NTP データのセキュリティを提供します。

一般に、Windows タイム クライアントは、同じドメイン内のドメイン コント ローラーから正確な時刻の同期を自動的に取得します。 フォレストでは、子ドメインのドメイン コント ローラーは、親ドメインのドメイン コント ローラーと時刻を同期します。 タイム サーバーが認証済みの NTP パケットを時間を要求するクライアントに戻るとき、パケットは、ドメイン間の信頼アカウントが定義されている Kerberos セッション キーによって署名されています。 新しい AD DS ドメイン、フォレストに参加し、Net Logon サービスがセッション キーを管理、ドメイン間の信頼アカウントが作成されます。 この方法で、フォレスト ルート ドメインで信頼性の高いとして構成されているドメイン コント ローラーのすべての親と子の両方のドメインのドメイン コント ローラーおよび間接的に、ドメイン ツリー内にあるすべてのコンピューターの認証されたタイム ソースとなります。

Windows タイム サービスは、フォレスト間で動作するように構成できますが、この構成はセキュリティで保護されたことに注意して重要です。 たとえば、NTP サーバーは、別のフォレストに使用できる可能性があります。 ただし、そのコンピューターが別のフォレストにあるため、サインインし、NTP パケットの認証に使用する Kerberos セッション キーはありません。 クライアントがそのコンピューターへのネットワーク アクセスを必要とは異なるフォレスト内のコンピューターから正確な時刻の同期を取得して、タイム サービスは、その他のフォレストにある特定のタイム ソースを使用するように構成する必要があります。 クライアントは、自身のドメインの階層の外部の NTP サーバーからアクセス時間を手動で構成する場合、クライアントと時間のサーバー間で送信される NTP パケットは認証されていないと、そのため、安全ではありません。 フォレストの信頼関係の実装でも、Windows タイム サービスはセキュリティで保護されたフォレスト間でします。 Net Logon のセキュリティで保護されたチャネルには、Windows タイム サービスの認証メカニズムが、フォレスト間の認証がサポートされていません。

Windows タイム サービスによってサポートされているハードウェア デバイス

GPS などのクロックのハードウェア ベースまたは電波時計は参照の正確なクロック デバイスとしてよく使用されます。 既定では、Windows タイム サービスの NTP タイム プロバイダーでは、コンピューターにハードウェア デバイスの直接接続はサポートされていない、ソフトウェア ベースの独立したタイム プロバイダーを作成することができますが、この種類の接続をサポートします。 この種類の Windows タイム サービスと組み合わせて、プロバイダーは、信頼性の高い、安定した時刻の参照を提供できます。

Cesium クロックやグローバル配置 System (GPS) 受信機などのハードウェア デバイスは、時間の正確な定義を取得する標準に従って、正確な現在の時刻を提供します。 Cesium クロックは非常に安定している温度や圧力、湿度などの要因によって影響を受けませんいて、非常に安価でも。 GPS 受信機が動作するように非常に安価であるでも正確な参照クロックします。 GPS 受信機は、cesium クロックから時刻を取得するサテライトから時刻を取得します。 独立したタイム プロバイダーを使用せず、Windows サーバーの時間は、電話やインターネットを使用して、ハードウェア デバイスに接続されている外部の NTP サーバーに接続して、時間を取得できます。 米国海軍天文台などの組織では、非常に信頼性の高い参照クロックに接続されている NTP サーバーを提供します。

多くの GPS 受信機とその他の時間デバイスは、ネットワーク上の NTP サーバーとして機能できます。 ネットワーク上の NTP サーバーとしても機能している場合にのみ、これらの外部のハードウェア デバイスから時刻を同期する AD DS フォレストを構成することができます。 これを行うには、機能しているプライマリ ドメイン コント ローラー (PDC) エミュレーターの GPS 機器によって提供される NTP サーバーと同期するフォレスト ルート ドメイン コント ローラーを構成します。 これを行うには、PDC エミュレーターでの フォレスト ルート ドメインの Windows タイム サービスの構成に関する記事を参照してください。

簡易ネットワーク タイム プロトコル

単純なネットワーク タイム プロトコル (SNTP) は、サーバーとクライアントの NTP を提供する精度を必要としないことを意図した時間の簡略化されたプロトコルです。 SNTP、NTP のより基本的なバージョンは、Windows 2000 で使用されているプライマリ時間プロトコルです。 SNTP と NTP のネットワーク パケットの形式は同じであるため、2 つのプロトコルは相互運用可能にします。 2 つの主な違いは、SNTP に、エラーの管理と NTP を提供する複雑なフィルター処理システムがないことです。 単純なネットワーク タイム プロトコルの詳細については、IETF RFC データベースでの RFC 1769 を参照してください。

時間プロトコルの相互運用性

Windows タイム サービスは、Windows 2000 で使用される SNTP プロトコルが Windows XP および Windows Server 2003 で NTP プロトコルと相互運用可能なために、Windows 2000、Windows XP および Windows Server 2003 を実行しているコンピューターの混在環境で動作できます。

TimeServ と呼ばれる、Windows NT Server 4.0 のタイム サービスは、Windows NT 4.0 ネットワーク経由で時間を同期します。 TimeServ として使用可能なアドオン機能の一部では、 Microsoft Windows NT 4.0 リソース キット Windows Server 2003 で必要とされる時刻の同期の信頼性のレベルを提供しません。

Windows タイム サービスは、Windows 2000 または Windows Server 2003 を実行するコンピューターで時刻を同期するために、Windows NT 4.0 を実行しているコンピューターと相互運用できます。ただし、Windows 2000 または Windows Server 2003 を実行しているコンピューターは Windows NT 4.0 のタイム サーバーを自動的に検出できません。 たとえば、階層に基づくドメインを使用して時刻を同期するドメインが構成されている場合の同期があり、メソッドには Windows NT 4.0 ドメイン コント ローラーと時刻を同期するドメインの階層内のコンピューターが必要な Windows NT 4.0 ドメイン コント ローラーと同期するには、手動でこれらのコンピューターを構成する必要があります。

Windows NT 4.0 では、Windows タイム サービスは使用してよりも時間の同期をより単純なメカニズムを使用します。 そのため、ネットワークの正確な時刻の同期を確実には、Windows 2000 または Windows Server 2003 には、Windows NT 4.0 ドメイン コント ローラーをアップグレードすることをお勧めします。

Windows タイム サービスのプロセスとの対話

Windows タイム サービスは、ネットワーク上のコンピューターのクロックの同期に設計されています。 時間収束とも呼ばれます、ネットワークに同期プロセスより正確なタイム サーバーから各コンピューターへのアクセス時間として、ネットワーク全体で発生します。 時間の収束には、権限のあるサーバーが NTP のパケットの形式でクライアント コンピューターに現在の時刻を提供するプロセスが含まれます。 パケット内で提供される情報より正確なサーバーと同期されているように、コンピューターの現在のクロック時間に修正する調整が必要かどうかを示します。

時刻の収束プロセスの一環として、ドメインのメンバーは時刻を同じドメイン内にある任意のドメイン コント ローラーと同期しようとします。 コンピューターがドメイン コント ローラーの場合より権限のあるドメイン コント ローラーと同期しようとします。

Windows XP Home Edition、またはドメインに参加していないコンピューターを実行しているコンピューターは、ドメインの階層との同期をしないようにが time.windows.com から時刻を取得する既定で構成されます。

権限を持つ Windows Server 2003 を実行しているコンピューターを確立するには、できる信頼性の高いタイム ソース コンピューターを構成する必要があります。 既定では、Windows Server 2003 ドメインにインストールされている最初のドメイン コント ローラーは信頼性の高いタイム ソースを自動的に構成します。 ドメインに対して権限のあるコンピューターであるために、ドメインの階層ではなく、外部のタイム ソースとの同期を構成しなければなりません。 既定では、他のすべての Windows Server 2003 ドメインのメンバーは、ドメインの階層との同期に構成されます。

Windows Server 2003 ネットワークを確立した後は、次のオプションのいずれかの同期に使用する Windows タイム サービスを構成できます。

  • ドメインの階層に基づく同期

  • 手動で指定された同期ソース

  • すべての利用可能な同期メカニズム

  • 同期されません。

これらの同期型は、次のセクションで説明します。

ドメインの階層に基づく同期

ドメインの階層に基づいている同期では、AD DS ドメインの階層を使用して、時刻同期に使用する信頼できる送信元を見つけます。 ドメインの階層に基づき、Windows タイム サービスは、各タイム サーバーの正確性を決定します。 Windows Server 2003 フォレストでは、プライマリ ドメイン コント ローラー (PDC) エミュレーター操作マスターの役割をフォレスト ルート ドメインにあるを保持するコンピューターは、別の信頼できるタイム ソースが構成されている場合を除きに最適なタイム ソースの位置を保持します。 次の図は、ドメイン階層内のコンピューター間で時刻の同期のパスを示しています。

AD DS 階層内の時刻同期Windows Time

信頼性の高いタイム ソースの構成

信頼性の高いタイム ソースとして構成されているコンピューターは、タイム サービスのルートとして識別されます。 タイム サービスのルート ドメインに対して権限のあるサーバーは、通常、外部の NTP サーバーまたはハードウェア デバイスから時刻を取得するように構成されます。 タイム サーバーは、ドメイン階層全体で時間を転送する方法を最適化するために信頼できるタイム ソースとして構成できます。 場合は、ドメイン コント ローラーは、信頼性の高いタイム ソースとして構成されている、Net Logon サービスは、ネットワークにログオンすると、信頼性の高いタイム ソースとしてそのドメイン コント ローラーを発表します。 他のドメイン コント ローラーは、同期するタイム ソースを探すときに、信頼できるソースがある場合に、信頼性の高いソースを最初に、選択します。

タイム ソースの選択

タイム ソースの選択のプロセスは、ネットワーク上の 2 つの問題を作成できます。

  • 追加の同期を切り替えます。

  • ネットワーク トラフィック量が増える。

同期ネットワーク内のサイクルは、時間が複数のドメイン コントローラの間の一貫性であり、同時には別の信頼性の高いタイム ソースと再同期なく継続的にそれらの間で共有に発生します。 Windows タイム サービスのタイム ソースの選択アルゴリズムは、この種の問題を防ぐために設計されています。

コンピューターと同期するのにタイム ソースを識別するために、次の方法のいずれかを使用します。

  • コンピューターがドメインのメンバーでない場合は、指定されたタイム ソースと同期する構成する必要があります。

  • コンピューターがメンバー サーバーまたは既定では、ドメイン内のワークステーションの場合、AD DS の階層に依存して、Windows タイム サービスは現在実行中のローカル ドメインのドメイン コント ローラーとその時間を同期します。

コンピューターがドメイン コント ローラーの場合は、最大 6 個のクエリと同期する別のドメイン コント ローラーを見つけます。 各クエリは、特定の場所、ドメイン コント ローラーの種類などの特定の属性のタイム ソースを識別するために設計し、信頼性の高いタイム ソースであるかどうか。 タイム ソースは、次の制約にも従う必要があります。

  • 信頼性の高いタイム ソースは、親ドメインのドメイン コント ローラーとのみ同期できます。

  • PDC エミュレーターは、独自のドメインで信頼性の高いタイム ソースまたは親ドメインのドメイン コント ローラーを同期できます。

ドメイン コント ローラーは、クエリ対象のドメイン コント ローラーの種類と同期できない場合は、クエリは作成されません。 ドメイン コント ローラーは、どの種類のコンピューターの時間からクエリを実行する前に入手できることを認識しています。 たとえば、PDC エミュレーターでローカルしようとしませんクエリ数値の 3 つまたは 6 つのドメイン コント ローラーがそれ自体と同期を試行しませんので。

次の表には、タイム ソースとクエリが行われた注文を検索するドメイン コント ローラーは、クエリが一覧表示します。

ドメイン コントローラーのタイム ソースのクエリ

クエリの数 ドメイン コントローラー インストール先 タイム ソースの信頼性
1 親ドメイン コント ローラー サイト内 信頼性が高く推奨が利用可能なすべての場合、非信頼できるタイム ソースと同期できるタイム ソースができます。
2 ローカル ドメイン コント ローラー サイト内 信頼性の高いタイム ソースとのみ同期します。
3 ローカルの PDC エミュレーター サイト内 適用されません。

ドメイン コント ローラーは、それ自体と同期しません。
4 親ドメイン コント ローラー サイト外 信頼性が高く推奨が利用可能なすべての場合、非信頼できるタイム ソースと同期できるタイム ソースができます。
5 ローカル ドメイン コント ローラー サイト外 信頼性の高いタイム ソースとのみ同期します。
6 ローカルの PDC エミュレーター サイト外 適用されません。

ドメイン コント ローラーは、それ自体と同期しません。

注:

  • コンピューターは、決して自体と同期します。 同期を試行しているコンピューターがローカルの PDC エミュレーターの場合は、クエリ 3 または 6 をしたものはありません。

各クエリでは、タイム ソースとして使用できるドメイン コント ローラーの一覧を返します。 Windows タイムの割り当ては、各ドメイン コント ローラーでは、信頼性とドメイン コント ローラーの場所に基づいてスコアが照会されます。 次の表は、ドメイン コント ローラーの種類ごとに、Windows タイムで割り当てられているスコアを一覧表示します。

スコアの決定

ドメイン コント ローラーの状態 スコア
同じサイト内にあるドメイン コント ローラー 8
信頼性の高いタイム ソースとしてマークされているドメイン コント ローラー 4
親ドメイン内にあるドメイン コント ローラー 2
PDC エミュレーターは、ドメイン コント ローラー 1

Windows タイム サービスは、それが可能なハイスコアでドメイン コント ローラーを識別が判断した場合は、複数のクエリではありませんが行われます。 タイム サービスによって割り当てられているスコアは累積的なが同じサイト内にある PDC エミュレーターは 9 つのスコアを受け取ります。

外部ソースと同期するタイム サービスのルートが構成されていない場合、コンピューターの内部ハードウェア クロック時間を制御します。

手動で指定の同期

手動で指定された同期では、1 つのピアまたはコンピューターの時間の取得元となるピアのリストを指定できます。 コンピューターがドメインのメンバーでない場合は、指定されたタイム ソースと同期を手動で構成する必要があります。 既定では、ドメインの階層から同期するドメインのメンバーが構成されているコンピューターを手動で指定の同期は、ドメインに参加していないコンピューターまたはのフォレスト ルート ドメインの場合に適しています。 信頼性の高いタイムを提供する、ドメインに参加していないコンピューターと同期する外部の NTP サーバーを手動で指定します。 ただし、ハードウェア クロックと同期するドメインの権限のあるコンピューターの構成は、実際には最適なソリューションをドメインに最も正確なセキュリティで保護された時刻を提供することです。

特定のタイム プロバイダが書き込まれ、攻撃者に対して脆弱であるためしない限り、手動で指定されたタイム ソースが認証されていません。 また、コンピューターは、その認証のドメイン コント ローラーではなく、手動で指定されているソースと同期、2 台のコンピューターが同期されず、Kerberos 認証に失敗の原因できるがあります。 その他のアクションが失敗し、印刷やファイル共有などのネットワーク認証を要求する可能性があります。 フォレスト ルートは、外部ソースと同期するように構成、専用の場合は、フォレスト内にあるその他のすべてのコンピューターと同期を保つ、リプレイ攻撃が困難にします。

すべての利用可能な同期メカニズム

「すべての利用可能な同期メカニズム」オプションは、ネットワーク上のユーザーの最も重要な同期方法です。 このメソッドは、ドメインの階層との同期を使用し、代替も、タイム ソースの場合は、ドメインの階層は、構成によっては利用できなくなります。 クライアントがドメイン階層と時刻を同期することではない場合、タイム ソースに自動的にフォールバックで指定されたタイム ソース、 NtpServer 設定します。 同期には、このメソッドは、最も正確な時刻をクライアントに提供する可能性があります。

停止時刻の同期

その時刻の同期からコンピューターを停止する必要は特定の状況があります。 たとえば場合は、コンピューターがダイアル アップ接続を使用して、WAN 経由でインターネット上のタイム ソースとは別のサイトからを同期しようとするは、コストのかかる電話料金を請求、ことができます。 そのコンピューター上で同期を無効にすると、ダイヤルアップ接続経由でタイム ソースにアクセスしようとしてから、コンピューターができなくなります。

また、イベント ログでエラーが生成されないようにする同期を無効にすることができます。 コンピューターが使用可能なタイム ソースと同期を試みるたびにイベント ログにエラーが発生します。 タイム ソースがスケジュールされたメンテナンスのため、ネットワークから切断されたクライアントを再構成して別のソースから同期する予定がない場合は、タイム サーバーが利用できる場合は、同期を試行するを防止するクライアント上の同期を無効にすることができます。

同期ネットワークのルートとして指定されているコンピューターで同期を無効にすると便利です。 これは、ルートのコンピューターがローカル クロックを信頼することを示します。 同期の階層のルートに設定されていないかどうかは NoSync で別のタイム ソースを同期できなかった場合は、クライアントを使用して、時間が信頼できないために、このコンピューターが送信されるパケット。

唯一の時間別のタイム ソースと同期しない場合でも、クライアントによって信頼されているサーバーは、信頼性の高いタイム サーバーとクライアントが指定されているもの。

Windows タイム サービスを無効にします。

Windows タイム サービス (W32Time) を完全に無効にすることができます。 NTP を使用しているサード パーティ製の時間同期製品を実装する場合は、Windows タイム サービスを無効にする必要があります。 NTP サーバーのすべてのユーザー データグラム プロトコル (UDP) ポート 123 へのアクセスとポート 123 は Windows タイムで予約されている Windows タイム サービスが Windows Server 2003 オペレーティング システムで実行されている限りためにです。

Windows タイム サービスによって使用されるネットワーク ポート

Windows タイム サービスは、信頼性の高いタイム ソースを特定、時刻情報の取得、および他のコンピューターに時間の情報を提供するネットワーク上で通信します。 NTP と SNTP Rfc で定義されている、このような通信を実行します。

Windows タイム サービスのポートの割り当て

サービス名 UDP TCP
NTP 123 なし
SNTP 123 なし

参照

Windows タイム サービスのテクニカル リファレンスWindows タイム サービスのツールと設定Windows タイム サービス (W32Time)