Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
I det här avsnittet
Anmärkning
Det här avsnittet beskriver bara hur Windows Time Service (W32Time) fungerar. Information om hur du konfigurerar Windows-tidstjänsten finns i Konfigurera system för hög noggrannhet.
Anmärkning
I Windows Server 2003 och Microsoft Windows 2000 Server heter katalogtjänsten Active Directory-katalogtjänsten. I Windows Server 2008 och senare versioner heter katalogtjänsten Active Directory Domain Services (AD DS). Resten av det här avsnittet refererar till AD DS, men informationen gäller även för Active Directory.
Även om Windows-tidstjänsten inte är en exakt implementering av NTP (Network Time Protocol), använder den den komplexa sviten med algoritmer som definieras i NTP-specifikationerna för att säkerställa att klockorna på datorer i ett nätverk är så exakta som möjligt. Helst synkroniseras alla datorklockor i en AD DS-domän med tiden för en auktoritativ dator. Många faktorer kan påverka tidssynkronisering i ett nätverk. Följande faktorer påverkar ofta synkroniseringens noggrannhet i AD DS:
Nätverksvillkor
Noggrannheten i datorns maskinvaruklocka
Mängden processor- och nätverksresurser som är tillgängliga för Windows-tidstjänsten
Viktigt!
Före Windows Server 2016 var W32Time-tjänsten inte utformad för att uppfylla tidskänsliga programbehov. Men med uppdateringar av Windows Server 2016 kan du nu implementera en lösning för 1ms noggrannhet i din domän. Visa Windows 2016 Accurate Time och gräns för Support för att konfigurera Windows-tidtjänsten i miljöer med hög noggrannhet för mer information.
Datorer som synkroniserar sin tid mindre ofta eller inte är anslutna till en domän konfigureras som standard att synkronisera med time.windows.com. Därför är det omöjligt att garantera tidsprecision på datorer som har tillfälliga eller inga nätverksanslutningar.
En AD DS-skog har en fördefinierad tidssynkroniseringshierarki. Windows-tidstjänsten synkroniserar tiden mellan datorer i hierarkin med de mest exakta referensklockorna överst. Om mer än en tidskälla har konfigurerats på en dator använder Windows Time NTP-algoritmer för att välja den bästa tidskällan från de konfigurerade källorna baserat på datorns möjlighet att synkronisera med den tidskällan. Windows Time-tjänsten stöder inte nätverkssynkronisering från broadcast- eller multicast-peer-datorer. Mer information om dessa NTP-funktioner finns i RFC 1305 i IETF RFC Database.
Varje dator som kör Windows Time-tjänsten använder tjänsten för att upprätthålla den mest exakta tiden. Datorer som är medlemmar i en domän fungerar som en tidsklient som standard, därför är det i de flesta fall inte nödvändigt att konfigurera Windows-tidstjänsten. Windows-tidstjänsten kan dock konfigureras för att begära tid från en angiven referenstidskälla och kan även ge tid till klienter.
I vilken utsträckning en dators tid är noggrann kallas ett stratum. Den mest exakta tidskällan i ett nätverk (till exempel en maskinvaruklocka) upptar den lägsta stratumnivån eller stratum en. Den här exakta tidskällan kallas för en referensklocka. En NTP-server som hämtar sin tid direkt från en referensklocka upptar ett stratum som är en nivå högre än referensklockans. Resurser som hämtar tid från NTP-servern ligger två steg från referensklockan och upptar därför ett stratum som är två högre än den mest exakta tidskällan och så vidare. När en dators stratumnummer ökar kan tiden på systemklockan bli mindre exakt. Därför är stratumnivån för alla datorer en indikator på hur nära datorn synkroniseras med den mest exakta tidskällan.
När W32Time Manager tar emot tidsexempel använder den särskilda algoritmer i NTP för att avgöra vilken av de tidsexempel som är lämpligast för användning. Tidstjänsten använder också en annan uppsättning algoritmer för att avgöra vilka av de konfigurerade tidskällorna som är mest exakta. När tidstjänsten har fastställt vilket tidsexempel som är bäst, baserat på ovanstående kriterier, justeras den lokala klockfrekvensen så att den kan konvergera mot rätt tid. Om tidsskillnaden mellan den lokala klockan och det valda korrekta tidsexemplet (kallas även tidsförskjutning) är för stor för att korrigeras genom att justera den lokala klockfrekvensen, anger tidstjänsten den lokala klockan till rätt tid. Denna justering av klockfrekvens eller direkturtidsändring kallas klockdisciplin.
Arkitektur för Windows-tidstjänst
Windows-tidstjänsten består av följande komponenter:
Tjänstekontrollhanterare
Windows Tidtjänsthanterare
Klockdisciplin
Tidsleverantörer
Följande bild visar arkitekturen för Windows-tidstjänsten.
Arkitektur för Windows-tidstjänst
Service Control Manager ansvarar för att starta och stoppa Windows-tidstjänsten. Windows Time Service Manager ansvarar för att initiera åtgärderna hos de NTP-tidsleverantörer som ingår i operativsystemet. Windows Time Service Manager styr alla funktioner i Windows-tidstjänsten och sammankopplingen av alla tidsexempel. Förutom att tillhandahålla information om det aktuella systemtillståndet, till exempel den aktuella tidskällan eller den senaste gången systemklockan uppdaterades, ansvarar Även Windows Time Service Manager för att skapa händelser i händelseloggen.
Tidssynkroniseringsprocessen omfattar följande steg:
Inmatningsleverantörer begär och får tidsprover från konfigurerade NTP-tidskällor.
Dessa tidsexempel skickas sedan till Windows Time Service Manager, som samlar in alla exempel och skickar dem till underkomponenten för klockområdet.
Underkomponenten för klockområdet tillämpar NTP-algoritmerna, vilket resulterar i valet av det bästa tidsexemplet.
Underkomponenten för klockområdet justerar tiden för systemklockan till den mest exakta tiden genom att antingen justera klockfrekvensen eller ändra tiden direkt.
Om en dator har angetts som en tidsserver kan den skicka tiden till alla datorer som begär tidssynkronisering när som helst i den här processen.
Tidsprotokoll för Windows Time Service
Tidsprotokoll avgör hur nära två datorers klockor synkroniseras. Ett tidsprotokoll ansvarar för att fastställa den bästa tillgängliga tidsinformationen och konvergera klockorna för att säkerställa att en konsekvent tid upprätthålls på separata system.
Windows-tidstjänsten använder NTP (Network Time Protocol) för att synkronisera tid i ett nätverk. NTP är ett Tidsprotokoll på Internet som innehåller de disciplinalgoritmer som krävs för synkronisering av klockor. NTP är ett mer exakt tidsprotokoll än SNTP (Simple Network Time Protocol) som används i vissa versioner av Windows. W32Time fortsätter dock att stödja SNTP för att aktivera bakåtkompatibilitet med datorer som kör SNTP-baserade tidstjänster, till exempel Windows 2000.
Protokoll för nätverkstid
Network Time Protocol (NTP) är standardprotokollet för tidssynkronisering som används av Windows-tidstjänsten i operativsystemet. NTP är ett feltolerant, mycket skalbart tidsprotokoll och är det protokoll som oftast används för att synkronisera datorklockor med hjälp av en angiven tidsreferens.
NTP-tidssynkronisering sker under en tidsperiod och omfattar överföring av NTP-paket över ett nätverk. NTP-paket innehåller tidsstämplar som innehåller ett tidsexempel från både klienten och servern som deltar i tidssynkronisering.
NTP förlitar sig på en referensklocka för att definiera den mest exakta tiden som ska användas och synkroniserar alla klockor i ett nätverk med referensklockan. NTP använder Coordinated Universal Time (UTC) som universell standard för aktuell tid. UTC är oberoende av tidszoner och gör att NTP kan användas var som helst i världen oavsett tidszonsinställningar.
NTP-algoritmer
NTP innehåller två algoritmer, en algoritm för klockfiltrering och en algoritm för klockval, för att hjälpa Windows-tidstjänsten att fastställa det bästa tidsexemplet. Algoritmen för klockfiltrering är utformad för att söka igenom tidsexempel som tas emot från efterfrågade tidskällor och fastställa de bästa tidsexemplen från varje källa. Algoritmen för klockval avgör sedan den mest exakta tidsservern i nätverket. Den här informationen skickas sedan till algoritmen för klockområdet, som använder den information som samlats in för att korrigera datorns lokala klocka, samtidigt som den kompenserar för fel på grund av nätverkssvarstid och felaktig datorklocka.
NTP-algoritmerna är mest exakta under förhållanden med lätt till måttlig nätverks- och serverbelastning. Precis som med alla algoritmer som tar hänsyn till nätverksöverföringstiden kan NTP-algoritmer fungera dåligt under extrema nätverksbelastningar. Mer information om NTP-algoritmerna finns i RFC 1305 i IETF RFC-databasen.
NTP-tidsleverantör
Windows-tidstjänsten är ett komplett tidssynkroniseringspaket som kan stödja en mängd olika maskinvaruenheter och tidsprotokoll. För att aktivera det här stödet använder tjänsten pluggabara tidsleverantörer. En tidsprovider ansvarar antingen för att erhålla korrekta tidsstämplar (från nätverket eller från maskinvaran) eller för att tillhandahålla dessa tidsstämplar till andra datorer via nätverket.
NTP-providern är standardtidsprovidern som ingår i operativsystemet. NTP-providern följer de standarder som anges av NTP version 3 för en klient och server och kan interagera med SNTP-klienter och servrar för bakåtkompatibilitet med Windows 2000 och andra SNTP-klienter. NTP-providern i Windows-tidstjänsten består av följande två delar:
Utdataprovider för NtpServer. Det här är en tidsserver som svarar på klienttidsbegäranden i nätverket.
NtpClient informationsleverantör. Det här är en tidsklient som hämtar tidsinformation från en annan källa, antingen en maskinvaruenhet eller en NTP-server, och som kan returnera tidsexempel som är användbara för att synkronisera den lokala klockan.
Även om de faktiska operationerna för dessa två leverantörer är nära relaterade, verkar de oberoende för tidstjänsten. Från och med Windows 2000 Server, när en Windows-dator är ansluten till ett nätverk, konfigureras den som en NTP-klient. Datorer som kör Windows-tidstjänsten försöker dessutom bara synkronisera tid med en domänkontrollant eller en manuellt angiven tidskälla som standard. Det här är de tidsleverantörer som föredras eftersom de är automatiskt tillgängliga och säkra källor till tid.
NTP-säkerhet
I en AD DS-skog förlitar sig Windows Time-tjänsten på standardfunktioner för domänsäkerhet för att framtvinga autentisering av tidsdata. Säkerheten för NTP-paket som skickas mellan en domänmedlemsdator och en lokal domänkontrollant som fungerar som en tidsserver baseras på autentisering med delad nyckel. Windows Time-tjänsten använder datorns Kerberos-sessionsnyckel för att skapa autentiserade signaturer på NTP-paket som skickas över nätverket. NTP-paket överförs inte i säker kanal för net-inloggning. När en dator i stället begär tiden från en domänkontrollant i domänhierarkin kräver Windows-tidstjänsten att tiden autentiseras. Domänkontrollanten returnerar sedan nödvändig information i form av ett 64-bitars värde som har autentiserats med sessionsnyckeln från tjänsten Net Logon. Om det returnerade NTP-paketet inte är signerat med datorns sessionsnyckel eller är felaktigt signerat avvisas tiden. Alla sådana autentiseringsfel loggas i händelseloggen. På så sätt ger Windows Time Service säkerhet för NTP-data i en AD DS-skog.
I allmänhet får Windows-tidsklienter automatiskt rätt tid för synkronisering från domänkontrollanter i samma domän. I en skog synkroniserar domänkontrollanterna för en underordnad domän tid med domänkontrollanter i sina överordnade domäner. När en tidsserver returnerar ett autentiserat NTP-paket till en klient som begär tiden, signeras paketet med hjälp av en Kerberos-sessionsnyckel som definieras av ett konto för interdomänförtroende. Kontot för interdomänförtroende skapas när en ny AD DS-domän ansluter till en domänskog, och tjänsten Net Logon hanterar sessionsnyckeln. På så sätt blir den domänkontrollant som är konfigurerad som tillförlitlig i skogsrotdomänen den auktoritativa tidskällan för alla domänkontrollanter i både föräldra- och barn-domäner, och indirekt för alla datorer som finns i domänträdet.
Windows-tidstjänsten kan konfigureras för att fungera mellan skogar, men det är viktigt att observera att den här konfigurationen inte är säker. En NTP-server kan till exempel vara tillgänglig i en annan skog. Men eftersom datorn finns i en annan skog finns det ingen Kerberos-sessionsnyckel som du kan signera och autentisera NTP-paket med. För att få korrekt tidssynkronisering från en dator i en annan skog behöver klienten nätverksåtkomst till datorn och tidstjänsten måste konfigureras för att använda en specifik tidskälla i den andra skogen. Om en klient är manuellt konfigurerad för åtkomsttid från en NTP-server utanför sin egen domänhierarki autentiseras inte de NTP-paket som skickas mellan klienten och tidsservern och är därför inte säkra. Även med implementeringen av skogsförtroenden är Windows Time-tjänsten inte säker mellan skogar. Även om Net Logon-säkerhetskanalen är autentiseringsmekanismen för Windows Time-tjänsten stöds inte autentisering mellan Active Directory-skogar.
Maskinvaruenheter som stöds av Windows-tidstjänsten
Maskinvarubaserade klockor som GPS eller radioklockor används ofta som mycket exakta referensklockaenheter. Som standard stöder NTP-tidsprovidern för Windows-tidstjänsten inte direkt anslutning av en maskinvaruenhet till en dator, även om det är möjligt att skapa en programvarubaserad oberoende tidsprovider som stöder den här typen av anslutning. Den här typen av provider, tillsammans med Windows-tidstjänsten, kan ge en tillförlitlig, stabil tidsreferens.
Maskinvaruenheter, till exempel en cesiumklocka eller en GPS-mottagare (Global Positioning System), ger korrekt aktuell tid genom att följa en standard för att få en korrekt definition av tid. Cesium klockor är extremt stabila och påverkas inte av faktorer som temperatur, tryck eller luftfuktighet, men är också mycket dyra. En GPS-mottagare är mycket billigare att använda och är också en korrekt referensklocka. GPS-mottagare får sin tid från satelliter som får sin tid från en cesiumklocka. Utan att använda en oberoende tidsleverantör kan Windows-tidsservrar hämta sin tid genom att ansluta till en extern NTP-server, som är ansluten till en maskinvaruenhet med hjälp av en telefon eller Internet. Organisationer som United States Naval Observatory tillhandahåller NTP-servrar som är anslutna till extremt tillförlitliga referensklockor.
Många GPS-mottagare och andra tidsenheter kan fungera som NTP-servrar i ett nätverk. Du kan konfigurera AD DS-skogen så att den synkroniserar tid från dessa externa maskinvaruenheter endast om de även fungerar som NTP-servrar i nätverket. Det gör du genom att konfigurera domänkontrollanten som fungerar som primär PDC-emulator i rooten av skogen för att synkronisera med NTP-servern som tillhandahålls av GPS-enheten. Det gör du genom att läsa Konfigurera Windows-tidstjänsten på PDC-emulatorn i skogsrotdomänen.
Enkel nätverkstidsprotokoll
Simple Network Time Protocol (SNTP) är ett förenklat tidsprotokoll som är avsett för servrar och klienter som inte kräver den noggrannhetsgrad som NTP tillhandahåller. SNTP, en mer rudimentär version av NTP, är det primära tidsprotokollet som används i Windows 2000. Eftersom nätverkspaketformaten för SNTP och NTP är identiska är de två protokollen kompatibla. Den primära skillnaden mellan de två är att SNTP inte har de felhanterings- och komplexa filtreringssystem som NTP tillhandahåller. Mer information om Simple Network Time Protocol finns i RFC 1769 i IETF RFC Database.
Tidsprotokoll Interoperabilitet
Tjänsten Windows Time kan fungera i en blandad miljö med datorer som kör Windows 2000, Windows XP och Windows Server 2003, eftersom SNTP-protokollet som används i Windows 2000 är kompatibelt med NTP-protokollet i Windows XP och Windows Server 2003.
Tidstjänsten i Windows NT Server 4.0, som kallas TimeServ, synkroniserar tiden i ett Windows NT 4.0-nätverk. TimeServ är en tilläggsfunktion som är tillgänglig som en del av Microsoft Windows NT 4.0 Resource Kit och ger inte den grad av tillförlitlighet för tidssynkronisering som krävs av Windows Server 2003.
Windows-tidstjänsten kan samverka med datorer som kör Windows NT 4.0 eftersom de kan synkronisera tid med datorer som kör Windows 2000 eller Windows Server 2003. Men en dator som kör Windows 2000 eller Windows Server 2003 identifierar inte windows NT 4.0-tidsservrar automatiskt. Om din domän till exempel har konfigurerats för att synkronisera tid med hjälp av den domänhierarkibaserade synkroniseringsmetoden och du vill att datorerna i domänhierarkin ska synkronisera tid med en Windows NT 4.0-domänkontrollant, måste du konfigurera dessa datorer manuellt för att synkronisera med Windows NT 4.0-domänkontrollanterna.
Windows NT 4.0 använder en enklare mekanism för tidssynkronisering än windows-tidstjänsten använder. För att säkerställa korrekt tidssynkronisering i nätverket rekommenderar vi därför att du uppgraderar alla Windows NT 4.0-domänkontrollanter till Windows 2000 eller Windows Server 2003.
Processer och interaktioner för Windows-tidstjänst
Windows-tidstjänsten är utformad för att synkronisera datorernas klockor i ett nätverk. Synkroniseringsprocessen för nätverkstid, även kallad tidskonvergens, sker i ett nätverk eftersom varje dator kommer åt tid från en mer exakt tidsserver. Tidskonvergens innebär en process där en auktoritativ server ger den aktuella tiden till klientdatorer i form av NTP-paket. Informationen i ett paket anger om en justering behöver göras för datorns aktuella klocktid så att den synkroniseras med den mer exakta servern.
Som en del av tidskonvergensprocessen försöker domänmedlemmar synkronisera tid med alla domänkontrollanter som finns i samma domän. Om datorn är en domänkontrollant försöker den synkronisera med en mer auktoritativ domänkontrollant.
Datorer som kör Windows XP Home Edition eller datorer som inte är anslutna till en domän försöker inte synkronisera med domänhierarkin, utan konfigureras som standard för att få tid från time.windows.com.
För att upprätta en dator som kör Windows Server 2003 som auktoritativ måste datorn konfigureras för att vara en tillförlitlig tidskälla. Som standard konfigureras den första domänkontrollanten som är installerad på en Windows Server 2003-domän automatiskt till en tillförlitlig tidskälla. Eftersom det är domänens auktoritativa dator måste den konfigureras för att synkroniseras med en extern tidskälla i stället för med domänhierarkin. Som standard är alla andra Windows Server 2003-domänmedlemmar konfigurerade för synkronisering med domänhierarkin.
När du har upprättat ett Windows Server 2003-nätverk kan du konfigurera Windows-tidstjänsten så att den använder något av följande alternativ för synkronisering:
Domänhierarkibaserad synkronisering
En manuellt angiven synkroniseringskälla
Alla tillgängliga synkroniseringsmekanismer
Ingen synkronisering.
Var och en av dessa synkroniseringstyper beskrivs i följande avsnitt.
Domänsynkronisering Hierarchy-Based
Synkronisering som baseras på en domänhierarki använder AD DS-domänhierarkin för att hitta en tillförlitlig källa som du kan synkronisera tid med. Baserat på domänhierarkin avgör Windows Time-tjänsten noggrannheten för varje tidsserver. I en skog med Windows Server 2003 är den dator som innehar den primära domänkontrollantens (PDC) emulatorroll i skogens rotdomän anses vara den bästa tidskällan, såvida inte en annan tillförlitlig tidskälla har konfigurerats. Följande bild illustrerar en sökväg för tidssynkronisering mellan datorer i en domänhierarki.
Tidssynkronisering i en AD DS-hierarki
Konfiguration av tillförlitlig tidskälla
En dator som är konfigurerad för att vara en tillförlitlig tidskälla identifieras som roten till tidstjänsten. Tidstjänstens rot är den auktoritativa servern för domänen och är vanligtvis konfigurerad för att hämta tid från en extern NTP-server eller maskinvaruenhet. En tidsserver kan konfigureras som en tillförlitlig tidskälla för att optimera hur tiden överförs i hela domänhierarkin. Om en domänkontrollant är konfigurerad för att vara en tillförlitlig tidskälla meddelar Net Logon-tjänsten att domänkontrollanten är en tillförlitlig tidskälla när den loggar in på nätverket. När andra domänkontrollanter letar efter en tidskälla att synkronisera med väljer de först en tillförlitlig källa om en är tillgänglig.
Val av tidskälla
Urvalsprocessen för tidskälla kan skapa två problem i ett nätverk:
Ytterligare synkroniseringscykler.
Ökad volym i nätverkstrafiken.
En cykel i synkroniseringsnätverket inträffar när tiden förblir konsekvent mellan en grupp domänkontrollanter och samtidigt delas mellan dem kontinuerligt utan en omsynkronisering med en annan tillförlitlig tidskälla. Algoritmen för val av tidskälla för Windows-tidstjänsten är utformad för att skydda mot dessa typer av problem.
En dator använder någon av följande metoder för att identifiera en tidskälla att synkronisera med:
Om datorn inte är medlem i en domän måste den konfigureras för att synkroniseras med en angiven tidskälla.
Om datorn är en medlemsserver eller arbetsstation inom en domän följer den som standard AD DS-hierarkin och synkroniserar sin tid med en domänkontrollant i sin lokala domän som för närvarande kör Windows-tidstjänsten.
Om datorn är en domänkontrollant gör den upp till sex förfrågningar för att hitta en annan domänkontrollant att synkronisera med. Varje fråga är utformad för att identifiera en tidskälla med vissa attribut, till exempel en typ av domänkontrollant, en viss plats och om det är en tillförlitlig tidskälla. Tidskällan måste också följa följande begränsningar:
En tillförlitlig tidskälla kan bara synkroniseras med en domänkontrollant i den överordnade domänen.
En PDC-emulator kan synkroniseras med en tillförlitlig tidskälla i sin egen domän eller någon domänkontrollant i den överordnade domänen.
Om domänkontrollanten inte kan synkronisera med den typ av domänkontrollant som den kör frågor mot görs inte frågan. Domänkontrollanten vet vilken typ av dator den kan få tid från innan frågan görs. En lokal PDC-emulator försöker till exempel inte fråga nummer tre eller sex eftersom en domänkontrollant inte försöker synkronisera med sig själv.
I följande tabell visas de frågor som en domänkontrollant gör för att hitta en tidskälla och i vilken ordning frågorna görs.
Frågor om tidskälla för domänkontrollant
| Frågenummer | Domänkontrollant | Plats | Tillförlitlighet för tidskälla |
|---|---|---|---|
| 1 | Överordnad domänkontrollant | På plats | Föredrar en tillförlitlig tidskälla, men den kan synkroniseras med en icke-tillförlitlig tidskälla om det är allt som är tillgängligt. |
| 2 | Lokal domänkontrollant | På plats | Synkroniseras endast med en tillförlitlig tidskälla. |
| 3 | Lokal PDC-emulator | På plats | Gäller inte. En domänkontrollant försöker inte synkronisera med sig själv. |
| 4 | Överordnad domänkontrollant | Utanför arbetsplatsen | Föredrar en tillförlitlig tidskälla, men den kan synkroniseras med en icke-tillförlitlig tidskälla om det är allt som är tillgängligt. |
| 5 | Lokal domänkontrollant | Utanför arbetsplatsen | Synkroniseras endast med en tillförlitlig tidskälla. |
| 6 | Lokal PDC-emulator | Utanför arbetsplatsen | Gäller inte. En domänkontrollant försöker inte synkronisera med sig själv. |
Anmärkning
- En dator synkroniseras aldrig med sig själv. Om datorn som försöker synkronisera är den lokala PDC-emulatorn försöker den inte köra frågor 3 eller 6.
Varje fråga returnerar en lista över domänkontrollanter som kan användas som en tidskälla. Windows Time tilldelar varje domänkontrollant som efterfrågas en poäng baserat på domänkontrollantens tillförlitlighet och plats. I följande tabell visas de poäng som tilldelats av Windows Time till varje typ av domänkontrollant.
Poängbestämning
| Status för domänkontrollant | Poäng |
|---|---|
| Domänkontrollant som finns på samma plats | 8 |
| Domänkontrollant markerad som en tillförlitlig tidskälla | 4 |
| Domänkontrollant som finns i den överordnade domänen | 2 |
| Domänkontrollant som är en PDC-emulator | 1 |
När Windows Time-tjänsten fastställer att den har identifierat domänkontrollanten med bästa möjliga poäng görs inga fler frågor. Poängen som tilldelas av tidstjänsten är kumulativa, vilket innebär att en PDC-emulator som finns på samma plats får poängen nio.
Om tidstjänstens rot inte är konfigurerad att synkroniseras med en extern källa styr datorns interna maskinvaruklocka tiden.
Manually-Specified synkronisering
Med manuellt angiven synkronisering kan du ange en enda peer eller lista med peers från vilka en dator får tid. Om datorn inte är medlem i en domän måste den konfigureras manuellt för att synkronisera med en angiven tidskälla. En dator som är medlem i en domän är konfigurerad som standard för att synkronisera från domänhierarkin, manuellt angiven synkronisering är mest användbar för domänens skogsrot eller för datorer som inte är anslutna till en domän. Att manuellt ange en extern NTP-server som ska synkroniseras med den auktoritativa datorn för din domän ger tillförlitlig tid. Men att konfigurera den auktoritativa datorn för din domän att synkronisera med en maskinvaruklocka är faktiskt en bättre lösning för att ge domänen den mest exakta och säkra tiden.
Manuellt angivna tidskällor autentiseras inte om inte en specifik tidsprovider skrivs för dem och de är därför sårbara för angripare. Om en dator synkroniseras med en manuellt angiven källa i stället för den autentiserande domänkontrollanten kan de två datorerna dessutom vara osynkroniserade, vilket gör att Kerberos-autentiseringen misslyckas. Detta kan göra att andra åtgärder som kräver nätverksautentisering misslyckas, till exempel utskrift eller fildelning. Om endast skogsroten har konfigurerats för att synkroniseras med en extern källa, förblir alla andra datorer i skogen synkroniserade med varandra, vilket gör det svårt att utföra återspelningsattacker.
Alla tillgängliga synkroniseringsmekanismer
Alternativet "alla tillgängliga synkroniseringsmekanismer" är den mest värdefulla synkroniseringsmetoden för användare i ett nätverk. Den här metoden tillåter synkronisering med domänhierarkin och kan även ge en alternativ tidskälla om domänhierarkin blir otillgänglig, beroende på konfigurationen. Om klienten inte kan synkronisera tid med domänhierarkin återgår tidskällan automatiskt till den tidskälla som anges av inställningen NtpServer . Den här synkroniseringsmetoden ger sannolikt rätt tid för klienter.
Stoppa tidssynkronisering
Det finns vissa situationer där du vill stoppa en dator från att synkronisera dess tid. Om en dator till exempel försöker synkronisera från en tidskälla på Internet eller från en annan plats via ett WAN med hjälp av en uppringningsanslutning kan det medföra kostsamma telefonavgifter. När du inaktiverar synkronisering på datorn förhindrar du att datorn försöker komma åt en tidskälla via en uppringningsanslutning.
Du kan också inaktivera synkronisering för att förhindra generering av fel i händelseloggen. Varje gång en dator försöker synkronisera med en tidskälla som inte är tillgänglig genererar den ett fel i händelseloggen. Om en tidskälla tas bort från nätverket för schemalagt underhåll och du inte tänker konfigurera om klienten så att den synkroniseras från en annan källa, kan du inaktivera synkronisering på klienten för att förhindra att den försöker synkronisera medan tidsservern inte är tillgänglig.
Det är användbart att inaktivera synkronisering på den dator som har angetts som roten för synkroniseringsnätverket. Detta indikerar att rotdatorn litar på sin lokala klocka. Om roten i synkroniseringshierarkin inte har angetts till NoSync och om den inte kan synkroniseras med en annan tidskälla, accepterar inte klienter det paket som datorn skickar ut eftersom det inte går att lita på dess tid.
De enda tidsservrar som är betrodda av klienter även om de inte har synkroniserats med en annan tidskälla är de som har identifierats av klienten som tillförlitliga tidsservrar.
Inaktivera Windows-tidstjänsten
Windows-tidstjänsten (W32Time) kan inaktiveras helt. Om du väljer att implementera en tidssynkroniseringsprodukt från tredje part som använder NTP måste du inaktivera Windows-tidstjänsten. Det beror på att alla NTP-servrar behöver åtkomst till UDP-port 123 (User Datagram Protocol) och så länge Windows Time-tjänsten körs på Windows Server 2003-operativsystemet förblir port 123 reserverad av Windows Time.
Nätverksportar som används av Windows Time Service
Windows-tidstjänsten kommunicerar i ett nätverk för att identifiera tillförlitliga tidskällor, hämta tidsinformation och tillhandahålla tidsinformation till andra datorer. Den utför den här kommunikationen enligt definitionen i NTP- och SNTP RFCs.
Porttilldelningar för Windows-tidstjänsten
| Tjänstnamn | UDP (User Datagram-protokollet) | TCP |
|---|---|---|
| NTP (Nätverksprotokoll för tidssynkronisering) | 123 | Ej tillämpligt |
| SNTP (på engelska) | 123 | Ej tillämpligt |
Se även
Teknisk referens för Windows tidstjänst Verktygoch inställningarför Windows tidstjänst (W32Time)