Настройка авторитетного сервера времени в Windows Server

В этой статье описывается настройка службы времени Windows и устранение неполадок при неправильной работе службы времени Windows.

Оригинальная версия продукта: Основные версии Windows Server 2012 Standard, Windows Server 2012
Исходный номер КБ: 816042

Чтобы настроить внутренний сервер времени для синхронизации с внешним источником времени, используйте следующий метод:

Чтобы настроить PDC в корне леса Active Directory для синхронизации с внешним источником времени, выполните следующие действия:

Измените тип сервера на NTP. Для этого выполните следующие действия:

Выберите > запуск, введите regedit, а затем выберите ОК.

Найдите и выделите следующий подраздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters

В области справа щелкните правой кнопкой мыши введите, а затем выберите Изменение.

В изменить значение введите NTP в поле данных Value, а затем выберите ОК.

Установите AnnounceFlags 5. Для этого выполните следующие действия:

Найдите и выберите следующий подкай реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config

В области справа щелкните правой кнопкой мыши AnnounceFlags и выберите Изменение.

В редактировании значения DWORD введите 5 в поле данных Значение, а затем выберите ОК.

• Если авторитетный сервер времени, настроенный для использования значения 0x5, не синхронизируется с сервером времени вверх по течению, клиентский сервер может неправильно синхронизироваться с авторитетным сервером времени при возобновлении синхронизации времени между авторитетным сервером времени и сервером времени вверх по AnnounceFlag течению. Поэтому, если у вас плохое сетевое подключение или другие проблемы, которые могут привести к сбою синхронизации времени авторитетного сервера на сервере выше по течению, установите значение 0xA, а не 0x5 AnnounceFlag .
• Если авторитетный сервер времени, настроенный для использования значения 0x5 и синхронизации с сервером времени вверх по течению с заданным фиксированным интервалом, клиентский сервер может неправильно синхронизироваться с авторитетным сервером времени после перезапуска авторитетного сервера AnnounceFlag SpecialPollInterval времени. Поэтому, если настроить авторитетный сервер времени для синхронизации с сервером NTP вверх по течению с фиксированным интервалом, указанным в, установите значение 0xA, а не SpecialPollInterval AnnounceFlag 0x5.

Включить NTPServer. Для этого выполните следующие действия:

Найдите и выделите следующий подраздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer

В области справа щелкните правой кнопкой мыши Включено, а затем выберите Изменение.

В изменить значение DWORD введите 1 в поле данных Значение, а затем выберите ОК.

Укажите источники времени. Для этого выполните следующие действия:

Найдите и откройте следующий подраздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters

В области справа щелкните правой кнопкой мыши NtpServer и выберите Изменение.

В редактировании значения введите одноранговые значения в поле данных Value, а затем выберите ОК.

Peers — это местоодатель для списка одноранговых аналогов, из которых компьютер получает отметки времени. Каждое имя DNS, которое перечислены, должно быть уникальным. Вы должны 0x1 до конца каждого имени DNS. Если вы не 0x1 до конца каждого имени DNS, изменения, внесенные в шаге 5, не вступят в силу.

Настройка параметров коррекции времени. Для этого выполните следующие действия:

Найдите и нажмите следующий подкай реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config

В области справа щелкните правой кнопкой мыши MaxPosPhaseCorrection и выберите Изменение.

В изменить значение DWORD щелкните, чтобы выбрать десятичной знак в базовом окне.

В редактировании значения DWORD введите TimeInSeconds в поле данных Value, а затем выберите ОК.

TimeInSeconds — это местоодатель для разумного значения, например 1 часа (3600) или 30 минут (1800). Выбранное значение зависит от интервала опроса, состояния сети и внешнего источника времени.
По умолчанию значение MaxPosPhaseCorrection составляет 48 часов в Windows Server 2008 R2 или более поздней части.

Найдите и откройте следующий подраздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config

В области справа щелкните правой кнопкой мыши MaxNegPhaseCorrection и выберите Изменение.

В изменить значение DWORD щелкните, чтобы выбрать десятичной знак в базовом окне.

В редактировании значения DWORD введите TimeInSeconds в поле данных Value, а затем выберите ОК.

TimeInSeconds — это местоодатель для разумного значения, например 1 часа (3600) или 30 минут (1800). Выбранное значение зависит от интервала опроса, состояния сети и внешнего источника времени.
По умолчанию значение MaxNegPhaseCorrection составляет 48 часов в Windows Server 2008 R2 или более поздней части.

Закройте редактор реестра.

В командной подсказке введите следующую команду для перезапуска службы Времени Windows и нажмите кнопку Ввод:

Устранение неполадок

Чтобы служба Времени Windows функционировала правильно, инфраструктура сети должна функционировать правильно. Наиболее распространенные проблемы, влияющие на службу Времени Windows, включают следующие:

• Существует проблема с подключением TCP/IP, например с мертвым шлюзом.
• Служба разрешения имен работает неправильно.
• В сети возникают большие задержки громкости, особенно если синхронизация происходит по ссылкам широкой сети WAN с высокой задержкой.
• Служба Времени Windows пытается синхронизироваться с неточными источниками времени.

Рекомендуется использовать Netdiag.exe для устранения проблем, связанных с сетью. Netdiag.exe входит в пакет средств поддержки Windows Server 2003. Полный список параметров командной строки, которые можно использовать с помощью Netdiag.exe. Если проблема еще не решена, можно включить журнал отлажки службы Windows Time. Так как журнал отключки может содержать очень подробные сведения, рекомендуется обращаться в службы поддержки клиентов Майкрософт при включив журнал отработки отработки службы Windows Time.

В особых случаях плата, которая обычно взимается за вызовы поддержки, может быть отменена, если специалист службы поддержки Майкрософт решит проблему с определенным обновлением. Обычные расходы на поддержку будут применяться к дополнительным вопросам и вопросам поддержки, которые не отвечают требованиям для конкретного обновления.

Дополнительные сведения

Windows Server включает W32Time — средство службы времени, которое требуется протоколом проверки подлинности Kerberos. Служба Windows Time позволяет использовать общее время для всех компьютеров в организации, которая работает с операционной системой Microsoft Windows 2000 Server или более поздними версиями.

Для обеспечения надлежащего общего использования времени служба Времени Windows использует иерархические отношения, контролирующие полномочия, а служба времени Windows не позволяет использовать циклы. По умолчанию компьютеры на базе Windows используют следующую иерархию:

• Все клиентские настольные компьютеры назначают контроллер домена проверки подлинности в качестве своего связанного партнера по времени.
• Все серверы-члены следуют одному и том же процессу, что и клиентские настольные компьютеры.
• Все контроллеры домена в домене назначают основного мастера операций контроллера домена (PDC) в качестве своего связанного партнера по времени.
• Все мастера операций PDC следуют иерархии доменов при выборе своего связанного партнера по времени.

В этой иерархии мастер операций PDC в корне леса становится авторитетным для организации. Настоятельно рекомендуется настроить авторитетный сервер времени для получения времени из аппаратного источника. При настройке авторитетного сервера времени для синхронизации с источником времени в Интернете проверка подлинности не происходит. Мы также рекомендуем уменьшить параметры коррекции времени для серверов и автономных клиентов. Эти рекомендации обеспечивают большую точность и безопасность вашего домена.

Ссылки

Дополнительные сведения о службе Windows Time см. в этой версии:

Дополнительные сведения о службе времени Windows см. в см. в w32Time.

Технический справочник по службе времени Windows Windows Time Service Technical Reference

Применяется к: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows 10 или более поздних версий Applies to: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows 10 or later

Служба времени W32Time обеспечивает синхронизацию сетевых часов для компьютеров без необходимости в расширенной конфигурации. The W32Time service provides network clock synchronization for computers without the need for extensive configuration. Служба W32Time необходима для успешной работы проверки подлинности Kerberos версии 5 и, следовательно, для проверки подлинности на основе AD DS. The W32Time service is essential to the successful operation of Kerberos V5 authentication and, therefore, to AD DS-based authentication. Любое приложение, поддерживающее Kerberos, включая большинство служб безопасности, зависит от синхронизации времени между компьютерами, участвующими в запросе проверки подлинности. Any Kerberos-aware application, including most security services, relies on time synchronization between the computers that are participating in the authentication request. Контроллеры доменов AD DS также должны иметь синхронизированные часы, чтобы обеспечивать точную репликацию данных. AD DS domain controllers must also have synchronized clocks to help to ensure accurate data replication.

В Windows Server 2003 и Microsoft Windows 2000 Server служба каталогов называется «служба каталогов Active Directory» In Windows Server 2003 and Microsoft Windows 2000 Server, the directory service is named Active Directory directory service. В Windows Server 2008 и Windows Server 2008 R2 служба каталогов называется «доменные службы Active Directory» (AD DS). In Windows Server 2008 R2 and Windows Server 2008 , the directory service is named Active Directory Domain Services (AD DS). Остальная часть этой статьи относится к AD DS, но эти сведения применимы также и к доменным службам Active Directory в Windows Server 2016. The rest of this topic refers to AD DS, but the information is also applicable to Active Directory Domain Services in Windows Server 2016.

Служба W32Time реализована в библиотеке динамической компоновки с именем W32Time.dll, которая по умолчанию устанавливается в папку %Systemroot%\System32. The W32Time service is implemented in a dynamic link library called W32Time.dll, which is installed by default in %Systemroot%\System32. Служба W32Time.dll изначально разрабатывалась для Windows 2000 Server и поддержки спецификации протоколом проверки подлинности Kerberos версии 5, требующей синхронизации в сети. W32Time.dll was originally developed for Windows 2000 Server to support a specification by the Kerberos V5 authentication protocol that required clocks on a network to be synchronized. Начиная с Windows Server 2003, Служба W32Time.dll обеспечивает более высокую точность синхронизации часов в сети по сравнению с операционной системой Windows Server 2000. Starting with Windows Server 2003, W32Time.dll provided increased accuracy in network clock synchronization over the Windows Server 2000 operating system. Кроме того, в Windows Server 2003 служба W32Time.dll поддерживала широкий набор аппаратных устройств и протоколов сетевого времени через поставщики времени. Additionally, in Windows Server 2003, W32Time.dll supported a variety of hardware devices and network time protocols using time providers.

Несмотря на то, что изначально планировалось предоставлять синхронизацию часов только для проверки подлинности Kerberos, многие текущие приложения используют метки времени для обеспечения согласованности транзакций, записи времени важных событий и другой критически важной для бизнеса информации, которая зависит от времени. Although originally designed to provide clock synchronization for Kerberos authentication, many current applications use timestamps to ensure transactional consistency, record the time of important events, and other business-critical, time-sensitive information. Эти приложения получают преимущества от синхронизации времени между компьютерами, предоставляемыми службой времени Windows. These applications benefit from time synchronization between computers that are provided by the Windows Time service.

Важность протоколов времени Importance of Time Protocols

Протоколы времени взаимодействуют между двумя компьютерами для обмена сведениями о времени, а затем используют эти сведения для синхронизации часов. Time protocols communicate between two computers to exchange time information and then use that information to synchronize their clocks. При использовании протокола времени службы времени Windows клиент запрашивает сведения о времени с сервера и синхронизирует свои часы на основе полученных данных. With the Windows Time service time protocol, a client requests time information from a server and synchronizes its clock based on the information that is received.

Служба времени Windows использует протокол NTP для синхронизации времени по сети. The Windows Time service uses NTP to help synchronize time across a network. NTP — это протокол времени в Интернете, включающий алгоритмы правил работы, необходимые для синхронизации часов. NTP is an Internet time protocol that includes the discipline algorithms necessary for synchronizing clocks. NTP является более точным протоколом времени, чем Simple Network Time Protocol (SNTP), который используется в некоторых версиях Windows; однако W32Time продолжает поддерживать SNTP для обратной совместимости с компьютерами, на которых работают службы времени на основе SNTP, такие как Windows 2000. NTP is a more accurate time protocol than the Simple Network Time Protocol (SNTP) that is used in some versions of Windows; however, W32Time continues to support SNTP to enable backward compatibility with computers running SNTP-based time services such as Windows 2000.

Поиск сведений, связанных с настройкой службы времени Windows Where to find Windows Time service configuration-related information

В этом руководстве не затрагивается настройка службы времени Windows. This guide does not discuss configuring the Windows Time service. В Microsoft TechNet и в базе знаний Майкрософт есть несколько разделов, которые описывают процедуры настройки службы времени Windows. There are several different topics on Microsoft TechNet and in the Microsoft Knowledge Base that do explain procedures for configuring the Windows Time service. Если вам требуется информация о конфигурации, вы сможете найти ее в следующих статьях. If you require configuration information, the following topics should help you locate the appropriate information.

Сведения о том, как настроить службу времени Windows для эмулятора основного контроллера домена в корне леса, см. в этих статьях: To configure the Windows Time service for the forest root primary domain controller (PDC) emulator, see:

Статья 816042 базы знаний Майкрософт Как настроить полномочный сервер времени в операционной системе Windows Server, в которой описаны параметры конфигурации для компьютеров под управлением Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 и Windows Server 2003 R2. Microsoft Knowledge Base article 816042, How to configure an authoritative time server in Windows Server, which describes configuration settings for computers running Windows Server 2008 R2, Windows Server 2008, Windows Server 2003, and Windows Server 2003 R2.

Сведения о настройке службы времени Windows на любом клиенте- или сервере-члене домена или даже на контроллерах домена, которые не настроены в качестве эмулятора основного контроллера в корне леса, см. в этой статье. To configure the Windows Time service on any domain member client or server, or even domain controllers that are not configured as the forest root PDC emulator, see Configure a client computer for automatic domain time synchronization.

Некоторые приложения могут требовать наличия высокоточных служб времени на компьютерах, где они работают. Some applications may require their computers to have high-accuracy time services. В этом случае вы можете настроить источник времени, задаваемый вручную, но имейте в виду, что служба времени Windows не предназначена для работы в качестве источника с высокой точностью времени. If that is the case, you may choose to configure a manual time source, but be aware that the Windows Time service was not designed to function as a highly accurate time source. Убедитесь, что вы знаете об ограничениях поддержки для сред высокой точности, описанных в статье 939322 базы знаний Майкрософт: Support boundary for high-accuracy time (Граница области поддержки для высокоточного времени). Ensure that you are aware of the support limitations for high-accuracy time environments as described in Microsoft Knowledge Base article 939322, Support boundary to configure the Windows Time service for high-accuracy environments.

Чтобы настроить службу времени Windows на всех клиентских и серверных компьютерах под управлением Windows, которые настроены как члены рабочей группы, а не члены домена, см. статью Configure a Manual Time Source for a Selected Client Computer (Настройка источника времени вручную для выбранного клиентского компьютера). To configure the Windows Time service on any Windows-based client or server computers that are configured as workgroup members instead of domain members see Configure a manual time source for a selected client computer.

Сведения о настройке службы времени Windows на главном компьютере, на котором выполняется виртуальная среда, см. в статье 816042 базы знаний Майкрософт Как настроить полномочный сервер времени в операционной системе Windows Server. To configure the Windows Time service on a host computer that runs a virtual environment, see Microsoft Knowledge Base article 816042, How to configure an authoritative time server in Windows Server. Если вы работаете с продуктом виртуализации не от Майкрософт, обязательно ознакомьтесь с документацией поставщика для этого продукта. If you are working with a non-Microsoft virtualization product, be sure to consult the documentation of the vendor for that product.

Чтобы настроить службу времени Windows на контроллере домена, работающем в виртуальной машине, мы рекомендуем частично отключить синхронизацию времени между хост-системой и гостевой операционной системой, выполняющей роль контроллера домена. To configure the Windows Time service on a domain controller that is running in a virtual machine, it is recommended that you partially disable time synchronization between the host system and guest operating system acting as a domain controller. Это позволяет гостевому контроллеру домена синхронизировать время для иерархии домена, но предохраняет его от отклонения во времени при восстановлении из сохраненного состояния. This enables your guest domain controller to synchronize time for the domain hierarchy, but protects it from having a time skew if it is restored from a Saved state. Дополнительные сведения см. в статье 976924 базы знаний Майкрософт You receive Windows Time Service event IDs 24, 29, and 38 on a virtualized domain controller that is running on a Windows Server 2008-based host server with Hyper-V (Вы получаете события с кодами 24, 29 или 38 от службы времени Windows на виртуализированном контроллере домена, который выполняется на сервере узла под управлением Windows Server 2008 с Hyper-V) и статье Deployment Considerations for Virtualized Domain Controllers (Рекомендации по развертыванию виртуализованных контроллеров домена). For more information, see Microsoft Knowledge Base article 976924, You receive Windows Time Service event IDs 24, 29, and 38 on a virtualized domain controller that is running on a Windows Server 2008-based host server with Hyper-V and Deployment Considerations for Virtualized Domain Controllers.

Чтобы настроить службу времени Windows на контроллере домена, работающем в качестве эмулятора основного котроллера в корне леса, который также работает на виртуальном компьютере, следуйте тем же инструкциям, что и для физического компьютера, как описано в статье Configure the Windows Time service on the PDC emulator in the Forest Root Domain (Настройка службы времени Windows для эмулятора основного контроллера домена в корневом домене леса). To configure the Windows Time service on a domain controller acting as the forest root PDC emulator that is also running in a virtual computer, follow the same instructions for a physical computer as described in Configure the Windows Time service on the PDC emulator in the Forest Root Domain.

Чтобы настроить службу времени Windows на рядовом сервере, работающем как виртуальный компьютер, используйте иерархию времени домена, как описано в статье Configure a Client Computer for Automatic Domain Time Synchronization (Настройка клиентского компьютера для автоматической синхронизации времени домена). To configure the Windows Time service on a member server running as a virtual computer, use the domain time hierarchy as described in Configure a client computer for automatic domain time synchronization.

До Windows Server 2016 служба W32Time не предназначалась для поддержки зависящих от времени потребностей приложений. Prior to Windows Server 2016, the W32Time service was not designed to meet time-sensitive application needs. Не теперь обновления Windows Server 2016 позволяют реализовать в домене решение с точностью 1 мс. However, updates to Windows Server 2016 now allow you to implement a solution for 1ms accuracy in your domain. Дополнительные сведения см. в статьях Accurate Time for Windows Server 2016 (Точное время для Windows Server 2016) и Support boundary for high-accuracy time (Граница области поддержки для сверхточного времени) For more information about, see Windows 2016 Accurate Time and Support boundary to configure the Windows Time service for high-accuracy environments for more information.