如何讓主控制域與NTP時間同步伺服器通訊起來

如何讓主控制域與NTP時間同步伺服器通訊起來

如何讓主控制域與NTP時間同步伺服器通訊起來

重要說明：本文包含有關如何修改登錄檔的資訊。修改登錄檔之前，一定要先進行備份，並且一定要知道在發生問題時如何還原登錄檔。有關如何備份、還原和修改登錄檔的更多資訊，請單擊下面的文章編號，以檢視 Microsoft 知識庫中相應的文章：

簡介

Windows 包含 W32Time ，它是 Kerberos 身份驗證協議所需的時間服務工具。Windows 時間服務的目的是確保組織中執行 Microsoft Windows 2000 或更高版本的所有計算機都使用同一個時間。

 

為確保合理地使用公共時間，Windows 時間服務使用層級關係來控制授權，並且不允許出現迴圈。預設情況下，基於 Windows 的計算機使用下面的層級： •  所有客戶端桌面計算機都提名身份驗證域控制器作為其入站時間夥伴。

•   所有成員伺服器都遵循與客戶端桌面計算機相同的過程。

•   域中的所有域控制器都提名主域控制器 (PDC) 操作主機作為其入站時間夥伴。

•   所有 PDC 操作主機都遵循域的層級來選擇其入站時間夥伴。

 

在此層級中，位於林根的 PDC 操作主機成為組織的權威時間伺服器。我們極力建議您將權威時間伺服器配置為從硬體源收集時間。當您將權威時間伺服器配置為與 Internet 時間源同步時，不會有任何身份驗證。我們還建議您降低伺服器和獨立客戶端的時間校準設定。這些建議可以為您的域提供更準確的時間和更高的安全性。

配置 Windows 時間服務以使用內部硬體時鐘

警告：如果使用登錄檔編輯器或其他方法錯誤地修改了登錄檔，可能導致嚴重問題。這些問題可能需要重新安裝作業系統才能解決。Microsoft 不能保證您可以解決這些問題。修改登錄檔需要您自擔風險。

 

要將 PDC 主機配置為不使用外部時間源，請更改 PDC 主機上的公告標誌。PDC 主機是存放域的林根 PDC 主機角色的伺服器。這種配置會強制 PDC 主機將它自身宣佈為可靠的時間源，從而使用內建的互補金氧半導體 (CMOS) 時鐘。要將 PDC 主機配置為使用內部硬體時鐘，請按照下列步驟操作：1.       單擊“開始”，單擊“執行”，鍵入 regedit ，然後單擊“確定”。

2.    找到並單擊下面的登錄檔子項：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags

3.    在右窗格中，右鍵單擊“AnnounceFlags” ，然後單擊“修改”。

4.    在“編輯 DWORD 值”的“數值資料”框中鍵入 A ，然後單擊“確定”。

5.    退出登錄檔編輯器。

6.    在命令提示符處，鍵入以下命令以重新啟動 Windows 時間服務，然後按 Enter ：

net stop w32time && net start w32time

 

注意：決不能將 PDC 主機配置為與它自身同步。如果 PDC 主機配置為與它自身同步，應用程式日誌中將記錄以下事件：

 

時間提供程式 NtpClient 不能訪問，或當前正在從 192.168.1.1 (ntp.m|0x0|192.168.1.1:123->192.168.1.1:123) 接收無效的時間資料。

 

在嘗試聯絡它 8 次以後，沒有收到來自手動對等端 192.168.1.1 的響應。此對等端將不再被作為時間源，同時 NtpClient 將嘗試發現一個新的對等端以與其同步。

 

時間提供程式 NtpClient 被配置為從一個或多個時間源獲得時間，但是當前這些源沒有一個是可以訪問的。在 960 分鐘內，不會進行聯絡時間源的嘗試。NtpClient 沒有一個能夠提供準確時間的時間源。

如果 PDC 主機在沒有使用外部時間源的情況下執行，應用程式日誌中會記錄以下事件：

 

時間提供程式 NtpClient ：此機器配置為用域層級確定它的時間源，但它已經是林的根目錄域的 PDC 模擬器，因此在域層級沒有機器在它上面以用作時間源。建議您在根域上配置一個可靠的時間服務，或者手動配置 PDC 與外部時間源同步。否則，此機器將作為域層級中的權威時間源。如果沒有為此計算機配置或使用外部時間源，您可以選擇禁用 NtpClient 。

這段文字是為了提醒您使用外部時間源；您可以忽略它。

配置 Windows 時間服務以使用外部時間源

要將內部時間伺服器配置為與外部時間源同步，請按照下列步驟操作：1.      將伺服器型別更改為 NTP 。為此，請按照下列步驟操作：  a.   單擊“開始”，單擊“執行”，鍵入 regedit ，然後單擊“確定”。

b.   找到並單擊下面的登錄檔子項：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type

c.   在右窗格中，右鍵單擊“Type” ，然後單擊“修改”。

d.   在“編輯值”的“數值資料”框中鍵入 NTP ，然後單擊“確定”。

 

2.    將 AnnounceFlags 設定為 5 。為此，請按照下列步驟操作：       a.   找到並單擊下面的登錄檔子項：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags

b.   在右窗格中，右鍵單擊“AnnounceFlags” ，然後單擊“修改”。

c.   在“編輯 DWORD 值”的“數值資料”框中鍵入 5 ，然後單擊“確定”。

 

3.    啟用 NTPServer 。為此，請按照下列步驟操作：       a.   找到並單擊下面的登錄檔子項：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer

b.   在右窗格中，右鍵單擊“Enabled” ，然後單擊“修改”。

c.   在“編輯 DWORD 值”的“數值資料”框中鍵入 1 ，然後單擊“確定”。

 

4.    指定時間源。為此，請按照下列步驟操作： a.   找到並單擊下面的登錄檔子項：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\NtpServer

b.   在右窗格中，右鍵單擊“NtpServer” ，然後單擊“修改”。

c.   在“編輯值”的“數值資料”框中鍵入 Peers ，然後單擊“確定”。

 

注意：Peers 是一個佔位符，應替換為您的計算機從中獲取時間戳的對等端列表（以空格分隔）。列出的每個 DNS 名稱都必須是唯一的。必須在每個 DNS 名稱後面附加 ,0x1 。如果不在每個 DNS 名稱後面附加 ,0x1 ，則在步驟 5 中所做的更改將不會生效。

 

5.    選擇輪詢間隔。為此，請按照下列步驟操作：    a.   找到並單擊下面的登錄檔子項：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\SpecialPollInterval

b.   在右窗格中，右鍵單擊“SpecialPollInterval” ，然後單擊“修改”。

c.   在“編輯 DWORD 值”的“數值資料”框中鍵入 TimeInSeconds ，然後單擊“確定”。

 

注意：TimeInSeconds 是一個佔位符，應替換為您希望各次輪詢之間的間隔秒數。建議值為 900 （十進位制）。該值將時間伺服器配置為每隔 15 分鐘輪詢一次。

 

6.    配置時間校準設定。為此，請按照下列步驟操作：   a.   找到並單擊下面的登錄檔子項：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxPosPhaseCorrection

b.   在右窗格中，右鍵單擊“MaxPosPhaseCorrection” ，然後單擊“修改”。

c.   在“編輯 DWORD 值”的“基數”框中單擊以選擇“十進位制”。

d.   在“編輯 DWORD 值”的“數值資料”框中鍵入 TimeInSeconds ，然後單擊“確定”。

 

注意：TimeInSeconds 是一個佔位符，應替換為適當的值，如 1 小時 (3600) 或 30 分鐘 (1800) 。您選擇的值將因輪詢間隔、網路狀況和外部時間源而異。

e.   找到並單擊下面的登錄檔子項：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxNegPhaseCorrection

f.    在右窗格中，右鍵單擊“MaxNegPhaseCorrection” ，然後單擊“修改”。

g.   在“編輯 DWORD 值”的“基數”框中單擊以選擇“十進位制”。

h.   在“編輯 DWORD 值”的“數值資料”框中鍵入 TimeInSeconds ，然後單擊“確定”。

 

注意：TimeInSeconds 是一個佔位符，應替換為適當的值，如 1 小時 (3600) 或 30 分鐘 (1800) 。您選擇的值將因輪詢間隔、網路狀況和外部時間源而異。

 

7.    退出登錄檔編輯器。

8.    在命令提示符處，鍵入以下命令以重新啟動 Windows 時間服務，然後按 Enter ：

net stop w32time && net start w32time

疑難解答

要使 Windows 時間服務能夠正常執行，網路基礎結構必須正常執行。影響 Windows 時間服務的最常見問題包括以下這些：•       TCP/IP 連線存在問題，如出現死閘道器。

•   名稱解析服務未正確執行。

•   網路出現高延遲，尤其是在透過高延遲的廣域網 (WAN) 連結進行同步時。

•   Windows 時間服務嘗試與不準確的時間源同步。

 

建議您使用 Netdiag.exe 實用工具解決與網路有關的問題。Netdiag.exe 是 Windows Server 2003 支援工具包的一部分。請參見工具的“幫助”，獲取您可以與 Netdiag.exe 一起使用的命令列引數的完整列表。如果問題仍未得到解決，您可以開啟 Windows 時間服務除錯日誌。由於除錯日誌可能包含非常詳細的資訊，建議您在開啟 Windows 時間服務除錯日誌後與 Microsoft 產品支援服務聯絡。

 

要獲取 Microsoft 產品支援服務電話號碼和支援費用資訊的完整列表，請訪問下面的 Microsoft 網站：

[LN];CNTACTMS

注意：特殊情況下，如果 Microsoft 支援專業人員確定某個特定的更新能夠解決您的問題，可免收通常情況下收取的電話支援服務費用。對於特定更新無法解決的其他支援問題和事項，將照常收取支援費用。

更多資訊

NTP 支援多個不同的資料包型別。通常，NTP 客戶端和簡單網路時間協議 (SNTP) 客戶端會將客戶端模式請求資料包傳送給 NTP 伺服器。NTP 伺服器用伺服器模式資料包進行響應。要配置 W32time 服務以將對稱活動模式資料包（不是客戶端模式資料包）傳送給 NTP 伺服器，請在命令提示符處鍵入以下命令：

w32tm /config /manualpeerlist:<server>,0x4 /syncfromflags:MANUAL

注意：使用 0x8 標誌強制 W32time 傳送普通的客戶端請求而不是對稱模式活動資料包。NTP 伺服器會照常答覆這些普通的客戶端請求。

可靠的時間源配置

被配置為可靠時間源的計算機會被標識為 Windows 時間服務的根。Windows 時間服務的根是域的權威伺服器，通常被配置為從外部 NTP 伺服器或硬體裝置檢索時間。您可以將一臺時間伺服器配置為可靠的時間源，以最佳化在整個域層級中傳輸時間的方式。如果將某個域控制器配置為可靠的時間源，Net Logon 服務將在該域控制器登入到網路時將其宣佈為可靠的時間源。當其他域控制器查詢要與之同步的時間源時，它們將首先選擇可靠的時間源（如果有）。

手動指定的同步

在使用手動指定的同步時，您可以指定計算機從中獲得時間的單個對等端或一個對等端列表。如果計算機不是域的成員，必須手動將其配置為與指定的時間源同步。預設情況下，屬於域成員的計算機會被配置為從域層級同步。手動指定的同步對域的林根或未加入域的計算機非常有用。當您手動指定外部 NTP 伺服器與域的權威計算機同步時，您就提供了可靠的時間。但是，為了向域提供高準確性和安全性，建議您將域的權威計算機配置為與硬體時鐘同步。

 

如果沒有硬體時間源，W32time 會被配置為 NTP 型別。您必須重新配置 MaxPosPhaseCorrection 和 MaxNegPhaseCorrection 這兩個登錄檔項。根據時間源、網路狀況和安全要求的不同，建議將該值設定為 15 分鐘或更低。該要求也適用於被配置為時間同步子網中的林根時間源的任何可靠的時間源。有關這兩個登錄檔項的更多資訊，請參見本文中的“Windows 時間服務登錄檔項”一節。

 

注意：除非為手動指定的時間源編寫特定的時間提供程式，否則它們不會經過身份驗證，因此這些時間源很容易受到攻擊。另外，如果計算機與手動指定的源同步，而不是與它的身份驗證域控制器同步，則這兩臺計算機可能不同步。這種情況會導致 Kerberos 身份驗證失敗，還會導致其他需要網路身份驗證的操作（如列印或檔案共享）失敗。只要將林根配置為與一個外部源同步，則林中的所有其他計算機就會彼此同步。 這種配置會使得重播攻擊很難發生。

所有可用的同步機制

“所有可用的同步機制”選項是最適合網路使用者的同步方法。這種方法可實現與域層級的同步，並且根據具體的配置，它還可以在域層級不可用時提供備用的時間源。如果客戶端無法與域層級同步時間，時間源將自動切換為“NtpServer” 設定指定的時間源。這種同步方法最有可能為客戶端提供準確的時間。

Windows 時間服務登錄檔項

以下注冊表項位於 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\ 下：登錄檔項    MaxPosPhaseCorrection

路徑 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config

注意：  該項指定服務可進行的最大正時間校準量（以秒為單位）。如果服務確定某個更改幅度大於所需的幅度，它將記錄一個事件。（0xFFFFFFFF 是一種特殊情況，它表示總是校準時間。）域成員的預設值是 0xFFFFFFFF 。獨立客戶端和伺服器的預設值是 54,000 ，即 15 小時。

登錄檔項     MaxNegPhaseCorrection

路徑 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config

注意：  該項指定服務可進行的最大負時間校準量（以秒為單位）。如果服務確定某個更改幅度大於所需的幅度，它將轉而記錄一個事件。（-1 是一種特殊情況，它表示總是校準時間。）域成員的預設值是 0xFFFFFFFF 。獨立客戶端和伺服器的預設值是 54,000 ，即 15 小時。

登錄檔項     MaxPollInterval

路徑 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config

注意：  該項指定系統輪詢間隔所允許的最大間隔（單位是對數表示的秒）。儘管系統必須根據預定的間隔進行輪詢，但是提供程式可以根據請求拒絕生成示例。域成員的預設值是 10 。獨立客戶端和伺服器的預設值是 15 。

登錄檔項     SpecialPollInterval

路徑 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient

注意：  該項指定手動對等端的特殊輪詢間隔（以秒為單位）。當啟用 SpecialInterval 0x1 標誌時，W32Time 將使用此輪詢間隔而非作業系統確定的輪詢間隔。域成員的預設值是 3,600 。獨立客戶端和伺服器的預設值是 604,800 。

登錄檔項     MaxAllowedPhaseOffset

路徑 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config

注意：  該項指定 W32Time 嘗試使用時鐘速率調整計算機時鐘的最大偏移量（以秒為單位）。當偏移量大於該速率時，W32Time 將直接設定計算機時鐘。域成員的預設值是 300 。獨立客戶端和伺服器的預設值是 1 。