Windows Server 2008 中的 Windows 时间服务和产生的 Inter...

Windows Server 2008 中的 Windows 时间服务和产生的 Internet 通信

更新时间: 2009年2月

应用到: Windows Server 2008

本节内容

Windows 时间服务的优点和用途

概述：在托管环境中使用 Windows 时间服务

Windows 时间服务如何与 Internet 上的站点进行通信

控制 Windows 时间服务以限制与 Internet 之间的信息流

Windows 时间服务的配置设置

配置 Windows 时间服务的过程

对无法与时间服务器同步的计算机进行疑难解答

其他参考

Windows 时间服务的优点和用途

Windows Server 2008 中的许多功能需要依靠准确且同步的时间才能正常工作。例如，如果所有计算机上的时钟都未与正确的时间同步，则 Windows Server 2008 身份验证可能错误地将登录请求解释为入侵尝试并拒绝登录用户的访问。

通过时间同步，可以将企业中不同计算机上的事件进行关联。通过同步所有计算机上的时钟，可确保能够正确分析在多台计算机上按顺序发生的事件。Windows 时间服务可自动将本地计算机的时间与网络上的其他计算机同步，以提高组织的安全性和性能。

概述：在托管环境中使用 Windows 时间服务

计算机按其内部时钟确定时间，这使得计算机能够执行需要日期或时间的所有功能。但是，为了进行计划，必须将时钟设置为正确的日期和时间，且必须与网络上的其他时钟同步。没有其他合适的方法，只能手动设置这些时钟。

通过时间同步，计算机可以自动将其时钟设置为与其他计算机的时钟匹配。一台计算机维持非常准确的时间，然后其他所有计算机都将其时钟设置为与该计算机匹配。这样，就可以为所有计算机设置准确的时间。

Windows 时间服务默认安装在运行 Windows Server 2003 和 Windows Server 2008 的所有计算机上。Windows 时间服务使用独立于时区的协调世界时 (UTC)。时区信息存储在每台计算机的注册表中，且在向用户或管理员显示之前被添加到系统时间。

默认情况下，Windows 时间服务会在运行 Windows Server 2008 的计算机上自动启动。在域中，系统启动过程中 Windows 时间服务启动时会进行时间同步，且在系统运行期间会定期进行时间同步。在默认配置中，网络登录服务将查找可以对客户端进行身份验证和与客户端同步时间的域控制器。找到域控制器后，客户端会发送时间请求并等候域控制器的回复。此通信交换了网络时间协议 (NTP) 数据包，该数据包用于计算两台计算机之间的时间偏移以及往返时间延迟。

Windows 时间服务如何与 Internet 上的站点进行通信

在 Windows Server 2008 中，Windows 时间服务会自动将本地计算机的时间与网络上其他计算机的时间同步。此同步的时间源会发生变化，具体取决于计算机是加入到域还是工作组。

当运行 Windows Server 2008 的计算机是工作组的一部分时

在工作组中，时间同步频率的默认设置为“每周一次”，且此默认设置将 time.windows.com 站点作为受信任的时间同步源。在进行手动设置前将保持此设置。也可以选择一台或多台计算机作为本地可靠的时间源，并在这些计算机上配置 Windows 时间服务，使其使用已知的正确时间源（特殊硬件或可从 Internet 上获得的时间源）。可以手动将所有其他工作组中的计算机配置为与这些本地时间源同步时间。

当运行 Windows Server 2008 的计算机是域的成员时

在域中，Windows 时间服务会使用域控制器上可用的 Windows 时间服务自动进行自我配置。

可以将域控制器上的 Windows 时间服务配置为可靠或不可靠的时间源。默认情况下，运行 Windows Server 2008 的计算机上的 Windows 时间服务会尝试将其时间源与指定为可靠的服务器同步。

Windows 时间服务与 Internet 之间的通信

下表描述了往来于 Internet 之间的各方面 Windows 时间服务数据以及进行信息交换的方式。

• 发送或接收的特定信息：该服务以网络时间协议 (NTP) 数据包的形式发送信息。有关 Windows 时间服务和 NTP 数据包的详细信息，请参阅本节后面部分中的其他参考中列出的参考。
  
  
• 默认设置：有关默认设置的描述，请参阅本节前面部分中的“当运行 Windows Server 2008 的计算机是工作组的一部分时”或“当运行 Windows Server 2008 的计算机是域的成员时”部分。
  
  
• 触发器和用户通知：计算机启动时 Windows 时间服务也随之启动。此外，该服务还将持续与指定的网络时间源同步时间，并在必要时调整本地计算机的时间。不会向使用该计算机的用户发送通知。
  
  
• 日志记录：与此服务相关的信息存储在 Windows 系统事件日志中。时间同步源的时间和网络地址包含在 Windows 事件日志条目中。此外，与该服务有关的警告或错误情况的信息存储在 Windows 系统事件日志中。
  
  
• 加密：在域对等机的网络时间同步中不使用加密。（但却使用了身份验证。）
  
  
• 信息存储：该服务不存储信息。时间同步服务请求完成后，时间同步进程生成的所有信息都将消失。
  
  
• 端口：NTP 在时间服务器上使用用户数据报协议 (UDP) 端口 123。如果此端口没有对 Internet 打开，则无法将您的服务器与 Internet NTP 服务器同步。
  
  
• 协议：Windows Server 2008 上的服务会实现 NTP 以与网络上的其他计算机通信。
  
  
• 禁用功能：建议不要禁用此服务，否则会对应用程序或其他设备造成间接影响。如果计算机之间的时间差异很大，则基于时间同步的应用程序和服务（如 Kerberos V5 身份验证协议）可能失败，或可能产生意外的结果。因为大多数计算机基于硬件的时钟不准确，网络上计算机时钟的差异通常会随时间而增大。
  
  

控制 Windows 时间服务以限制与 Internet 之间的信息流

组策略可以用于为运行 Windows Server 2008 的计算机控制 Windows 时间服务，以限制与 Internet 之间的信息流。

可以通过组策略管理和控制同步类型以及 NTP 时间服务器信息。Windows 时间服务组策略对象 (GPO) 包含指定同步类型的配置设置。同步类型设置为 Nt5DS 时，Windows 时间服务会将其时间源与网络域控制器同步。另外，将类型属性设置为 NTP 可以将 Windows 时间服务配置为与域名系统 (DNS) 名称或 IP 地址指定的 NTP 时间服务器同步。

可以将托管网络上的客户端配置为将计算机时钟设置同步到网络上的 NTP 服务器，以将与 Internet 之间的流量降至最低并确保客户端同步到一个可靠的时间源。还可以（但不推荐）使用组策略对运行 Windows Server 2008 的计算机禁用时间同步。有关详细信息，请参阅本节后面部分中的配置 Windows 时间服务的过程。

Windows 时间服务如何影响用户和应用程序

很多 Windows 功能和服务都依赖于时间同步。例如，Windows Server 2003 域上的 Kerberos V5 身份验证协议的默认时间同步阈值为五分钟。该域上超过五分钟没有进行同步的计算机将无法使用 Kerberos 协议进行身份验证。该时间值也可以配置为较大或较小的阈值。无法使用 Kerberos 协议进行身份验证会阻止登录和访问域中的网站、文件共享、打印机，以及其他资源或服务。

确定本地时钟偏移后，可以采取以下措施调整时间：

• 如果客户端的本地时钟时间与服务器上的时间差异大于阈值，Windows 时间服务将立即更改本地时钟时间。如果计算机属于域，则阈值为五分钟。如果计算机属于工作组，则阈值为一秒。但是，如果计算机属于工作组，且其时间与时间源相差超过 15 个小时，则如此列表后面所述，该时间将不会同步。
  
  
• 如果客户端的本地时钟时间与服务器相差小于阈值，则该服务将逐步使客户端与正确的时间同步。
  
  
• 在工作组中，如果客户端的本地时钟时间与时间源的时间相差大于 15 个小时，则运行 Windows 时间服务并使用默认设置的工作站将不会与时间源同步。此类情况非常少见，且通常是由于配置设置错误引起的。例如，如果用户将计算机上的日期设置错误，则时间也不会同步。在这些情况下，通常时间会相差一天或更多时间。请务必检查计算机的日历并确保设置了正确的日期。
  
  

Windows 时间服务的配置设置

可以使用组策略为 Windows 时间服务设置全局配置设置。本小节将介绍可能与 Windows 时间服务和 Internet 之间的通信有关的设置。

计算机在域中时，在“策略”下的“计算机配置”（如果显示）中的“管理模板\系统\Windows 时间服务\全局配置设置”下，在某些情况下，只有一个设置可能会影响 Windows 时间服务的通信方式。该设置是 AnnounceFlags，它控制此计算机是否标记为可靠的时间服务器。除非同时将计算机标记为时间服务器，否则该计算机不会被标记为可靠时间服务器。这些设置如下：

• 0  不作为时间服务器
  
  
• 1  始终为时间服务器
  
  
• 2  自动为时间服务器，意味着由 Windows 时间服务来决定角色
  
  
• 4  始终为可靠时间服务器
  
  
• 8  自动为可靠时间服务器，意味着由 Windows 时间服务来决定角色
  
  

默认设置为 10，意味着由 Windows 时间服务决定角色。

在“策略”下“计算机配置”（如果显示）中的“管理模板\系统\Windows 时间服务\时间提供程序\配置 Windows NTP 客户端”下的组策略设置中，有许多设置可能影响 Windows 时间服务跨 Internet 进行通信的方式。下表描述了其中一些策略设置。

备注
此表列出了最直接影响 Windows 时间服务与时间源通信方式的设置，但并未列出所有设置。例如，表中未列出指定 Windows 时间服务 DLL 位置的设置，也未列出控制 Windows 时间服务的事件日志记录的设置。

为运行 Windows Server 2008 的计算机配置 Windows 时间服务 NTP 客户端所选定的组策略设置

设置名称和效果	默认设置
NtpServer：建立一个由空格分隔的对等计算机列表，计算机可以从中获取每行由一个或多个 DNS 名称或 IP 地址构成的时间戳。连接到域的计算机必须与更加可靠的时间源同步，如美国官方时钟。仅当“类型”设置为 NTP 或 AllSync 时才使用此设置。 0x01 SpecialInterval 0x02 UseAsFallbackOnly 0x04 SymmetricActive 0x08 客户端模式中的 NTP 请求	time.windows.com，0x1
“类型”：指出以下内容中接受同步的对等计算机： NoSync。时间服务不与其他源同步。 NTP。时间服务与 NtpServer 注册表项中指定的服务器同步。 NT5DS。时间服务与域层次结构同步。 AllSync。时间服务使用所有可用的同步机制。	工作组：NTP 域：NT5DS
CrossSiteSyncFlags：确定此服务是否选择计算机所属域外的同步合作伙伴。 无      0 PdcOnly  1 全部          2 如果没有设置 NT5DS 值，则将忽略此值。	2
ResolvePeerBackoffMinutes：指定在尝试查找要同步的对等计算机前等待的初始间隔（以分钟为单位）。如果 Windows 时间服务无法成功与时间源同步，该服务将使用 ResolvePeerBackoffMinutes 和 ResolvePeerBackoffMaxTimes 中指定的设置继续重试。	15
ResolvePeerBackoffMaxTimes：指定在重复尝试查找要同步的对等计算机失败时加倍等待间隔的最大次数。值为 0 意味着等待间隔始终为 ResolvePeerBackoffMinutes 中的初始间隔。	7
SpecialPollInterval：对已经手动配置的对等计算机指定特殊轮询间隔（以秒为单位）。启用特殊轮询后，Windows 时间服务将使用此轮询间隔代替由内置于 Windows 时间服务的同步算法所确定的动态间隔。	工作组：604800 604800 域：3600 3600

有关组策略信息的其他资源，请参阅附录 B：可用于了解有关 Windows Server 2008 组策略的资源。

配置 Windows 时间服务的过程

以下过程说明了如何设置组策略中可用的一些 Windows 时间服务配置设置。有关 Windows 时间服务的其他组策略设置的详细信息，请参阅本节中前面的表格。

设置 Windows 时间服务全局配置设置的组策略的步骤

1. 请根据需要参阅附录 B：可用于了解有关 Windows Server 2008 组策略的资源，然后编辑相应的组策略对象 (GPO)。
   
   
2. 依次展开“计算机配置”、“策略”（如果显示）、“管理模板”、“系统”，然后单击“Windows 时间服务”。
   
   
3. 在详细信息窗格中，双击“全局配置设置”，然后单击“已启用”。
   
   
4. 配置这些设置。
   
   

将组策略设置配置为阻止运行 Windows Server 2008 的计算机与 NTP 服务器同步其计算机时钟的步骤

1. 请根据需要参阅附录 B：可用于了解有关 Windows Server 2008 组策略的资源，然后编辑相应的 GPO。
   
   
2. 依次展开“计算机配置”、“策略”（如果显示）、“管理模板”、“系统”、“Windows 时间服务”，然后单击“时间提供程序”。
   
   
3. 在详细信息窗格中，双击“启用 Windows NTP 客户端”，然后选择“已禁用”。
   
   

将组策略设置配置为阻止运行 Windows Server 2008 的计算机处理来自网络上其他计算机的时间同步请求的步骤

1. 请根据需要参阅附录 B：可用于了解有关 Windows Server 2008 组策略的资源，然后编辑相应的 GPO。
   
   
2. 依次展开“计算机配置”、“策略”（如果显示）、“管理模板”、“系统”、“Windows 时间服务”，然后单击“时间提供程序”。
   
   
3. 在详细信息窗格中，双击“启用 Windows NTP 服务器”，然后选择“已禁用”。
   
   

启动和停止 Windows 时间服务

默认情况下，Windows 时间服务会在系统启动时自动启动。但是，您可以通过在“管理工具”中访问服务或使用 net 命令来手动启动或停止该服务。

使用图形界面手动启动或停止 Windows 时间服务的步骤

1. 单击「开始」，然后单击“控制面板”，也可以先指向“设置”，再单击“控制面板”。
   
   
2. 双击“管理工具”，然后双击“服务”。
   
   
3. 如果出现“用户帐户控制”对话框，请确认所显示的是您要执行的操作，然后单击“继续”。
   
   
4. 右键单击“Windows 时间”，然后单击要执行的操作（“启动”或“停止”）。
   
   

使用 net 命令手动启动或停止 Windows 时间服务的步骤

1. 若要以管理员身份打开命令提示符，请依次单击「开始」、“所有程序”和“附件”，再右键单击“命令提示符”，然后单击“以管理员身份运行”。
   
   
2. 如果出现“用户帐户控制”对话框，请确认所显示的是您要执行的操作，然后单击“继续”。
   
   
3. 在命令提示符下，键入相应命令，然后按 Enter。
   
   
   • 若要启动该服务，请键入：
     
     net start w32time
     
     
   • 若要停止该服务，请键入：
     
     net stop w32time
     
     

使计算机与时间源同步

通过以下过程使内部时间服务器与外部时间源同步并使客户端时间与时间服务器同步。

若要查看 W32tm 的完整语法，请在命令提示符下键入：

w32tm /?

使内部时间服务器与外部时间源同步的步骤

1. 若要以管理员身份打开命令提示符，请依次单击「开始」、“所有程序”和“附件”，再右键单击“命令提示符”，然后单击“以管理员身份运行”。
   
   
2. 如果出现“用户帐户控制”对话框，请确认所显示的是您要执行的操作，然后单击“继续”。
   
   
3. 在命令提示符下键入以下命令（其中，PeerList 是以逗号分隔的域名系统 (DNS) 名称或所需时间源的 Internet 协议 (IP) 地址列表）：
   
   w32tm /config /syncfromflags:manual /manualpeerlist:PeerList
   备注：NTP服务器是210.72.145.44是中国国家授时中心（NIST）的Ip地址。  注意，如果你打算和外部的时间来源进行同步，比如NIST,你就不能启用Windows NTP Client或是Windows NTP Server.使用外部时间来源时，你可能还要打开一些防火墙端口。Windows服务器为时间协议运用UDP端口123,它在默认情况下就该打开。但如果你想要使用NIST,你还要打开TCP端口13,TCP端口37和UDP端口37.
   
   然后按 Enter。
   
   

1. 键入 w32tm /config /update，然后按 Enter。
   
   

   备注
   此过程最常用于内部网络的权威时间源与精确的外部时间源同步。此过程可以在运行 Windows 2000、Windows XP、Windows Server 2003、Windows Vista 或 Windows Server 2008 的所有计算机上运行。如果计算机无法搜索服务器，则该过程失败，且会向 Windows 系统事件日志中写入一个条目。

   W32tm 命令行工具可用于诊断 Windows 时间服务可能出现的问题。如果要使用域控制器上的工具，必须停止此服务。在域控制器上同时运行此工具和 Windows 时间服务会生成错误，因为它们都尝试使用同一个 UDP 端口。使用完 W32tm 命令行工具之后，必须重新启动该服务。
   
   

同步客户端时间和时间服务器的步骤

1. 若要以管理员身份打开命令提示符，请依次单击「开始」、“所有程序”和“附件”，再右键单击“命令提示符”，然后单击“以管理员身份运行”。
   
   
2. 如果出现“用户帐户控制”对话框，请确认所显示的是您要执行的操作，然后单击“继续”。
   
   
3. 在命令提示符下，键入 w32tm /resync，然后按 Enter。
   
   

   备注
   此过程仅适用于已加入域的计算机。

对无法与时间服务器同步的计算机进行疑难解答

在许多情况下，Windows 时间服务出现的问题可归因于网络配置问题。如果网络配置不正确，计算机可能无法来回发送时间示例，因此无法进行同步。查看 NTP 数据包的内容可以帮助您准确判断数据包在网络上被阻止的位置。还可以使用 W32tm 命令行工具来帮助解决此问题以及与 Windows 时间服务相关的其他类型错误。

默认情况下，如果运行 Windows 时间服务的独立工作站时间偏差超过 15 个小时，则该工作站将不会与时间源同步。有关可能发生此问题的情况的信息，请参阅本节前面部分中的“Windows 时间服务如何影响用户和应用程序”。

若要查看 W32tm 的完整语法，请在命令提示符下键入：

w32tm /?

重新同步客户端时间和时间服务器的步骤

1. 若要以管理员身份打开命令提示符，请依次单击「开始」、“所有程序”和“附件”，再右键单击“命令提示符”，然后单击“以管理员身份运行”。
   
   
2. 如果出现“用户帐户控制”对话框，请确认所显示的是您要执行的操作，然后单击“继续”。
   
   
3. 在命令提示符下，键入 w32tm /resync /rediscover，然后按 Enter。
   
   

   备注
   运行上述命令时，时间服务会重新检测网络配置并重新发现网络资源，从而导致重新同步。此重新发现过程仅适用于已加入域的计算机。然后可以查看事件日志，了解有关时间服务无法同步的原因的详细信息。

其他参考

• 有关配置 Windows 时间服务的详细信息，请参阅以下 Microsoft 网站：
  
  http://go.microsoft.com/fwlink/?LinkId=106708（可能为英文网页）
  
  
• 有关 Windows 时间服务工作方式的信息，请参阅以下 Microsoft 网站：
  
  http://go.microsoft.com/fwlink/?LinkId=106709（可能为英文网页）