Синхронізація часу

Налаштування повноважного сервера часу в операційній системі Windows Server


Служба часу Windows використовує ієрархічну структуру відносин, яка не допускає виникнення «циклів» в управлінні та забезпечує коректну синхронізацію часу. За замовчуванням комп'ютери під управлінням Windows додержують такої ієрархії.

  • Всі клієнтські комп'ютери використовують як джерело часу контролер домену, який перевіряє їх достовірність.
  • Те ж саме відбувається на рядових серверах.
  • Всі контролери домену використовують як джерело часу господаря операцій PDC (PDC).
  • При виборі джерела часу господарі операцій PDC керуються ієрархії доменів.

Виправити

Щоб усунути проблему в автоматичному режимі, натисніть кнопку Fix або клацніть однойменну посилання. Натисніть в діалоговому вікні Завантаження файлу кнопку Виконати та дотримуйтесь інструкцій майстра Fix it.

  • Цей майстер може бути доступний лише англійською мовою, проте функцію автоматичного виправлення можна застосувати також до інших мовних версій Windows.
  • Можна завантажити рішення на будь-який комп'ютер, а потім зберегти його на флеш-пам'ять або компакт-диску і запустити на потрібному комп'ютері.

Самостійне виправлення

322756 Створення резервної копії та відновлення реєстру Windows

Щоб служба часу на комп'ютері, що є господарем операцій PDC, не використала зовнішнє джерело часу, необхідно змінити параметр реєстру AnnounceFlags. Господарем PDC називається сервер, який виконує роль емулятора PDC кореневого домену лісу. Дана зміна конфігурації наказує господареві PDC повідомляти про себе як про надійне джерело часу і використовувати годинник, вбудовані в мікросхему CMOS. Щоб служба часу господаря PDC використовувала як джерело часу внутрішній годинник комп'ютера, виконайте такі дії.

  1. Виберіть в меню Пуск пункт Виконати. введіть команду regedit і натисніть кнопку ОК.
  2. Знайдіть і клацніть такий підрозділ реєстру:

net stop w32time net start w32time

Примітка. Служба часу господаря PDC не повинна бути налаштована на синхронізацію з самим господарем PDC. Додаткові відомості про те, чому основний контролер домену не слід налаштовувати на синхронізацію з самим собою, см. На веб-сайті в документі RFC (Request For Comment) 1305:

Якщо основний контролер домену налаштований на синхронізацію з самим собою, в журнал системи записуються такі події.

Якщо служба часу господаря PDC не використовує зовнішнє джерело часу, то в журналі подій додатків буде реєструватися наступна подія.

Дане повідомлення нагадує про те, що рекомендується використовувати зовнішнє джерело часу, і може бути пропущено.

Виправити

Щоб усунути проблему в автоматичному режимі, натисніть кнопку Fix або клацніть однойменну посилання. У діалоговому вікні Завантаження файлу натисніть кнопку Виконати та дотримуйтесь інструкцій майстра Fix it.
Усунути проблему Microsoft Fix it 50395

  • Цей майстер може бути доступний лише англійською мовою, проте функцію автоматичного виправлення можна застосувати також до інших мовних версій Windows.
  • Можна завантажити рішення на будь-який комп'ютер, а потім зберегти його на флеш-пам'ять або компакт-диску і запустити на потрібному комп'ютері.

Самостійне виправлення

Щоб налаштувати внутрішній сервер часу для синхронізації із зовнішнім джерелом свідчень часу, виконайте такі дії.

  1. Змініть тип сервера на NTP. Для цього виконайте такі дії.
    1. Виберіть в меню Пуск пункт Виконати. введіть команду regedit і натисніть кнопку ОК.
    2. Знайдіть і клацніть такий підрозділ реєстру:
  2. На правій панелі клацніть правою кнопкою миші параметр Type і виберіть командуІзменіть.
  3. У вікні Зміна строкового параметра в полі Значення введіть NTP і натисніть кнопку ОК.
  • надайте параметру значення 5. Для цього виконайте такі дії.
    1. Знайдіть і клацніть такий підрозділ реєстру:
  • На правій панелі клацніть правою кнопкою миші параметр AnnounceFlags і виберіть команду Змінити.
  • У вікні Зміна параметра DWORD в полі Значення введіть 5 і натисніть кнопку ОК.
  • Увімкніть сервер NTP. Для цього виконайте такі дії.
    1. Знайдіть і клацніть такий підрозділ реєстру:
    2. На правій панелі клацніть правою кнопкою миші параметр Enabled і виберіть командуІзменіть.
    3. У вікні Зміна параметра DWORD в полі Значення введіть 1 і натисніть кнопку ОК.
  • Вкажіть джерела часу. Для цього виконайте такі дії.
    1. Знайдіть і клацніть такий підрозділ реєстру:
    2. На правій панелі клацніть правою кнопкою миші параметр NtpServer і виберіть командуІзменіть.
    3. У вікні Зміна строкового параметра в полі Значення введіть Peers і натисніть кнопку ОК. Примітка Peers є переліком вузлів, що надають дані про поточний час. Для поділу імен вузлів в списку використовуються прогалини. Всі імена DNS в цьому переліку мають бути унікальними. В кінці кожного імені DNS необхідно додавати символи, 0x1. Якщо дані символи були додані, то зміни, що вносяться на кроці 5, не вступлять в силу.
  • Задайте інтервал опитування. Для цього виконайте такі дії.
    1. Знайдіть і клацніть такий підрозділ реєстру:
    2. На правій панелі клацніть правою кнопкою миші параметр SpecialPollInterval і виберіть команду Змінити.
    3. У вікні Зміна параметра DWORD в полі Значення введіть TimeInSeconds і натисніть кнопку ОК. Примітка TimeInSeconds - це інтервал часу (в секундах) між двома опитуваннями. Рекомендується встановити його рівним 900. У цьому випадку опитування буде виконуватися кожні 15 хвилин.
  • Задайте параметри, що визначають максимальну величину корекції часу. Для цього виконайте такі дії.
    1. Знайдіть і клацніть такий підрозділ реєстру:
    2. На правій панелі клацніть правою кнопкою миші параметр MaxPosPhaseCorrection і виберіть команду Змінити.
    3. У діалоговому вікні Зміна параметра DWORD в розділі Система обчислення виберіть значення Десяткова.
    4. У вікні Зміна параметра DWORD в полі Значення введіть TimeInSeconds і натисніть кнопку ОК. Примітка. TimeInSeconds може мати будь-яке значення в розумних межах (наприклад, 3600 (1 год) або 30 хвилин (1800)). Дане значення вибирається виходячи з величини інтервалу опитування, стану мережі і типу зовнішнього джерела часу.
    5. Знайдіть і клацніть такий підрозділ реєстру: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ W32Time \ Config \ MaxNegPhaseCorrection
    6. На правій панелі клацніть правою кнопкою миші параметр MaxNegPhaseCorrection і виберіть команду Змінити.
    7. У діалоговому вікні Зміна параметра DWORD в розділі Система обчислення виберіть значення Десяткова.
    8. У вікні Зміна параметра DWORD в полі Значення введіть TimeInSeconds і натисніть кнопку ОК.

      net stop w32time net start w32time

      Для нормального функціонування служби часу Windows необхідна працююча мережева інфраструктура. У більшості випадків помилки в роботі служби часу Windows викликані наступними причинами.

      • При обміні даними по протоколу TCP / IP виникають збої (наприклад, через непрацюючий шлюзу).
      • Неправильно працює служба дозволу імен.
      • Під час проходження пакетів по мережі виникають значні затримки (особливо якщо для синхронізації використовуються повільні канали глобальної мережі).
      • Служба часу Windows намагається виконати синхронізацію з джерелами, повідомляють неточні дані.

      NTP підтримує кілька різних типів пакетів. Зазвичай клієнти NTP і клієнти SNTP (Simple Network Time Protocol) направляють сервера NTP пакети запитів в клієнтському режимі. Сервер NTP відповідає пакетом в серверному режимі. Щоб налаштувати службу W32time для відправки пакетів сервера NTP не в клієнтському, а в симетричному активному режимі, введіть у командному рядку наступну команду:

      w32tm / config / manualpeerlist:,0x4 / syncfromflags: MANUAL

      Примітка. Використовуйте прапор 0x8, щоб служба W32time замість пакетів в симетричному активному режимі завжди передавала звичайні клієнтські запити. Сервер NTP відповідає на ці звичайні клієнтські запити в звичайному порядку.

      Комп'ютер, обраний в якості надійного джерела часу, стає коренем служби часу Windows. Комп'ютер виступає в якості основного сервера часу для домену та, як правило, отримує інформацію про поточний час від зовнішнього сервера NTP або від внутрішнього годинника. Щоб оптимізувати процес синхронізації часу в ієрархії домену, можна налаштувати сервер служби часу в якості надійного джерела часу. Якщо контролер домену є надійним джерелом часу, то при підключенні даного контролера домену до мережі служба Net Logon оповіщає про це, даний комп'ютер є надійним джерелом часу. Коли інші контролери домену шукатимуть джерело часу для синхронізації, в першу чергу вони будуть звертатися до надійного джерела, якщо він доступний.

      Синхронізація вручну дозволяє вказати один або декілька вузлів, з яких комп'ютер отримуватиме інформацію про час. Якщо комп'ютер не є членом домену, то його необхідно вручну налаштувати на синхронізацію з обраним джерелом часу. Комп'ютери, що входять в домен, за замовчуванням виконують синхронізацію відповідно до ієрархії домену. Корінь лісу в домені та комп'ютери, які не входять в домен, як правило, використовують синхронізацію вручну. Якщо комп'ютер, який є основним сервером часу для даного домену, вручну налаштований на виконання синхронізації із зовнішнім NTP-сервером, то домен отримує надійну інформацію про час. Однак для підвищення захищеності домену та отримання більш точних значень часу рекомендується виконувати синхронізацію основного комп'ютера з системним годинником.

      Якщо подібне джерело часу відсутнє, служба W32time буде працювати в режимі NTP. Для роботи служби часу необхідно вказати значення параметрів реєстру MaxPosPhaseCorrection і MaxNegPhaseCorrection. Рекомендується використовувати значення, що не перевищують 15 хвилин. Конкретне значення залежить від джерела часу, стану мережі і вимог до безпеки. Ця вимога стосується також до будь-якого надійного джерела, що є кореневим джерелом часу в схемі синхронізації часу. Додаткові відомості про параметри MaxPosPhaseCorrection і MaxNegPhaseCorrection см. В розділі «Параметри реєстру, використовувані службою часу Windows» даної статті.

      Примітка. Якщо для джерел часу, зазначених вручну, не створено окремого постачальник часу, то ці джерела не будуть проходити перевірку автентичності, що робить їх уразливими для атак. Крім того, якщо комп'ютер здійснює синхронізацію з джерелом часу, заданим вручну, а не з контролером домену, який виконує перевірку автентичності даного комп'ютера, то може статися рассинхронизация комп'ютера і контролера домену, що викликає збої при виконанні дій, що вимагають перевірки автентичності в мережі (наприклад, при доступі до загальних файлів або при друку на мережному принтері), а також при виконанні перевірки достовірності Kerberos. Якщо синхронізацію із зовнішнім джерелом часу здійснює тільки кореневий комп'ютер, то всі комп'ютери в домені будуть синхронізовані один з одним, що підвищує їх захищеність.

      Варіант «всі доступні способи синхронізації" найбільше підходить для користувачів, які працюють в мережі, оскільки він дозволяє синхронізувати на основі ієрархії домену, а також (в залежності від конфігурації) допускає використання альтернативних джерел часу, якщо синхронізація на основі ієрархії домену стає недоступною. Якщо клієнт не може синхронізувати час на основі ієрархії домену, то в якості джерела часу автоматично буде використовуватися джерело, вказаний в параметрі NtpServer. Цей метод синхронізації є найкращий спосіб передачі клієнтам інформації про точний час.

      Для кількох опцій реєстру розташовані в розділі