文章编号: 816042 - 最后修改: 2008年1月28日 - 修订: 7.2 如何在 Windows Server 2003 中配置权威时间服务器重要说明:本文包含有关如何修改注册表的信息。修改注册表之前,一定要先对其进行备份,并且一定要知道在出现问题时如何还原注册表。有关如何备份、还原和修改注册表的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章: 256986?
(http://support.microsoft.com/kb/256986/
)
高级用户的 Windows 注册表信息 本页简介Windows 包含 W32Time,它是 Kerberos 身份验证协议所需的时间服务工具。Windows 时间服务的目的是确保组织中运行 Microsoft Windows 2000 或更高版本的所有计算机都使用同一个时间。 为确保合理地使用公共时间,Windows 时间服务使用层级关系来控制授权,并且不允许出现循环。默认情况下,基于 Windows 的计算机使用下面的层级:
配置 Windows 时间服务以使用内部硬件时钟警告:如果使用注册表编辑器或其他方法错误地修改了注册表,则可能会出现严重问题。这些问题可能需要重新安装操作系统才能解决。Microsoft 不能保证可以解决这些问题。修改注册表需要您自担风险。要将 PDC 主机配置为不使用外部时间源,请更改 PDC 主机上的公告标志。PDC 主机是存放域的林根 PDC 主机角色的服务器。这种配置会强制 PDC 主机将它自身宣布为可靠的时间源,从而使用内置的互补金属氧化物半导体 (CMOS) 时钟。要将 PDC 主机配置为使用内部硬件时钟,请按照下列步骤操作:
http://www.rfc-editor.org/
(http://www.rfc-editor.org/)
如果将 PDC 主机配置为与自身同步,将在系统日志中记录以下事件:类型: 信息 类型: 警告
类型: 错误
时间提供程序 NtpClient: 此机器配置为用域层级确定它的时间源,但它已经是林的根目录域的 PDC 模拟器,因此在域层级没有机器在它上面以用作时间源。建议您在根域上配置一个可靠的时间服务,或者手动配置 PDC 与外部时间源同步。否则,此机器将作为域层级中的权威时间源。如果没有为此计算机配置或使用外部时间源,您可以选择禁用 NtpClient。 这段文本是为了提醒您使用外部时间源,您可以忽略它。配置 Windows 时间服务以使用外部时间源要将内部时间服务器配置为与外部时间源同步,请按照下列步骤操作:
故障排除要使 Windows 时间服务能够正常运行,网络基础结构必须正常运行。影响 Windows 时间服务的最常见问题包括以下这些:
要获取 Microsoft 产品支持服务电话号码和支持费用信息的完整列表,请访问下面的 Microsoft 网站: http://support.microsoft.com/default.aspx?scid=fh;[LN];CNTACTMS
(http://support.microsoft.com/default.aspx?scid=fh;%5Bln%5D;cntactms)
注意:特殊情况下,如果 Microsoft 支持专业人员确定某个特定的更新能够解决您的问题,可免收通常情况下收取的电话支持服务费用。对于特定更新无法解决的其他支持问题和事项,将照常收取支持费用。更多信息NTP 支持多个不同的数据包类型。通常,NTP 客户端和简单网络时间协议 (SNTP) 客户端会将客户端模式请求数据包发送给 NTP 服务器。NTP 服务器用服务器模式数据包进行响应。要配置 W32time 服务以将对称活动模式数据包(不是客户端模式数据包)发送给 NTP 服务器,请在命令提示符处键入以下命令: w32tm /config /manualpeerlist:<server>,0x4 /syncfromflags:MANUAL 注意:使用 0x8 标志强制 W32time 发送普通的客户端请求而不是对称模式活动数据包。NTP 服务器会照常答复这些普通的客户端请求。可靠的时间源配置被配置为可靠时间源的计算机会被标识为 Windows 时间服务的根。Windows 时间服务的根是域的权威服务器,通常被配置为从外部 NTP 服务器或硬件设备检索时间。您可以将一台时间服务器配置为可靠的时间源,以优化在整个域层级中传输时间的方式。如果将某个域控制器配置为可靠的时间源,Net Logon 服务将在该域控制器登录到网络时将其宣布为可靠的时间源。当其他域控制器查找要与之同步的时间源时,它们将首先选择可靠的时间源(如果有)。手动指定的同步在使用手动指定的同步时,您可以指定计算机从中获得时间的单个对等端或一个对等端列表。如果计算机不是域的成员,必须手动将其配置为与指定的时间源同步。默认情况下,属于域成员的计算机会被配置为从域层级同步。手动指定的同步对域的林根或未加入域的计算机非常有用。当您手动指定外部 NTP 服务器与域的权威计算机同步时,您就提供了可靠的时间。但是,为了向域提供高准确性和安全性,建议您将域的权威计算机配置为与硬件时钟同步。如果没有硬件时间源,W32time 会被配置为 NTP 类型。您必须重新配置 MaxPosPhaseCorrection 和 MaxNegPhaseCorrection 这两个注册表项。根据时间源、网络状况和安全要求的不同,建议将该值设置为 15 分钟或更低。该要求也适用于被配置为时间同步子网中的林根时间源的任何可靠的时间源。有关这两个注册表项的更多信息,请参见本文中的“Windows 时间服务注册表项”一节。 注意:除非为手动指定的时间源编写特定的时间提供程序,否则它们不会经过身份验证,因此这些时间源很容易受到攻击。另外,如果计算机与手动指定的源同步,而不是与它的身份验证域控制器同步,则这两台计算机可能不同步。这种情况会导致 Kerberos 身份验证失败,还会导致其他需要网络身份验证的操作(如打印或文件共享)失败。只要将林根配置为与一个外部源同步,则林中的所有其他计算机就会彼此同步。这种配置会使得重播攻击很难发生。 所有可用的同步机制“所有可用的同步机制”选项是最适合网络用户的同步方法。这种方法可实现与域层级的同步,并且根据具体的配置,它还可以在域层级不可用时提供备用的时间源。如果客户端无法与域层级同步时间,时间源将自动切换为“NtpServer”设置指定的时间源。这种同步方法最有可能为客户端提供准确的时间。Windows 时间服务注册表项以下注册表项位于 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\ 下:收起该表格
收起该表格
收起该表格
收起该表格
收起该表格
参考
有关 Windows 时间服务的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
816043?
(http://support.microsoft.com/kb/816043/
)
如何打开 Windows 时间服务中的调试日志
884776?
(http://support.microsoft.com/kb/884776/
)
配置 Windows 时间服务以防出现大的时间偏移
321708?
(http://support.microsoft.com/kb/321708/
)
如何在 Windows 2000 中使用网络诊断工具 (Netdiag.exe)
314054?
(http://support.microsoft.com/kb/314054/
)
如何在 Windows XP 中配置权威时间服务器
216734?
(http://support.microsoft.com/kb/216734/
)
如何在 Windows 2000 中配置权威时间服务器
有关基于 Windows Server 2003 的林中的 Windows 时间服务的更多信息,请访问下面的 Microsoft 网站:http://technet2.microsoft.com/windowsserver/en/library/A0FCD250-E5F7-41B3-B0E8-240F8236E2101033.mspx 这篇文章中的信息适用于:
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。 | 文章翻译
|
| United States | Change | | | All Microsoft Sites |
回到顶端
|
