Windows Server 包含 W32Time,這是 Kerberos 驗證通訊協定所需要的時間服務工具。Windows Time 服務可確保組織中執行 Microsoft Windows 2000 Server 作業系統或更新版本的所有電腦,均使用共同的時間。
為了確保使用的是適當的共同時間使用方式,Windows Time 服務會採用可以控制授權單位的階層關係,但不允許迴圈。依預設,Windows 電腦使用下列階層:
- 所有的用戶端桌上型電腦會宣告驗證的網域控制站做為自己的輸入計時協力電腦。
- 所有成員伺服器會遵照用戶端桌上型電腦所遵循的相同程序。
- 網域中的所有網域控制站會宣告網域主控制站 (PDC) 操作主機做為自己的輸入計時協力電腦。
- 所有 PDC 操作主機會遵照自己的輸入計時協力電腦選項中的網域階層。
在這種階層中,樹系根目錄中的 PDC 操作主機會成為組織的授權時間伺服器。我們強烈建議您設定授權時間伺服器,以取得硬體來源中的時間。當您設定授權時間伺服器與網際網路時間來源同步處理時,不需要經過驗證。此外,我們也建議您,降低伺服器及獨立用戶端的時間更正設定。這些建議可以使您的網域設定更加正確且安全。
設定 Windows Time 服務使用內部硬體時鐘
如果要我們為您將 Windows Time 服務設定為使用內部硬體時鐘,請前往<
為我修正此問題>一節。如果您要自行修正此問題,請前往<
讓我自行修正此問題>一節。
為我修正此問題
如果要自動修正此問題,請按一下
[Fix it] 按鈕或連結,然後按一下
[檔案下載] 對話方塊中的
[執行],並依照 Fix it 精靈的步驟執行。
修正此問題
(http://go.microsoft.com/?linkid=9729247)
Microsoft Fix it 50394注意事項- 此精靈只適用於英文版本。不過,自動修正程式也適用於 Windows 的其他語言版本。
- 如果您不在發生問題的電腦上,則可將 Fix it 解決方案儲存至快閃磁碟機或 CD,然後在發生問題的電腦上執行。
讓我自行修正此問題
重要 這個章節、方法或工作包含的步驟會告訴您要如何修改登錄。然而,如果登錄修改錯誤,可能會發生嚴重的問題。因此,請確定小心執行下列步驟。為加強保護,修改登錄之前,請務必將它備份起來。如果發生問題,您就可以還原登錄。如需有關如何備份和還原登錄的詳細資訊,請按一下下面的文章編號,檢視「Microsoft 知識庫」中的文章:
322756
(http://support.microsoft.com/kb/322756/zh-tw/
)
如何在 Windows XP 中備份及還原登錄
如果要在不使用外部時間來源的情況下設定 PDC 主機,請變更 PDC 主機上的宣告旗標。PDC 主機是指具有網域中樹系根目錄 PDC 主機角色的伺服器。此設定會強制 PDC 主機宣告本身為可靠的時間來源,並使用內建的 CMOS 時間。如果要使用內部硬體時鐘來設定 PDC 主機,請執行下列步驟:
- 依序按一下 [開始]、[執行],輸入 regedit,然後按一下 [確定]。
- 找出並按一下下列登錄子機碼:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags
- 在右窗格中的 [AnnounceFlags] 上按右鍵,然後按一下 [修改]。
- 在 [編輯 DWORD 值] 的 [數值資料] 方塊中,輸入 A,再按一下 [確定]。
- 關閉登錄編輯程式。
- 在命令提示字元中輸入下列命令,然後按下 Enter,以重新啟動 Windows Time 服務:
net stop w32time && net start w32time
注意 不可將 PDC 主機設定為與 PDC 主機本身同步。如需有關 PDC 主機為何不得設定為與 PDC 主機本身同步的詳細資訊,請參閱
要求建議 (RFC) 1305 。如果將 PDC 主機設定為與其本身同步,系統記錄檔就會記錄下列事件:
事件類型資訊
事件來源:W32Time
事件類別目錄:None
事件識別碼: 38
電腦:ComputerName
說明:時間提供者 NtpClient 無法連接,或目前從 NTP_server_IP_Address 接收不正確的時間資料。如需詳細資訊,請參閱「說明及支援中心」,網址是:http://support.microsoft.com。
事件類型:警告
事件來源:W32Time
事件類別目錄:None
事件識別碼: 47
電腦:ComputerName
說明:時間提供者 NtpClient:在嘗試了 8 次的連絡後,並未從手動設定的對等體 NTP_server_IP_Address 接收到正確的回應。這個對等體將被丟棄做為時間來源,並且 NtpClient 將嘗試搜索包含這個 DNS 名稱的新對等體。如需詳細資訊,請參閱「說明及支援中心」,網址是:http://support.microsoft.com。
事件類型:錯誤
事件來源:W32Time
事件類別目錄:None
事件識別碼: 29
電腦:ComputerName
描述:時間提供者 NtpClient 已經設定成從某些時間來源取得時間,不過目前沒有可存取的時間來源,15 分鐘內都不會嘗試連絡來源。NtpClient 沒有正確的時間來源。如需詳細資訊,請參閱「說明及支援中心」,網址是:http://support.microsoft.com。
當 PDC 主機在沒有使用外部時間來源的情況下執行時,應用程式記錄檔會記錄下列事件:
事件類型:錯誤
事件來源:W32Time
事件類別目錄:None
事件識別碼:12
描述:時間提供者 NtpClient:這台電腦被設定成使用網域階層來判定它的時間來源,但它是樹系根目錄的網域 PDC 模擬器,因此在網域階層中沒有在其上可用來做為時間來源的電腦。建議您最好在根目錄網域設定可靠的時間服務,或是手動設定 PDC,以便與外部的時間來源進行同步處理。否則,這台電腦將做為網域階層中的系統授權時間來源。如果沒有設定外部的時間來源或外部時間來源沒有用在這台電腦,您可以選擇停用 NtpClient。
此段文字是提醒您使用外部時間來源。您可以略過此段文字。
將 Windows Time 服務設定為使用外部時間來源
如果要我們幫助您將內部時間伺服器設定為與外部時間來源同步,請移至
<為我修正此問題>一節。若您想要自行修正此問題,請移至
<讓我自行修正此問題>一節。
為我修正此問題
如果要自動修正此問題,請按一下
[修正此問題] 按鈕或連結。按一下
[檔案下載] 對話方塊中的
[執行],並依照 Fix it 精靈中的步驟執行。
修正此問題
(http://go.microsoft.com/?linkid=9729248)
Microsoft Fix it 50395注意事項- 此精靈只適用於英文版本。不過,自動修正程式也適用於 Windows 的其他語言版本。
- 如果您不在發生問題的電腦上,則可將 Fix it 解決方案儲存至快閃磁碟機或 CD,然後在發生問題的電腦上執行。
讓我自行修正此問題
若要設定內部時間伺服器與外部時間來源同步,請依照下列步驟執行:
- 將伺服器類型變更為 NTP。如果要執行這項操作,請依照下列步驟執行:
- 依序按一下 [開始]、[執行],輸入 regedit,然後按一下 [確定]。
- 找出並按一下下列登錄子機碼:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type
- 在右窗格中的 [Type] 上按右鍵,然後按一下 [修改]。
- 在 [編輯數值] 對話方塊的 [數值資料] 方塊中,輸入 NTP,然後按一下 [確定]。
- 將
AnnounceFlags
設定為 5。如果要執行這項操作,請依照下列步驟執行:- 找出並按一下下列登錄子機碼:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags
- 在右窗格中的 [AnnounceFlags] 上按右鍵,然後按一下 [修改]。
- 在 [編輯 DWORD 值] 的 [數值資料] 方塊中,輸入 5,再按一下 [確定]。
注意事項- 如果將授權時間伺服器設為使用 0x5 的 AnnounceFlag 值,則在授權時間伺服器與上游時間伺服器之間的時間同步恢復時,用戶端伺服器可能無法與授權時間伺服器正確進行同步。因此,如果由於網路連線狀況不佳或其他問題而可能導致授權伺服器與上游伺服器的同步進行失敗,請將 AnnounceFlag 值設為 0xA,而不要設為 0x5。
- 如果將授權時間伺服器設為使用 0x5 的 AnnounceFlag 值,並設為於 SpecialPollInterval 中指定的固定間隔與上游時間伺服器進行同步,則用戶端伺服器在授權時間伺服器重新啟動之後,可能無法與授權時間伺服器正確地進行同步。因此,如果您將授權時間伺服器設為於 SpecialPollInterval 中指定的固定間隔與上游 NTP 伺服器進行同步,請將 AnnounceFlag 值設為 0xA,而不要設為 0x5。
- 啟用 NTPServer。如果要執行這項操作,請依照下列步驟執行:
- 找出並按一下下列登錄子機碼:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer
- 在右窗格中的 [Enabled] 上按右鍵,然後按一下 [修改]。
- 在 [編輯 DWORD 值] 的 [數值資料] 方塊中,輸入 1,再按一下 [確定]。
- 指定時間來源。如果要執行這項操作,請依照下列步驟執行:
- 找出並按一下下列登錄子機碼:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
- 在右窗格中的 [NtpServer] 上按右鍵,然後按一下 [修改]。
- 在 [編輯數值] 的 [數值資料] 方塊中輸入 Peers,然後按一下 [確定]。
注意 Peers 是以空格分隔的對等裝置清單的預留位置,您的電腦會從中取得時間戳記。清單所列的每個 DNS 名稱必須都是唯一的。您必須在每個 DNS 名稱的結尾加上 ,0x1。如果沒有將 ,0x1 附加在每個 DNS 名稱的結尾,您在步驟 5 所做的變更將不會生效。
- 選取輪詢間隔。如果要執行這項操作,請依照下列步驟執行:
- 找出並按一下下列登錄子機碼:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\SpecialPollInterval
- 在右窗格中的 [SpecialPollInterval] 上按右鍵,然後按一下 [修改]。
- 在 [編輯 DWORD 值] 的 [數值資料] 方塊中,輸入 TimeInSeconds,然後按一下 [確定]。
注意 TimeInSeconds 是每個輪詢之間您所指定秒數的預留位置。建議值為 900 十進位。這個值會將 Time Server 設定為每隔 15 分鐘輪詢一次。
- 設定時間修正設定值。如果要執行這項操作,請依照下列步驟執行:
- 找出並按一下下列登錄子機碼:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxPosPhaseCorrection
- 在右窗格中的 [MaxPosPhaseCorrection] 上按右鍵,然後按一下 [修改]。
- 在 [編輯 DWORD 值] 的 [底數] 方塊中選取 [十進位]。
- 在 [編輯 DWORD 值] 的 [數值資料] 方塊中,輸入 TimeInSeconds,然後按一下 [確定]。
注意 TimeInSeconds 是合理數值的預留位置,例如 1 小時 (3600) 或 30 分鐘 (1800)。您所選取的值將需依據輪詢間隔、網路狀況及外部時間來源而定。 - 找出下列登錄子機碼並按一下:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxNegPhaseCorrection
- 在右窗格中的 [MaxNegPhaseCorrection] 上按右鍵,然後按一下 [修改]。
- 在 [編輯 DWORD 值] 的 [底數] 方塊中選取 [十進位]。
- 在 [編輯 DWORD 值] 的 [數值資料] 方塊中,輸入 TimeInSeconds,然後按一下 [確定]。
注意 TimeInSeconds 是一個合理值的預留位置,例如 1 小時 (3600) 或 30 分鐘 (1800)。您所選取的值將需依據輪詢間隔、網路狀況及外部時間來源而定。
- 關閉登錄編輯程式。
- 在命令提示字元中輸入下列命令,然後按下 Enter,以重新啟動 Windows Time 服務:
net stop w32time && net start w32time
注意:如需可用時間伺服器清單,請參閱 Microsoft 知識庫文章
262680: 可在網際網路使用的 Simple Network Time Protocol (SNTP) 時間伺服器清單 疑難排解
為了使 Windows Time 服務正常執行,網路基礎結構必須正確地運作。下列列出影響 Windows Time 服務的最常見問題:
- TCP/IP 連線能力發生問題,例如死閘道 (Dead Gateway)。
- 「名稱解析」服務無法正常地運作。
- 網路正遭遇高容量延遲,特別是在透過高度幕後性 (High Latency) 的廣域網路 (WAN) 連結進行同步處理的時候。
- Windows Time 服務正嘗試與錯誤的時間來源同步化。
我們建議您使用 Netdiag.exe 公用程式來疑難排解與網路相關的問題。Netdiag.exe 是 Windows Server 2003 支援工具套件的一部份。請參閱《工具說明》取得可與 Netdiag.exe 搭配使用的命令列參數完整清單。如果您的問題仍然未解決,您可以開啟 Windows Time 偵錯記錄。因為偵錯記錄可能包含非常詳細的資訊,因此,我們建議您,您開啟 Windows Time 服務偵錯記錄之後,請與 Microsoft 客戶支援服務連絡。
如需Microsoft 客戶支援服務的完整電話號碼清單,以及支援費用的相關資訊,請移至
連絡 Microsoft網站。
注意 在某些特殊情況下,如果 Microsoft 技術支援人員認為特定更新可以解決您的問題時,可能就不會收取一般因支援電話所產生的費用。一般來說,如果有其他支援問題是所描述的特定更新程式無法解決的,才會收取支援費用。WAZOO。
如需有關 Windows Time 服務的詳細資訊,請按一下這裡。
NTP 支援數種不同封包類型。一般來說,NTP 用戶端和 Simple Network Time Protocol (SNTP) 用戶端會傳送用戶端模式要求封包給 NTP 伺服器。NTP 伺服器則回應伺服器模式封包。如果要將 W32time 服務設定為不傳送用戶端模式封包,改為傳送對稱主動模式封包給 NTP 伺服器,請開啟命令提示字元,輸入下列命令,然後按下 Enter:
w32tm /config /manualpeerlist:<server>,0x4 /syncfromflags:MANUAL
注意 使用 0x8 旗標可強制 W32time 傳送一般的用戶端要求,而不傳送對稱主動模式封包。NTP 伺服器則依正常方式回覆這些一般的用戶端要求。
設定為可靠時間來源的電腦會視為 Windows Time 服務的根目錄。Windows Time 服務的根目錄即為網域的授權伺服器。通常會將其設定為從外部 NTP 伺服器或硬體裝置擷取時間。您可以將時間伺服器設定做為可靠的時間來源,以便最佳化在整個網域階層中傳送時間的方式。如果網域控制站是設定做為可靠的時間來源,那麼 Net Logon 服務就會在網域控制站登入網路時,宣告網域控制站做為可靠的時間來源。當其他網域控制站尋找時間來源,以進行同步處理時,就會先選取可靠的來源 (如果可用的話)。
手動指定同步處理
透過手動指定同步處理,您可以指定電腦從中取得時間的單一對等裝置或對等裝置清單。如果電腦不是網域的成員,就必須以手動方式進行設定,才能與指定的時間來源同步化。依預設,網域成員的電腦是設定為從網域層進行同步處理。對於網域的樹系根目錄或不屬於網域的電腦而言,手動指定的同步處理是最好用的。當您手動指定外部 NTP 伺服器與網域中的授權電腦同步處理時,您能夠提供可靠的時間。但是,如果要使網域具有最精準的時間,並維持安全的狀態,我們建議您將網域的授權電腦設定為與硬體時鐘同步處理。
如果沒有硬體時間來源,就會將 W32time 設定為 NTP 類型。您必須重新設定 MaxPosPhaseCorrection 及 MaxNegPhaseCorrection 登錄項目。建議值為 15 分鐘以下,視時間來源、網路情況及安全性需求而定。這項需求也適用於,任何被設定做為時間同步化子網路中樹系根目錄時間來源的可靠時間來源。如需有關這些登錄項目的詳細資訊,請參閱本文的<Windows Time 服務登錄項目>一節。
注意 手動指定的時間來源不會經過驗證,除非特定時間提供者是為了這些時間來源而撰寫。因此,這些時間來源會成為攻擊者攻擊的弱點。此外,如果電腦與手動指定的來源同步處理,而不是與電腦的驗證網域控制站同步處理,那麼兩部電腦可能都會失去同步處理。這種情形會造成 Kerberos 驗證失敗,並且可能也會使其他需要經過網路驗證的動作失敗,例如,列印或檔案共用。如果只有樹系根目錄是設定為與外部來源同步,則樹系內的所有其他電腦仍會維持與彼此同步。這項設定可以使攻擊者很難發動重送攻擊。
所有可用的同步處理機制
對網路上的使用者而言,[所有可用的同步處理機制] 選項是最有價值的同步處理方法。這個方法能夠啟用與網域層一同進行的同步處理,並且也可以在網域層無法使用時,提供替代的時間來源 (視設定而定)。如果用戶端無法與網域層同步化,時間來源就會自動回到
NtpServer 設定所指定的時間來源。這個同步處理的方法應該是最能夠提供準確時間給用戶端的方法。
Windows Time 服務登錄項目
下列登錄項目位於
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\
:
摺疊此表格展開此表格
| 登錄項目 | MaxPosPhaseCorrection |
| 路徑 | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config |
| 注意事項 | 此項目會指定服務所做出的最大正值時間修正 (以秒計算)。如果服務判定需要變更為較大的值,就會記錄成事件(特殊案例:0xFFFFFFFF,這代表一定要進行時間修正)。網域成員的預設值為 0xFFFFFFFF。獨立用戶端及伺服器的預設值為 54,000 或 15 小時。 |
摺疊此表格展開此表格
| 登錄項目 | MaxNegPhaseCorrection |
| 路徑 | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config |
| 注意事項 | 此項目會指定服務所做出的最大負值時間修正 (以秒計算)。如果服務判定需要變更為較大的值,就會記錄成事件(-1 代表一定要進行時間修正)。網域成員的預設值為 0xFFFFFFFF。獨立用戶端及伺服器的預設值為 54,000 或 15 小時。 |
摺疊此表格展開此表格
| 登錄項目 | MaxPollInterval |
| 路徑 | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config |
| 注意 | 此項目會指定所允許的最大時間間隔 (以秒計算),做為系統輪詢間隔。儘管系統必須依照排定的時間間隔進行輪詢,但提供者還是可以在接到要求時,拒絕產生範例。網域成員的預設值為 10。獨立用戶端及伺服器的預設值為 15。 |
摺疊此表格展開此表格
| 登錄項目 | SpecialPollInterval |
| 路徑 | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient |
| 注意 | 此項目會為手動的對等裝置指定特定的輪詢間隔 (以秒計算)。當 SpecialInterval 0x1 旗標啟用時,W32Time 就會使用此輪詢間隔,而不會使用由作業系統決定的輪詢間隔。網域成員的預設值為 3,600。獨立用戶端及伺服器的預設值為 604,800。 |
摺疊此表格展開此表格
| 登錄項目 | MaxAllowedPhaseOffset |
| 路徑 | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config |
| 注意 | 此項目會指定最大的位移 (以秒計算),以便 W32Time 嘗試使用時脈速率來調整電腦時鐘。當位移大於此速率時,W32Time 就會直接設定電腦時鐘。網域成員的預設值為 300。獨立用戶端及伺服器的預設值為 1。 |
文章編號: 816042 - 上次校閱: 2013年4月26日 - 版次: 9.0
這篇文章中的資訊適用於:
- Windows Server 2012 Standard
- Windows Server 2012 Essentials
- Windows Server 2008 R2 Standard
- Windows Server 2008 R2 Datacenter
- Windows Server 2008 R2 Enterprise
- Windows Server 2008 Standard
- Windows Server 2008 Enterprise
- Windows Server 2008 Datacenter
- Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
- Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
- Microsoft Windows Server 2003, Standard Edition (32-bit x86)
- Microsoft Windows Server 2003, Web Edition
- Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
- Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
- Windows Server 2008 R2 Service Pack 1
| kbfixme kbmsifixme kbsecurity kbhowto KB816042 |
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。
回此頁最上方
