文章編號: 816042 - 上次校閱: 2011年9月11日 - 版次: 3.0

如何在 Windows Server 中設定授權時間伺服器

檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。

在此頁中

全部展開 | 全部摺疊

簡介

Windows 包含了 W32Time,這是 Kerberos 驗證通訊協定所需要的「時間服務」(Time Service) 工具。Windows Time 服務主要是用來確保組織中執行 Microsoft Windows 2000 或更新版本的所有電腦,均使用共同的時間。

為了確保具有適當的共同時間用法,Windows Time 服務會採用可以控制授權單位的階層關係。此外,Windows Time 服務並不允許迴圈。依預設,Windows 電腦使用下列階層:
  • 所有的用戶端桌上型電腦會宣告驗證的網域控制站做為自己的輸入計時協力電腦。
  • 所有成員伺服器會遵照用戶端桌上型電腦所遵循的相同程序。
  • 網域中的所有網域控制站會宣告網域主控制站 (PDC) 操作主機做為自己的輸入計時協力電腦。
  • 所有 PDC 操作主機會遵照自己的輸入計時協力電腦選項中的網域階層。
在這種階層中,樹系根目錄中的 PDC 操作主機會成為組織的授權時間伺服器。我們強烈地建議您,設定授權時間伺服器中的設定,以收集硬體來源中的時間。當您設定授權時間伺服器與網際網路時間來源同步處理時,不需要經過驗證。此外,我們也建議您,降低伺服器及獨立用戶端的時間更正設定。這些建議可以使您的網域設定更加正確且安全。

回此頁最上方

設定 Windows Time 服務使用內部硬體時鐘

如果要我們為您將 Windows Time 服務設定為使用內部硬體時鐘,請前往<為我修正此問題>一節。 如果您要自行修正這個問題,請前往<讓我自行修正此問題>一節。

為我修正此問題



如果要自動修正此問題,請按一下 [修正此問題] 按鈕或連結。按一下 [檔案下載] 對話方塊中的 [執行],並依照 Fix it 精靈中的步驟執行。


修正此問題
Microsoft Fix it 50394


注意事項
  • 此精靈只適用於英文版本。不過,自動修正程式也適用於 Windows 的其他語言版本。
  • 如果您不在發生問題的電腦上,則可將 Fix it 解決方案儲存至快閃磁碟機或 CD,然後在發生問題的電腦上執行。


讓我自行修正此問題

重要 這個章節、方法或工作包含的步驟會告訴您要如何修改登錄。然而,如果登錄修改錯誤,可能會發生嚴重的問題。因此,請確定小心執行下列步驟。為加強保護,修改登錄之前,請務必將它備份起來。如果發生問題,您就可以還原登錄。如需有關如何備份和還原登錄的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
322756? (http://support.microsoft.com/kb/322756/ ) 如何在 Windows 中備份及還原登錄


如果要在不使用外部時間來源的情況下設定 PDC 主機,請變更 PDC 主機上的宣告旗標。PDC 主機是指具有網域中樹系根目錄 PDC 主機角色的伺服器。此設定會強制 PDC 主機宣告本身為可靠的時間來源,並使用內建的 CMOS 時間。如果要使用內部硬體時鐘來設定 PDC 主機,請執行下列步驟:
  1. 按一下 [開始],再按一下 [執行],輸入 regedit,然後按一下 [確定]
  2. 找出並按一下下列登錄子機碼:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags
  3. 在右窗格中,用滑鼠右鍵按一下 [AnnounceFlags],然後按一下 [修改]
  4. [編輯 DWORD 值][數值資料] 方塊中,輸入 A,再按一下 [確定]
  5. 結束「登錄編輯程式」。
  6. 在命令提示字元中輸入下列命令,然後按下 ENTER,以重新啟動 Windows Time 服務:
    net stop w32time && net start w32time
注意 千萬不可將 PDC 主機設定為與 PDC 主機本身同步化。如需有關為何 PDC 主機不得設定為與它本身同步化的詳細資訊,請造訪下列網站以檢視「要求建議」(RFC) 1305:
http://www.rfc-editor.org/ (http://www.rfc-editor.org/)
如果 PDC 主機已設定為與它本身同步化,則下列事件會記錄在系統記錄檔中:

事件類型資訊
事件來源:W32Time
事件類別目錄:None
事件識別碼: 38
電腦:ComputerName
說明:時間提供者 NtpClient 無法連接,或目前從 NTP_server_IP_Address 接收不正確的時間資料。如需詳細資訊,請參閱「說明及支援中心」,網址是:http://support.microsoft.com。

事件類型:警告
事件來源:W32Time
事件類別目錄:None
事件識別碼: 47
電腦:ComputerName
說明:時間提供者 NtpClient:在嘗試了 8 次的連絡後,並未從手動設定的對等體 NTP_server_IP_Address 接收到正確的回應。這個對等體將被丟棄做為時間來源,並且 NtpClient 將嘗試搜索包含這個 DNS 名稱的新對等體。如需詳細資訊,請參閱「說明及支援中心」,網址是:http://support.microsoft.com。

事件類型:錯誤
事件來源:W32Time
事件類別目錄:None
事件識別碼: 29
電腦:ComputerName
說明:時間提供者 NtpClient 已經設定成從某些時間來源取得時間,不過目前沒有可存取的時間來源,15 分鐘內都不會嘗試連絡來源。NtpClient 沒有正確的時間來源。如需詳細資訊,請參閱「說明及支援中心」,網址是:http://support.microsoft.com。

當 PDC 主機在沒有使用外部時間來源的情況下執行時,應用程式記錄檔會記錄下列事件:

事件類型:錯誤
事件來源:W32Time
事件類別目錄:None
事件識別碼:12
描述:時間提供者 NtpClient:這台電腦被設定成使用網域階層來判定它的時間來源,但它是樹系根目錄的網域 PDC 模擬器,因此在網域階層中沒有在其上可用來做為時間來源的電腦。建議您最好在根目錄網域設定可靠的時間服務,或是手動設定 PDC,以便與外部的時間來源進行同步處理。否則,這台電腦將做為網域階層中的系統授權時間來源。如果沒有設定外部的時間來源或外部時間來源沒有用在這台電腦,您可以選擇停用 NtpClient。

這段文字是提醒您使用外部時間來源,且可以略過該段文字。

回此頁最上方

設定 Windows Time 服務使用外部時間來源

如果要我們幫助您設定內部時間伺服器與外部時間來源同步處理,請前往<為我修正此問題>一節。 如果您要自行修正這個問題,請前往<讓我自行修正此問題>一節。

為我修正此問題



如果要自動修正此問題,請按一下 [修正此問題] 按鈕或連結。按一下 [檔案下載] 對話方塊中的 [執行],並依照 Fix it 精靈中的步驟執行。


修正此問題
Microsoft Fix it 50395


注意事項
  • 此精靈只適用於英文版本。不過,自動修正程式也適用於 Windows 的其他語言版本。
  • 如果您不在發生問題的電腦上,則可將 Fix it 解決方案儲存至快閃磁碟機或 CD,然後在發生問題的電腦上執行。


讓我自行修正此問題

如果要設定內部時間伺服器與外部時間來源同步處理,請依照下列步驟執行:
  1. 將伺服器類型變更為 NTP。如果要執行這項操作,請依照下列步驟執行:
    1. 按一下 [開始],再按一下 [執行],輸入 regedit,然後按一下 [確定]
    2. 找出並按一下下列登錄子機碼:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type
    3. 在右窗格中,用滑鼠右鍵按一下 [Type],然後按一下 [修改]
    4. [編輯數值] 對話方塊的 [數值資料] 方塊中,輸入 NTP,然後按一下 [確定]
  2. AnnounceFlags
    設定為 5。如果要執行這項操作,請依照下列步驟執行:
    1. 找出並按一下下列登錄子機碼:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags
    2. 在右窗格中,用滑鼠右鍵按一下 [AnnounceFlags],然後按一下 [修改]
    3. [編輯 DWORD 值][數值資料] 方塊中,輸入 5,再按一下 [確定]
  3. 啟用 NTPServer。如果要執行這項操作,請依照下列步驟執行:
    1. 找出並按一下下列登錄子機碼:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer
    2. 在右窗格中,用滑鼠右鍵按一下 [Enabled],然後按一下 [修改]
    3. [編輯 DWORD 值][數值資料] 方塊中,輸入 1,再按一下 [確定]
  4. 指定時間來源。如果要執行這項操作,請依照下列步驟執行:
    1. 找出並按一下下列登錄子機碼:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
    2. 在右窗格中,用滑鼠右鍵按一下 [NtpServer],然後按一下 [修改]
    3. [編輯數值][數值資料] 方塊中輸入 Peers,然後按一下 [確定]

      注意 Peers 是以空格分隔的對等裝置清單的預留位置,您的電腦會從中取得時間戳記。清單所列的每個 DNS 名稱必須都是唯一的。您必須在每個 DNS 名稱的結尾加上 ,0x1。如果沒有將 ,0x1 附加在每個 DNS 名稱的結尾,您在步驟 5 所做的變更將不會生效。
  5. 選取輪詢間隔。如果要執行這項操作,請依照下列步驟執行:
    1. 找出並按一下下列登錄子機碼:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\SpecialPollInterval
    2. 在右窗格中,用滑鼠右鍵按一下 [SpecialPollInterval],然後按一下 [修改]
    3. [編輯 DWORD 值][數值資料] 方塊中,輸入 TimeInSeconds,然後按一下 [確定]

      注意 TimeInSeconds 代表每個輪詢之間您所指定的秒數。建議值為 900 十進位。這個值會將 Time Server 設定為每隔 15 分鐘輪詢一次。
  6. 設定時間修正設定值。如果要執行這項操作,請依照下列步驟執行:
    1. 找出並按一下下列登錄子機碼:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxPosPhaseCorrection
    2. 在右窗格中,用滑鼠右鍵按一下 [MaxPosPhaseCorrection],然後按一下 [修改]
    3. [編輯 DWORD 值][底數] 方塊中選取 [十進位]
    4. [編輯 DWORD 值][數值資料] 方塊中,輸入 TimeInSeconds,然後按一下 [確定]

      注意 TimeInSeconds 是合理數值的預留位置,例如 1 小時 (3600) 或 30 分鐘 (1800)。您所選取的數值將根據輪詢間隔、網路情況及外部時間來源而定。
    5. 找出並按一下下列登錄子機碼:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxNegPhaseCorrection
    6. 在右窗格中,用滑鼠右鍵按一下 [MaxNegPhaseCorrection],然後按一下 [修改]
    7. [編輯 DWORD 值][底數] 方塊中選取 [十進位]
    8. [編輯 DWORD 值][數值資料] 方塊中,輸入 TimeInSeconds,然後按一下 [確定]

      注意 TimeInSeconds 是合理數值的預留位置,例如 1 小時 (3600) 或 30 分鐘 (1800)。您所選取的數值將根據輪詢間隔、網路情況及外部時間來源而定。
  7. 結束「登錄編輯程式」。
  8. 在命令提示字元中輸入下列命令,然後按下 ENTER,以重新啟動 Windows Time 服務:
    net stop w32time && net start w32time

回此頁最上方

疑難排解

為了使 Windows Time 服務正常執行,網路基礎結構必須正確地運作。下列列出影響 Windows Time 服務的最常見問題:
  • TCP/IP 連線能力發生問題,例如死閘道 (Dead Gateway)。
  • 「名稱解析」服務無法正常地運作。
  • 網路正遭遇高容量延遲,特別是在透過高度幕後性 (High Latency) 的廣域網路 (WAN) 連結進行同步處理的時候。
  • Windows Time 服務正嘗試與錯誤的時間來源同步化。
我們建議您使用 Netdiag.exe 公用程式來疑難排解與網路相關的問題。Netdiag.exe 是 Windows Server 2003 Support Tool 套件的一部份。如需有關可以與 Netdiag.exe 搭配使用的命令列參數完整清單,請參閱工具的說明。如果問題仍然存在,您可以開啟 Windows Time 服務的偵錯記錄檔。由於偵錯記錄檔可能包含非常詳細的資訊,因此,我們建議您,當您開啟 Windows Time 服務偵錯記錄檔時,能夠與「Microsoft 技術支援處」聯絡。

如需「Microsoft 技術支援處」完整的電話號碼清單,以及支援費用的相關資訊,請造訪下列 Microsoft 網站:
http://support.microsoft.com/default.aspx?scid=fh;[LN];CNTACTMS (http://support.microsoft.com/default.aspx?scid=fh;[LN];CNTACTMS)
注意 在某些特殊情況下,如果 Microsoft 技術支援工程師認為某特定更新程式可以解決您的問題時,可能就不會收取一般因支援電話所產生的費用。一般來說,如果有其他支援問題是所描述的特定更新程式無法解決的,才會收取支援費用。

回此頁最上方

其他相關資訊

NTP 支援數種不同封包類型。一般來說,NTP 用戶端和 Simple Network Time Protocol (SNTP) 用戶端會傳送用戶端模式要求封包給 NTP 伺服器。NTP 伺服器則回應伺服器模式封包。如果要設定 W32time 服務不傳送用戶端模式封包,改為傳送對稱主動模式封包給 NTP 伺服器,請在命令提示字元中輸入下列命令:
w32tm /config /manualpeerlist:<server>,0x4 /syncfromflags:MANUAL
注意 使用 0x8 旗標可強制 W32time 傳送一般的用戶端要求,而不傳送對稱主動模式封包。NTP 伺服器則依正常方式回應這些一般的用戶端要求。
回此頁最上方

可靠的時間來源設定

設定為可靠時間來源的電腦,會被視為 Windows Time 服務的根目錄。Windows Time 服務的根目錄即為網域的授權伺服器,並且通常會設定為從外部 NTP 伺服器或硬體裝置擷取時間。您可以將時間伺服器設定做為可靠的時間來源,以便最佳化在整個網域階層中傳送時間的方式。如果網域控制站是設定做為可靠的時間來源,那麼 Net Logon 服務就會在網域控制站登入網路時,宣告網域控制站做為可靠的時間來源。當其他網域控制站尋找時間來源,以進行同步處理時,就會先選取可靠的來源 (如果可用的話)。

回此頁最上方

手動指定的同步處理

有了手動指定的同步處理,您可以指定電腦從中取得時間的單一對等裝置或對等裝置清單。如果電腦不是網域的成員,就必須以手動方式進行設定,才能與指定的時間來源同步化。依預設,網域成員的電腦是設定為從網域層進行同步處理。對於網域的樹系根目錄或不屬於網域的電腦而言,手動指定的同步處理是最好用的。當您手動指定外部 NTP 伺服器與網域中的授權電腦同步處理時,您能夠提供可靠的時間。但是,如果要使網域具有最精準的時間,並維持安全的狀態,我們建議您將網域的授權電腦設定為與硬體時鐘同步處理。

如果沒有硬體時間來源,W32time 就會被設定為 NTP 類型。您必須重新設定 MaxPosPhaseCorrection 及 MaxNegPhaseCorrection 登錄項目。建議值為 15 分鐘以下,視時間來源、網路情況及安全性需求而定。這項需求也適用於,任何被設定做為時間同步化子網路中樹系根目錄時間來源的可靠時間來源。如需有關這些登錄項目的詳細資訊,請參閱本文的<Windows Time 服務登錄項目>一節。

注意 手動指定的時間來源不會經過驗證,除非特定時間提供者是為了這些時間來源而撰寫,並因此造成攻擊者攻擊的弱點。此外,如果電腦與手動指定的來源同步處理,而不是與電腦的驗證網域控制站同步處理,那麼兩部電腦可能都會失去同步處理。這種情形會造成 Kerberos 驗證失敗,並且可能也會使其他需要經過網路驗證的動作失敗,例如,列印或檔案共用。如果只有樹系根目錄是設定為與外部來源同步處理,則樹系內的所有其他電腦仍會維持與彼此同步處理。這項設定可以使攻擊者很難發動重送攻擊。

回此頁最上方

所有可用的同步處理機制

對網路上的使用者而言,「所有可用的同步處理機制」選項是最有價值的同步處理方法。這個方法能夠啟用與網域層一同進行的同步處理,並且也可以在網域層無法使用時,提供替代的時間來源 (視設定而定)。如果用戶端無法與網域層同步化,時間來源就會自動回到 NtpServer 設定所指定的時間來源。這個同步處理的方法應該是最能夠提供準確時間給用戶端的方法。

回此頁最上方

Windows Time 服務登錄項目

下列登錄項目位於
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\
之下:
摺疊此表格展開此表格
登錄項目MaxPosPhaseCorrection
Path
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
注意此項目會指定服務所做出的最大正值時間修正 (以秒計算)。如果服務判定需要變更為較大的值,就會記錄成事件(特殊案例:0xFFFFFFFF,這代表一定要進行時間修正)。網域成員的預設值為 0xFFFFFFFF。獨立用戶端及伺服器的預設值為 54,000 或 15 小時。
摺疊此表格展開此表格
登錄項目MaxNegPhaseCorrection
Path
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
注意此項目會指定服務所做出的最大負值時間修正 (以秒計算)。如果服務判定需要變更為較大的值,就會記錄成事件(-1 代表一定要進行時間修正)。網域成員的預設值為 0xFFFFFFFF。獨立用戶端及伺服器的預設值為 54,000 或 15 小時。
摺疊此表格展開此表格
登錄項目MaxPollInterval
Path
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
注意此項目會指定所允許的最大時間間隔 (以秒計算),做為系統輪詢間隔。儘管系統必須依照排定的時間間隔進行輪詢,但提供者還是可以在接到要求時,拒絕產生範例取樣。網域成員的預設值為 10。獨立用戶端及伺服器的預設值為 15。
摺疊此表格展開此表格
登錄項目SpecialPollInterval
Path
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient
注意此項目會為手動的對等裝置指定特定的輪詢間隔 (以秒計算)。當 SpecialInterval 0x1 旗標啟用時,W32Time 就會使用此輪詢間隔,而不會使用由作業系統決定的輪詢間隔。網域成員的預設值為 3,600。獨立用戶端及伺服器的預設值為 604,800。
摺疊此表格展開此表格
登錄項目MaxAllowedPhaseOffset
Path
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
注意此項目會指定最大的位移 (以秒計算),以便 W32Time 嘗試使用時脈速率來調整電腦時鐘。當位移大於此速率時,W32Time 就會直接設定電腦時鐘。網域成員的預設值為 300。獨立用戶端及伺服器的預設值為 1。
回此頁最上方

?考

如需有關 Windows Time 服務的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
816043? (http://support.microsoft.com/kb/816043/ ) 如何在 Windows Time 服務中開啟偵錯記錄功能
884776? (http://support.microsoft.com/kb/884776/ ) 設定 Windows Time 服務,以防止大規模的時間位移
321708? (http://support.microsoft.com/kb/321708/ ) 如何在 Windows 2000 中使用「網路診斷工具」(Netdiag.exe)
314054? (http://support.microsoft.com/kb/314054/ ) 如何在 Windows XP 中設定授權時間伺服器
216734? (http://support.microsoft.com/kb/216734/ ) 如何在 Windows 2000 中設定授權時間伺服器
如需有關 Windows Server 2003 樹系之 Windows Time 服務的詳細資訊,請造訪下列 Microsoft 網站:
http://technet.microsoft.com/zh-tw/library/cc773061(WS.10).aspx (http://technet.microsoft.com/zh-tw/library/cc773061(WS.10).aspx)

回此頁最上方
這篇文章中的資訊適用於:
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Datacenter
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Windows Server 2008 R2 Service Pack 1
回此頁最上方
關鍵字:?
kbfixme kbmsifixme kbsecurity kbhowto KB816042
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。