Настройка службы времени Windows

Служба времени Windows (W32Time) предназначена для синхронизации даты и времени на компьютерах с клиентскими и серверными версиями Microsoft Windows. Основное использование такой синхронизации времени — обеспечение безопасности проверки подлинности Kerberos в среде Active Directory, включая виртуальные машины, работающие на узлах Hyper-V. Чтобы предотвратить атаки повторного воспроизведения, билеты Kerberos, предоставляемые клиентами контроллерам домена, имеют отметку времени. Контроллер домена, выполняющий проверку подлинности, проверяет уникальность временной метки и ее допустимое отклонение, прежде чем принять билет и выполнить проверку подлинности клиента. Чтобы эта система работала должным образом, часы клиента и контроллера домена должны быть слабо синхронизированы в пределах допустимого отклонения, и W32Time гарантирует, что это так.

W32Time основан на простом протоколе сетевого времени (SNTP), и его самая последняя версия (v4) теперь определяется информационным стандартом IETF RFC 4330 и предлагаемым стандартом RFC 5905. SNTP предназначен только для обеспечения свободной синхронизации, которая в W32Time Реализация означает, что часы всех компьютеров Windows в лесу согласуются друг с другом в пределах 20 секунд (или с разницей в две секунды в пределах определенного сайта). W32Time выражает время часов в универсальном скоординированном времени (UTC), атомной шкале времени, ранее известной как среднее время по Гринвичу (GMT). W32Time запускается по умолчанию на всех компьютерах Windows, если они принадлежат к домену Active Directory.

Понимание временной иерархии

W32Time синхронизирует часы в лесу, используя иерархию времени, которая начинается с эмулятора основного контроллера домена в корневом домене леса, который считается источником времени уровня 2 для леса. Этот контроллер домена может иметь собственные часы, управляемые несколькими способами:

• Путем синхронизации с надежным сервером времени в Интернете.
• Путем синхронизации с локально подключенным аппаратным источником времени, таким как атомные часы.
• Полагаясь на собственные внутренние часы CMOS для надежного времени.

В первых двух приведенных выше примерах сервер времени в Интернете или атомные часы считаются источником времени уровня 1. Другие контроллеры домена в корневом домене леса и эмуляторы PDC в дочерних доменах используют W32Time для периодического опроса эмулятора PDC в корневом домене леса, чтобы обеспечить синхронизацию их часов. Затем рабочие станции и рядовые серверы опрашивают контроллеры домена в своих доменах для синхронизации собственных часов, в результате чего все компьютеры в лесу прямо или косвенно синхронизируют свои часы с эмулятором PDC в корневом домене леса (и, следовательно, с внешним сервер времени или атомные часы, если они есть). В следующей таблице показано, как работает иерархия W32Time, начиная с внешнего источника.

Процесс опроса инициируется при запуске W32Time на клиенте и по умолчанию повторяется каждые 45 минут. Если установлено, что часы синхронизированы для трех последовательных опросов, интервал опроса увеличивается до восьми часов.

Оставшаяся часть этой статьи посвящена синхронизации времени в среде Active Directory, где контроллеры домена работают под управлением Windows Server 2008 или более поздней версии. Сведения о различных улучшениях службы времени Windows, реализованных в Windows Server 2016, см. в этой документации в ИТ-центре Windows на веб-сайте Microsoft.

Синхронизация с внутренним источником времени

Самое простое решение для синхронизации времени в среде Active Directory — позволить эмулятору PDC в корневом домене леса использовать собственные часы CMOS в качестве источника надежного времени для леса. Для этого можно просто не предпринимать никаких действий. Единственным раздражающим результатом является то, что вы иногда будете видеть следующее событие, зарегистрированное в системном журнале в средстве просмотра событий:

По сути, это событие означает, что эмулятор PDC в корневом домене леса не настроен на синхронизацию своих часов с внешним источником времени уровня 1, и в результате часы на всех машинах в вашем лесу нельзя считать надежными. Теперь это может быть проблемой, если сотрудники полагаются на часы CMOS своих рабочих станций для входа и выхода, но что касается Kerberos, это не проблема, потому что Kerberos требует только, чтобы часы на клиентах и аутентификаторах согласовывались друг с другом, а не чтобы они отображали точное время. Таким образом, если часы каждой машины в лесу отстают на час, Kerberos по-прежнему будет работать нормально, а повторные атаки будут предотвращены, что в любом случае является целью W32Time.

Синхронизация с внешним источником времени

Если вы хотите, чтобы часы на ваших компьютерах были более точными с точки зрения абсолютного (а не только относительного) времени, вы можете синхронизировать эмулятор PDC в корневом домене вашего леса с одним из надежных серверов времени, доступных в Интернете. Это хорошая идея, если ваша компания является крупным предприятием с сайтами, охватывающими несколько стран, или если в вашей организации есть два или более леса, связанные лесными трастами. Процедура выполнения этого на эмуляторе PDC в корневом домене леса следующая. Откройте редактор реестра (regedit.exe) и настройте следующие записи реестра:

Эта запись реестра определяет, от каких одноранговых узлов W32Time будет принимать синхронизацию. Измените это значение REG_SZ с NT5DS на NTP, чтобы эмулятор PDC синхронизировался из списка надежных серверов времени, указанных в записи реестра NtpServer, описанной ниже:

Эта запись реестра определяет, помечен ли локальный компьютер как надежный сервер времени (что возможно только в том случае, если для предыдущей записи реестра установлено значение NTP, как описано выше). Измените это значение REG_DWORD с 10 на 5 здесь:

Эта запись реестра определяет разделенный пробелами список серверов времени уровня 1, с которых локальный компьютер может получать надежные отметки времени. Список может состоять из одного или нескольких DNS-имен или IP-адресов (если используются DNS-имена, необходимо добавить 0x1 в конце каждого DNS-имени). Например, чтобы синхронизировать эмулятор PDC в корневом домене леса с tock.usno.navy.mil, сервером времени SNTP с открытым доступом, управляемым Военно-морской обсерваторией США, измените значение записи реестра NtpServer с time.windows. com,0x1 на tock.usno.navy.mil,0x1 здесь. В качестве альтернативы вы можете указать IP-адрес этого сервера времени, вместо него будет 192.5.41.41.

СОВЕТ. Другие серверы времени уровня 1, поддерживаемые Военно-морской обсерваторией США (USNO), см. здесь.

Теперь остановите и перезапустите службу времени Windows, используя следующие команды:

чистая остановка w32time
чистый старт w32time

Полная синхронизация эмулятора PDC с внешним сервером времени может занять около часа из-за характера метода опроса, используемого W32Time. В зависимости от задержки вашего подключения к Интернету точность часов CMOS на эмуляторе основного контроллера домена корня леса может быть в пределах секунды или двух от UTC. Однако, если вам нужно более точное время, вы можете приобрести аппаратный источник времени, например атомные часы, и подключить его к эмулятору PDC.

В качестве альтернативы, если вы не хотите ждать конвергенции времени между вашим сервером времени уровня 2 (эмулятор PDC корня леса) и внешним сервером времени уровня 1, вы можете выполнить следующую команду на своем эмуляторе PDC:

w32tm/повторная синхронизация/повторное обнаружение

СОВЕТ. Есть несколько дополнительных параметров реестра, которые можно настроить, чтобы обеспечить эффективную внешнюю синхронизацию времени. См. эту статью в базе знаний Microsoft, если ваши контроллеры домена работают под управлением Windows Server 2008 или Windows Server 2008 R2, или эту документацию в ИТ-центре Windows на веб-сайте Microsoft, если ваши контроллеры домена работают под управлением Windows Server 2012, Windows Server 2012 R2 или Windows. Сервер 2016.