同步 Windows 时间服务 (W32Time) 的日期和时间的所有运行 Active Directory 域服务 (AD DS) 的计算机。 时间同步至关重要的许多 Windows 服务和的业务线 (LOB) 应用正常运行。 Windows 时间服务使用的网络时协议 (NTP) 来同步网络上的计算机时钟。 NTP 确保,准确时钟值或时间戳,即可分配到网络验证和资源的访问权限请求。
时间协议的重要性
两台计算机若要交换时间信息,然后使用该信息同步他们时钟之间进行通信时间协议。 使用 Windows 时服务时间协议,的客户端从服务器请求时间信息,并使其时钟根据所收到的信息同步。
Windows 时间服务使用 NTP 帮助同步网络上的时间。 NTP 是包含不必同步时钟专业算法 Internet 时间协议。 NTP 是更精确的时间协议比简单网络时间协议 (SNTP),可在某些版本的 Windows。但是,W32Time 仍支持 SNTP 启用与计算机运行 SNTP 基于时间的服务,如 Windows 2000 的后向兼容性。
Windows 10和Windows Server 2016中的时间准确性得到了显着提高,同时保持了与旧Windows版本完全向后的NTP兼容性。在正确的操作条件下,运行Windows 10或Windows Server 2016及更新版本的系统可以提供1秒,50毫秒(毫秒)或1毫秒的精度。(时间精度:时间精度需要从高度准确的权威时间源到终端设备的端到端精确时间分配。任何引入网络不对称的因素都会对准确性产生负面影响,例如物理网络设备或目标系统上的高CPU负载。)
Windows 时间服务结构:
Windows 时间服务包含以下组件:
-
服务控制管理器
-
Windows 时间服务管理器
-
时钟专业
-
时间提供程序
下图显示的体系结构 Windows 时间服务。
服务控制管理器负责启动和停止 Windows 时间服务。 Windows 时间服务管理器负责启动附带操作系统 NTP 时间提供商的操作。 Windows 时间服务管理器来控制 Windows 时间服务的所有功能和合并所有时间样本。 除了提供有关当前系统状态,如当前时间源或最后时间系统时钟已更新信息,Windows 时间服务管理器程序还负责创建事件日志中的事件。
时间同步进程中涉及以下步骤:
-
输入提供商要求,接收来自配置 NTP 时间来源时间样本。
-
这些时间示例将传递到 Windows 时服务管理器,它将收集所有样本,并将其传输到时钟专业子组件。
-
时钟专业子组件适用 NTP 算法这会导致的最佳时间示例所选内容旁。
-
时钟专业子组件调整通过调整时钟率或直接更改的时间的最准确的时间到系统时钟的时间。
如果计算机已指定时间服务器为,它可以发送到请求时间同步此过程中任何位置的任何计算机的时间。
Windows 时间服务时间协议
时间协议确定程度两台计算机的时钟同步。 时间协议负责确定的最佳可用时间信息和汇聚时钟,以确保在不同的系统中确保保持一致的时间。
Windows 时间服务使用的网络时协议 (NTP) 来通过网络同步时间。 NTP 是包含不必同步时钟专业算法 Internet 时间协议。 NTP 是更精确的时间协议比简单网络时间协议 (SNTP),可在某些版本的 Windows。但是 W32Time 继续支持 SNTP 启用与计算机运行 SNTP 基于时间的服务,如 Windows 2000 的后向兼容性。
网络时间协议
网络时协议 (NTP) 是默认的时间使用 Windows 时间服务操作系统中的同步协议。 NTP 是能力故障、 高度可扩展时间协议,并且在使用最常使用指定的时间参考同步计算机时钟的协议。
NTP 时间同步发生一段时间内通过,并且涉及 NTP 数据包传输通过网络。 NTP 数据包包含在时间同步中包含的客户端和服务器参与时间示例的时间戳。
NTP 依赖于参考时钟定义最精确的时间要使用,并同步到该参考时钟网络上的所有时钟。 NTP 当前时间协调世界时 (UTC) 使用通用标准。 UTC 独立时区的时间,并使 NTP 在无论时区的区域设置世界随时随地使用。
NTP 算法的支持
NTP 包括两个算法、 时钟筛选算法和时钟选择算法,帮助确定的最佳时间示例 Windows 时间服务。时钟筛选算法旨在筛选的时间和示例,将收到了来自查询的时间源确定每个来源的最佳时间示例。时钟选择算法然后确定网络上的最准确的时间服务器。 此信息然后传递时钟专业算法,使用时,由于网络延迟和计算机时钟不准确性错误补偿更正的计算机,本地时钟中收集的信息。
NTP 算法是最准确的灯到中等网络和服务器加载的情况下。 与会考虑网络公交时间任何算法,NTP 算法的支持,可能很好地运行 extreme 网络拥堵的情况下。
NTP 时间提供程序
Windows 时间服务,可支持的各种硬件设备和时间协议一个完整的时间同步包。 若要启用此支持,该服务使用可插入时间提供商。 时间提供程序是负责任一获取精确的时间戳 (从网络或硬件) 或通过网络提供的其他计算机这些时间戳。
NTP 提供程序附带操作系统标准时间提供商。 NTP 提供商遵循 NTP 版本 3 的客户端和服务器,由指定的标准,并可与 SNTP 客户端和服务器 Windows 2000 和其他 SNTP 客户端的后向兼容性的交互。在 Windows 时间服务 NTP 提供商由以下两部分组成:
-
NtpServer 输出提供商。 这是响应网络上的客户端时间请求时间服务器。
-
NtpClient 输入提供商。 这是从硬件设备或 NTP 服务器的其他来源获取时间的信息,并可以返回同步本地时钟有用的时间示例的时间客户端。
尽管这些两个提供商的实际操作密切相关,它们将显示独立到时间服务。 从 Windows 2000 Server、 Windows 计算机连接到网络时,它被配置为 NTP 客户端。 此外,计算机运行的 Windows 时间 service 仅尝试同步域控制器或手动指定的时长源默认的时间。 以下是时间的首选的时间提供商,因为它们是时间的可用自动、 安全来源。
NTP 安全
在AD DS林中,Windows时间服务依赖于标准域安全功能来强制执行时间数据身份验证。在域成员计算机和充当时间服务器的本地域控制器之间发送的NTP数据包的安全性基于共享密钥身份验证。 Windows时间服务使用计算机的Kerberos会话密钥在通过网络发送的NTP数据包上创建经过身份验证的签名。 NTP数据包不在Net Logon安全通道内传输。相反,当计算机从域层次结构中的域控制器请求时间时,Windows时间服务要求对时间进行身份验证。然后,域控制器以64位值的形式返回所需信息,该值已使用Net Logon服务中的会话密钥进行了身份验证。如果返回的NTP数据包未使用计算机的会话密钥签名或签名不正确,则会拒绝该时间。所有此类身份验证失败都记录在事件日志中。通过这种方式,Windows时间服务为AD DS林中的NTP数据提供安全性。
通常,Windows时间客户端会自动从同一域中的域控制器获取准确的同步时间。在林中,子域的域控制器与其父域中的域控制器同步时间。当时间服务器将经过身份验证的NTP数据包返回给请求时间的客户端时,数据包将通过域间信任帐户定义的Kerberos会话密钥进行签名。当新的AD DS域加入林时,将创建域间信任帐户,并且Net Logon服务将管理会话密钥。通过这种方式,在林根域中配置为可靠的域控制器将成为父域和子域中所有域控制器的经过身份验证的时间源,并间接成为