Windows Time Server 工作原理

本文涉及的产品
日志服务 SLS,月写入数据量 50GB 1个月
简介:

有人会问,有没一个图标说明一下权威时间服务器的选取呢? 

TechNet上有个图 
 

Time Synchronization in an AD DS Hierarchy

Time Synchronization in Active Directory Hierarchy



那详细的工作原理呢? 

Windows 时间服务如何与 Internet 上的站点进行通信

在 Windows Server 2008 中,Windows 时间服务会自动将本地计算机的时间与网络上其他计算机的时间同步。此同步的时间源会发生变化,具体取决于计算机是加入到域还是工作组。

当运行 Windows Server 2008 的计算机是工作组的一部分时

在工作组中,时间同步频率的默认设置为“每周一次”,且此默认设置将 time.windows.com 站点作为受信任的时间同步源。在进行手动设置前将保持此设置。也可以选择一台或多台计算机作为本地可靠的时间源,并在这些计算机上配置 Windows 时间服务,使其使用已知的正确时间源(特殊硬件或可从 Internet 上获得的时间源)。可以手动将所有其他工作组中的计算机配置为与这些本地时间源同步时间。

当运行 Windows Server 2008 的计算机是域的成员时

在域中,Windows 时间服务会使用域控制器上可用的 Windows 时间服务自动进行自我配置。

可以将域控制器上的 Windows 时间服务配置为可靠或不可靠的时间源。默认情况下,运行 Windows Server 2008 的计算机上的 Windows 时间服务会尝试将其时间源与指定为可靠的服务器同步。

Windows 时间服务与 Internet 之间的通信

下表描述了往来于 Internet 之间的各方面 Windows 时间服务数据以及进行信息交换的方式。

  • 发送或接收的特定信息:该服务以网络时间协议 (NTP) 数据包的形式发送信息。有关 Windows 时间服务和 NTP 数据包的详细信息,请参阅本节后面部分中的其他参考中列出的参考。
  • 默认设置:有关默认设置的描述,请参阅本节前面部分中的“当运行 Windows Server 2008 的计算机是工作组的一部分时”或“当运行 Windows Server 2008 的计算机是域的成员时”部分。
  • 触发器和用户通知:计算机启动时 Windows 时间服务也随之启动。此外,该服务还将持续与指定的网络时间源同步时间,并在必要时调整本地计算机的时间。不会向使用该计算机的用户发送通知。
  • 日志记录:与此服务相关的信息存储在 Windows 系统事件日志中。时间同步源的时间和网络地址包含在 Windows 事件日志条目中。此外,与该服务有关的警告或错误情况的信息存储在 Windows 系统事件日志中。
  • 加密:在域对等机的网络时间同步中不使用加密。(但却使用了身份验证。)
  • 信息存储:该服务不存储信息。时间同步服务请求完成后,时间同步进程生成的所有信息都将消失。
  • 端口:NTP 在时间服务器上使用用户数据报协议 (UDP) 端口 123。如果此端口没有对 Internet 打开,则无法将您的服务器与 Internet NTP 服务器同步。
  • 协议:Windows Server 2008 上的服务会实现 NTP 以与网络上的其他计算机通信。
  • 禁用功能:建议不要禁用此服务,否则会对应用程序或其他设备造成间接影响。如果计算机之间的时间差异很大,则基于时间同步的应用程序和服务(如 Kerberos V5 身份验证协议)可能失败,或可能产生意外的结果。因为大多数计算机基于硬件的时钟不准确,网络上计算机时钟的差异通常会随时间而增大。

 

控制 Windows 时间服务以限制与 Internet 之间的信息流

组策略可以用于为运行 Windows Server 2008 的计算机控制 Windows 时间服务,以限制与 Internet 之间的信息流。

可以通过组策略管理和控制同步类型以及 NTP 时间服务器信息。Windows 时间服务组策略对象 (GPO) 包含指定同步类型的配置设置。同步类型设置为 Nt5DS 时,Windows 时间服务会将其时间源与网络域控制器同步。另外,将类型属性设置为 NTP 可以将 Windows 时间服务配置为与域名系统 (DNS) 名称或 IP 地址指定的 NTP 时间服务器同步。

可以将托管网络上的客户端配置为将计算机时钟设置同步到网络上的 NTP 服务器,以将与 Internet 之间的流量降至最低并确保客户端同步到一个可靠的时间源。还可以(但不推荐)使用组策略对运行 Windows Server 2008 的计算机禁用时间同步。有关详细信息,请参阅本节后面部分中的配置 Windows 时间服务的过程

Windows 时间服务如何影响用户和应用程序

很多 Windows 功能和服务都依赖于时间同步。例如,Windows Server 2003 域上的 Kerberos V5 身份验证协议的默认时间同步阈值为五分钟。该域上超过五分钟没有进行同步的计算机将无法使用 Kerberos 协议进行身份验证。该时间值也可以配置为较大或较小的阈值。无法使用 Kerberos 协议进行身份验证会阻止登录和访问域中的网站、文件共享、打印机,以及其他资源或服务。

确定本地时钟偏移后,可以采取以下措施调整时间:

  • 如果客户端的本地时钟时间与服务器上的时间差异大于阈值,Windows 时间服务将立即更改本地时钟时间。如果计算机属于域,则阈值为五分钟。如果计算机属于工作组,则阈值为一秒。但是,如果计算机属于工作组,且其时间与时间源相差超过 15 个小时,则如此列表后面所述,该时间将不会同步。
  • 如果客户端的本地时钟时间与服务器相差小于阈值,则该服务将逐步使客户端与正确的时间同步。
  • 在工作组中,如果客户端的本地时钟时间与时间源的时间相差大于 15 个小时,则运行 Windows 时间服务并使用默认设置的工作站将不会与时间源同步。此类情况非常少见,且通常是由于配置设置错误引起的。例如,如果用户将计算机上的日期设置错误,则时间也不会同步。在这些情况下,通常时间会相差一天或更多时间。请务必检查计算机的日历并确保设置了正确的日期。

 

Windows 时间服务的配置设置

可以使用组策略为 Windows 时间服务设置全局配置设置。本小节将介绍可能与 Windows 时间服务和 Internet 之间的通信有关的设置。

计算机在域中时,在“策略”下的“计算机配置”(如果显示)中的“管理模板\系统\Windows 时间服务\全局配置设置”下,在某些情况下,只有一个设置可能会影响 Windows 时间服务的通信方式。该设置是 AnnounceFlags,它控制此计算机是否标记为可靠的时间服务器。除非同时将计算机标记为时间服务器,否则该计算机不会被标记为可靠时间服务器。这些设置如下:

  • 0  不作为时间服务器
  • 1  始终为时间服务器
  • 2  自动为时间服务器,意味着由 Windows 时间服务来决定角色
  • 4  始终为可靠时间服务器
  • 8  自动为可靠时间服务器,意味着由 Windows 时间服务来决定角色

默认设置为 10,意味着由 Windows 时间服务决定角色。

“策略”“计算机配置”(如果显示)中的“管理模板\系统\Windows 时间服务\时间提供程序\配置 Windows NTP 客户端”下的组策略设置中,有许多设置可能影响 Windows 时间服务跨 Internet 进行通信的方式。下表描述了其中一些策略设置。

note备注

此表列出了最直接影响 Windows 时间服务与时间源通信方式的设置,但并未列出所有设置。例如,表中未列出指定 Windows 时间服务 DLL 位置的设置,也未列出控制 Windows 时间服务的事件日志记录的设置。

为运行 Windows Server 2008 的计算机配置 Windows 时间服务 NTP 客户端所选定的组策略设置

设置名称和效果 
默认设置

NtpServer:建立一个由空格分隔的对等计算机列表,计算机可以从中获取每行由一个或多个 DNS 名称或 IP 地址构成的时间戳。连接到域的计算机必须与更加可靠的时间源同步,如美国官方时钟。仅当“类型”设置为 NTP 或 AllSync 时才使用此设置。

0x01 SpecialInterval

0x02 UseAsFallbackOnly

0x04 SymmetricActive

0x08 客户端模式中的 NTP 请求

time.windows.com,0x1

“类型”:指出以下内容中接受同步的对等计算机:

NoSync。时间服务不与其他源同步。

NTP。时间服务与 NtpServer 注册表项中指定的服务器同步。

NT5DS。时间服务与域层次结构同步。

AllSync。时间服务使用所有可用的同步机制。

工作组:NTP

域:NT5DS

CrossSiteSyncFlags:确定此服务是否选择计算机所属域外的同步合作伙伴。

无      0

PdcOnly  1

全部          2

如果没有设置 NT5DS 值,则将忽略此值。

2

ResolvePeerBackoffMinutes:指定在尝试查找要同步的对等计算机前等待的初始间隔(以分钟为单位)。如果 Windows 时间服务无法成功与时间源同步,该服务将使用 ResolvePeerBackoffMinutes 和 ResolvePeerBackoffMaxTimes 中指定的设置继续重试。

15

ResolvePeerBackoffMaxTimes:指定在重复尝试查找要同步的对等计算机失败时加倍等待间隔的最大次数。值为 0 意味着等待间隔始终为 ResolvePeerBackoffMinutes 中的初始间隔。

7

SpecialPollInterval:对已经手动配置的对等计算机指定特殊轮询间隔(以秒为单位)。启用特殊轮询后,Windows 时间服务将使用此轮询间隔代替由内置于 Windows 时间服务的同步算法所确定的动态间隔。

工作组:604800 604800

域:3600 3600




本文转自 VirtualTom 51CTO博客,原文链接:http://blog.51cto.com/virtualtom/646569,如需转载请自行联系原作者

相关实践学习
日志服务之使用Nginx模式采集日志
本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
目录
相关文章
|
14天前
|
安全 前端开发 Windows
Windows Electron 应用更新的原理是什么?揭秘 NsisUpdater
本文介绍了 Electron 应用在 Windows 中的更新原理,重点分析了 `NsisUpdater` 类的实现。该类利用 NSIS 脚本,通过初始化、检查更新、下载更新、验证签名和安装更新等步骤,确保应用的更新过程安全可靠。核心功能包括差异下载、签名验证和管理员权限处理,确保更新高效且安全。
26 4
Windows Electron 应用更新的原理是什么?揭秘 NsisUpdater
|
5天前
|
网络安全 Windows
Windows server 2012R2系统安装远程桌面服务后无法多用户同时登录是什么原因?
【11月更文挑战第15天】本文介绍了在Windows Server 2012 R2中遇到的多用户无法同时登录远程桌面的问题及其解决方法,包括许可模式限制、组策略配置问题、远程桌面服务配置错误以及网络和防火墙问题四个方面的原因分析及对应的解决方案。
|
10天前
|
监控 安全 网络安全
Windows Server管理:配置与管理技巧
Windows Server管理:配置与管理技巧
40 3
|
14天前
|
存储 安全 网络安全
Windows Server 本地安全策略
由于广泛使用及历史上存在的漏洞,Windows服务器成为黑客和恶意行为者的主要攻击目标。这些系统通常存储敏感数据并支持关键服务,因此组织需优先缓解风险,保障业务的完整性和连续性。常见的威胁包括勒索软件、拒绝服务攻击、内部威胁、恶意软件感染等。本地安全策略是Windows操作系统中用于管理计算机本地安全性设置的工具,主要包括用户账户策略、安全选项、安全设置等。实施强大的安全措施,如定期补丁更新、网络分段、入侵检测系统、数据加密等,对于加固Windows服务器至关重要。
|
1月前
|
数据安全/隐私保护 Windows
安装 Windows Server 2019
安装 Windows Server 2019
|
1月前
|
网络协议 Windows
Windows Server 2019 DHCP服务器搭建
Windows Server 2019 DHCP服务器搭建
|
1月前
|
网络协议 定位技术 Windows
Windows Server 2019 DNS服务器搭建
Windows Server 2019 DNS服务器搭建
|
1月前
|
安全 网络协议 数据安全/隐私保护
Windows Server 2019 搭建并加入域
Windows Server 2019 搭建并加入域
|
1月前
|
网络协议 文件存储 Windows
Windows Server 2019 FTP服务器搭建
Windows Server 2019 FTP服务器搭建
|
1月前
|
网络协议 Windows
Windows Server 2019 Web服务器搭建
Windows Server 2019 Web服务器搭建
下一篇
无影云桌面