Windows 域时间同步

Windows Server 包含 W32Time，它是 Kerberos 身份验证协议所需的时间服务工具。Windows 时间服务可确保组织中运行 Microsoft Windows 2000 Server 操作系统或更高版本的所有计算机都使用同一时间。

当 Windows AD 域搭建好后，可以配置 Windows 时间服务使用下面 4 种方式进行时间同步：

• 基于域层次结构的时间同步
• 手动指定时间同步源
• 所有可用的时间同步机制
• 不进行同步
  

下面将对这四种方式详细说明：

1.基于域层级结构的时间同步

基于域层次结构的时间同步，使用 AD DS 域层次结构来发现可靠的时间源来进行时间同步。在Windows AD域中，在没有另外配置其他可靠的时间源时，林根域的PDC仿真 操作主机默认充当林内最权威的时间源。上图刻画了域层次结构中，各种角色机器的时间同步路径。

可靠时间源的配置：

被配置为可靠时间源的主机会被认为是域内时间服务的权威，通常这种充当可靠时间源的机器自身会被配置为与外部的某个 NTP 服务器或者硬件设备进行时间同步。可以将域内的时间服务器配置为可靠时间源来优化域内时间同步的传输。如果一个域控制器被配置为一个可靠时间源，那么当这台与控制器登入网络的时候，Net Logon 服务就会宣布这台域控制器是可靠的时间源。当其他域控制器选择时间源进行同步时，他们会首先选择可靠时间源，如果有可靠时间源可用的话。

时间源的选择：

一台主机通过下列方式之一来选择同步时间源：

1. 如果该主机没有加入域，那么必须手动配置他要同步的时间源

2. 如果该主机是域内的成员服务器或工作站，默认情况下他会依照域层次结构，来与他本域内运行了时间服务的域控制器进行时间同步

3. 如果该主机是一台域控制器，它会发送多达 6 种查询请求来定位另一台合适的域控制器，并与之同步。各个请求被设计成用来发现有某种特定属性的时间源，如某种类型的域控制器，某个特殊的位置，是否是可靠的时间源等。并且时间源自身遵循如下限定：

• 可靠时间源只能够和其父域的域控制器进行时间同步
• PDC 仿真操作主机primary domain controller (PDC) emulator operations master role）只能和其所在域内的可靠时间源或其父域的任意一个域控制器进行时间同步。

域控制器知道他自己可以与哪种类型的域控制器进行时间同步。因此，如果一个域控制器不能与它将要发送的查询请求所对应类型的域控制器进行时间同步，那么它就不会发送这类查询请求。例如，本域的 PDC 仿真操作主机不能与他自己进行时间同步，所以它不会发送类型为 3 和 6 的查询请求。

域控制器时间源查询：

查询类型查询的目标域控制器类型位置时间源可靠性1父域的域控制器同一站点优先使用查询结果中的可靠时间源，也可以和不可靠的时间源同步，如果查询结果中不存在可靠的时间源2本域的域控制器同一站点只和查询结果中可靠的时间源进行同步3本域的PDC 仿真操作主机同一站点不适用，域控制器不会尝试和其自身进行同步4父域的域控制器不同站点优先使用查询结果中的可靠时间源，也可以和不可靠的时间源同步，如果查询结果中不存在可靠的时间源5本域的域控制器不同站点只和查询结果中可靠的时间源进行同步6本域的PDC 仿真操作主机不同站点不适用，域控制器不会尝试和其自身进行同步

每个请求都会返回一串可用的域控制器列表，Windows 时间服务会根据可靠性和位置等特性为结果中的每个域控制器打分，来决定最终选择哪个域控制器作为时间源。

评分规则表：

域控制器状态分数域控制器在同一站点8域控制器被标记为可靠时间源4域控制器在父域2域控制器是 PDC仿真操作主机1

如果 Windows 时间服务认为自己已经找到的分数最高的域控制器，它就不会再发送更多的查询请求。评分表里各项的分数是叠加的，这意味着同一站点内的 PDC仿真操作主机的得分是 9

如果林根域的 PDC仿真操作主机没有配置与外部的时间源同步，那么该主机上的硬件时钟将会作为时间标准。

2.手动指定同步时间源

这种方式允许用户指定一个或者一组机器作为本机时间同步的时间源。如果一台主机未加入域，那么必须手动指定他与某个指定的时间源同步。如果该主机已经加入某个域，默认情况下会依照域层次结构进行时间同步。手动指定时间源的方式对林根域的PDC仿真操作主机和未加入域的主机最为有用。手动指定一个外部的 NTP 服务器作为域内权威时间服务器的时间源能够为域提供可靠的时间。然而，实际上把域内权威时间服务器设置为与硬件时钟同步更能够为域提供精确和安全的时间。

如果只将林根域的PDC配置为与外部的时间源进行同步，域内所有其他的主机依赖域层次结构进行时间同步，会使Kerberos 认证的重放攻击变得困难，提高域的安全性。

3.所有可用的同步机制

该选项是对网络用户来说最有价值的同步方式。这种选择允许使用域层次结构进行时间同步，同时在域层次结构同步方式不可用时，还可以根据配置使用其他时间源进行同步。如果客户端无法通过域层次结构进行同步，时间源将自动改变成 NtpServer 注册表项中所指定的时间源。这种同步方式最可能为客户端提供精确的时间。

4.不进行时间同步

在某些情况下用户可能希望关掉时间同步。例如，关闭时间同步来减少拨号上网费用；关闭时间同步来防止产生相关的错误日志。

在一个同步网络中，关掉被设计成时间同步网络的根时间服务器上的时间同步是很有用的。这表明，这台根主机信任他自己的时间。如果时间同步层次结构中的根主机没有被设置成不进行时间同步的话，如果此时它自身不能和另一个时间源进行同步，那么其他客户端就不会信任这台机器发出的时间同步包，因为它的时间已经不可信了。

5.相关注册表项

The reg entries are located in the following registry key and options for the “Type:”

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters

Type : REG_SZ

Used to control how a computer synchronizes.

Nt5DS = synchronize to domain hierarchy [default]
NTP = synchronize to manually configured source
NoSync = do not synchronize time

http://blogs.msmvps.com/acefekay/2009/09/18/configuring-the-windows-time-service-for-windows-server/

https://technet.microsoft.com/en-us/library/cc773263(v=WS.10).aspx

https://technet.microsoft.com/zh-cn/library/cc773013(v=ws.10).aspx

https://support.microsoft.com/zh-cn/kb/816042