如何在 Windows Server 2003 中配置权威时间服务器

转载自微软网站

Windows 包含 W32Time，它是 Kerberos 身份验证协议所需的时间服务工具。Windows 时间服务的目的是确保组织中运行 Microsoft Windows 2000 或更高版本的所有计算机都使用同一个时间。

为确保合理地使用公共时间，Windows 时间服务使用层级关系来控制授权，并且不允许出现循环。默认情况下，基于 Windows 的计算机使用下面的层级：

• 所有客户端桌面计算机都提名身份验证域控制器作为其入站时间伙伴。
• 所有成员服务器都遵循与客户端桌面计算机相同的过程。
• 域中的所有域控制器都提名主域控制器 (PDC) 操作主机作为其入站时间伙伴。
• 所有 PDC 操作主机都遵循域的层级来选择其入站时间伙伴。

在此层级中，位于林根的 PDC 操作主机成为组织的权威时间服务器。我们极力建议您将权威时间服务器配置为从硬件源收集时间。当您将权威时间服务器配置为与 Internet 时间源同步时，不会有任何身份验证。我们还建议您降低服务器和独立客户端的时间校准设置。这些建议可以为您的域提供更准确的时间和更高的安全性。

配置 Windows 时间服务以使用内部硬件时钟

<script type="text/javascript"> loadTOCNode(2, 'summary'); </script> 警告：如果使用注册表编辑器或其他方法错误地修改了注册表，则可能会出现严重问题。这些问题可能需要重新安装操作系统才能解决。Microsoft 不能保证可以解决这些问题。修改注册表需要您自担风险。

要 将 PDC 主机配置为不使用外部时间源，请更改 PDC 主机上的公告标志。PDC 主机是存放域的林根 PDC 主机角色的服务器。这种配置会强制 PDC 主机将它自身宣布为可靠的时间源，从而使用内置的互补金属氧化物半导体 (CMOS) 时钟。要将 PDC 主机配置为使用内部硬件时钟，请按照下列步骤操作：

1. 单击“开始”，单击“运行”，键入 regedit，然后单击“确定”。
2. 找到并单击下面的注册表子项：
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags
3. 在右窗格中，右键单击“AnnounceFlags”，然后单击“修改”。
4. 在“编辑 DWORD 值”的“数值数据”框中键入 A，然后单击“确定”。
5. 退出注册表编辑器。
6. 在命令提示符处，键入以下命令以重新启动 Windows 时间服务，然后按 Enter：
   net stop w32time && net start w32time

注意：决不能将 PDC 主机配置为与它自身同步。有关为何不能将 PDC 主机配置为与自身同步的更多信息，请访问下面的网站以查看征求意见文档 (RFC) 1305：

http://www.rfc-editor.org/ (http://www.rfc-editor.org/)

如果将 PDC 主机配置为与自身同步，将在系统日志中记录以下事件：

类型: 信息
来源: W32Time
类别: 无
事件 ID: 38
计算机: ComputerName
描述: 时间提供程序 NtpClient 不能访问，或当前正在从 NTP_server_IP_Address 接收无效的时间数据。有关更多信息，请参阅在 http://support.microsoft.com 的帮助和支持中心。

类型: 警告
来源: W32Time
类别: 无
事件 ID: 47
计算机: ComputerName
描述: 时间提供程序 NtpClient: 在尝试联系它 8 次以后没有收到来自手动配置的对等端 NTP_server_IP_Address 的有效响应。此对等端将不再被作为时间源，并且 NtpClient 将尝试用此 DNS 名称发现一个新的对等端。有关更多信息，请参阅在 http://support.microsoft.com 的帮助和支持中心。

类型: 错误
来源: W32Time
类别: 无
事件 ID: 29
计算机: ComputerName
描述: 时间提供程序 NtpClient 被配置为从一个或多个时间源获得时间，但是当前这些源没有一个是可以访问的。在 15 分钟内不会进行联系时间源的尝试。NtpClient 没有一个能够提供准确时间的时间源。有关更多信息，请参阅在 http://support.microsoft.com 的帮助和支持中心。

如果 PDC 主机在没有使用外部时间源的情况下运行，应用程序日志中会记录以下事件：

时间提供程序 NtpClient: 此机器配置为用域层级确定它的时间源，但它已经是林的根目录域的 PDC 模拟器，因此在域层级没有机器在它上面以用作时间源。建议您在根域上配置一个可靠的时间服务，或者手动配置 PDC 与外部时间源同步。否则，此机器将作为域层级中的权威时间源。如果没有为此计算机配置或使用外部时间源，您可以选择禁用 NtpClient。

这段文本是为了提醒您使用外部时间源，您可以忽略它。

配置 Windows 时间服务以使用外部时间源

<script type="text/javascript"> loadTOCNode(2, 'summary'); </script> 要将内部时间服务器配置为与外部时间源同步，请按照下列步骤操作：

1. 将服务器类型更改为 NTP。为此，请按照下列步骤操作：
   1. 单击“开始”，单击“运行”，键入 regedit，然后单击“确定”。
   2. 找到并单击下面的注册表子项：
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Tim