Источник точного времени в Windows
Встроенным механизмом аутентификации Windows AD DS является Kerberos, система выдачи аутентификационных удостоверений которого основана на источнике точного времени. В случае если между двумя машинами в одном и том же домене разница во времени составляет более пяти минут, процесс аутентификации невозможен. Поэтому очень важно, чтобы время на всех членах домена было точным.
В Windows Server 2008 R2 для обеспечения постоянного источника времени между всеми контроллерами домена по всему домену используется служба Windows Time Service и иерархия каталогов.
Один сервер — именно тот, что выступает в роли эмулятора первичного контроллера домена (PDC) — отвечает за получение точного времени из настраиваемого вручную надежного источника, вроде NIST, time.windows .com, pool.ntp.org или часов GPS. Этот надежный источник считается нулевым уровнем (stratum 0). Эмулятор PDC, соответственно, считается уровнем 1, все остальные контроллеры доменов, которые находятся на том же сайте, что и эмулятор PDC — уровнем 2, ведущие серверы на удаленных сайтах — уровнем 3, а все остальные контроллеры доменов на тех же удаленных сайтах — уровнем 4.
Рядовые компьютеры будут пытаться получать время с контроллера домена самого низшего уровня в собственном сайте. Если этот контроллер домена не предоставляет информации о времени, они будут обращаться к контроллерам домена следующего, более высокого уровня.
Доменные компьютеры всегда следуют такой системе, что объясняет тот факт, почему часы будут сбрасываться до времени домена автоматически даже в случае изменения времени локальных часов. Значение времени обычно синхронизируется при запуске и три раза подряд через каждые 45 минут после него для гарантии успешности, после чего интервал проверки увеличивается до 8 часов.
Очень важно, чтобы администраторы не забывали конфигурировать и тестировать настраиваемый вручную внешний источник времени на эмуляторе PDC.