你的Windows Server是否曾经停止工作，即使是在你认为一切都正确配置的时候呢？如果你遇到过这种情况，出现的问题可能和服务器时钟相关。虽然它看上去是个小问题，但服务器时钟的缺陷可能会威胁到你整个操作系统。

　　服务器时钟不同步时可能发生的一些问题包括：

• 网络认证失败
• 和系统中心数据保护管理器（SCDPM）代理的沟通问题
• Exchange Server、ActiveSync和Outlook Web Access（OWA）不可用

　　在很多情况中，服务器时间同步问题来源于Kerberos协议，它有一个安全功能专门查看Kerberos票据上的时间戳，这主要是为了保护它们不会被重复使用。如果一张票据上的时间距离现在超过了五分钟，这张票据会遭到拒绝。因此，如果时钟五分钟内没有同步，Kerberos会开始出现故障。

　　通常来讲，时间同步不会带来问题。例如，当Windows在活动目录（AD）环境中运行时，域内的所有计算机时钟都自动地与域控制器同步。但是，在域成员和工作组成员混合或是多个活动目录林存在的环境中，时钟同步就可能变成一个问题。

　　举个更具体的例子，我自己网络中的所有生产服务器都进行了虚拟化。因为这个原因，我的虚拟化主机服务器中没有域成员，且所有的域控制器都是虚拟机。由于虚拟机根本没有启动，所以主机服务器不能和域控制器沟通的情况就不可能出现。如此一来，我选择让主机操作系统作为工作组成员。

　　另外，我所有的虚拟化主机都运行Windows Server 2008 R2上的Hyper-V。这些服务器中的一些集群运行Windows 2008 R2的虚拟机，其它的集群那些仍然运行Windows Server 2003的虚拟机。但是虽然运行Windows 2008 R2的来宾机好像和主机服务器的时钟保持了同步，运行Windows 2003的机器有可能无法和其余网络保持同步。

　　那么，你要如何解决这个问题呢？解决方法会因为这台计算机是不是域成员而有所不同。但不管是何种情况，你需要指定一台服务器作为时间来源。它可以是你网络中的一台服务器或者你可以和国家标准与技术局（NIST）的原子钟进行同步。

　　在工作组环境中，你可以通过打开Command Prompt窗口然后键入如下命令来将机器链到时间来源：

W32tm /config /syncfromflags:manual /manualpeerlist: <time source> W32tm /config /update

　　在这个例子中，你可以将<time source>替换成完全限定域名（FQDN）或是你想与之保持同步的服务器IP地址。你可以通过隔离每个有一个空间的地址来指定多个时间来源。

　　在域环境中，使用组策略设置来指定时间来源情况会更好些。时钟相关的组策略设置可以在Group Policy Editor里看见，位置是：Computer Settings | Administrative Templates | System | Windows Time Service。

　　有三个不同的组策略设置可供你使用，包括：

• Configure Windows NTP Client-让你可以将计算机时钟和外部时间来源进行同步。
• Enable Windows NTP Client-允许计算机将时钟与其它Windows服务器进行同步。
• Enable Windows NTP Server-允许服务器向Windows NTP客户端提供时间同步。

　　注意，如果你打算和外部的时间来源进行同步，比如NIST，你就不能启用Windows NTP Client或是Windows NTP Server。使用外部时间来源时，你可能还要打开一些防火墙端口。Windows服务器为时间协议运用UDP端口123，它在默认情况下就该打开。但如果你想要使用NIST，你还要打开TCP端口13，TCP端口37和UDP端口37。

　　正如你所见，保持Windows Server时钟间的同步十分重要。尽管时钟一般会自动同步，准备好面对需要手动同步时钟的情况还是必要的。