• 基于域层次结构的时间同步
• 手动指定时间同步源
• 所有可用的时间同步机制
• 不进行同步

• 可靠时间源只能够和其父域的域控制器进行时间同步
• PDC 仿真操作主机primary domain controller (PDC) emulator operations master role）只能和其所在域内的可靠时间源或其父域的任意一个域控制器进行时间同步。

域控制器知道他自己可以与哪种类型的域控制器进行时间同步。因此，如果一个域控制器不能与它将要发送的查询请求所对应类型的域控制器进行时间同步，那么它就不会发送这类查询请求。例如，本域的 PDC 仿真操作主机不能与他自己进行时间同步，所以它不会发送类型为 3 和 6 的查询请求。

域控制器时间源查询：

每个请求都会返回一串可用的域控制器列表，Windows 时间服务会根据可靠性和位置等特性为结果中的每个域控制器打分，来决定最终选择哪个域控制器作为时间源。

评分规则表：

如果 Windows 时间服务认为自己已经找到的分数最高的域控制器，它就不会再发送更多的查询请求。评分表里各项的分数是叠加的，这意味着同一站点内的 PDC仿真操作主机的得分是 9

如果林根域的 PDC仿真操作主机没有配置与外部的时间源同步，那么该主机上的硬件时钟将会作为时间标准。

2.手动指定同步时间源

这种方式允许用户指定一个或者一组机器作为本机时间同步的时间源。如果一台主机未加入域，那么必须手动指定他与某个指定的时间源同步。如果该主机已经加入某个域，默认情况下会依照域层次结构进行时间同步。手动指定时间源的方式对林根域的PDC仿真操作主机和未加入域的主机最为有用。手动指定一个外部的 NTP 服务器作为域内权威时间服务器的时间源能够为域提供可靠的时间。然而，实际上把域内权威时间服务器设置为与硬件时钟同步更能够为域提供精确和安全的时间。

如果只将林根域的PDC配置为与外部的时间源进行同步，域内所有其他的主机依赖域层次结构进行时间同步，会使Kerberos 认证的重放攻击变得困难，提高域的安全性。

3.所有可用的同步机制

该选项是对网络用户来说最有价值的同步方式。这种选择允许使用域层次结构进行时间同步，同时在域层次结构同步方式不可用时，还可以根据配置使用其他时间源进行同步。如果客户端无法通过域层次结构进行同步，时间源将自动改变成 NtpServer 注册表项中所指定的时间源。这种同步方式最可能为客户端提供精确的时间。

4.不进行时间同步

在某些情况下用户可能希望关掉时间同步。例如，关闭时间同步来减少拨号上网费用；关闭时间同步来防止产生相关的错误日志。

在一个同步网络中，关掉被设计成时间同步网络的根时间服务器上的时间同步是很有用的。这表明，这台根主机信任他自己的时间。如果时间同步层次结构中的根主机没有被设置成不进行时间同步的话，如果此时它自身不能和另一个时间源进行同步，那么其他客户端就不会信任这台机器发出的时间同步包，因为它的时间已经不可信了。

5.相关注册表项

The reg entries are located in the following registry key and options for the “Type:”

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters

Type : REG_SZ

Used to control how a computer synchronizes.

Nt5DS = synchronize to domain hierarchy [default]
NTP = synchronize to manually configured source
NoSync = do not synchronize time

http://blogs.msmvps.com/acefekay/2009/09/18/configuring-the-windows-time-service-for-windows-server/

https://technet.microsoft.com/en-us/library/cc773263(v=WS.10).aspx

https://technet.microsoft.com/zh-cn/library/cc773013(v=ws.10).aspx

https://support.microsoft.com/zh-cn/kb/816042