Использующийся в доменах Active Directory протокол Kerberos включает в аутентификаторы специальные временные метки, чтобы исключить возможность их перехвата. Эта мера имеет одно важное последствие. Чтобы механизм аутентификации успешно работал, необходимо, чтобы системные часы всех компьютеров находились в синхронизированном состоянии. Действительно, получая аутентификатор, подсистема аутентификации сравнивает время его создания с показаниями собственных часов. Если разница составляет больше пяти минут, аутентификатор будет отклонен.
Синхронизация системных часов компьютера осуществляется службой Windows Time. Принцип работы этой службы следующий. Клиентские компьютеры автоматически синхронизируют свои часы с контроллером домена, являющегося исполнителем специализированной роли эмулятора PDC (PDC Emulator). РОС Emulator синхронизирует показания своих системных часов с показаниями часов контроллера родительского домена (или корневого домена леса). Контроллер корневого домена леса может синхронизировать показания своих часов с некоторым внешним источником (например, службой точного времени). Как вариант возможна ситуация, когда синхронизация часов контроллера корневого домена не выполняется. В этом случае показания системных часов данного контроллера домена считаются эталонными.
Служба синхронизации времени реализована во всех операционных системах, использующих протокол аутентификации Kerberos — Windows 2000/XP и Windows Server 2003.