如何在 Windows Server 中配置權威時間伺服器
我有一個在防火牆後面執行的性能實驗室,因此實驗室中的所有機器都沒有網際網路訪問權限。實驗室中的所有機器都是域的一部分,域控制器也存在於實驗室內。問題是某些伺服器的時間嚴重漂移。
一些背景資料:
DC 是 Win Server 2K3 Enterprise SP2。
9 台機器正在執行 Server 2K3 Standard。(這些都在 1 分鐘之內,所以沒問題)
3 台機器是 Win Server 2K8 R2 標準(這些是物理伺服器)-(這些機器在 1 到 6 分鐘之間變化,並且不再同步)
6 台機器是 Win Server 2K8 R2 Core(這些是 Hyper-V 主機)(有些也不同)
- 在這 6 台機器上,我們在每台機器上託管 1 個 Win 2K8 R2 Standard 實例。(這些在 1 到 6 分鐘之間變化,並且不再同步)
1 台機器執行 win 2K8 R2 Enterprise 作為 SCVMM。(6 分鐘後不再同步)
從上面看,問題似乎出在 2008 年的伺服器上。
我發現了以下內容:
如何在 Windows Server 中配置權威時間伺服器$$ to use an internal hardware clock $$ http://support.microsoft.com/kb/816042
從這裡我在 PT-DC01(域控制器)上安裝了“Microsoft Fix it 50394”
我還發現:
如何在 Windows Server 中配置權威時間伺服器 http://support.microsoft.com/kb/816042
從這裡,我在 SSVMM(環境中的伺服器)上安裝了“Microsoft Fix it 50395”,設置如下:
NtpServer: pt-dc01.pt.local,0x1
SpecialPollInterval:900(15 分鐘*)
MaxPosPhaseCorrection:3600(1 小時*)
MaxNegPhaseCorrection:3600(1 小時*)
顯然不包括括號中的任何內容。
我還在兩台伺服器上重新啟動了 Windows 時間服務。我只做了這兩個伺服器來證明它首先工作。問題在於它似乎沒有:在編寫 SSVMM 的時間是 12:10 而 PT-DC01 的時間是 12:04。
我檢查了系統資料庫,這些值都沒有改變,所以我手動更新了 NtpServer,並將 MaxPosPhaseCorrection 和 MaxNegPhaseCorrection 保留在 0xffffffff,這意味著它們將始終更新。
重新啟動伺服器沒有效果。
c:>w32tm /重新同步 /nowait
沒有效果
我還從http://www.zimbio.com/open+source+consulting/articles/193/Troubleshooting+w32tm+issues執行了以下命令
w32tm /config /manualpeerlist:"pt-dc01.pt.local",0×1 /syncfromflags:MANUAL w32tm /config /update net stop w32time net start w32time w32tm /resync /nowait pause也沒有效果。我還在第一行用 0x8 而不是 0x1 進行了嘗試。
任何幫助將非常感激。
所有域成員都應自動將他們的時間與他們最後驗證的域控制器同步。反過來,這些 DC 將與具有 PDC 仿真器角色的 DC 同步。除非您有真正的理由,否則無需為此瘋狂配置。這都是預設設置。
如果您在 AMD 處理器上執行某些伺服器,並且虛擬機(在基於 AMD 的機器上)沒有啟動“同步客戶端時間到主機”選項,您會遇到一些偏差。這似乎是 AMD 特有的,它不影響基於 Intel 的晶片。然而,漂移不會讓你失望——我們說的是最糟糕的幾秒鐘。
Active Directory 將自動神奇地同步到其他地方的域控制器(正如 MarkM 所指出的那樣),但它們這樣做的時間長得可笑……有時是幾個小時。所有這些都發生在 Windows 時間服務中,(我相信)預設情況下是啟用的。Kerberos 通常具有 +/- 5 分鐘的容差。如果您的時鐘漂移超過 5 分鐘,則說明出現了嚴重問題。
如果您感到絕望,並且儘管進行了所有其他努力,它仍在繼續,您可能希望安裝第 3 方 NTP 服務(如果它跟上的話)。在物理硬體(不是虛擬機!)上安裝一次服務,然後將所有其他機器指向它。