Windows AD 網路上外部 NTP 伺服器的最佳實踐
我有一個 Windows Hyper-V 網路。我有 2 個域控制器;兩者都是虛擬機。DC1 在 Host01 上執行,DC2 在 Host02 上執行。
在每個域控制器上:
w32tm /query /source返回VM IC Time Synchronization Provider。在每個主機上:
w32tm /query /source返回域控制器的名稱。因此,VM 將主機視為其 NTP 源,而主機將 VM 視為其 NTP 源。顯然不好。我可以更改域控制器以查看外部 NTP 伺服器作為其時間源 - 或者 - 我可以更改主機以查看外部 NTP 伺服器。
一種或另一種的最佳做法和優點/缺點是什麼?
我傾向於讓域控制器查詢外部時間伺服器,因為預設情況下,網路上的所有電腦無論如何都會與 DC 同步時間。這將包括主機和所有其他伺服器以及所有工作站。
我在某處讀到,存在一個潛在問題,即 VM 將恢復為*“VM IC Time Sync”*作為源。有沒有人經歷過這個?我不介意不時重新檢查這一點,但如果某些原因導致 NTP 伺服器被重置,那麼我想知道為什麼,以及如何防止它。
如果我編輯域控制器 VM 的 Hyper-V 屬性並取消選中將 VM 的 /query /source 更改為Local CMOS Clock的集成服務 > 時間同步。提到這一點是因為無論 VM 的 Hyper-V 時間同步設置是選中還是未選中,我都希望源始終是我指定的外部 NTP 伺服器。
最佳做法是為作為 AD 域成員的所有虛擬機禁用時間同步 Hyper-V 集成服務。
最佳做法是將您的 Hyper-V 主機同步到 AD 域(如果它們是域的成員):
net stop w32time w32tm /unregister w32tm /register net start w32time w32tm /config /syncfromflags:DOMHIER /update net stop w32time net start w32time最佳做法是將非 PDCe 域控制器同步到 AD 域:
net stop w32time w32tm /unregister w32tm /register net start w32time w32tm /config /syncfromflags:DOMHIER /update net stop w32time net start w32time最佳做法是將您的 PDCe 域控制器同步到外部時間源:
net stop w32time w32tm /unregister w32tm /register net start w32time w32tm.exe /config /manualpeerlist:time.windows.com /syncfromflags:manual /reliable:YES /update net stop w32time net start w32time