在整個 Windows 域中糾正時間漂移

我做了很多研究，但未能找到我們問題的可靠答案。

簡而言之，我們的整個 Windows 域執行緩慢 35 分鐘。即伺服器和工作站。我認為這是由於將操作主機角色分配給了 Hyper-V 虛擬機。此後，我們將角色轉移到了物理伺服器。不幸的是，我從這家出色的前支持公司那裡繼承了這一點。

我的計劃（只是一個想法！）：

1. 將預設域 GPO 的“電腦時鐘同步的最大容差”從 5 分鐘更改為 60 分鐘，然後等待幾個小時將其推送到工作站？預設情況下它每 90 分鐘複製一次，對嗎？
2. 在具有操作主機角色的 DC 上設置外部時間源。這應該依次更新其他伺服器和工作站。

為了確保我在這裡提出一個直截了當的問題，在整個網路中糾正時間漂移的最安全和最有效的方法是什麼？ 顯然，立即更改 DC 上的時間會導致 kerberos 身份驗證出現重大問題。

提高容差可能會起作用，但是您可能希望允許超過 90 分鐘。我至少要等一天。

以下是一些額外的注意事項：

• 禁用作為虛擬/來賓的域控制器的任何硬體時鐘同步。
• 將 PDC 模擬器角色域控制器配置為與外部時間源同步。
• 使用組策略將系統資料庫值配置為 48 小時（MaxNegPhaseCorrection、MaxPosPhaseCorrection 十進制：172800，十六進制：0x0002A300）
• 將所有其他域控制器、成員伺服器和工作站配置為使用域層次結構進行時間同步 (NT5DS)。
• 如果您不使用 PDC Emulator 角色域控制器進行外部時間同步，則它不應是具有任何其他基礎結構主機角色的域控制器。

為林配置時間源

http://technet.microsoft.com/en-us/library/cc784800%28v=ws.10%29.aspx

Windows 時間服務的工作

原理 http://technet.microsoft.com/en-en/library/cc773013%28v=ws.10%29.aspx

AD DS：此域控制器上 MaxPosPhaseCorrection 的值應等於 48 小時

http://technet.microsoft.com/en-us/library/dd723684%28v=ws.10%29.aspx

引用自：https://serverfault.com/questions/379902