Windows
在整個 Windows 域中糾正時間漂移
我做了很多研究,但未能找到我們問題的可靠答案。
簡而言之,我們的整個 Windows 域執行緩慢 35 分鐘。即伺服器和工作站。我認為這是由於將操作主機角色分配給了 Hyper-V 虛擬機。此後,我們將角色轉移到了物理伺服器。不幸的是,我從這家出色的前支持公司那裡繼承了這一點。
我的計劃(只是一個想法!):
- 將預設域 GPO 的“電腦時鐘同步的最大容差”從 5 分鐘更改為 60 分鐘,然後等待幾個小時將其推送到工作站?預設情況下它每 90 分鐘複製一次,對嗎?
- 在具有操作主機角色的 DC 上設置外部時間源。這應該依次更新其他伺服器和工作站。
為了確保我在這裡提出一個直截了當的問題,在整個網路中糾正時間漂移的最安全和最有效的方法是什麼? 顯然,立即更改 DC 上的時間會導致 kerberos 身份驗證出現重大問題。
提高容差可能會起作用,但是您可能希望允許超過 90 分鐘。我至少要等一天。
以下是一些額外的注意事項:
- 禁用作為虛擬/來賓的域控制器的任何硬體時鐘同步。
- 將 PDC 模擬器角色域控制器配置為與外部時間源同步。
- 使用組策略將系統資料庫值配置為 48 小時(MaxNegPhaseCorrection、MaxPosPhaseCorrection 十進制:172800,十六進制:0x0002A300)
- 將所有其他域控制器、成員伺服器和工作站配置為使用域層次結構進行時間同步 (NT5DS)。
- 如果您不使用 PDC Emulator 角色域控制器進行外部時間同步,則它不應是具有任何其他基礎結構主機角色的域控制器。
為林配置時間源
http://technet.microsoft.com/en-us/library/cc784800%28v=ws.10%29.aspx
Windows 時間服務的工作
原理 http://technet.microsoft.com/en-en/library/cc773013%28v=ws.10%29.aspx
AD DS:此域控制器上 MaxPosPhaseCorrection 的值應等於 48 小時
http://technet.microsoft.com/en-us/library/dd723684%28v=ws.10%29.aspx