1.如下图,用命令netdom query fsmo查看域内的PDC主机
检查其他域控的时间源,均为PDC主机,如下图所示,因此其他域控的时间源无需修改;否则需执行命令:w32tm /config /syncfromflags:domhier /reliable:no /update,配置其他域控的时间源;
查询使用时间源状态
w32tm/query /configuration
w32tm/monitor
或查看注册表
HKEY_local_machine\system\currentcontrolset\services\w32time\parameters\NTP
Nosync表示客户端没有同步时间(就是所谓的硬件时钟)
NTP表示客户端从外部时间源同步时间,并且NTPServer字段定义了这个时间源
NT5DS表示客户端配置了使用域架构作为自己的时间同步
AllSync表示客户端会从任何可靠的时间源处同步时间,包括域结构和外部时间源的。
就该注册表项而言,在DC上默认值是NT5DS,在独立的客户端或服务器上是NTP。
然后登录到PDC上,用命令w32tm /query /configuration查看该域控是否为NTPServer;如下图Ntpserver中,“Enabled”值为“1”说明当前域控是NTP服务器;若该值为“0”,则需要在注册表的下列位置HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer中,将“Enabled”值改为“1”,
4.用命令w32tm /query /status查看PDC主机的时间源如下,可以看到当前PDC主机的时间来源为系统时钟,我们需要将它改为一个可靠的外部NTP服务器,但NTP 协议使用的是UDP 123这个端口,因此我们一定要确保这个端口的入站和出站流量,以确保windows时间服务的正常工作;
我们可以从网上搜索到很多国内常用的NTP服务器,比如此处我们选择以下NTP服务器:ntp.neu.edu.cn;首先在PDC服务器上用Ping命令测试与该服务器之间的网络正常,如下图;
下图为服务器与NTP通信正常:
下图为服务器与NTP通信异常,多数为服务器网络原因:
6) 然后在PDC主机上执行命令:w32tm /config /manualpeerlist:ntp.neu.edu.cn /syncfromflags:manual /reliable:yes /update,将PDC主机的时间源设置为该NTP服务器,如下图;
7.修改PDC主机的注册表,将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\W32Time\Parameters下的Type值改为“NTP(NTP表示客户端从外部时间源同步时间);
8.将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\W32Time\Config下的AnnounceFlags值改为十六进制的5(或十进制的5),如下图所示;
9.修改与NTP的同步时间间隔
10.然后依次执行下列命令,重启时间服务,如下图所示:
W32tm /config /update
Net stop w32time && Net start w32time
W32tm /resync
检查确认设置完成后用命令w32tm /query /status查看PDC服务器的时间源,如下图,配置成功;
检查其他域控的注册表值,其中“NT5DS”表示通过域层次(domain hierarchy)进行时间同步,如下图所示;
Ø [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters]— "Type"="NT5DS"
Ø [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config]—"AnnounceFlags"=dword:0000000a
Ø [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters] —"NtpServer"="time.windows.com,0x9"
13.配置组策略,设置域成员与PDC服务器的时间同步
在组策略管理中,依次选择:计算机配置—策略—Windows 设置—安全设置—系统服务 ,配置域客户端自动自动windows time 服务
14.在组策略管理中,选择"Default Domain Policy"上右键,编辑。依次选择:计算机配置—管理模板—系统—Windows时间服务
15.双击"全局时间配置",选择"已启用"。修改MaxNegPhaseCorrection的值为3600(即为3600秒,1小时);修改MaxPosPhaseCorrection的值为3600(即为3600秒,1小时);修改AnnounceFlags的值为5 ;点"应用","确定"。
16关于域控(PDC)所在OU的GPO,一定不要“配置Windows NTP客户端”。 使用系统默认设定“未配置”状态即可。
17.关闭w32time 并重新启动w32time ,使策略生效
18.配置客户端与服务器端时间同步 ,并验证
4) 再次检查其他域控的时间源,均为即PDC主机,如下图;
5) 如果检查过程中修改了某台服务器的配置,为使修改尽快生效,可再依次执行以下命令:
W32tm /config /update
Net stop w32time && Net start w32time
W32tm /resync