最佳实践

由于 Kerberos 对时间非常敏感，因此您应该将客户端计算机配置为使用其中一个域控制器作为 NTP 服务器。下面的 DigitalOcean 链接建议使用ntp而不是 ，systemd-timesyncd因为一些优化的“平滑”算法可以防止奇怪的时钟跳跃，这种跳跃可能会破坏某些应用程序“未来的时间戳、会话中止等”。

systemd如果在具有和的系统上timedatectl

运行sudo gedit /etc/systemd/timesyncd.conf并取消注释NTP=并设置您要尝试的空间分隔服务器列表，如果您的笔记本电脑可能不在 VPN 上访问域控制器，您还应该将其设置FallbackNTP=为包含 pool.ntp.org 或其他公共 NTP 服务器之类的内容。

示例 /etc/systemd/timesyncd.conf

[Time]
NTP=domaincontroller.pithoslabs.com
FallbackNTP=ntp.ubuntu.com pool.ntp.org

然后sudo systemctl restart systemd-timesyncd无需重新启动即可使新的更改生效。

如果在没有systemd

sudo apt install ntpdate
ntpdate domaincontroller.yourdomain.com
sudo gedit /etc/default/ntpdate

对于长时间运行的机器，您可能需要添加一个 cron 条目来每天运行此操作。您也可以根据这篇出色的 DigitalOcean 文档直接使用 ntp，https://www.digitalocean.com/community/tutorials/how-to-set-up-time-synchronization-on-ubuntu-16-04

如果您还安装了 ntp，ntpdate-debian（对 debian/ubuntu 上游的 ntpdate 包进行了一些调整）也可以使用/etc/ntp.conf，请参阅/etc/default/ntpdate文件的注释。