将客户端与域内的互联网时间服务器同步

将客户端与域内的互联网时间服务器同步

我们的基础设施团队现在有比网络时间差 2 分钟(比外部可靠来源慢 2 分钟)更重要的事情要担心。然而,时间错误确实让我和我们部门更挑剔的成员感到烦恼。

我们能解决这个问题吗?是的,我们可以!我知道我们可以,因为我以前做过。我认为我的机器目前与“time.nist.gov”同步。至少这是注册表中 HKLM\SYSTEM\ControlSet001\Services\W32Time 下的值。我确信的是,它与几个可靠的时间服务器的时间差在一秒之内。我同事的机器与网络匹配。

在我上次重建我的机器之后(大约一年前)我做了一些改变以使时间正确同步但我无论如何也想不起来该怎么做!

我知道这和这个问题,但我对此有一点不同的看法。也许对同步机进行一点逆向工程会对我们有帮助?

背景:我(以及我的同事)都是域管理员组的成员,并且对我们的盒子拥有本地管理权限。我们无法以任何方式更改域或 DC。我们每个人都可以不受限制地访问互联网。

到目前为止尝试过:将注册表 HKLM\SYSTEM\ControlSet001\Services\W32Time 克隆到其他机器 - 失败

答案1

这样做你将要有麻烦。Active Directory 要求域中的所有计算机在一定容差内进行时间同步,才能正常运行,因此如果差异太大,您可能会发现自己无法登录。

如果这确实让您如此困扰,您应该与您的管理员讨论将他们的 PDC 模拟器与更可靠的时间源同步,并向他们解释时间差异给您带来了问题(不过要准备好提供可信的案例来支持它)。

如果您坚持将自己的机器保留在单独的时间源,那么您可以预料到,当您的管理员意识到这一点时,他们会拒绝为您提供支持,直到您将其恢复到应有的状态。您甚至可能有一个 GPO 强制执行正确的域层次结构时间设置,从而防止您弄乱它。

这个故事的寓意是“不要干涉事物应有的运作方式”。

答案2

作为 AD 管理员,我同意mh 的回答。虽然 2 分钟不会对 AD 造成太大问题(允许的最大时间差是 Kerberos 中断前的 5 分钟),但我仍然倾向于不去处理它。除非你有强迫症倾向,否则 2 分钟真的没什么好担心的 :-)

答案3

Windows XP NTP 客户端几乎完全没用。同步发生在看似随机的时间间隔,延迟不可估量。我们在 Windows 上运行时间精度交易应用程序,发现(通过编写替代 NTP 客户端)在 Windows 上进行时间调整也是一场噩梦。

我对您的建议是使用 automachron(已停产,但仍然有用)。

相关内容