仅使用组策略在 Server 2008 DC 上配置时间服务

仅使用组策略在 Server 2008 DC 上配置时间服务

我想在 Server 2008 R2 域中仅使用 GP 配置时间服务。我创建了一个 GP,如下所示:

计算机配置、策略、管理模板、系统、Windows 时间策略:
=全局配置设置 - 使用默认设置启用。

计算机配置、策略、管理模板、系统、Windows 时间策略、时间提供程序:
=配置 Windows NTP 客户端 - 使用默认设置启用。
=启用 Windows NTP 客户端 - 使用默认设置启用。=启用 Windows NTP 服务器 - 使用默认设置启用。

该策略已链接、强制执行并应用于域控制器 OU。GP 建模结果显示该策略在 DC(单个 DC 域)上有效,并且 DC 被识别为 PDC 模拟器。我已运行 gpupdate /force 并注销/登录。

问题是 DC 将时间源显示为内部。我知道我可以在命令行上使用 w32tm 强制执行此操作以设置对等方,但我想了解 GP 中缺少什么。默认 NTP 客户端 GP 设置包括 time.windows.com,0x9 作为源,但它似乎没有生效。

编辑:请求的输出:

C:\Users\xxxxx>w32tm /query /configuration [配置]

EventLogFlags:2(策略)
AnnounceFlags:10(策略)
TimeJumpAuditOffset:28800(本地)
MinPollInterval:6(策略)
MaxPollInterval:10(策略)
MaxNegPhaseCorrection:172800(策略)
MaxPosPhaseCorrection:172800(策略)
MaxAllowedPhaseOffset:300(策略)

FrequencyCorrectRate:4(策略)
PollAdjustFactor:5(策略)
LargePhaseOffset:50000000(策略)
SpikeWatchPeriod:900(策略)
LocalClockDispersion:10(策略)
HoldPeriod:5(策略)
PhaseCorrectRate:1(策略)
UpdateInterval:100(策略)

[时间提供者]

NtpClient(本地)
DllName:C:\ Windows \ system32 \ w32time.dll(本地)
已启用:1(本地)
InputProvider:1(本地)
CrossSiteSyncFlags:2(策略)
AllowNonstandardModeCombinations:1(本地)
ResolvePeerBackoffMinutes:15(策略)
ResolvePeerBackoffMaxTimes:7(策略)
CompatibilityFlags:2147483648(本地)
EventLogFlags:0(策略)
LargeSampleSkew:3(本地)
SpecialPollInterval:3600(策略)
类型:NT5DS(策略)

NtpServer(本地)
DllName:C:\Windows\system32\w32time.dll(本地)
已启用:1(本地)
InputProvider:0(本地)
AllowNonstandardModeCombinations:1(本地)

VMICTimeProvider(本地)
DllName:C:\Windows\System32\vmictimeprovider.dll(本地)
已启用:1(本地)
InputProvider:1(本地)

编辑:GP 结果

系统/Windows 时间服务
策略设置 获胜 GPO
全局配置设置 已启用 FIT DC 时间策略
时钟纪律参数
FrequencyCorrectRate 4
HoldPeriod 5
LargePhaseOffset 50000000
MaxAllowedPhaseOffset 300
MaxNegPhaseCorrection 172800
MaxPosPhaseCorrection 172800
PhaseCorrectRate 1
PollAdjustFactor 5
SpikeWatchPeriod 900
UpdateInterval 100
常规参数
AnnounceFlags 10
EventLogFlags 2
LocalClockDispersion 10
MaxPollInterval 10
MinPollInterval 6
ChainEntryTimeout 16
ChainMaxEntries 128 ChainMaxHostEntries 4
ChainDisable 0
ChainLoggingRate 30

系统/Windows 时间服务/时间提供
程序策略设置获胜 GPO
配置 Windows NTP 客户端已启用 FIT DC 时间策略
NtpServer time.windows.com,0x9
类型 NT5DS
CrossSiteSyncFlags 2
ResolvePeerBackoffMinutes 15
ResolvePeerBackoffMaxTimes 7
SpecialPollInterval 3600
EventLogFlags 0

策略设置 获胜的 GPO
启用 Windows NTP 客户端 启用 FIT DC 时间策略
启用 Windows NTP 服务器 启用 FIT DC 时间策略

答案1

好的。谢谢提供数据。我看到您有客户端和服务器的 GPO。NTP 客户端和 NTP 服务器的概念与 Windows 服务器和客户端不同。因此,首先,我建议删除服务器设置。这些设置用于将处理 NTP 请求的机器。在域中,使用 Windows 时间服务(而不是 NTP)向客户端提供时间。

在您的情形下,您的 DC 是 NTP 客户端,因为它从外部 NTP 服务器接收数据。因此,该策略应仅针对客户端设置进行定义。

接下来,将时间提供商 GPO 设置更改为类型网络时间协议 (NTP), 代替NT5DS

执行 gpupdate 并再次运行 w32tm 配置查询。

总结:
- 启用 Windows NTP 客户端已启用
- 启用 Windows NTP 服务器未配置
- 配置 Windows NTP 客户端 | Ntp 服务器(NTP 服务器名称),0x9(0x9 是一个标志,表示 NTP 服务器是主服务器。
- 配置 Windows NTP 客户端 | 类型网络时间协议 (NTP)

我在我们的实验室域上对此进行了测试,它似乎有效。当您运行 w32tm 配置查询时,它应该在 [时间提供商] 部分中显示类型:NTP 和 NtpServer:(NTP 服务器名称)。

答案2

默认情况下,所有域客户端都会向域控制器查询权威时间。无需设置 GPO 即可执行此操作。

我不建议您将每个客户端都设置为直接访问 NTP 服务器来获取时间。Kerberos 身份验证依赖于您的 DC 和客户端是否彼此同步,因此客户端最好从 DC 本身获取时间。

现在,如果您希望使用 NTP 将域同步到外部校准源,则应在担任 PDC 仿真器角色的 DC 上进行配置。请参阅http://technet.microsoft.com/en-us/library/cc786897(WS.10).aspx它为您提供了有关如何将 PDC 与 NTP 服务对等的说明。

我们通过连接到一些内部 Symmetricom NTP 服务器的域来实现这一点。客户端的平均误差为 +/-0.1 秒。如果您需要更高的精度,则需要在客户端上安装专门的第三方软件。

答案3

您是否检查过防火墙是否打开了 123 出站端口。我遇到了同样的问题,结果发现防火墙阻止了 DC 连接 NIST 服务器。

相关内容