我有一个中等规模的 Windows 网络,包含 60 个工作站和 10 个服务器(其中 2 个是域控制器)。一个 DC 担任 FSMO 角色,包括 PDC 模拟器。这个带有 PDC 的 DC 不同步外部时间,时间大约落后 5 分钟,导致所有工作站都落后。
不确定我是否应该将 PDC 与外部互联网源同步,或者暂时手动增加此服务器上的时间。目前尚未设置为使用外部源。
有什么建议吗?手动将时间增加几分钟安全吗?
答案1
撞击向前对于大多数应用程序来说,及时更新通常是安全的,但倒退更新就不好了。
也就是说,您至少应该在 PDC 上使用 NTP 来与四个(是的,四个!)外部 NTP 服务器同步。原因很复杂,但基本上您需要确保好时间服务器可以“压倒”坏时间服务器。我建议使用公共 NTP 池,它已设置 Geo DNS,可为您提供您所在国家/地区的时间服务器。使用 0.pool.ntp.org、1.pool.ntp.org、2.pool.ntp.org、3.pool.ntp.org。
模拟Windows 2003或更高版本,您可以在PDC模拟器上运行此命令来同步它:
w32tm /config /manualpeerlist:"0.pool.ntp.org,0x8 1.pool.ntp.org,0x8 2.pool.ntp.org,0x8 3.pool.ntp.org,0x8" /syncfromflags:MANUAL /update
每个服务器名称后的十六进制数字告诉 Windows 时间服务使用 NTP 客户端模式关联和自适应轮询间隔(这是正确的方法)。您还应该考虑将其添加到至少一个其他域控制器,但使用“/syncfromflags:ALL”,以便它与外部 NTP 服务器以及您的本地域控制器进行通信。
对于任何与互联网进行 NTP 通信的系统,您需要在防火墙上打开 UDP 端口 123 出站。请参阅这里获取 MSFT 的完整文档(请注意,您可以通过组策略进行配置,而不是使用命令行工具)。
答案2
你确定它没有使用 NTP 吗?默认情况下它会访问微软?
无论如何,您的客户端应该与您的 DC 保持一致。找到一个您信任的优质 NTP 服务器,并更新您的 PDC 模拟器,随着时间的推移,您的客户端将更新以匹配 DC
是的,你应该可以碰一下。就像我说的,你的客户端应该与 DC 同步,但不必与外界同步。