DCs Server 2008 域上的时间源不正确?

tag-icon tag-icon windows-server-2008 time-synchronization
DCs Server 2008 域上的时间源不正确?

因此,我们收到一位用户投诉,称她的电脑上的时钟比实际时间慢了一分钟,因此她总是错过火车。尽管我对这样的事情反应难以置信,但它确实促使我调查了我们域中的时间同步,我认为这凸显了我对时间同步的缺乏理解。

目前我的“w32tm /monitor”命令的结果如下:

C:\Users\TAlexander>w32tm /monitor
NCCDC1.xxxxxx.xx.xx[10.168.50.32:123]:
    ICMP: 0ms delay
    NTP: +2.4042293s offset from RHDC1.xxxxxx.xx.xx
        RefID: firewall.xxxxxx.xx.xx [10.168.xxx.xxx]
        Stratum: 4
NCCDC3.xxxxxx.xx.xx[10.168.50.36:123]:
    ICMP: 0ms delay
    NTP: +2.4122098s offset from RHDC1.xxxxxx.xx.xx
        RefID: firewall.xxxxxx.xx.xx [10.168.xxx.xxx]
        Stratum: 4
NCCDC.xxxxxx.xx.xx[[fe80::d1e0:8675:36c1:acba%14]:123]:
    ICMP: 0ms delay
    NTP: -0.0916479s offset from RHDC1.xxxxxx.xx.xx
        RefID: RHDC1.xxxxxx.xx.xx [10.168.50.35]
        Stratum: 2
RHDC1.xxxxxx.xx.xx *** PDC ***[10.168.50.35:123]:
    ICMP: 0ms delay
    NTP: +0.0000000s offset from RHDC1.xxxxxx.xx.xx
        RefID: 'LOCL' [0x4C434F4C]
        Stratum: 1
ICMDC1.xxxxxx.xx.xx[10.168.50.31:123]:
    ICMP: 0ms delay
    NTP: +2.4229719s offset from RHDC1.xxxxxx.xx.xx
        RefID: wwwco1test12.microsoft.com [65.55.21.20]
        Stratum: 3
ICMDC2.xxxxxx.xx.xx[10.168.50.33:123]:
    ICMP: 0ms delay
    NTP: +0.1387203s offset from RHDC1.xxxxxx.xx.xx
        RefID: RHDC1.xxxxxx.xx.xx [10.168.50.35]
        Stratum: 2

RHDC1 是我们的 PDC,因此根据我所读到的内容,我认为 RHDC1 应该具有不同时间源的 RefID(在本例中是我们的防火墙),然后其他 DC 应该向 PDC 查询时间,并因此在 RefID 中显示 RHDC1。然后客户端(服务器和工作站)应该在 NETLOGON 进程运行时进行同步。

事实上,我们有一些不同的来源和配置。我的假设是否正确,我们的 DC 不是以传统的域层次结构方式同步的?如果是这样,是否有 GP 或命令可以强制它们返回到此状态?

答案1

看起来,一些非 PDC 仿真器 DC 使用的时间源确实有些问题。我建议在所有 DC 上运行以下命令,PDC 仿真器除外:

w32tm /config /syncfromflags:domhier /update。然后重新启动 w32time。

至于将 PDC 仿真器同步到外部源(例如防火墙),我的问题是这是否必要?时间是相对的。拥有“封闭系统”是完全可以接受的,除非出于审计、法律等原因需要从外部源获取真实、准确的时间。如果需要,那么您可能需要同步到防火墙以外的其他东西。

答案2

虚拟 DC 的问题部分在于它想要从 PDC 获取时间,但“虚拟驱动程序”默认设置为与主机同步时间。如果主机和 PDC 的时间不一致,这将导致一场拉锯战。大多数人只会禁用 VM 时间同步功能,但如果 VM曾经已保存与已关闭。

在 Hyper-V 世界中的 PDC:以下步骤将 VM 设置为在启动、睡眠/唤醒和快照恢复时使用主机,但一旦操作系统启动,它将使用 manualpeerlist 进行时间同步。您还应该让主机与相同的源同步时间,以便您的主机/客户机之间的最大间隔仅为 5-10 秒。

打开管理提示符并输入以下命令:

reg add HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider /v Enabled /t reg_dword /d 0

(回答“是”以覆盖并禁用该时间源)

w32tm /config /syncfromflags:MANUAL /reliable:YES /manualpeerlist:"us.pool.ntp.org,0x1" /update

net stop w32time & net start w32time

w32tm /resync /force

(应成功完成)

w32tm /query /source

(应显示 NTP 服务器 IP/名称)

在帮助几位客户克服 DC/PDC 处于虚拟化状态的时间问题后,我从 TechEd 和微软的一篇出色的虚拟化文章中整理出了这一点。http://blogs.msdn.com/b/virtual_pc_guy/archive/2010/11/19/time-synchronization-in-hyper-v.aspx

答案3

好的,Doamins 仅从 PDC EMULATOR ROLE 同步。

并且 Windows 时间同步可以使计算机“足够接近以使 Kerberos 能够工作”,这与服务器的延迟在 5 分钟之内。

其他任何东西都不是时间服务的用途,需要高分辨率时间服务器。

你的员工太差劲了,竟然认为应该这么近。根本就没为此做好准备。

相关内容