我做了大量研究,但未能找到我们问题的可靠答案。
短篇小说是我们的整个 Windows 域运行缓慢 35 分钟即服务器和工作站。我认为这是因为操作主机角色被分配给了 Hyper-V VM。此后,我们将该角色转移到了物理服务器。不幸的是,我从这家出色的前支持公司继承了这一点。
我的计划(只是一个想法!):
将默认域 GPO 的“计算机时钟同步的最大容忍度”从 5 分钟更改为 60 分钟,然后等待几个小时才能将其推送到工作站?默认情况下,它每 90 分钟复制一次,对吗?
在具有操作主机角色的 DC 上设置外部时间源。然后,这将依次更新其他服务器和工作站。
为了确保我在这里问的是一个直截了当的问题,什么是最安全、最有效的方法来纠正整个网络内的时间漂移? 显然,立即更改 DC 上的时间将导致 Kerberos 身份验证出现重大问题。
答案1
提高容忍度可能会有效,但是你可能希望等待超过 90 分钟。我会至少等一天。
以下是一些其他注意事项:
禁用虚拟/来宾域控制器的任何硬件时钟同步。
配置 PDC 仿真器角色域控制器以与外部时间源同步。
使用组策略将注册表值配置为以下设置为 48 小时(MaxNegPhaseCorrection、MaxPosPhaseCorrection 十进制:172800,十六进制:0x0002A300)
配置所有其他域控制器、成员服务器和工作站以使用域层次结构进行时间同步 (NT5DS)。
如果您不使用 PDC 仿真器角色域控制器进行外部时间同步,则它不应该是具有任何其他基础结构主机角色的域控制器。
为林配置时间源
http://technet.microsoft.com/en-us/library/cc784800%28v=ws.10%29.aspx
Windows 时间服务的工作原理
http://technet.microsoft.com/en-en/library/cc773013%28v=ws.10%29.aspx
AD DS:此域控制器上的 MaxPosPhaseCorrection 值应等于 48 小时
http://technet.microsoft.com/en-us/library/dd723684%28v=ws.10%29.aspx