我知道最好的做法是PDC 模拟器与外部 NTP 时间源同步,并让所有其他域控制器与 PDC 模拟器同步。
不过,我的网络布局……至少可以说是“有趣的”。
我的公司是一家跨国公司。由于一些不为人知的原因,集团总部(位于另一个国家)需要所有国家分支机构连接直接地到集团总部,而不是国家总部。PDC 模拟器位于国家总部。
但范围是全国性的,而不是全球性的。
换句话说,它是一种“轮毂和辐条”布置...但 PDC 仿真器位于一个辐条中,而不是位于轮毂中。
现在,集团总部很“好心”地提供了一个时间参考服务器;我们称之为ntp.bigcompany.com。 我已经让我的PDC模拟器与该时间参考同步。
价值百万美元的问题:您认为我是否应该继续按照“推荐”的方式执行(即让分支 DC 同步到 PDC 模拟器),还是应该强制所有 DC 同步到 ntp.bigcompany.com?
编辑后添加:为了让事情更清楚,全部我所在国家的办事处(分公司或总部)有不直接互联网连接;所有办事处都通过 VPN 连接到总部。总部设有代理服务器场,为分公司/总部的 Web 浏览器提供服务。到公共互联网 NTP 服务器的 NTP 流量被阻止。
答案1
我会在每个 DC 站点上将本地 ntp 同步到 GPS 卫星,这样,即使链接断开(但愿不会发生),您的系统仍然处于完美的时间同步状态,并且在网络故障后复制时不必担心时间和 AD。
答案2
不管你如何做,你都应该确保域中的所有内容与其他内容之间的间隔不超过 5 分钟。说实话,如果在解决此问题时存在管理问题,那么你可能需要为此设置子域。
通常,除了管理边界的情况外,子域并不是那么必要,但看起来您显然遇到了管理问题。单独的子域将允许每个站点都有单独的 PDC 模拟器。
答案3
为什么不将 PDC 模拟器角色移至“HUB”办公室?