我们的一些服务器上有域时间 II,但我们必须做出可能的决定,为域时间 II 购买 100 多个许可证或启用 Windows 时间服务。
在我到达之前几年就安装了域时间 II,我正在尝试弄清楚是否有理由使用 Windows 时间服务。有人告诉我域时间 II 比 Windows 时间服务更准确,但我想查看所有选项。
我们的域控制器运行的是 Server 2003。我们环境中的其他操作系统是:Server 2008、Windows XP、Windows 7 和其他 Windows 2003 服务器。Windows 时间服务在这些机器上运行会不会有问题,尤其是如果 Windows 更新不总是执行的话?我只是不想在没有弄清楚所有事实的情况下进行大笔购买。任何关于选择哪一个以及为什么的建议都将不胜感激。谢谢。
答案1
多年来,我为许多客户提供过支持,这些客户的规模各不相同,从拥有一台 Windows Server 计算机和几台加入域的 PC 到拥有 6,000 多台 PC 和几百台 Windows Server 计算机的财富 1,000 强公司。我从未见过任何人在任何环境中使用除 Windows Time 之外的物理 Windows Server 计算机的时间同步机制,我自己也没有使用过。
虚拟机的情况则不同。过去,VMware 曾提出过建议:使用 VMware Tools 时间同步功能并使用 NTP 同步主机。今天的修订版他们对 Windows 环境中计时的建议讨论将 Windows 时间服务与手动指定的 NTP 服务器结合使用。
FINRA“1 秒时钟规则”是公司推动更精确的时间同步机制和更易于审计的机制的最大原因。如果您符合此规则,那么您应该考虑“Windows 时间”服务是否真正满足您的需求。如果您不符合,那么我怀疑“Windows 时间”服务对您来说“足够好”(因为它对许多组织来说都是如此)。
答案2
默认情况下在 Windows AD 域中的 DC 上运行 NTP 时间服务并让客户端同步其时间的主要原因是,如果客户端的时间偏差太大,用于登录的身份验证机制 (Kerberos) 将会中断。由于“太大”在此上下文中意味着 > 5 分钟,因此几乎任何定期时间同步机制都可以,因此 Microsoft 实现仅使用 NTP 功能的一个子集,称为 S(简化)NTP。自 Windows 2000 以来,SNTP 客户端一直是 Windows Server 和客户端操作系统不可或缺的一部分,因此您列出的任何操作系统都不需要任何其他软件来同步到 DC NTP 服务器。
作为领域时间II旨在实现比 Windows 内置 SNTP 实现更高的精度,需要注意的是Windows 版本/移植的开源 NTP 项目可以获得准确的10毫秒内在任何具有合理延迟的网络中。