除非极其精确的计时对您来说至关重要，否则除了时钟变化 2 分钟之外，对您的用户来说不应该有任何明显的影响。

可能的例外是，如果他们宣布您的 NTP 服务器由于巨大的变化而“失常”（这将要求您在受影响的系统上重新启动 NTP 服务以强制它们同步时钟 - 尽管您可以在不中断的情况下执行此操作）。

在修复此问题时，请注意以下几点：

• 您应该配置查看外部 NTP 源的系统，以便查看来自以下位置的多个（4-5 个）服务器公共 NTP 池项目——最好是地理位置合适的服务器。
  拥有更多 NTP 服务器可以让选择算法忽略那些损坏/失灵的服务器，从而保证时钟准确。

• 在像您这样的配置中，我会将Core Router 1和Core Router 2指向外部时钟源（而不是彼此）。
  这样会为您提供两个独立同步的时钟，它们之间的误差应该在几毫秒内，但如果您的一个路由器出现故障，也不会影响另一个路由器。

• 在像你这样的配置中，我会将域控制器指向两个都核心路由器（再次防止其中一个发生故障）。
  如果您想防止时钟失常，则应添加第三个权威 NTP 服务器（或列出您的一个路由器两次，并希望它不是失去理智的那个……）

Windows 的域默认值允许在身份验证停止工作之前关闭 +/- 300 秒的时间，因此您会没事的。 这是一篇关于这个主题的相当详尽的文章，其中甚至提到了如何使用域级 GPO 更改对时间偏差的容忍度。它位于Computer Configuration-> Policies-> Windows Settings-> Security Settings-> Account Policies-> Kerberos Policy-> Maximum tolerance for computer clock synchronization。

也就是说，您应该让您的权威时间源（通常是 Windows 域中担任 PDC 模拟器角色的域控制器）与外部ntp源同步，例如pool.ntp.org。 更多来自 Technet 的信息，请点击这里。

针对另一个答案，这不需要停机。只需重新指向您的权威时间源，其余加入域的计算机也会自行同步。

编辑：既然@voretaq7提到了这一点，我应该指出，我们只有一个系统可以看到外部时间源，即我们的 PDC 模拟器。所有设备，包括网络设备都与其同步。我们发现这是一种更好的安排，因为网络设备不会因为时间偏差而拒绝身份验证，但使用 Kerberos 的域加入计算机（对我们来说，所有计算机都是如此）会拒绝身份验证。因此，在这方面，在我们的网络设备上拥有准确的时间并不是特别重要，但在我们的 Windows 系统上却很重要，因为我们也在 Windows 服务器上运行计时员工的计时软件，因此这一点尤为重要。

Windows 客户端实际上登录时不会遇到任何问题。Maximum tolerance for computer clock synchronization目前对该政策的描述相当不准确。

时钟严重错误的客户端将会收到来自服务器的响应，该响应确定了它们的时钟之间的偏差 - 然后身份验证正常进行（客户端会进行自我调整以解决明显的时钟偏差）。

关于一件事的描述是正确的；该策略仍然有效地设置了重放攻击的计时器 - 但是，就合法流量而言，通信对于较大的时钟偏差具有很强的稳定性。

看这篇 MS 知识库文章了解更多信息。

显然，您无法安排短暂的停机时间，对吗？我会推动停机时间，以便在所有受影响的服务器上重新启动 ntp 服务。如果这不可能，那么您必须等待一段时间。