hyper-v 服务器时间同步源-PDC/外部 NTP？

Question 1

一方面，这是一个巧妙的问题，但另一方面，它可能主要基于观点。实际上没有单一的方法可以做到这一点。你有很多选择，其中许多选择同样有效。

通过阅读博客文章这个你会发现，甚至微软的员工也对此感到很纠结：

我们最初的建议是禁用时间同步，并依靠 DC 自己的功能来与其他 DC 同步时间。

有一段时间，我遵循了这一建议，没有任何不良影响，因为我对 AD 域中的 NTP 和时间同步的工作方式非常熟悉，以至于我觉得 Hyper-V 时间同步只是碍事。它对我来说工作得很好。

但 Hyper-V 项目经理 Ben Armstrong 表示：

问题#8 – 我应该何时禁用 Hyper-V 时间同步服务（在虚拟机设置中，还是在客户操作系统内）？

绝不。

肯定有时候您会想要使用远程时间源（域源或外部时间服务器）增强 Hyper-V 时间集成服务的功能，但获得虚拟机启动/恢复操作最佳体验的唯一方法是保持 Hyper-V 时间集成服务处于启用状态。

当我在 Hyper-V 2012 R2 上的 Win8.1 虚拟化客户机（加入 AD 域，其 DC 也已虚拟化，并且所有 DC 上都启用了时间同步集成服务）上运行以下命令时，我看到此信息：

C:\>w32tm /query /source
VM IC Time Synchronization Provider

C:\>w32tm /query /peers
#Peers: 1

Peer: DC01.labs.myotherpcisacloud.com
State: Active
Time Remaining: 254.6744551s
Mode: 3 (Client)
Stratum: 2 (secondary reference - syncd by (S)NTP)
PeerPoll Interval: 10 (1024s)
HostPoll Interval: 10 (1024s)

输出看起来是矛盾的。

和这家伙谈论部分通过对所有域成员进行注册表调整来禁用域来宾的时间同步。但我个人不赞成这种方法。当我进入其他人的环境（毫无疑问是为了修复他们的时间同步问题）时，我发现他们已经手动重新配置了每个域成员的 Windows 时间服务，这让我很烦。别管它，这是我的座右铭。

以下是我个人的检查清单：

在所有地方都启用时间同步集成服务。
假设所有 DC 都是虚拟机，请将林根 PDCE 域控制器配置为与外部时间源（例如 *.pool.ntp.org）同步。林根 PDCE 应该是 AD 林中唯一配置为查看外部时间源的计算机。所有其他域成员和域控制器将通过传统的 Windows 时间机制有机地定位 DC。
配置 Hyper-V 主机以指向与虚拟化林根 PDCE 相同的外部时间源。无论您的 Hyper-V 主机是否加入同一个域，您都希望它们能够在其中运行的虚拟化 DC 发生故障时访问可靠的时间源。

这很有效...这不是解决猫皮问题的唯一方法，但效果很好。

Answer

一方面，这是一个巧妙的问题，但另一方面，它可能主要基于观点。实际上没有单一的方法可以做到这一点。你有很多选择，其中许多选择同样有效。

通过阅读博客文章这个你会发现，甚至微软的员工也对此感到很纠结：

我们最初的建议是禁用时间同步，并依靠 DC 自己的功能来与其他 DC 同步时间。

有一段时间，我遵循了这一建议，没有任何不良影响，因为我对 AD 域中的 NTP 和时间同步的工作方式非常熟悉，以至于我觉得 Hyper-V 时间同步只是碍事。它对我来说工作得很好。

但 Hyper-V 项目经理 Ben Armstrong 表示：

问题#8 – 我应该何时禁用 Hyper-V 时间同步服务（在虚拟机设置中，还是在客户操作系统内）？

绝不。

肯定有时候您会想要使用远程时间源（域源或外部时间服务器）增强 Hyper-V 时间集成服务的功能，但获得虚拟机启动/恢复操作最佳体验的唯一方法是保持 Hyper-V 时间集成服务处于启用状态。

当我在 Hyper-V 2012 R2 上的 Win8.1 虚拟化客户机（加入 AD 域，其 DC 也已虚拟化，并且所有 DC 上都启用了时间同步集成服务）上运行以下命令时，我看到此信息：

C:\>w32tm /query /source
VM IC Time Synchronization Provider

C:\>w32tm /query /peers
#Peers: 1

Peer: DC01.labs.myotherpcisacloud.com
State: Active
Time Remaining: 254.6744551s
Mode: 3 (Client)
Stratum: 2 (secondary reference - syncd by (S)NTP)
PeerPoll Interval: 10 (1024s)
HostPoll Interval: 10 (1024s)

输出看起来是矛盾的。

和这家伙谈论部分通过对所有域成员进行注册表调整来禁用域来宾的时间同步。但我个人不赞成这种方法。当我进入其他人的环境（毫无疑问是为了修复他们的时间同步问题）时，我发现他们已经手动重新配置了每个域成员的 Windows 时间服务，这让我很烦。别管它，这是我的座右铭。

以下是我个人的检查清单：

在所有地方都启用时间同步集成服务。
假设所有 DC 都是虚拟机，请将林根 PDCE 域控制器配置为与外部时间源（例如 *.pool.ntp.org）同步。林根 PDCE 应该是 AD 林中唯一配置为查看外部时间源的计算机。所有其他域成员和域控制器将通过传统的 Windows 时间机制有机地定位 DC。
配置 Hyper-V 主机以指向与虚拟化林根 PDCE 相同的外部时间源。无论您的 Hyper-V 主机是否加入同一个域，您都希望它们能够在其中运行的虚拟化 DC 发生故障时访问可靠的时间源。

这很有效...这不是解决猫皮问题的唯一方法，但效果很好。

Question 2

我会使用计划 1。DC 和域成员应该与域层次结构同步（林根 PDC 模拟器除外，它应该使用外部时间源）。

以下是按重要性排序的优先事项：

DC 和域成员彼此同步
DC 和域成员具有正确的时间

如果你运行 w32tm /query /status /verbose，‘来源：’应该绝不显示“本地 CMOS 时钟”或“自由运行系统时钟”。

Answer

我会使用计划 1。DC 和域成员应该与域层次结构同步（林根 PDC 模拟器除外，它应该使用外部时间源）。

以下是按重要性排序的优先事项：

DC 和域成员彼此同步
DC 和域成员具有正确的时间

如果你运行 w32tm /query /status /verbose，‘来源：’应该绝不显示“本地 CMOS 时钟”或“自由运行系统时钟”。

Question 3

在 hyperv 上遇到几个时间同步问题后，我的建议是，如果可能的话，使用一个物理域控制器作为 PDC 模拟器，同步到外部时间源。它可以是旧的过时的服务器，因为它不会经常使用（我的服务器也在相当旧的硬件上运行 dhcp 和 dns）。

如果您的所有域控制器都在一个 HyperV 群集上运行，这也有助于避免出现问题。如果群集发生故障，主机现在是加入域的服务器，没有可用的 DC，这可能会导致问题。当然还有其他方法可以避免该特定问题。

如果失败，请采用方案 1，并确保它经常与 NTP 同步。最好让所有加入域的系统从一个源同步。时间错误会让人烦恼。系统之间的时间不同可能会破坏身份验证并导致登录问题

Answer

在 hyperv 上遇到几个时间同步问题后，我的建议是，如果可能的话，使用一个物理域控制器作为 PDC 模拟器，同步到外部时间源。它可以是旧的过时的服务器，因为它不会经常使用（我的服务器也在相当旧的硬件上运行 dhcp 和 dns）。

如果您的所有域控制器都在一个 HyperV 群集上运行，这也有助于避免出现问题。如果群集发生故障，主机现在是加入域的服务器，没有可用的 DC，这可能会导致问题。当然还有其他方法可以避免该特定问题。

如果失败，请采用方案 1，并确保它经常与 NTP 同步。最好让所有加入域的系统从一个源同步。时间错误会让人烦恼。系统之间的时间不同可能会破坏身份验证并导致登录问题

hyper-v 服务器时间同步源-PDC/外部 NTP？

答案1

答案2

答案3

相关内容