我们的域中有 5 台 Windows Server 2012 服务器和大约 100 台计算机。
最近我注意到服务器和计算机上的时间快了大约30秒。
域中的服务器和计算机从哪里获取其时间设置?是在域控制器上还是在其他地方设置(我有 2 个域控制器)。
在 Linux 服务器上我会使用
server 0.pool.ntp.org
server 1.pool.ntp.org
server 2.pool.ntp.org
server 3.pool.ntp.org
保持时间同步,但说实话,我从来没有遇到过 Windows 域上的时间问题,所以我从来没有看过它。
我应该在哪里设置它以便所有服务器和计算机自动使用{0-3}.pool.ntp.org(或任何推荐的使用)?
答案1
还要考虑的是,有时运行加入域的 Windows 操作系统的虚拟化系统在与主机同步时间时设置错误。这不是最佳实践,因为虚拟机会继续更改其时间设置,首先从 Windows 端的 PDC 仿真器同步(如 Daniel 所说),然后从虚拟机管理程序端的主机同步。这可能会产生很多问题。
答案2
这篇文章解释得很好:“很简单!” – Active Directory 中的时间配置
总而言之,客户端从 PDC 仿真器获取时间。而 PDC 仿真器从 BIOS 时钟获取时间,除非您配置外部时间服务器(强烈建议这样做)。
您可以使用以下命令设置 PDC 上的时钟:
w32tm /config /manualpeerlist:0.pool.ntp.org,1.pool.ntp.org,2.pool.ntp.org,3.pool.ntp.org /syncfromflags:manual /reliable:yes /update
完成后,重新启动 W32Time 服务。
(或者有同步 BIOS 时钟的硬件设备,但我不记得它们怎么称呼。)
答案3
澄清一下:所有计算机都从其 RTC(实时时钟)获取时间,除非它们是虚拟机,在这种情况下,主机虚拟机管理程序会在启动时将其时间注入 VM(因为虚拟机没有 RTC)。此后,它们将其时间与主机虚拟机管理程序(如果配置为这样做)同步,或者在域成员的情况下与域层次结构同步。它们不从域层次结构获取时间,而是将其时间与域层次结构同步。不担任 PDCe 角色的域控制器将其时间与 PDCe 同步。所有其他域成员将其时间与其身份验证域控制器同步,该域控制器不一定是 PDCe。应为所有加入域的虚拟机禁用主机虚拟机管理程序时间同步。任何时候都不应将任何域成员配置为与外部时间源同步。如果需要,只应将担任 PDCe 角色的域控制器配置为与可靠的外部时间源同步。时间是相对的。没有要求域时间与可靠的外部时间源同步,尽管这样做被认为是最佳做法。