我有两个在 HyperV 上运行的 AD 虚拟机。AD1(PDC) 将其时间与 pool.ntp.org 同步,AD2(BDC) 与 AD1 同步以获取正确的时间。两者都是 Windows Server 2008 服务器。
这种方法一开始运行良好,但最近服务器似乎脱离了 AD1 而转而使用 AD2 进行身份验证,尽管 AD1 已启动并正在运行。
我尝试关闭 AD2 并重新启动域中的所有服务器,以强制它们向 AD1 进行身份验证,这很有效。但每当我再次将 AD2 放在网络上时,服务器在重新启动时仍会向 AD2 进行身份验证。
我不知道这种行为,并且我很难解决这个问题。
答案1
这与时间同步无关。从您在问题中所述来看,您的时间同步配置似乎是正确的。担任 PDCe 角色的 DC 应与可靠的外部时间源同步。所有其他域成员都应与域层次结构同步。这包括所有其他域控制器。
不要再称它们为 PDC 和 BDC。该术语不再有效,并且表明您对 AD 的理解还不够透彻。AD 使用多主模型(称为灵活单主操作或 FSMO),您可以在此链接中阅读相关内容。-https://support.microsoft.com/en-us/kb/197132
您的域客户端的行为完全符合预期。AD 域客户端可以向任何可用的域控制器进行身份验证。您既不应该试图控制这种行为,也不应该阻止它。您认为这是一个需要解决的问题,这又表明您对 AD 的理解不够深入。深入阅读有关该主题的内容可能会对您有所帮助。
答案2
如果 AD2 适合作为一个好的时间源,我认为没有必要改变拓扑。
如果 AD2 本身的时间不正确,因此不是一个好的选择,我建议确保 AD2 具有正确的时间(这在复制中解决了客户端上的时间不正确的问题)。
我们在一位客户那里看到了相关情况(其中一个 DC 的时间实际上不正确)。看来 ad2 上的时间服务仍然宣称是权威的。
您可以在 ad2 上设置时间服务器,以使其不再被视为可靠的时间服务器。 http://blogs.msdn.com/b/w32time/archive/2008/05/29/to-be-reliable-or-not-to-be-reliable.aspx
否则,您可以使用 GPO 明确分配时间服务器 - 我个人仍然更喜欢第一个选择