我正在研究时间同步如何与已加入 Win 10 Azure AD 的笔记本电脑/工作站配合使用。查看我的笔记本电脑时,我注意到 Windows 时间未启动,并且设置为手动。启动它并获取当前配置 (w32tm /query /status) 告诉我它正在与本地 CMOS 时钟同步。我知道在域/客户端环境中,客户端与 DC 同步。因此,这让我想到一个问题,已加入 Azure AD 的客户端从哪里获取时间?
之所以会这样,是因为我们注意到这些系统上有很多时间变化,数量非常多。我们是一家软件公司,拥有专有的时间序列数据库,用于记录亚秒级数据,因此时间对我们来说非常重要,这也是我们注意到此类事情的原因。
先谢谢您的帮助。
克里斯
答案1
简短回答:托管设备与 Azure AD 没有时间同步。
使用 AAD 的现代身份验证实际上并不查看本地设备时间,它不需要设备同步(就像 Kerberos 域一样)或有偏差时间或类似的东西。
- AAD 现代身份验证:https://docs.microsoft.com/en-us/azure/active-directory/authentication/concept-authentication-methods
- AAD 设备管理:https://docs.microsoft.com/en-us/azure/active-directory/devices/overview
Intune 似乎还没有配置 NTP 的功能,但是如果您愿意,可以投票支持此功能:https://microsoftintune.uservoice.com/forums/291681-ideas/suggestions/39352645-intune-and-autopilot-time-synchronization-and-ntp
答案2
Windows 10 将时间与“设置”中配置的服务器同步。与 Active Directory 和 Kerberos 不同,时间漂移不是 Azure AD 和现代身份验证的问题。
这是完全正常的Windows 时间服务设置为手动(触发启动)。
[…] Windows 时间服务配置为触发启动服务。并且这已在 Windows 7 和 Windows Server 2008 R2 中实现为默认设置。
服务和后台进程对系统性能有显著影响。Windows 7 和 Windows Service 2008 R2 中已实施 Trigger-Start 服务,以减少系统上自动启动服务的总数。[…] 在此实施下,服务控制管理器已得到增强,可使用特定系统事件来处理服务的启动和停止。
https://docs.microsoft.com/en-us/troubleshoot/windows-client/identity/w32time-not-start-on-workgroup