我有一个 Windows Hyper-V 网络。我有 2 个域控制器;都是虚拟机。DC1 在 Host01 上运行,DC2 在 Host02 上运行。
在每个域控制器上:
w32tm /query /source返回VM IC 时间同步提供商。
在每个主机上:
w32tm /query /source返回域控制器的名称。
因此,虚拟机将主机视为其 NTP 源,而主机将虚拟机视为其 NTP 源。这显然不太好。我可以将域控制器更改为将外部 NTP 服务器视为其时间源 - 或者 - 我可以将主机更改为将外部 NTP 服务器视为其时间源。
最佳做法以及其中一个的优点/缺点是什么?
我倾向于让域控制器查询外部时间服务器,因为默认情况下,网络上的所有计算机都会将其时间与 DC 同步。这将包括主机和所有其他服务器以及所有工作站。
我在某处读到过一个潜在的问题,即虚拟机将恢复到'VM IC 时间同步'作为来源。有人遇到过这种情况吗?我不介意时不时地重新检查一下,但如果有什么东西导致 NTP 服务器重置,那么我想知道原因,以及如何防止这种情况发生。
如果我编辑域控制器虚拟机的 Hyper-V 属性并取消选中“集成服务”>“时间同步”,则会将虚拟机的 /query /source 更改为本地 CMOS 时钟. 提到这一点是因为无论 VM 的 Hyper-V 时间同步设置是否被选中或未选中,我都希望源始终是我指定的外部 NTP 服务器。
答案1
最佳做法是禁用 AD 域中所有虚拟机的时间同步 Hyper-V 集成服务。
最佳做法是,如果您的 Hyper-V 主机是 AD 域的成员,则将其同步到 AD 域:
net stop w32time
w32tm /unregister
w32tm /register
net start w32time
w32tm /config /syncfromflags:DOMHIER /update
net stop w32time
net start w32time
最佳做法是将非 PDCe 域控制器同步到 AD 域:
net stop w32time
w32tm /unregister
w32tm /register
net start w32time
w32tm /config /syncfromflags:DOMHIER /update
net stop w32time
net start w32time
最佳做法是将您的 PDCe 域控制器同步到外部时间源:
net stop w32time
w32tm /unregister
w32tm /register
net start w32time
w32tm.exe /config /manualpeerlist:time.windows.com /syncfromflags:manual /reliable:YES /update
net stop w32time
net start w32time