我们已经配置了一个 GPO 来配置我们的 PDC 服务器,就像这里(以及许多其他博客)所述 https://docs.microsoft.com/en-us/archive/blogs/nepapfe/its-simple-time-configuration-in-active-directory
这意味着我们的 GPO 使用仅适用于主 PDC 的过滤器将 NTP 设置设置为我们 AD 域中的主要时间源。
Select * from Win32_ComputerSystem where DomainRole = 5
当 FSMO 角色移动到另一个 DC 时,这些时间/ntp 设置将应用于充当 PDC 的新 DC。但角色移动后,旧 PDC 仍配置有旧的 ntp/时间设置。
为了纠正这种情况,我们在旧 PDC 中应用了这个手动命令
w32tm /config /syncfromflags:domhier /update
但是我们想自动完成此操作,我们该怎么做?我们如何自动重置仍保留在 OLD PDC 上的以前的设置?
提前致谢
答案1
唉,我一直想写一篇博客文章来纠正那篇文章中一些糟糕的格式和措辞。以及我在其他地方看到的有关配置 NTP 时间源的一些误解。
直截了当地说——实际上二您需要创建的 GPO。第一个 GPO 的范围是具有 WMI 过滤器和 NTP 时间源配置的 PDCE,正如您所做的那样。
第二个是在创建全局设置 GPO在那篇文章中。正如所说,在不同于 PDCE 的 GPO 中,启用Global Configuration Settings下面的Computer Configuration\Administrative Templates\System\Windows Time Service\Time Providers,然后您只需保留默认设置即可。
第二个 GPO 用于启用“默认”时间设置,需要在组策略中应用全部DCs。确保包含默认时间配置的 GPO 的优先级低于 PDCE 的优先级。
通常情况下,如果你有一个默认域控制器链接到域控制器 OU 的策略,您只需在其中启用 Windows 时间的基本功能即可Global Configuration Settings。当角色发生转变时,PDCE 的自定义 GPO 负责 NTP 时间配置,而“默认”GPO 将恢复旧 PDCE 的时间设置。
当然,请确保您的 GPO 链接顺序在 OU 中是正确的 - 再次,您的自定义 PDCE 时间策略 GPO 应该比默认 DC 策略具有更高的优先级。
如果您想创建一个链接到域控制器 OU 的自定义 GPO 以进行默认时间配置,那么也可以。如果您已经有默认 DC 策略,那么创建单独的 GPO 只会增加一点开销。同样,这样的自定义 GPO 的优先级也应该低于 PDCE。
我发现在现实世界中,在连接良好的环境中,PDCE 需要不到 5 分钟的时间才能获得新的时间配置(或使用 GPRefresh 来加速),而之前的 PDCE 需要更长的时间才能恢复到域层次结构,具体取决于 GP 刷新时间。轻微等待前一个 PDCE 赶上来的延迟是可以的。
答案2
移动 FSMO 角色的情况很少发生,要么是因为您淘汰了现有的 FSMO 角色持有者,要么是因为当前的 FSMO 角色持有者遇到了问题。因此,不需要为此提供解决方案,因为您将完全删除当前的 FSMO 角色持有者。
移动 FSMO 角色同时保持当前 FSMO 角色持有者处于活动状态的情况更为罕见,因此这似乎是一个自找麻烦的解决方案。