我继承了一个环境Windows 2012R2 域控制器(服务器A)设置为NTP 服务器。此服务器即将停用,以用于新的(单独的)2019 实例。域控制器才不是有PDC 模拟器为其分配角色。
NTP 服务器指向我们直接网络之外的单独 NTP 服务器。它指向的这个 NTP 服务器是不是可通过互联网访问的公共 NTP 服务器。它位于组织内部,但不属于我的环境所在的网络。
如果我w32tm /query /source在我们的环境中的任何其他服务器(应用程序、数据库、域控制器)上运行,它们会引用我们的NTP 服务器或其中之一其他域控制器在我们的环境中。
我感到困惑或需要澄清的是域成员服务器的注册表设置参考time.windows.com,0x8或者time.windows.com,0x9这里:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters-NtpServer
在我们的环境中,只有一个域控制器将上述注册表值设置为 NTP 服务器 (serverA)。域成员服务器的此注册表值是否应设置为我们的域控制器 (serverA) 的 IP/主机名?
在执行任何类型的迁移之前,我希望确保我了解当前配置,以便修复/解决任何问题。如果您能提供任何帮助或说明,我将不胜感激!
答案1
默认情况下,AD DS 加入的计算机从域层次结构中发现时间。这HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\ Type很重要NT5DS,也NtpServer很重要。类型应为静态的计算机NTP是林根的 PDC。就 NTP 层而言,这将是:
- NTP 服务器
- PDC 模拟器
- 其他域控制器
- 其他成员计算机
考虑使用组策略强制 DC 上的时间设置,以防 PDC 发生变化。现在您知道了哪些注册表设置,您可以搜索示例策略,就像 PowerShell 中的这个。当然,替换你的 NTP 服务器。
确定您是否打算使用此默认设计,还是其他设计。并将其一致地应用于每个设备,而您现在似乎没有这些设备。所有计算机都可以设置为静态NTP。但正如您所发现的,任何给定的主机都不会永远存在,尤其是 DC。
请注意,DC 正在运行 NTP 服务,非域或非 Windows 设备也可以使用该服务。域名可以作为良好的服务地址:pool ad.example.net iburst
参考:
- Active Directory:时间同步 TechNet 维基
- Windows 时间服务技术参考