域控时间同步设置

域控时间同步设置,第1张

为了便于日常管理,公司网络内所有主机及服务器均已加入到了域环境内。采用自建的Exchange实现办公邮件的收发。但前些天突然出现邮件无法收发的情况,经排查发现,是由于Exchange服务器与域控服务器时间异常,时间差值大于5分钟所导致。在调整完时间后邮件恢复正常,为了防止再次出现此类故障,故决定通过域控来为域成员同步时间,而域控本身与阿里云的NTP同步时间。

配置分为两步:第一步为域控服务器配置与阿里云NTP的时间同步;第二步通过组策略实现域内成员同步域控服务器的时间。

一、域控服务器配置NTP

1、 添加时间服务器地址(域名或IP)(下面这个键存放着时间服务器列表)

在右边窗口点右键新建“字符串值”,将此“字符串值”命名为6。双击此新建的“字符串值”,输入地址:ntp.aliyun.com,保存。将“默认”(即第一个“字符串值”)修改为6即可。前面的几个时间服务器分别为:

2、 指定时间源

3、 设置校时周期

4、重启服务

重启服务net stop w32time&net start w32time

5、验证配置情况

二、配置权威服务器及组策略

1、设置权威服务器

在域控服务器上打开注册表,找到键值

2、 启用 NTPServer

3、配置组策略,设置时间同步

4、域内成员同步策略

刷新组策略指令:gpupdate /force

重启服务net stop w32time&net start w32time

5、域内成员验证配置

三、填坑说明

如果在“Default Domain Policy”下添加时间同步策略,将会导致域控服务器也获取并执行策略,由于组策略的优先级较高,导致第一步配置的与阿里云NTP同步策略失效。使得域控服务器本身的时间准确性得不到保证。因此通过新建组织单位的方式,对除了域控服务器以外的计算机下发该策略。确保所有成员时间准确。

几台服务器之间的时间误差也就是相对时间的重要性要大于绝对时间的重要性。因此需要在局域网内建立服务器的时间同步。下面是我收集整理的局域网内建立时间同步,希望对大家有帮助~~

局域网内建立时间同步

工具/原料

操作系统 :windows 2000/xp/2003

电脑,服务器

方法 /步骤

(一) 基于XP/2003系统

1、打开注册表

单击“开始”,单击“运行”,键入 regedit,然后单击“确定”。

2、配置 Windows 时间服务以使用外部时间源

(1)指定时间源。

a. 找到并单击下面的注册表子项:

程序代码

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\NtpServer

b. 在右窗格中,右键单击“NtpServer”,然后单击“修改”。

c. 在“编辑值”的“数值数据”框中键入210.72.145.44,0x1,然后单击“确定”。

注:210.72.145.44是中科院国家授时中心的服务器,这是由于微软的时间服务器经常连接失败而造成无法同步。列出的每个 DNS 名称都必须是唯一的。必须在每个 DNS 名称后面附加,0x1。如果不在每个DNS名称后面附加 ,0x1,则在下面步骤中所做的更改将不会生效。

(2)选择轮询间隔。

a. 找到并单击下面的注册表子项:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\SpecialPollInterval

b在右窗格中,右键单击“SpecialPollInterval”,然后单击“修改”。

c在“编辑 DWORD 值”的“数值数据”选十进制并在框中键入900,然后单击“确定”。

注意:这里设置的是您希望各次轮询之间的间隔秒数,以秒计算建议值为 900(十进制)。该值将时间服务器配置为每隔15分钟与时间服务器同步一次。

3、配置NTP服务器

(1)将服务器类型更改为 NTP。

a. 找到并单击下面的注册表子项:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type

b. 在右窗格中,右键单击“Type”,然后单击“修改”。

c. 在“编辑值”的“数值数据”框中键入 NTP,然后单击“确定”。

(2)将AnnounceFlags设置为5。

a.找到并单击下面的注册表子项:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags

b. 在右窗格中,右键单击“AnnounceFlags”,然后单击“修改”。

c. 在“编辑 DWORD 值”的“数值数据”框中键入 5,然后单击“确定”。

(3)启用 NTPServer。为此,请按照下列步骤操作:

a.找到并单击下面的注册表子项:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer

b.在右窗格中,右键单击“Enabled”,然后单击“修改”。

c.在“编辑 DWORD 值”的“数值数据”框中键入 1,然后单击“确定”。

最后在管理工具中进入服务在服务中找到windows time 服务,重新启动一次,这样时间服务器就配置完毕。

(二)基于windows2000系统

Windows2000的系统与xp/2003系统的不同在于时间和日期属性中没有INTERNET时间一项,这也使得NTP服务器在2000系统的配置更简单。

只需要在注册表中找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\一项,并将其中的Type值改为NTP即可。

二、客户机设置:

(一)基于XP/2003系统

a. 找到并单击下面的注册表子项:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\中的 MaxPosPhaseCorrection和MaxNegPhaseCorrection两项。

十进制修改为999999999

上面2项修改意思为:可以同步时间超过31年的时间差。因为XP默认为15小时,超过15小时差就不能够自动更新时间。

b.到并单击下面的注册表子项:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\NtpServer

十进制修改为192.168.?.?(刚才建立的NTP服务器地址,不是我上面输入的210.72. 145.44)

c.到并单击下面的注册表子项:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\SpecialPollInterval

修改为600,意思为10分钟自动更新时间一次。

重新启动windows time服务。客户机设置完毕!

(二)基于windows2000系统

点击开始-运行后输入CMD进入命令行,输入net time /setsntp:NTP服务器地址。

比如,输入中科院国家授时中心的服务器,就是 net time /setsntp: 210.72.145.44

而后重新启动windows time服务。并将启动类型更改成自动。

而后会发现注册表中的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters里面多出了ntpserver一项。而后面就是所设置的NTP服务器的地址。

这说明当前的ntpserver客户机已经配置成功。

上图里面的period项类似于xp里的SpecialPollInterval项,即用于控制时间服务同步的频率。不同的是,如果指定一个字符串值,它必须是下面列出的特定值之一。如果使用数字(如 65535)指定字符串值,请将该值创建为 REG_DWORD。如果使用单词(如 BiDaily)来指定字符串值,该项应被创建为 REG_SZ。

0 = 每天一次

65535,“BiDaily” = 每两天一次

65534,“Tridaily” = 每三天一次

65533,“Weekly” = 每周(7 天)一次

65532,“SpecialSkew” = 每 45 分钟一次,直到出现三次良好同步,然后每8小时一次(每天三次)[默认]

65531, “DailySpecialSkew” = 每 45 分钟一次,直到出现一次良好同步,然后每天一次

PS:为保障时间同步的顺利进行,请尽量保证客户机与NTP服务器同步和NTP服务器与中科院国家授时中心的服务器校时的时间差。

三、验证

在客户机中双击屏幕右下角的时间,在日期和时间属性中修改时间。

(NTP服务器的系统为windows2000,客户端的系统是windows xp)

然后点击“Internet时间”选项,选中“自动与Internet时间服务器同步按钮”。单击“立即更新”。

如果显示与配置的NTP服务器同步时间成功。并且下一次的同步时间间隔为HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\ SpecialPollInterval

中的间隔。即为配置成功!

Windows2000客户机的验证

由于windows2000的时间属性中没有INTERNET时间这一项,因此它的INTERNET 校时也要在命令行里进行,在命令行下输入w32tm /once,系统会立即校准时间。并依据period项设定值设定下一次校准的时间。但这些都将在后台进行。我们无法象在XP或2003那样直观的看到。

四、手动同步

为了防止局域网繁忙而造成时间同步失败的现象,可以手动同步时间,方法是首先登录到管理员用户。然后新建一个文本文档,在里面输入net time \\192.168.1.172 / set /yes(注意:time、192.168.1.172和set后面都有一个空格,192.168.1.172是我的NTP服务器地址)保存后命名为同步时间.bat。双击打开后同步时间即可完成。也得在开始—运行—cmd中键入net time \\192.168.1.172 / set / yes命令。会出现下面的窗口:

这样每一次点击同步时间.bat的文件都能实现一次时间同步。也可以将这个文件复制到C:\Documents and Settings\Administrator\「开始」菜单\程序\启动 文件夹中,这样每次开机后会自动校时。当然也可以添加到任务计划中,指定每天校时的时间。与前面的方法配合试用,两种方法实现局域网时间同步的“双 保险 ”。

局域网内建立时间同步相关 文章 :

1. 局域网内怎么建立服务器的时间同步

2. 如何在局域网内建立服务器的时间同步

3. 局域网内如何设定系统时间与服务器时间同步

4. 局域网中怎样设置系统时间与服务器同步

5. 局域网中如何设置系统时间与服务器同步

6. 局域网中要怎样设置系统时间与服务器同步

7. 局域网内统一时间的方法

8. 怎么设置电脑时间自动同步网络时间

问题1: 在域控上面设置default domain policy对全域设置了时间同步参数,其中MaxPollInterval=10,MinPollInterval =8;我想请教一下,同步的时间间隔只能从这两个参数定义吗,能不能自定义。

通常我们如果通过注册表的方式配置域的时间同步的话,按照下面的注册表设置来配置:

===主域控制器===

1. PDC宣布它为NTP服务器:

Path: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config

Key Name: AnnounceFlags

Type: REG_DWORD (DWORD Value )

Data: 0x5

2. 将服务器类型更改为NTP:

Path: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type

Key Name: Type

Type: REG_SZ(String Value)

Data: NTP

3. 启用NTP服务器:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer

Key Name: Enabled

Type: REG_DWORD

Data: 1

4. 指定哪个服务器充当NTP服务器:

Path: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters

Key Name: NtpServer

Type: REG_SZ(String Value)

Data: Peers (example: time.windows.com, 0x9)

5.仅当我们的PDC计算机是虚拟机时,才需要设置此注册表。 如果它不是虚拟机,则没有有关此注册表的信息。

HLM\SYSTEM\CurrentControlSet\services\w32time\TimeProviders\VMICTimeProvider

Name: Enabled

Type: REG_DWORD

Data:0

===其他的域控制器和客户端===

Path: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type

Key Name: Type

Type: REG_SZ(String Value)

Data: NT5DS

Path: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config

Key Name: AnnounceFlags

Type: REG_DWORD (DWORD Value )

Data: 0xa

之后,使用命令 net stop w32time &&net start w32time 重新启动时间服务器。

0x1 为 NtpServer的Flag位,表示启用SpecialInterval。 它将会等待SpecialPollInterval 内设置的时间间隔再和时间源同步。

SpecialPollInterval

这个值指定了特定的取样时间间隔,当NtpServer值的SpecialInterval 0x1 标志设置后 (所以SpecialPollInterval只在时间同步方式为NTP时才有效,简单来讲,就是在PDC上此值才有意义),W32Time用这个时间间隔进行取样,单位为秒。默认值为3600秒。

Path: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters

Key Name: NtpServer

Type: REG_SZ(String Value)

Data: Peers (time.windows.com,0x9)

NTP server键值中,timeserver,0x9的含义,有如下解释:

0x9其实是两种标识的组合,即0x1和0x8。在w32time中,共有4种基础标识。

0x1 specialinterval

0x2 useasfallbackonly

0x4 symmatricactive

0x8 client

具体可以参考这个文章: Parameters\NtpServer

总结:一般如果我们的环境中没有出现时间同步问题的情况下不建议修改对应的值,保持默认的就可以。一般如果有时间跳变或者精度问题,才可能要调整这两个值。请问我们的环境是否出现了什么问题。我们是觉得时间同步精度不够还是什么其他原因需要去自定义这两个参数呢?

问题2: 还有我查看了客户端事件查看器并不是每一次到了间隔时间都会记录时间同步,一天之内只有2次或1次甚至没有记录。不知道该事件日志记录的原理是什么,想请高手指点一下,谢谢!

MaxPollInterval

这个值指定了在使用NT5DS同步机制时(简单的说就是按照域的结构和DC做时间同步),最大的时间取样时间间隔,单位为2的次方秒。 域控制器的默认值为为10(1024秒) ,域成员的默认值为15(32768秒),没有加入域的机器的默认值为15(32768秒)。如果当前值为F,即32768秒。

MinPollInterval

这个值指定了在使用NT5DS同步机制时(简单的说就是按照域的结构和DC做时间同步),最小的时间取样时间间隔,单位为2的次方秒。 域控制器的默认值为为6(64秒) ,域成员的默认值为10(1024秒),没有加入域的机器的默认值为10(1024秒)。如果当前值为A,即1024秒。

LargePhaseOffset (HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Config\LargePhaseOffset):

当时间差小于LargePhaseOffset时,认为是同步的,默认值为5秒。

MaxAllowedPhaseOffset (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxAllowedPhaseOffset):

当时间差大于LargePhaseOffset时,且当时间差超过MaxAllowedPhaseOffset这个值,则W32Time将直接将时间一次性修改正确;

当时间差大于LargePhaseOffset时,且当时间差小于MaxAllowedPhaseOffset这个值,则以渐进式的方式进行时间修改,直到时间正确为止。

总结:如果每次到了时间间隔确实不一定会记录时间同步,到了间隔时间会进行时间取样,如果没有超过阈值,就不需要同步,那么不同步就不会有记录。

不需要同步的情况:因为如果时间差小于LargePhaseOffset时, 认为是同步的,默认值为5秒。

需要同步的情况:

1. 只有每次到了时间间隔,当时间差大于LargePhaseOffset时,且当时间差超过MaxAllowedPhaseOffset这个值,则W32Time将直接将时间一次性修改正确;

REF: https://social.microsoft.com/Forums/ar-SA/17208190-0f56-4dca-85c4-d04fc800ded9/35774326222010222495208692610238388332582116021516274936529235?forum=windowsserversystemzhchs

2. 当时间差大于LargePhaseOffset时,且当时间差小于MaxAllowedPhaseOffset这个值,则以渐进式的方式进行时间修改,直到时间正确为止。

才会记录时间同步。

温馨提示: 我们帖子中提到了在default domain policy对全域设置了时间同步参数,如果用GPO设置域内的时间同步机制,我们建议按照以下方法配置:

创建2个GPO对象,分别PDC的时间同步策略和除了PDC机器的时间同步策略,且分别应用给PDC仿真器和其他域控制器,成员服务器和工作站。

例如:

GPO1(设置了PDC的时间同步策略):应用给PDC仿真器

GPO2(设置了除了PDC机器的时间同步策略):应用给其他域控制器,成员服务器和工作站

具体可以参考以下文章:

Time Synchronization in Active Directory Forests


欢迎分享,转载请注明来源:夏雨云

原文地址:https://www.xiayuyun.com/zonghe/187331.html

(0)
打赏 微信扫一扫微信扫一扫 支付宝扫一扫支付宝扫一扫
上一篇 2023-03-30
下一篇2023-03-30

发表评论

登录后才能评论

评论列表(0条)

    保存