AD域控制器NTP服务设置

1）首先确认虚拟化底层的时间是否准确，因为所有虚拟机会自动同步虚拟主机的时间。

2）在所有AD服务器上开启时间同步功能

一、找到适合的NTP服务器

首先需要找一个适合自己网络环境的NTP服务器，因为不同的网络会有不同的NTP服务器起作用，检测NTP服务器的方法为在AD上运行 w32tm /stripchart /computer:NTP服务器域名或IP ，如 w32tm /stripchart /computer:182.92.12.11 ，若是可以使用会显示如下图

找到适合自己网络的可用NTP服务器后，假设找到182.92.12.11为可用NTP服务器，在AD服务器上开启时间同步，运行如下命令

三、设置主域控制器与国家授时中心服务器时间同步，同步周期为1天。

1、 添加时间服务器

在右边窗口点右键新建“字符串值”，将此“字符串值”命名为0。双击此新建的“字符串值”，输入： 182.92.12.11 ，保存。将“默认”（即第一个“字符串值”）修改为0即可，删除其他所有的值只保留如图所示的值

2、 指定时间源

修改键NtpServer的值为 182.92.12.11

3、 设置校时周期

修改键SpecialPollInterval的值为十进制的604800（即为604800秒，1天）

四、设置权威服务器

1、 设置权威服务器

在域控服务器上打开注册表，找到键值

修改键AnnounceFlags的值为十进制的10。

2、 启用 NTPServer

修改键Enabled的值为十进制的1

五、配置组策略，设置时间同步

1、 打开组策略管理

2、 在“Default Domain Policy”上右键，编辑。

3、 计算机配置—管理模板—系统—Windows时间服务，双击“全局配置设置”，选择“已启用”。

修改MaxNegPhaseCorrection的值为3600（即为3600秒，1小时）

修改MaxPosPhaseCorrection的值为3600（即为3600秒，1小时）

修改AnnounceFlags的值为5

点“应用”，“确定”。

4、 计算机配置—管理模板—系统—Windows时间服务—时间提供程序，“启用Windows NTP客户端”，选择“已启用”。

“配置Windows NTP客户端”，选择“已启用”。

修改NtpSever的值为 182.92.11

修改Type的值为NTP

修改SpecialPollInterval的值为1800（30分钟）

5、cmd命令在域控和客户端完成检测

域控上运行下面三条命令检测，返回成功执行了命令即为成功。若是返回此计算机没有重新同步，因为没有可用的时间数据。请排查上述文档中一步时间服务器是否可用，和五-4步服务器是否正确，看w32tm /query /source命令返回的结果是否正确。

域内的客户端想要同主域时间同步，执行下面的命令，返回成功执行了命令即为成功

注意时间若想成功同步，时间不能跟标准时间差别太大，在范围内的才能成功同步。

1、系统时间比标准时间系统时间晚14小时59分钟之内

2、系统时间比标准时间早30分钟之内

3）对于有些客户端Windows Times服务会自动停止，可以尝试重新注册一下此服务项

1.首先，运行如下命令删除时间服务：

2.然后，再运行如下命令加载默认时间配置服务：

自己的电脑安装黑苹果与Windows 10 双系统后，Windows时钟会被搞乱，导致每天早上上班都要花一些时间来调整。虽然在系统修改和启用了NTP，看起来好像都没有发挥作用。本地查的结果是这样：

运行w32tm /resync，显示“此计算机没有重新同步，因为没有可用的时间数据”，运行w32tm /query /source ，显示“Local CMOS Clock”，表示正在使用的是主板上的时间，没有使用外部时间源。因为主板上的时间无法做到很准确，经常发生过快或者过慢的情况，导致域内电脑的时间和实际时间经常出现较大的差异，所以必须要修正这个问题。

由于在很久之前做过组策略上关于时间服务的调整，该调整是针对全域（含域控制器）的所有PC、服务器（即调整过“Default Domain Policy”的设置），随即再次检查了一下 Default Domain Policy 策略中关于时间服务的设置。检查发现 

Default Domain Policy 中时间服务

“配置Windows NTP 客户端”

 “启用Windows NTP 客户端” 

两项均为“已启用”状态。另外也发现域控制器策略

“Default Domain Controllers Policy”中

 “配置Windows NTP 客户端”

 “启用Windows NTP 客户端”

“启用Windows NTP服务器”

三个项目都为“已启用”的状态。尝试把以上的项目都更改为“未配置”，然后在域控制器中运行：gpupdate /force 刷新组策略，并运行以下指令更改时间源：w32tm /config /manualpeerlist:ntp.aliyun.com /syncfromflags:manual /reliable:yes /update ，最后执行命令：w32tm /query /source 检查

组策略时间服务配置的具体位置

结论：对于域控制器，其组策略上的时间服务选项最好保持在“未配置”的状态。

配置分为两步：第一步为域控服务器配置与阿里云NTP的时间同步；第二步通过组策略实现域内成员同步域控服务器的时间。

一、域控服务器配置NTP

1、 添加时间服务器地址（域名或IP）（下面这个键存放着时间服务器列表）

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\DateTime\Servers

在右边窗口点右键新建“字符串值”，将此“字符串值”命名为6。双击此新建的“字符串值”，输入地址：ntp.aliyun.com，保存。将“默认”（即第一个“字符串值”）修改为6即可。前面的几个时间服务器分别为：

time.windows.com

time.nist.gov

time-nw.nist.gov

time-a.nist.gov

time-b.nist.gov

2、 指定时间源

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters

修改键NtpServer的值为ntp.aliyun.com,0x6

3、 设置校时周期

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\SpecialPollInterval

修改键SpecialPollInterval的值为十进制的1800（即为1800秒，半小时）

4、重启服务

重启服务net stop w32time&net start w32time

5、验证配置情况

C:\Users\Administrator>w32tm /query /status

Leap 指示符: 0(无警告)

层次: 3 (次引用 - 与(S)NTP 同步)

精度: -6 (每刻度

根延迟: 0.0424652s

根分散: 0.0296346s

引用 ID: 0xCB6B0658 (源  203.107.6.88)

上次成功同步时间: 2020/7/20 11:19:13

源: ntp.aliyun.com,0x6

轮询间隔: 10 (1024s)

C:\Users\Administrator>w32tm /query /peers

#对等数: 1

对等: ntp.aliyun.com,0x6

状态: 运行中

剩余时间: 759.4448167s

模式:1 (主动对称)

层次: 2 (次引用 - 与(S)NTP 同步)

对等机轮询间隔: 10 (1024s)

主机轮询间隔: 10 (1024s)

二、配置权威服务器及组策略

1、设置权威服务器

在域控服务器上打开注册表，找到键值

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config

修改键AnnounceFlags的值为十进制的10

2、 启用

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer

修改键Enabled的值为十进制的1

3、配置组策略，设置时间同步

1.  打开“Active Directory 用户和计算机”，新建组织单位，起名为“Desktop&Server”，将Computers内的计算机全部移动到新建的组织单位下。（此步操作重要，见填坑说明）

2.  打开组策略管理：控制面板-管理工具-组策略管理

3.  选中新建的“Desktop&Server”，鼠标右键，选择“在这个域中创建GPO并在此处链接……”，输入新建GPO的名称（随意）

4.  在下方的“组策略对象”中，选新建的GPO，右键编辑

5.  计算机配置—策略—管理模板—系统—Windows时间服务，双击“全局时间配置”，选择“已启用”。

修改MaxNegPhaseCorrection的值为3600（即为3600秒，1小时）

修改MaxPosPhaseCorrection的值为3600（即为3600秒，1小时）

修改AnnounceFlags的值为5

点“应用”，“确定”。

6.  计算机配置—策略—管理模板—系统—Windows时间服务—时间提供程序，“启用Windows NTP客户端”，选择“已启用”。

“配置Windows NTP客户端”，选择“已启用”。

修改NtpSever的值为dc.rybb.com,0x6

注：dc.rybb.com 是你域控的名字，也就是域控机的主机名

修改Type的值为NTP

修改SpecialPollInterval的值为1800（30分钟）

4、域内成员同步策略

刷新组策略指令：gpupdate /force

重启服务net stop w32time&net start w32time

5、域内成员验证配置

C:\Users\Administrator>w32tm /query /status

Leap 指示符: 0(无警告)

层次: 4 (次引用 - 与(S)NTP 同步)

精度: -6 (每刻度

根延迟: 0.0738678s

根分散: 0.1001609s

引用 ID: 0xAC10F665 (源  172.16.1.10)

上次成功同步时间: 2020/7/20 12:17:49

源: dc.rybb.com,0x6

轮询间隔: 10 (1024s)

C:\Users\Administrator

---