域控时间同步设置

为了便于日常管理，公司网络内所有主机及服务器均已加入到了域环境内。采用自建的Exchange实现办公邮件的收发。但前些天突然出现邮件无法收发的情况，经排查发现，是由于Exchange服务器与域控服务器时间异常，时间差值大于5分钟所导致。在调整完时间后邮件恢复正常，为了防止再次出现此类故障，故决定通过域控来为域成员同步时间，而域控本身与阿里云的NTP同步时间。

配置分为两步：第一步为域控服务器配置与阿里云NTP的时间同步；第二步通过组策略实现域内成员同步域控服务器的时间。

一、域控服务器配置NTP

1、 添加时间服务器地址（域名或IP）（下面这个键存放着时间服务器列表）

在右边窗口点右键新建“字符串值”，将此“字符串值”命名为6。双击此新建的“字符串值”，输入地址：ntp.aliyun.com，保存。将“默认”（即第一个“字符串值”）修改为6即可。前面的几个时间服务器分别为：

2、 指定时间源

3、 设置校时周期

4、重启服务

重启服务net stop w32time&net start w32time

5、验证配置情况

二、配置权威服务器及组策略

1、设置权威服务器

在域控服务器上打开注册表，找到键值

2、 启用 NTPServer

3、配置组策略，设置时间同步

4、域内成员同步策略

刷新组策略指令：gpupdate /force

重启服务net stop w32time&net start w32time

5、域内成员验证配置

三、填坑说明

如果在“Default Domain Policy”下添加时间同步策略，将会导致域控服务器也获取并执行策略，由于组策略的优先级较高，导致第一步配置的与阿里云NTP同步策略失效。使得域控服务器本身的时间准确性得不到保证。因此通过新建组织单位的方式，对除了域控服务器以外的计算机下发该策略。确保所有成员时间准确。

NTPD服务器

Network Time Protocol

一、时间服务器的重性

ntp 123/udp

二、配置时间服务器

ntp-4.2.4p8-3.el6.x86_64

NTP Server配置示例：

restrict default nomodify //不允许客户端登录，也不允许客户端修改

server 127.127.1.0 //使用本地的bios时间，自己跟自己同步

fudge 127.127.1.0 stratum 10 //定义级别，范围0-16，越小越精准

注释：时间服务器要读取本地的bios时间，所以会延迟5min左右才能同步成功

查看server的同步的状态：

unsynchronised

time server re-starting

polling server every 64 s

synchronised to local net at stratum 11

time correct to within 949 ms

polling server every 64 s

三、配置NTP客户端

方法一：

01 * * * * ntpdate 172.16.110.1

方法二：

server 172.16.110.1

fudge 172.16.110.1 stratum 5

==========================================================================

172.16.110.1 LOCAL(0)11 u 36 6430.4050.046 0.022

Mon Jan 20 14:44:25 CST 2014

Mon 20 Jan 2014 02:44:36 PM CST -0.145485 seconds

---