修改HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\W32Time\TimeProviders\NtpClient下的SpecialPollInterval
十进制604800秒(默认7天)改为86400(每一天)同步一次,或者其它您所需要的周期同步一次。
2.修改组策略,放行udp123端口
开始菜单---程序---管理工具---本地安全策略--ip安全策略--双击allow udp--在弹出菜单中选择如图所示的内容
添加--下一步--下一步---源地址选择<任何ip地址>--下一步---目标地址也选择<任何ip地址>--下一步--协议类型选择为udp然后下一步---选择"到此端口"123
然后下一步到完成
3.禁用Hyper-V Time Synchronization Service服务以防从主服务器上同步时间
打开桌面上的服务--找到名为Hyper-V Time Synchronization Service的服务--停止该服务并将启动类型设置为禁用即可(独立服务器跳过这步)
4.开启时间同步服务,以让其自动同步
打开桌面上的服务---找到名为Windows Time--启动该服务即可,如启动过程中有报错
切换到登录选项卡并设置登录身份为"本地系统账户"即可
-网络认证失败-和系统中心数据保护管理器(SCDPM)代理的沟通问题-Exchange Server、Active Sync和Outlook Web Access(OWA)不可用
在很多情况中,
服务器时间同步问题来源于Kerberos协议
,它有一个安全功能专门查看Kerberos票据上的时间戳,这主要是为了保护它们不会被重复使用。如果一张票据上的时间距离现在超过了五分钟,这张票据会遭到拒绝。因此,如果时钟五分钟内没有同步,Kerberos会开始出现故障。
通常来讲,时间同步不会带来问题。例如,当Windows在活动目录(AD)环境中运行时,域内的所有计算机时钟都自动地与域控制器同步。但是,在域成员和工作组成员混合或是多个活动目录林存在的环境中,时钟同步就可能变成一个问题。
举个更具体的例子,我自己网络中的所有生产服务器都进行了虚拟化。因为这个原因,我的虚拟化主机服务器中没有域成员,且所有的域控制器都是虚拟机。由于虚拟机根本没有启动,所以主机服务器不能和域控制器沟通的情况就不可能出现。如此一来,我选择让主机操作系统作为工作组成员。
另外,我所有的虚拟化主机都运行WindowsServer2008 R2上的Hyper-V.这些服务器中的一些集群运行Windows 2008R2的虚拟机,其它的集群那些仍然运行Windows Server2003的虚拟机。但是虽然运行Windows 2008 R2的来宾机好像和主机服务器的时钟保持了同步,运行Windows 2003的机器有可能无法和其余网络保持同步。
在工作组环境中,你可以通过打开Command Prompt窗口然后键入如下命令来将机器链到时间来源:
W32tm/config/syncfromflags:manual/manualpeerlist:W32tm/config/update
在这个例子中,你可以将替换成完全限定域名(FQDN)或是你想与之保持同步的服务器IP地址。你可以通过隔离每个有一个空间的地址来指定多个时间来源。
在域环境中,使用组策略设置来指定时间来源情况会更好些。时钟相关的组策略设置可以在Group Policy Editor里看见,位置是:Computer Settings Administrative Templates System Windows Time Service.
有三个不同的组策略设置可供你使用,包括:
-Configure Windows NTP Client-让你可以将计算机时钟和外部时间来源进行同步。
-Enable Windows NTP Client-允许计算机将时钟与其它Windows服务器进行同步。
-Enable Windows NTP Server-允许服务器向Windows NTP客户端提供时间同步。
注意,如果你打算和外部的时间来源进行同步,比如NIST,你就不能启用Windows NTP Client或是Windows NTP Server.使用外部时间来源时,你可能还要打开一些防火墙端口。Windows服务器为时间协议运用UDP端口123,它在默认情况下就该打开。但如果你想要使用NIST,你还要打开TCP端口13,TCP端口37和UDP端口37.
正如你所见,保持Windows Server时钟间的同步十分重要。尽管时钟一般会自动同步,准备好面对需要手动同步时钟的情况还是必要的。
欢迎分享,转载请注明来源:夏雨云
微信扫一扫
支付宝扫一扫
评论列表(0条)