声明:本文转载自gnaw0725.blogbus.com,更新网址:http://gnaw0725.blog.51cto.com。
如何更改整个域和森林的时间?需要将所有服务器的时间和客户端时间同步于实际时间。请问我现在该如何来实施呢?
1、是否只更改PDC的时间就可以了?
2、是否会出现客户端时间和服务端时间相差5分钟,客户端无法登陆的情况?
3、假设现在只能改中国区的话,是否只需要更改中国GC服务器的时间就可以了?如果这样可以,那么如何让服务器上的时间和客户端的时间同步呢?是等待客户端自动同步,还是强制同步呢(因只有3分钟之差,是否可以忽略掉5分钟不能制动登陆的问题?)
4、PDC和GC在同步的时候会同步时间吗?
5、我想问一下,我是否可以直接通过PDC控制面板中的日期和时间程序,将时间修改为精确时间,这样是否整个域(其他GC)和客户端的时间就都改过来。而不通过NTP服务器。 6、我想咨询一下这个时间的更改会影响到一些应用程序的服务器吗?比如SQL Server 等
7、通过W32tm /monitor 我看到目前PDC的NTP同步是从自己本身同步的,我打算将其更改到windows的innetnet的同步源。对此请问有什么优缺点吗?对整个时间更改的过程您的建议是什么呢?
8、请问您有推荐的外部时间源吗?最好是那种全球都可以使用的,谢谢。另外我想咨询一下,这样做有什么样的风险吗?如果来控制这些风险呢?
现状:
1、整个森林共有11台DC,其中1台DC,3台read-only GC,其中均为GC;
2、域结构为跨国多site方式;
3、所有服务器和客户端的时间均早于实际时间3分钟。
回答:根据您的描述,我了解到您需要配置AD域与外部时间源进行同步。Windows发行版默认是使用内部硬件时钟来作为其时间源的,这可能会导致时间精确性问题并存在时间差。您提到了内部网络时间要早于实际时间3分钟,因此我认为此实际时间是最为精确的时间样本,并且与我提到的外部时间源一致。针对您的问题,我推荐您将您的域配置为使用外部可靠的权威时间服务器作为其时间源。然而,在配置外部时间源之前,您也可以在使用硬件时间源的同时修改当前时间来完成这一操作。
请您按照以下KB中“配置 Windows 时间服务以使用外部时间源”章节配置您的PDC。
如何在 Windows Server 中配置权威时间服务器
http://support.microsoft.com/kb/816042
注意:
1. 您需要确保操作的Windows Server是根域中的PDC,位于林根的 PDC 操作主机成为组织的权威时间服务器。
2. 您需要确保操作的PDC有可靠的Internet连接和外部DNS解析,并且在相应的防火墙中开放了NTP协议通讯。
完成以上步骤之后,请您打开services.msc,然后找到SYSTEM日志,如果与外部时间源同步成功,您将可以看到来自W32Time,ID为37的日志记录了此次同步结果。
另外,关于您的问题,请参考如下解释。
1. 是的,在多域环境中,不同的PDC之间将完成时间同步,而客户端将于DC之间完成时间同步。因此,修改PDC上的时间同步方式即可。
2. 您的理解是正确的,默认时间差为5分钟Kerberos验证就会失败。然而,这个值您可以通过SkewTime注册表键值来修改。
Windows Server 2003 中的 Kerberos 协议注册表项和 KDC 配置项
http://support.microsoft.com/kb/837361/zh-cn
3. 时间源的时间样本是与服务器所配置的时区无关的,因此您可以不考虑时区问题。另外,时间同步是由W32time服务自动完成的,默认情况您无需手动操作。如果您需要让W32time尽早进行时间同步,您可以使用w32tm /resync命令。
4. PDC与其他DC以及客户端之间的时间同步是由W32time来管理的,与AD复制无关。
关于Windows Time Service,您可以参考:
How the Windows Time Service Works
http://technet.microsoft.com/en-us/library/cc773013(WS.10).aspx
问题5
针对您的问题,答案是可以的。您可以直接在PDC服务器上修改时间,然后其他DC和客户端则会自动更新。但是,根据您的情况,我建议您按照如下方式操作:
1. 在您的PDC服务器上修改时间,完成之后,在其他的DC和成员服务器上使用w32tm /resync命令强行同步。
2. 之后您可以在客户端上执行w32tm /resync命令,或者等其自动同步。
若您需要查看当前域内的计算机是重哪台PDC上同步时间的,您可以使用:w32tm /monitor /domain:contoso.local命令。
问题6
首先从技术角度来讲,这并不会影响其他应用程序的正常服务,例如Exchange Server、SQL Server以及其他微软的服务器产品。这一点我们可以这么来论证:
当前所有的PDC都是使用内部硬件时钟来作为其时间源的,但是现在一个问题是当前内部域的所有计算机的时间与外部精确时间相差10分钟或者更大,但是这并没有带来任何问题。与此同时,我们将所有的PDC都配置为使用外部时间源,那么此时PDC将会与外部时间源同步,并直接修改本地计算机的时间,然后其他计算机将进行同步从而修改其时间。
这个操作虽然是W32TIME服务自动完成的,但是技术上与我们直接修改时间没有太大差别。因此请您放心。
问题7
如果您需要与外部时间源同步,您可以按照我之前提供的KB文章进行配置,里面提供了一个Fix It工具,你可以用它来自动更改。
使用外部时间源可以维持一个更加准确的时间样本,这样可以避免一些由于硬件芯片带来的一些问题,例如夏令时(daylight saving time)的调整。整个过程和我之前说的类似。
关于虚拟化环境,唯一一点就是不要启用虚拟机与物理机之间的时间同步,这个您可以配置VMWare添加工具来完成。完成配置后,我们建议您立即使用w32tm /resync命令来进行同步。
问题8
默认情况下我们是使用time.windows.com作为时间源的,但是您也可以配置其他时间源,这里有一个列表您可以参考。
A list of the Simple Network Time Protocol (SNTP) time servers that are available on the Internet
http://support.microsoft.com/kb/262680
当您配置多个时间源时,需要在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters下面编辑NtpServer注册表项,该表的值有一定的格式,默认为您的计算机从中获取时间戳的对等端列表(以空格分隔)。列出的每个 DNS 名称都必须是唯一的。必须在每个 DNS 名称后面附加 ,0x1。如果不在每个 DNS 名称后面附加 ,0x1,则在步骤 5 中所做的更改将不会生效。
下面是NtpServer注册表项值的一个例子:
time.windows.com,0x1 time.nist.gov,0x1 time-nw.nist.gov,0x1 time-a.nist.gov,0x1 time-b.nist.gov,0x1
另外,关于风险控制,实际上除了决不能将 PDC 主机配置为与它自身同步之外,我们并没有特定的说明关于此配置会带来负面影响。
Joshua Tu, MCSE/MCSA +Sec, MCTS
转载于:https://blog.51cto.com/511cto/635911