AD域中NTP服务器的配置

一、步骤
1.1 配置修改

1) 如下图，用命令netdom query fsmo查看域内的PDC主机，当前为thdc01；

2) 检查其他域控的时间源，均为PDC主机，如下图所示，因此其他域控的时间源无需修改；否则需执行命令：w32tm /config /syncfromflags:domhier /reliable:no /update，配置其他域控的时间源；

3) 然后登录到thdc01上，用命令w32tm /query /configuration查看该域控是否为NTPServer；如下图Ntpserver中，“Enabled”值为“1”说明当前域控是NTP服务器；若该值为“0”，则需要在注册表的下列位置HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer中，将“Enabled”值改为“1”，

4) 用命令w32tm /query /status查看PDC主机的时间源如下，可以看到当前PDC主机的时间来源为系统时钟，我们需要将它改为一个可靠的外部NTP服务器，但NTP 协议使用的是UDP 123这个端口，因此我们一定要确保这个端口的入站和出站流量，以确保windows时间服务的正常工作；

5) 我们可以从网上搜索到很多国内常用的NTP服务器，比如此处我们选择以下NTP服务器：ntp.neu.edu.cn；首先在PDC服务器上用Ping命令测试与该服务器之间的网络正常，如下图；

6) 然后在PDC主机上执行命令：w32tm /config /manualpeerlist:ntp.neu.edu.cn /syncfromflags:manual /reliable:yes /update，将PDC主机的时间源设置为该NTP服务器，如下图；

7) 修改PDC主机的注册表，将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\W32Time\Parameters下的Type值改为“NTP”（NTP表示客户端从外部时间源同步时间）；将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\W32Time\Config下的AnnounceFlags值改为十六进制的5（或十进制的5），如下图所示；

8) 然后依次执行下列命令，重启时间服务，如下图所示：

W32tm /config /update

Net stop w32time && Net start w32time

W32tm /resync

1.2 检查确认

1) 设置完成后用命令w32tm /query /status查看PDC服务器的时间源，如下图，配置成功；

2) 检查其他域控的注册表值，其中“NT5DS”表示通过域层次（domain hierarchy）进行时间同步，如下图所示；

Ø [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters]— "Type"="NT5DS"

Ø [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config]—"AnnounceFlags"=dword:0000000a

Ø [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters] —"NtpServer"="time.windows.com,0x9"

3) 更多详细注册表键值的含义可参考如下链接：https://technet.microsoft.com/en-us/windows-server-docs/identity/ad-ds/get-started/windows-time-service/windows-time-service-tools-and-settings ；

4) 再次检查其他域控的时间源，均为thdc01（即PDC主机），如下图；

5) 如果检查过程中修改了某台服务器的配置，为使修改尽快生效，可再依次执行以下命令：

W32tm /config /update

Net stop w32time && Net start w32time

W32tm /resync

转载于:https://blog.51cto.com/4964151/2343637