AD的时间同步解析AD的时间同步解析.pdf

AD 时间同步   首先我把我对AD 环境时间同步理解描述：PDC 服务器和Internet 外部时间源或本 地硬件同步。所有域控制器按层次结构找PDC 同步。所有成员服务器或客户端在 登录时通过那台服务器验证，就与那台DC 时间进行同步。 问题： 1. 1.、我的描述是否正确？ 2. 2 、如何保证所有域控制器和层次结构的PDC 同步时间？ 3. 3、如何保证所有成员服务器（客户端）与验证服务器同步时间？ 4. 4 、目前问题：所有与服务器、PDC 服务器时间各不相同。我该如何检查？ 回答：根据您描述，您想知道您对AD 环境时间同步的问题是否有误，如何让所有 的DC 与PDC 时间同步，如何保证所有客户端与DC 时间一致，如何检查所有服 务器和PDC 服务器时间不同。根据您的问题，我们的理解是这样的： 1、我的描述是否正确？ 您的理解是完全正确的，对于加入域环境的客户端是与在父域中的权威服务器进行 时间同步的。默认的同步时间的方法就是使用域层次，客户端会使用其所连接域中 的域控来同步时间，而域控会反过来从整个林中的权威时间源来同步时间。如果在 森林的根域中没有指定某个域控为权威时间源，那么拥有PDC 角色域控会担当这 个权威时间服务器。这台 PDC 会使用自己内部的时钟来为整个林的域控提供时间。 2 、如何保证所有域控制器和层次结构的PDC 同步时间？如何保证所有成员服务器 （客户端）与验证服务器同步时间？ 由于PDC 是林中默认的时间源，因此我们必须确保这个DC 是永远在线的。如果 我们发现PDC 负载过高的话，那么就应该使用林中另外一台域控做为权威的时间 源。 在森林根中的权威时间源获取时间的方式有两种。第一种就是从内网中所安装的硬 件时钟设备上去获取时间。第二种就是从外部的时间服务器去获取时间。需要注意 的是，如果我们没有配置权威时间服务器是从内部获取时间还是从外部获取时间， 那么PDC 就会使用其自己的内部时钟，也就是整个森林可靠的时间源了。 在与外部时间源进行同步时，我们是使用NTP 协议来进行同步的，但NTP 协议使 用的是UDP 123 这个端口，因此我们一定要确保这个端口的入站和出站流量，以 确保windows 时间服务的正常工作。 也就是说，我们首先要保证默认情况下这个PDC 这个时间源要是正确的，那么客 户端与服务端就会自动进行同步了。否则就无法靠域的层级结构来同步整个域的时 间了。您看到的文章来自活动目录seo /category/active- directory/ 3、所有与服务器、PDC 服务器时间各不相同。我该如何检查？ 如果您想使用默认的PDC 来作为权威的时间源，我们的建议是这样的 A.首先确保PDC 时间源才准确性，通常建议PDC 使用外部的权威时间源（这样可 以减少时间偏差和我们管理工作量）。 我们先通过下面的命令来检查，PDC 现在的所使用时间源的状态： w32tm /query /configuration 如果我们想要指定外部权威时间服务器作为源，我们可以使用，下面这个命令： w32tm /config [/computer: 目标计算机] [/update] [/manualpeerlist:peers] [/syncfromflags:flag] [/reliable: (yes|No)] 例如： w32tm /config /update /manualperrlist:,,time-nw.nist.lov /syncfromflags:manual /reliable:Yes 使用这个命令我们就把PDC 设置成了使用, , time- nw.nist.lov 这三个作为时间源，并且是森林中的权威时间服务器。 我们可以通过上面的方法，来对我们觉得有必要的所有服务进行配置。 如果客户端中的windows 时间服务有问题的话，我们可以通过下面的方法来重置 这个服务（恢复到默认状态）。 1. 1、打开命令行 2. 2 、键入net stop w32time 来停止这服务 3. 3、键入w32tm /unregister 来删除现在的w32 时间服务配置 4. 4 、键入w32tm /register 来导入默认的时间配置 5. 5、键入 net start w32time 来开启这个服务。 如果上面所述的方法还是不能解决我们的问题，我可以使用下面的方法来启用客户 端上的windows 时间服务日志文件来进行排错。 1. 启动注册表编辑器