windows域控服务器时间同步

1、

https://blog.csdn.net/pimg2005/article/details/126699530

域控时间同步配置

配置分为两步：第一步为域控服务器配置与阿里云NTP的时间同步；第二步通过组策略实现域内成员同步域控服务器的时间。

一、域控服务器配置NTP
1、 添加时间服务器地址（域名或IP）（下面这个键存放着时间服务器列表）

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\DateTime\Servers

在右边窗口点右键新建“字符串值”，将此“字符串值”命名为6。双击此新建的“字符串值”，输入地址：ntp.aliyun.com，保存。将“默认”（即第一个“字符串值”）修改为6即可。前面的几个时间服务器分别为：

time.windows.com
time.nist.gov
time-nw.nist.gov
time-a.nist.gov
time-b.nist.gov

2、 指定时间源

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
修改键NtpServer的值为ntp.aliyun.com,0x6

3、 设置校时周期

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\SpecialPollInterval
修改键SpecialPollInterval的值为十进制的1800（即为1800秒，半小时）

4、重启服务
重启服务net stop w32time&net start w32time

5、验证配置情况

C:\Users\Administrator>w32tm /query /status

Leap 指示符: 0(无警告)

层次: 3 (次引用 - 与(S)NTP 同步)

精度: -6 (每刻度 15.625ms)

根延迟: 0.0424652s

根分散: 0.0296346s

引用 ID: 0xCB6B0658 (源 IP:  203.107.6.88)

上次成功同步时间: 2020/7/20 11:19:13

源: ntp.aliyun.com,0x6

轮询间隔: 10 (1024s)

 

 

C:\Users\Administrator>w32tm /query /peers

#对等数: 1

 

对等: ntp.aliyun.com,0x6

状态: 运行中

剩余时间: 759.4448167s

模式:1 (主动对称)

层次: 2 (次引用 - 与(S)NTP 同步)

对等机轮询间隔: 10 (1024s)

主机轮询间隔: 10 (1024s)

二、配置权威服务器及组策略
1、设置权威服务器
在域控服务器上打开注册表，找到键值

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
修改键AnnounceFlags的值为十进制的10

2、 启用 NTPServer

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer
修改键Enabled的值为十进制的1

3、配置组策略，设置时间同步

1. 打开“Active Directory 用户和计算机”，新建组织单位，起名为“Desktop&Server”，将Computers内的计算机全部移动到新建的组织单位下。（此步操作重要，见填坑说明）
2. 打开组策略管理：控制面板-管理工具-组策略管理
3. 选中新建的“Desktop&Server”，鼠标右键，选择“在这个域中创建GPO并在此处链接……”，输入新建GPO的名称（随意）
4. 在下方的“组策略对象”中，选新建的GPO，右键编辑
5. 计算机配置—策略—管理模板—系统—Windows时间服务，双击“全局时间配置”，选择“已启用”。
   修改MaxNegPhaseCorrection的值为3600（即为3600秒，1小时）
   修改MaxPosPhaseCorrection的值为3600（即为3600秒，1小时）
   修改AnnounceFlags的值为5
   点“应用”，“确定”。
6. 计算机配置—策略—管理模板—系统—Windows时间服务—时间提供程序，“启用Windows NTP客户端”，选择“已启用”。
   “配置Windows NTP客户端”，选择“已启用”。
   修改NtpSever的值为dc.rybb.com,0x6
   注：dc.rybb.com 是你域控的名字，也就是域控机的主机名
   修改Type的值为NTP
   修改SpecialPollInterval的值为1800（30分钟）

4、域内成员同步策略
刷新组策略指令：gpupdate /force
重启服务net stop w32time&net start w32time

5、域内成员验证配置

C:\Users\Administrator>w32tm /query /status

Leap 指示符: 0(无警告)

层次: 4 (次引用 - 与(S)NTP 同步)

精度: -6 (每刻度 15.625ms)

根延迟: 0.0738678s

根分散: 0.1001609s

引用 ID: 0xAC10F665 (源 IP:  172.16.1.10)

上次成功同步时间: 2020/7/20 12:17:49

源: dc.rybb.com,0x6

轮询间隔: 10 (1024s)

 

 

C:\Users\Administrator>w32tm /query /peers

#对等数: 1

 

对等: dc.rybb.com,0x6

状态: 运行中

剩余时间: 810.3614176s

模式:1 (主动对称)

层次: 3 (次引用 - 与(S)NTP 同步)

对等机轮询间隔: 10 (1024s)

主机轮询间隔: 10 (1024s)

三、填坑说明
如果在“Default Domain Policy”下添加时间同步策略，将会导致域控服务器也获取并执行策略，由于组策略的优先级较高，导致第一步配置的与阿里云NTP同步策略失效。使得域控服务器本身的时间准确性得不到保证。因此通过新建组织单位的方式，对除了域控服务器以外的计算机下发该策略。确保所有成员时间准确。

 

https://www.jianshu.com/p/ca6ad7563618

 

非域客户端时间同步：

 

默认情况下，Windows计算机使用以下层次结构来同步时间：

 

1. 所有客户端计算机提名授权域控制器作为它们的入站时间伙伴

 

2. 所有成员服务器提名授权域控制器作为它们的入站时间伙伴

 

3. 域控制器可以提名PDC作为它们的入站时间伙伴，也可以使用父域控制器作为它们的入站时间伙伴

 

4. 所有PDC遵循域的层次结构来选择它们的入站时间伙伴

 

 

实际生产中，有些计算机未做域管理，但生产系统有需要保证时间同步一致

 

非域客户端未登陆与DC时间同步

 

组策略操作法：

 

计算机配置--管理模板--系统--windows 时间服务

 

配置 windwos NTp 客户端，时间服务器修改为DC机器名，类型修改为 NTp。

然后启用windows NTP 服务器：

 

保存退出，刷新计算机策略， gpupdate /force

 

然后重启 windwos 时间服务 ，

net stop w32time 

net start w32time

 

客户端配置完成，这样修改客户端时间，过一会儿发现时间可以同步了。也需要域安全认证

同时需要注意DNS要设置域DNS的IP

 

https://blog.51cto.com/johnemoney/419270

 

2、