poc*_*nor 1 windows-server-2008 active-directory ntp
我相信我的域控制器和时间服务器有问题。在我的备份 DC 上,我一直看到一条警告,指出“时间服务已停止作为时间源进行广告,因为本地时钟未同步。”
这是否意味着我的备份 DC 认为它是时间服务器?我的 PDC 应该是时间服务器,我已经将 PDC 设置为时间服务器。
我没有使用旧的 PDC 和备份 DC 进行时间服务器的原始设置。但我相信旧的 PDC 是时间服务器,所以当我退役旧的 PDC 时,我将新的 PDC 设置为新的时间服务器。是否有可能将备份 DC 设置为时间服务器并且它仍然认为它应该为每个人提供时间?
PDC 注册表有 NTP 备份注册表有 NT5D5
w32tm /monitor 的结果
Getting AD DC list for default domain...
Analyzing:delayoffset from DC1.local..com
Stratum: 4
delayoffset from DC1.local..com
Stratum: 3
Warning:
Reverse name resolution is best effort. It may not be
correct since RefID field in time packets differs across
NTP implementations and may not be using IP addresses.
DC2.local..com[192.168.1.8:123]:
ICMP: 1ms
NTP: -0.6349491s RefID: DC1.local..com [192.168.1.9]
DC1.local..com *** PDC ***[192.168.1.9:123]:
ICMP: 0ms
NTP: +0.0000000s RefID: wwwco1test12.microsoft.com [65.55.21.20]
好的,首先要澄清一些事情:除非您在 NT4 域中,否则没有 PDC 和 BDC。如果是这种情况,请跳过我的其余答案,您自己在那里。在 Windows 2000 AD 和更高版本中,存在多主节点。多主 (FSMO) 角色之一是 PDC 模拟器。这个词Emulator很重要,因为它不是 PDC。它只是一个对等域控制器,它执行一些过去由 PDC 专门执行的附加功能。
其中一项功能是为其他 DC 和成员服务器提供时间服务。Windows 域处理时间同步的方式如下:
Windows Clients-----> Logon Server----->DC with the PDC Emulator role
这意味着某些客户端将直接与拥有 PDC 模拟器角色的 DC 同步他们的时间,但前提是该 DC 是他们的登录服务器。您可以通过检查%logonserver%域成员上的环境变量来检查这一点。
如果运行,w32tm /monitor您应该能够看到 AD 中的所有域控制器。层数越低越好。您的 PDC 模拟器应该具有最低层,通常为 4 或 5。
如您所见,所有DC 都充当域中的时间源。所有 DC 从 PDC 模拟器同步它们的时间。因此,如果非 PDC 模拟器设置为从外部源同步其时间(我认为这可能是您的实际问题),您希望将其重置为从域层次结构同步。为此,请运行w32tm /config /syncfromflags:DOMHIER /Update然后停止并启动 Windows 时间服务并运行w32tm /resync.
在执行上述任何操作之前,请确保将担任 PDC 模拟器角色的服务器配置为从可靠的外部源同步或具有良好的内部时钟。如果来自外部源,通常最好进行同步。
tl;博士; - 听起来你的配置有点搞砸了。所有 DC 都提供授时服务。确保您的 PDC 模拟器从可靠的来源同步。然后确保所有其他 DC 和域成员从默认域层次结构同步。