改变域控制器时间+5分钟

Question

我有60个工作站和10台服务器(其中2台是域控制器)的中型Windows网络.一个DC包含FSMO角色，包括PDC模拟器。这与PDC不同步外部时间，时间是大约5分钟后，导致所有工作站落后。

不确定是否应该将PDC与外部internet源同步，或者只是暂时手动地在此服务器上增加时间。现在，它还没有设置为使用外部源。

有什么建议吗？用手把时间增加几分钟安全吗？

Answer 1

对大多数应用程序来说，提前前进通常是安全的，但倒退是不好的。

也就是说，您至少应该在PDC上使用NTP来与4同步(是4!)外部NTP服务器。原因是复杂的，但基本上您需要确保好的时间服务器可以“超过”糟糕的服务器。我建议使用公共NTP池，它设置了Geo，以便在您自己的国家为您提供时间服务器。使用0.pool.ntp.org，1.pool.ntp.org，2.pool.ntp.org，3.pool.ntp.org。

Assimung Windows 2003或更高版本，您可以在PDC模拟器上运行此命令来同步它：

w32tm /config /manualpeerlist:"0.pool.ntp.org,0x8 1.pool.ntp.org,0x8 2.pool.ntp.org,0x8 3.pool.ntp.org,0x8" /syncfromflags:MANUAL /update 

每个服务器名称之后的十六进制数告诉windows时间服务使用NTP客户端模式与自适应轮询间隔相关联(这是正确的方法)。您还应该考虑向至少一个其他域控制器添加相同的内容，但是使用"/syncfromflags:ALL“代替，这样它就可以与外部NTP服务器以及本地域控制器进行对话。

您将需要在防火墙上打开UDP端口123，用于任何与internet进行NTP对话的系统。请参阅这里获取来自MSFT的完整文档(请注意，您可以通过组策略进行配置，而不是使用命令行工具)。

Answer 2

你确定它不使用NTP吗？默认情况下它会袭击微软吗？

不管怎么说，你们的客户应该对你的DC愤世嫉俗。找到一个您信任的好的NTP服务器，并更新PDC仿真器，随着时间的推移，您的客户端将更新以匹配DC。

是的，你应该可以再撞几下。正如我所说的，您的客户端应该与DC同步，而不是与外部世界同步。