DCs 2008域上的时间来源不正确？

Question

因此，我们让一位用户抱怨说，她的台式机上只有一分钟的时间，结果她总是误了火车。尽管我对这种事情的反应令人怀疑，但它确实促使我调查了我们领域中的时间同步问题，我认为，它凸显了我对时间同步的缺乏理解。

目前，我的"w32tm /monitor“命令的结果是：

C:\Users\TAlexander>w32tm /monitor
NCCDC1.xxxxxx.xx.xx[10.168.50.32:123]:
    ICMP: 0ms delay
    NTP: +2.4042293s offset from RHDC1.xxxxxx.xx.xx
        RefID: firewall.xxxxxx.xx.xx [10.168.xxx.xxx]
        Stratum: 4
NCCDC3.xxxxxx.xx.xx[10.168.50.36:123]:
    ICMP: 0ms delay
    NTP: +2.4122098s offset from RHDC1.xxxxxx.xx.xx
        RefID: firewall.xxxxxx.xx.xx [10.168.xxx.xxx]
        Stratum: 4
NCCDC.xxxxxx.xx.xx[[fe80::d1e0:8675:36c1:acba%14]:123]:
    ICMP: 0ms delay
    NTP: -0.0916479s offset from RHDC1.xxxxxx.xx.xx
        RefID: RHDC1.xxxxxx.xx.xx [10.168.50.35]
        Stratum: 2
RHDC1.xxxxxx.xx.xx *** PDC ***[10.168.50.35:123]:
    ICMP: 0ms delay
    NTP: +0.0000000s offset from RHDC1.xxxxxx.xx.xx
        RefID: 'LOCL' [0x4C434F4C]
        Stratum: 1
ICMDC1.xxxxxx.xx.xx[10.168.50.31:123]:
    ICMP: 0ms delay
    NTP: +2.4229719s offset from RHDC1.xxxxxx.xx.xx
        RefID: wwwco1test12.microsoft.com [65.55.21.20]
        Stratum: 3
ICMDC2.xxxxxx.xx.xx[10.168.50.33:123]:
    ICMP: 0ms delay
    NTP: +0.1387203s offset from RHDC1.xxxxxx.xx.xx
        RefID: RHDC1.xxxxxx.xx.xx [10.168.50.35]
        Stratum: 2

RHDC1是我们的PDC，所以我从我所读到的想法是，RHDC1应该有一个不同时间源的RefID (在这种情况下，它将是我们的防火墙)，然后其他DC应该寻找PDC作为他们的时间，从而在RefID中显示RHDC1。然后，客户端(服务器和工作站)应该在NETLOGON进程运行时同步。

事实上，我们有一些不同的来源和倾诉。我是否正确地假设我们的DC没有按照传统的领域层次结构进行同步？如果是这样的话，是否有一个GP或命令可以迫使他们返回到这种状态？

Answer 1

对于一些非PDC仿真器DC所使用的时间源，事情看上去确实不太正常。我建议在所有DC上运行以下代码，但PDC模拟器除外：

w32tm /config /syncfromflags:domhier /update.然后重新启动w32time。

至于将PDC仿真器同步到外部源(如防火墙)，我的问题是是否有必要？时间是相对的。拥有一个“封闭的系统”是完全可以接受的，除非你需要从外部来源获得真实、准确的时间，因为这是出于预期、合法等原因。如果您这样做，那么您可能需要同步到防火墙以外的其他东西。

Answer 2

虚拟DC的部分问题在于它希望从PDC获得时间，但是默认情况下，“虚拟驱动程序”被设置为与主机同步时间。如果主机和PDC不是同一时间的话，这将导致拔河.大多数人只会禁用VM时间同步功能，但如果VM被保存或关闭，这将导致问题。

在PDC的Hyper-V世界中:下面的步骤将VM设置为在引导、睡眠/清醒和快照恢复时使用主机，但一旦操作系统启动，它将使用manualpeerlist进行时间同步。您还应该有主机同步时间与相同的来源，所以您的主人/客人只有5-10秒的最大间隔。

打开Admin提示符并键入以下命令：

reg add HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider /v Enabled /t reg_dword /d 0

(回答“是”以覆盖和禁用此时间源)

w32tm /config /syncfromflags:MANUAL /reliable:YES /manualpeerlist:"us.pool.ntp.org,0x1" /update

net stop w32time & net start w32time

w32tm /resync /force

(应顺利完成)

w32tm /query /source

(应该显示NTP服务器IP/名称)

在帮助几个客户克服DC/PDC在虚拟环境下的时间问题后，我从TechEd和微软的一篇伟大的虚拟化文章中总结了这一点。http://blogs.msdn.com/b/virtual_个人电脑_guy/archive/2010/11/19/time-synchronization-in-hyper-v.aspx

Answer 3

好，Doamins只与PDC仿真器角色同步。

windows时间同步是为了保持计算机“足够接近kerberos工作”，这是在离服务器5分钟的时间内。

其他任何事情都不是时间服务的目的，而是需要一个高分辨率的时间服务器。

你的员工甚至认为应该如此接近都是不好的。它从来就不是为它而做的。