为什么考虑这种情况
根 PDC 仿真程序未设置为使用网络时间协议 (NTP) 服务器¡£ 许多 Windows 和网络功能依赖于跨网络同步的可靠时间。 时间同步失败会导致各种问题,尤其是登录失败。 Kerberos 身份验证和基于声明的单一登录会由于时间不一致而失败。
观看客户工程师解释问题
上下文和最佳做法
默认情况下,在域中,所有计算机和设备都会使用域层次结构来同步系统时间。 域成员与域控制器同步时间,后者又与运行 PDC 模拟器角色的域控制器同步时间。 目录林根级域的 PDC 仿真器位于域层次结构的顶部,因此,配置此域控制器与域层次结构同步时间是无效的。 Windows 时间服务通过从 W32Time 事件源将事件 ID 12 写入 Windows 事件日志,来警告你这一情况。
在某些情况下,PDC 仿真器从 BIOS 时钟获取其时间。 但是这个方法有缺陷。 如果在 PDC 仿真器 BIOS 中未正确设置时间和日期,则整个域中的时间和日期设置都将是错误的。 此外,如果 PDC 模拟器脱机,域成员将无法同步时间。 更好的方法是将 PDC 模拟器配置为直接与外部时间源同步时间。 或者,可以将域中的另一台设备配置为将时间与外部时间服务同步,然后将 PDC 模拟器配置为使用内部时间服务器作为权威时间源。
权威的外部时间源是面向 Internet 的服务,通常由政府、科学或教育机构维护,可帮助你使用网络时间协议(NTP)同步系统时间。 例如,NIST 在美国的各个位置提供时间服务器。
建议措施
可以将持有 PDCE 角色的域控制器配置为使用 NTP 服务器同步时间,有多种方法。
通过命令行配置时间同步
在 PDC 模拟器上,打开管理命令提示符并使用以下命令:
w32tm.exe /config /syncfromflags:manual /manualpeerlist:131.107.13.100,0x8 /reliable:yes /update
w32tm.exe /config /update
备注
示例中的 IP 地址是位于华盛顿州雷德蒙市 Microsoft 的美国国家标准与技术研究所 (NIST) 时间服务器。 请将此 IP 地址替换为你选择的时间服务。
通过注册表配置时间同步
在 PDC 模拟器上,执行以下作:
打开 注册表编辑器(regedit.exe)。
请转到以下注册表路径: HKLM\System\CurrentControlSet\Services\W32Time\Parameters
要使用特定的 NTP 源,请将“类型”值修改为“NTP”。
修改 NtpServer 值,使之包含用于同步时间的 NTP 服务器,并在其后加上 0x8,例如 131.107.13.100,0x8。 多个 NTP 服务器必须以空格分隔,例如 131.107.13.100,0x8 24.56.178.140,0x8。
打开管理命令提示符并运行以下命令: w32tm /config /update
通过组策略配置时间同步
- 打开 组策略管理控制台
- 创建新的 GPO
- 打开 GPO 并转到计算机设置 -> 管理模板 - 系统 ->> Windows 时间服务 -> 时间提供程序
- 双击“ 配置 Windows NTP 客户端”。
- 将状态设置为 “已启用”
- 将 类型配置为 NTP
- 将 NTPServer 配置为指向时间服务器的 IP 地址,后跟 ,0x8,例如:131.107.13.100,0x8
- 关闭组策略编辑器
- 在组策略管理控制台的安全筛选窗格中,为新创建的策略移除经过身份验证的用户,并添加拥有PDC 模拟器角色的计算机。
- 将 GPO 链接到 域控制器OU
如何排除故障
要查看 Windows 时间服务的当前配置,请在提升的命令提示符处使用以下命令:
w32tm /query /configuration
要查看时间同步的当前源,请使用以下命令:
w32tm /query /source
了解更多信息
有关如何将域控制器与外部时间源同步的详细信息,请参阅 将域控制器的时间服务器与外部源同步。
有关 NIST Internet 时间服务的详细信息,请参阅 NIST Internet 时间服务 (ITS)。
有关 Windows 时间服务的详细信息,请参阅 Windows 时间服务的工作原理。