Sdílet prostřednictvím

Doporučení – Konfigurace kořenového primárního řadiče domény s autoritativním zdrojem času a zabránění rozsáhlé nerovnoměrné distribuci času

Proč to zvažte

Váš emulátor kořenového primárního řadiče domény není nastavený tak, aby používal server NTP (Network Time Protocol). Mnoho funkcí systému Windows a sítě spoléhá na robustní synchronizaci času v síti. Selhání synchronizace času můžou způsobit různé problémy, zejména selhání přihlášení. Ověřování protokolem Kerberos a jednotné přihlašování založené na deklaracích může selhat kvůli časovým rozdílům.

Podívejte se na zákazníka, který vysvětluje problém.

Kontext a osvědčené postupy

Ve výchozím nastavení synchronizují všechny počítače a zařízení v doméně systémový čas pomocí hierarchie domény. Členové domény synchronizují čas s řadiči domény, které zase synchronizují čas s řadičem domény, na kterém běží role emulátoru primárního řadiče domény. Emulátor primárního řadiče domény kořenové domény doménové struktury je v horní části hierarchie domény a například konfigurace tohoto řadiče domény pro synchronizaci času s hierarchií domény není platná. Služba Windows Time Service vás upozorní na tuto podmínku zápisem ID události 12 do protokolu událostí Systému Windows ze zdroje událostí W32Time.

V některých scénářích získá emulátor primárního řadiče domény čas od hodin systému BIOS. Tento přístup má však nevýhody. Pokud není čas a datum správně nastavené v systému BIOS emulátoru primárního řadiče domény, nastavení času a data bude v celé doméně nesprávné. Pokud emulátor primárního řadiče domény přejde do režimu offline, členové domény nebudou moct synchronizovat čas. Lepším přístupem je nakonfigurovat emulátor primárního řadiče domény tak, aby synchronizoval čas přímo s externím zdrojem času. Alternativně můžete nakonfigurovat jiné zařízení ve vaší doméně tak, aby synchronizovala čas s externí časovou službou, a pak emulátor primárního řadiče domény nakonfigurujte tak, aby jako autoritativní zdroj času používal váš interní časový server.

Autoritativní externí zdroje času jsou internetové služby, které jsou obvykle udržovány vládními, vědeckými nebo vzdělávacími zařízeními, které poskytují synchronizaci systémového času prostřednictvím protokolu NTP (Network Time Protocol). NIST například provozuje časové servery v různých umístěních v USA.

Navrhované akce

Řadič domény, který má roli PDCE, můžete nakonfigurovat tak, aby k synchronizaci času používal server NTP. Existuje několik přístupů.

Konfigurace synchronizace času přes příkazový řádek:

V emulátoru primárního řadiče domény otevřete příkazový řádek pro správu a použijte následující příkazy:

w32tm.exe /config /syncfromflags:manual /manualpeerlist:131.107.13.100,0x8 /reliable:yes /update

w32tm.exe /config /update

Poznámka

IP adresa v příkladu je časový server NIST (National Institute of Standards and Technology) v Microsoftu v Redmondu ve Washingtonu. Tuto IP adresu nahraďte časovou službou podle vašeho výběru.

Konfigurace synchronizace času prostřednictvím úprav registru v emulátoru primárního řadiče domény:

  1. Otevřete Editor registru (regedit.exe).

  2. Přejděte na následující klíč registru: HKLM\System\CurrentControlSet\Services\W32Time\Parameters.

  3. Chcete-li použít konkrétní zdroj NTP, upravte hodnotu typu na NTP.

  4. Upravte hodnotu NtpServer tak, aby obsahovala server NTP tak, aby synchronizoval čas s následnou 0x8, například 131.107.13.100,0x8. Více serverů NTP musí být oddělené mezerami, například 131.107.13.100,0x8 24.56.178.140,0x8

  5. Otevřete příkazový řádek pro správu a spusťte následující příkaz: w32tm /config /update.

Konfigurace synchronizace času pomocí zásad skupiny:

  1. Otevřete konzolu pro správu zásad skupiny.

  2. Vytvořte nový objekt zásad služby.

  3. Otevřete objekt zásad skupiny a přejděte na Nastavení počítače –> Šablony pro správu –> Systém –> Služba Windows Time Service –> Poskytovatelé času.

  4. Poklikejte na klienta Konfigurovat systém Windows NT P.

  5. Nastavte stav na Povoleno.

  6. Nakonfigurujte typ na PROTOKOL NTP.

  7. Nakonfigurujte NTPServer tak, aby odkazoval na IP adresu časového serveru a potom na 0x8. Příklad: 131.107.13.100,0x8

  8. Zavřete Editor zásad skupiny.

  9. V podokně Filtrování zabezpečení konzoly pro správu zásad skupiny odeberte ověřené uživatele pro nově vytvořené zásady a pak přidejte počítač, který obsahuje roli emulátoru primárního řadiče domény.

  10. Propojte objekt zásad zásad služby s organizační jednotce řadičů domény.

Poznámka

Nastavení zásad skupiny pro systém Windows Time se zapíše do cesty HKLM\Software\Policies\Microsoft\W32timeregistru .

Řešení potíží

Pokud chcete zobrazit aktuální konfiguraci služby Windows Time, použijte v příkazovém řádku se zvýšenými oprávněními následující příkaz:

w32tm /query /configuration

Pokud chcete zobrazit aktuální zdroj pro synchronizaci času, použijte následující příkaz:

w32tm /query /source

Další informace

Další informace o službě NIST Internet Time Service naleznete v tématu NIST Internet Time Service (ITS).

Další informace o službě Windows Time Service naleznete v tématu Jak služba Windows Time Service funguje.