为什么考虑这种情况
根 PDC 仿真程序未设置为使用网络时间协议 (NTP) 服务器¡£ 许多 Windows 和网络功能都依赖于整个网络强大的时间同步。 时间同步失败会导致各种问题,尤其是登录失败。 Kerberos 身份验证和基于声明的单一登录会由于时间不一致而失败。
观看客户工程师解释问题
上下文和最佳做法
默认情况下,在域中的所有计算机和设备使用域层级同步系统时间。 域成员使用域控制器同步时间,进而与运行 PDC 仿真器角色的域控制器同步时间。 目录林根级域的 PDC 仿真器位于域层次结构的顶部,因此,配置此域控制器与域层次结构同步时间是无效的。 Windows 时间服务通过从 W32Time 事件源将事件 ID 12 写入 Windows 事件日志,来警告你这一情况。
在某些情况下,PDC 仿真器从 BIOS 时钟获取其时间。 但是这个方法有缺陷。 如果在 PDC 仿真器 BIOS 中未正确设置时间和日期,则整个域中的时间和日期设置都将是错误的。 此外,如果 PDC 仿真器脱机,域成员将无法同步时间。 更好的方法是配置 PDC 仿真器直接与外部时间源同步时间。 或者,你可以配置域内的其他设备与外部时间服务同步时间,然后配置 PDC 仿真器,将内部时间服务器用作权威时间源。
权威外部时间源是面向 Internet 的服务,通常由政府、科学或教育机构维护,通过网络时间协议 (NTP) 提供系统时间同步。 例如,NIST 在美国的不同位置运营时间服务器。
建议措施
您可以将拥有 PDCE 角色的域控制器配置为使用 NTP 服务器来同步时间,有以下几种方法。
通过命令行配置时间同步:
在 PDC 模拟器中,打开管理命令提示符并使用以下命令:
w32tm.exe /config /syncfromflags:manual /manualpeerlist:131.107.13.100,0x8 /reliable:yes /update
w32tm.exe /config /update
备注
示例中的 IP 地址是位于华盛顿州雷德蒙市 Microsoft 的美国国家标准与技术研究所 (NIST) 时间服务器。 请将此 IP 地址替换为你选择的时间服务。
要在 PDC 模拟器上通过注册表编辑配置时间同步,请执行以下操作:
打开“注册表编辑器”(regedit.exe)。
导航到以下注册表项:
HKLM\System\CurrentControlSet\Services\W32Time\Parameters
要使用特定的 NTP 源,请将“类型”值修改为“NTP”。
修改 NtpServer值以包含要与之同步时间的 NTP 服务器,后跟 0x8,例如,131.107.13.100,0x8。 多个 NTP 服务器必须用空格分隔,例如 131.107.13.100,0x8 24.56.178.140,0x8
打开管理员命令提示并运行以下命令:
w32tm /config /update
。
要通过组策略配置时间同步,请执行以下操作:
打开“组策略管理控制台”。
新建 GPO。
打开 GPO 并导航到“计算机设置”->“管理模板”->“系统”->“Windows 时间服务”->“时间提供程序”
双击“配置 Windows NTP 客户端”。
将状态设置为“已启用”。
将“类型”配置为“NTP”。
将 NTPServer配置为指向时间服务器的 IP 地址,后跟 ,0x8。 例如,131.107.13.100,0x8
关闭组策略编辑器。
在组策略管理控制台的“安全筛选”窗格中,删除新建策略的“经身份验证的用户”,并添加持有“PDC 模拟器”角色的计算机。
将 GPO 链接到域控制器 OU。
备注
Windows 时间的组策略设置将写入注册表路径 HKLM\Software\Policies\Microsoft\W32time
。
如何排除故障
要查看 Windows 时间服务的当前配置,请在提升的命令提示符处使用以下命令:
w32tm /query /configuration
要查看时间同步的当前源,请使用以下命令:
w32tm /query /source
了解更多信息
有关 NIST Internet 时间服务的详细信息,请参阅 NIST Internet 时间服务 (ITS)。
有关 Windows 时间服务的详细信息,请参阅 Windows 时间服务的工作原理。