建议 - 使用权威时间源配置根 PDC 并避免普遍的时间偏差。

为什么考虑这种情况

根 PDC 仿真程序未设置为使用网络时间协议 (NTP) 服务器¡£ 许多 Windows 和网络功能都依赖于整个网络强大的时间同步。 时间同步失败会导致各种问题，尤其是登录失败。 Kerberos 身份验证和基于声明的单一登录会由于时间不一致而失败。

观看客户工程师解释问题

上下文和最佳做法

默认情况下，在域中的所有计算机和设备使用域层级同步系统时间。 域成员使用域控制器同步时间，进而与运行 PDC 仿真器角色的域控制器同步时间。 目录林根级域的 PDC 仿真器位于域层次结构的顶部，因此，配置此域控制器与域层次结构同步时间是无效的。 Windows 时间服务通过从 W32Time 事件源将事件 ID 12 写入 Windows 事件日志，来警告你这一情况。

在某些情况下，PDC 仿真器从 BIOS 时钟获取其时间。 但是这个方法有缺陷。 如果在 PDC 仿真器 BIOS 中未正确设置时间和日期，则整个域中的时间和日期设置都将是错误的。 另外，如果 PDC 仿真器脱机，域成员将无法同步时间。 更好的方法是配置 PDC 仿真器直接与外部时间源同步时间。 此外，你可以配置域内的其他设备与外部时间服务同步时间，然后配置 PDC 仿真器将内部时间服务器用作权威时间源。

权威外部时间源是面向 Internet 的服务，通常由政府、科学或教育机构维护，使你能够利用网络时间协议 (NTP) 同步系统时间。 例如，NIST 在美国的不同位置提供时间服务器。

建议措施

您可以将拥有 PDCE 角色的域控制器配置为使用 NTP 服务器来同步时间，有以下几种方法：

要通过命令行配置时间同步，请在 PDC 模拟器上打开管理命令提示符，并使用以下命令：

w32tm.exe /config /syncfromflags:manual /manualpeerlist:131.107.13.100,0x8 /reliable:yes /update

w32tm.exe /config /update

**注意：**示例中的 IP 地址是位于华盛顿州雷德蒙市 Microsoft 的美国国家标准与技术研究所 (NIST) 时间服务器。 请将此 IP 地址替换为你选择的时间服务。

要通过对 PDC 模拟器上的注册表编辑配置时间同步，请执行以下操作：

1. 打开注册表编辑器 (regedit.exe)
2. 导航到以下注册表项 HKLM\System\CurrentControlSet\Services\W32Time\Parameters
3. 要使用特定的 NTP 源，请将“类型”值修改为“NTP”
4. 修改 NtpServer值，以包含要与之同步时间的 NTP 服务器，后跟 0x8，例如，131.107.13.100,0x8。 多个 NTP 服务器必须用空格分隔，例如 131.107.13.100,0x8 24.56.178.140,0x8
5. 打开管理命令提示符并执行以下命令：w32tm /config /update

要通过组策略配置时间同步

1. 打开组策略管理控制台
2. 新建 GPO
3. 打开 GPO 并导航到计算机设置-> 管理模板-> 系统-> Windows 时间服务 -> 时间提供程序
4. 双击“配置 Windows NTP 客户端”。
5. 将状态设置为“已启用”
6. 将“类型”配置为“NTP”
7. 将 NTPServer 配置为指向时间服务器的 IP 地址，后跟 ,0x8，例如：131.107.13.100,0x8
8. 关闭组策略编辑器
9. 在组策略管理控制台的“安全筛选”窗格中，删除新建策略的经过身份验证的用户，并添加持有 PDC 模拟器角色的计算机
10. 将 GPO 链接到域控制器 OU

如何排除故障

要查看 Windows 时间服务的当前配置，请在提升的命令提示符处使用以下命令：

w32tm /query /configuration

若要查看时间同步的当前源，请使用以下命令：

w32tm /query /source

了解详情

有关 NIST Internet 时间服务的详细信息，请参阅 NIST Internet 时间服务 (ITS)，网址：https://www.nist.gov/pml/div688/grp40/its.cfm。

有关 Windows 时间服务的详细信息，请参阅 Windows 时间服务的工作原理。(/windows-server/networking/windows-time-service/how-the-windows-time-service-works)