如何讓我的域控制器與正確的外部時間源同步？

Question

我有一個用戶聯繫我說她的電腦時鐘比她的手機時鐘快8或9分鐘。這關注我，因爲手機時鐘總是同步。我看了一下電腦的時鐘，大概過了8分鐘。八分鐘是很多時間休息。所以我看了看我的兩個DC。用作AD PDC Emulator的那個只比我的手機快1分鐘;這似乎更合理。但工作站不會與其同步。所以我看着我的其他DC，它沒有任何主角色。它和工作站完全一樣，快8分鐘左右。

所以這裏有幾個大問題。首先，我的DC沒有相同的時間。其次，我的工作站與更快的DC相同（他們正在同步嗎？）。我查看了兩個DC的錯誤日誌，並過濾了Time-Service。 PDC模擬器DC有警告事件ID 144：時間服務已停止廣告作爲一個良好的時間源。另一個DC有警告事件ID 142：由於本地時鐘未同步，時間服務已停止作爲時間源發佈廣告。我也收到其他事件ID警告。在主DC上：事件ID 12,36,144（上面提到），131.在次DC上：事件ID 131,24,142（上面提到），50,129。我會在底部給出更多的信息。

從我所看到的，它看起來像我的PDCe沒有指向外部來源。我應該使用「配置時間服務以使用外部時間源」下的說明（http://support.microsoft.com/kb/816042）進行設置嗎？文章中的人（http://tigermatt.wordpress.com/2009/08/01/windows-time-for-active-directory/）說使用腳本來自動化它（w32tm/config/manualpeerlist：「uk .pool.ntp.org，0×8 europe.pool.ntp.org，0×8/syncfromflags：MANUAL/reliable：yes/update）。但我不確定他們是否做同樣的事情。即使他們這樣做，我也不確定我使用哪個地址。如果我看看我的輔助DC，它具有time.windows.com的NtpServer條目，0x9。 PDCe也一樣，直到我重置了文章推薦的內容。現在它沒有NtpServer條目。

那麼哪種方法是正確的使用方法，以及使用哪個地址？如果我運行Server 2008 R2，這有什麼關係嗎？

事件ID 12：時間提供程序NtpClient：本機配置爲使用域層次結構來確定其時間源，但它是林根的域的AD PDC模擬器，因此沒有上述機器它在域層次結構中用作時間源。建議您在根域中配置可靠的時間服務，或者手動配置AD PDC以與外部時間源同步。否則，此機器將充當域結構中的權威時間源。如果未爲此計算機配置或使用外部時間源，則可以選擇禁用NtpClient。

事件ID 36：時間服務未將系統時間同步86400秒，因爲沒有時間服務提供程序提供了可用的時間戳。時間服務不會更新本地系統時間，直到它能夠與時間源同步。如果本地系統配置爲充當客戶端的時間服務器，則它將停止將廣告作爲客戶端的時間源。時間服務將繼續重試並與時間源同步。有關更多詳細信息，請查看其他W32time事件的系統事件日誌。運行'w32tm/resync'強制進行即時時間同步。

事件ID 144：時間服務已停止廣告作爲一個良好的時間源。

事件ID 131：由於DNS上的DNS解析錯誤，NtpClient無法將域對等設置爲時間源。 NtpClient將在3473457分鐘後再次嘗試，並在此後再重新嘗試兩次。錯誤是：請求的名稱是有效的，但沒有找到請求類型的數據。 （0x80072AFC）。

事件ID 24：時間提供程序NtpClient：8次嘗試聯繫域控制器DC-DNS.domain.org [這是我們的主要DC]後沒有收到任何有效響應。該域控制器將作爲時間源丟棄，NtpClient將嘗試發現要同步的新域控制器。錯誤是：對方無法訪問。

事件ID 142：時間服務已停止廣告作爲時間源，因爲本地時鐘不同步。

事件ID 50：時間服務檢測到時間差大於5000毫秒900秒。時間差可能是由低精度時間源同步或次優網絡條件造成的。時間服務不再同步，不能將時間提供給其他客戶端或更新系統時鐘。當從時間服務提供商接收到有效的時間戳時，時間服務將自行更正。

事件ID 129：由於發現錯誤，NtpClient無法將域對等設置用作時間源。 NtpClient將在3145779分鐘內再次嘗試，並在此後再重新嘗試兩次。錯誤是：沒有找到條目。 （0x800706E1）

Answer 1

我有一個小型客戶端的問題，其中唯一的DC作爲虛擬機運行。時鐘會每秒減少數秒，數週或數月可能會超過20分鐘。

繼發現這裏的說明：http://technet.microsoft.com/en-us/library/cc794937(v=ws.10).aspx我用w32tm /stripchart /computer:time.windows.com /samples:5 /dataonly確定多遠時鐘是與time.windows.com服務器（你可以使用任何你喜歡的NTP服務器）：

Tracking time.windows.com [64.4.10.33]. 
Collecting 5 samples. 
The current time is 23/06/2013 8:12:34 AM (local time). 
08:12:34, -53.2859637s 
08:12:37, -53.4214102s 
08:12:39, -53.3859342s 
08:12:41, -53.2913859s 
08:12:43, -53.2440682s 

然後我使用w32tm /config /manualpeerlist:time.windows.com /syncfromflags:manual /reliable:yes /update告訴服務器使用time.windows.com作爲其外部時間源：

The command completed successfully. 

然後我用w32tm /resync迫使它現在重新同步與time.windows.com：

Sending resync command to local computer... 
The command completed successfully. 

我再次使用的第一個命令，確認差異足夠接近0秒：

Tracking time.windows.com [64.4.10.33]. 
Collecting 5 samples. 
The current time is 23/06/2013 8:13:54 AM (local time). 
08:13:54, -00.1657880s 
08:13:56, +00.0059062s 
08:13:59, -00.0088913s 
08:14:01, +00.0030319s 
08:14:03, +00.0063458s 

請注意，該信息是與單個DC的環境。如果您有超過1個DC，則需要在保留PDC模擬器FSMO角色的DC上執行上述步驟。

希望這可以幫助別人。

Answer 2

森林根PDC模擬器（只！）可能會在外部進行同步。 http://technet.microsoft.com/en-us/library/cc794937(v=ws.10).aspx所有其他客戶端，服務器和DC應使用NT5DS。 POOL.NTP.ORG是一個不錯的選擇。

在所有其他DC使用：

net stop w32Time 
w32tm /unregister 
w32tm /register 
net start w32time 

重設時間服務使用NT5DS作爲http://technet.microsoft.com/en-us/library/cc738995(v=ws.10).aspx規定。

如果客戶端或其他服務器仍然存在問題，則每個GPO使用相同的技術，因爲需要管理員權限。

您還需要非常厭倦VM域控制器，因爲它們可能會或可能不會保持acurate時間，具體取決於主機的CPU利用率！就Kerberos而言，幾個minuts的差異很常見，而且是致命的。

Answer 3

你需要清理的一件事 - 這些DCs虛擬機在Hyper-V中運行，還是它們是物理服務器？如果它們在Hyper-V中運行，則會有一個將VM主機時間傳遞給VM的設置。您只需關閉該同步功能，然後使用w32tm命令將您的DC設置爲如上所述的time.windows.com之類的NTP服務器。

我不記得我的頭頂，但我也有這個問題...... 5個DC都顯示不同的時間。