Windows时间服务是Active
Directory域正常运行的基础功能。AD主身份验证协议Kerberos使用W32Time(Windows时间)时间服务来正常运行。在AD环境中,时间同步是按照严格的层次结构进行的:加入域的电脑和服务器从距离最近的域控制器获取时间,所有域控制器与拥有FSMO角色的PDC
Emulator的单个DC同步
PDC模拟器(Primary Domain Controller)与外部时间源同步时间。外部时间源通常是一个或多个公共NTP服务器
所有版本的Windows都有W32Time服务,这个服务用于和AD同步时间。一台电脑可以同时作为NTP服务端和客户端,默认情况下,加域的客户端电脑使用Windows时间服务来同步时间而不是使用NTP
Windows时间服务的默认情况如下:
- 完成Windows原版系统安装后,NTP客户端在电脑已启动,并用于和外部时间源同步时间
- 当电脑加域后,同步类型会改变,域中所有客户端电脑和成员服务器会自动和DC同步时间
- 当成员服务器提升为DC后,NTP服务端会启动,该服务器使用具有PDC角色的DC作为时间源
- PDC emulator 是整个组织的主要时间服务器,它会和外部时间源同步(或者和CMOS的硬件时间同步)
- 这个方案在大多数情况下都有效,不需要干预。但是,Windows中时间服务的结构可能不遵循域层次结构
使用GPO配置PDC DC的NTP:(注意此域策略只作用于域控制器)
Computer Configuration > Administrative Templates > System > Windows Time Service > Time Providers
- Configure Windows NTP Client: Enabled (NtpServer: ntp.aliyun.com,0x1 Type: NTP)
- Enable Windows NTP Client: Enabled
- Enable Windows NTP Server: Enabled
使用GPO配置客户端时间同步:
Computer Configuration > Administrative Templates > System > Windows Time Service > Time Providers
- Enable Windows NTP Client: Enabled (NtpServer: dc.xxx.com,0x9 Type: NT5DS)
NTP和NT5DS的区别:
- NTP——与外部时间服务器同步
- NT5DS——根据域层次结构执行同步,在加域的电脑上默认使用
参考:
https://theitbros.com/configure-ntp-time-sync-group-policy/
http://www.sysadminlab.net/windows/configuring-ntp-on-windows-using-gpo
