-和系统中心数据保护管理器(SCDPM)代理的沟通问题
-Exchange Server、Active Sync和Outlook Web Access(OWA)不可用
在很多情况中,
服务器时间同步问题来源于Kerberos协议
,它有一个安全功能专门查看Kerberos票据上的时间戳,这主要是为了保护它们不会被重复使用。如果一张票据上的时间距离现在超过了五分钟,这张票据会遭到拒绝。因此,如果时钟五分钟内没有同步,Kerberos会开始出现故障。
通常来讲,时间同步不会带来问题。例如,当Windows在活动目录(AD)环境中运行时,域内的所有计算机时钟都自动地与域控制器同步。但是,在域成员和工作组成员混合或是多个活动目录林存在的环境中,时钟同步就可能变成一个问题。
举个更具体的例子,我自己网络中的所有生产服务器都进行了虚拟化。因为这个原因,我的虚拟化主机服务器中没有域成员,且所有的域控制器都是虚拟机。由于虚拟机根本没有启动,所以主机服务器不能和域控制器沟通的情况就不可能出现。如此一来,我选择让主机 *** 作系统作为工作组成员。
另外,我所有的虚拟化主机都运行WindowsServer2008 R2上的Hyper-V这些服务器中的一些集群运行Windows 2008R2的虚拟机,其它的集群那些仍然运行Windows Server2003的虚拟机。但是虽然运行Windows 2008 R2的来宾机好像和主机服务器的时钟保持了同步,运行Windows 2003的机器有可能无法和其余网络保持同步。
在工作组环境中,你可以通过打开Command Prompt窗口然后键入如下命令来将机器链到时间来源:
W32tm/config/syncfromflags:manual/manualpeerlist:W32tm/config/update
在这个例子中,你可以将替换成完全限定域名(FQDN)或是你想与之保持同步的服务器IP地址。你可以通过隔离每个有一个空间的地址来指定多个时间来源。
在域环境中,使用组策略设置来指定时间来源情况会更好些。时钟相关的组策略设置可以在Group Policy Editor里看见,位置是:Computer Settings Administrative Templates System Windows Time Service
有三个不同的组策略设置可供你使用,包括:
-Configure Windows NTP Client-让你可以将计算机时钟和外部时间来源进行同步。
-Enable Windows NTP Client-允许计算机将时钟与其它Windows服务器进行同步。
-Enable Windows NTP Server-允许服务器向Windows NTP客户端提供时间同步。
注意,如果你打算和外部的时间来源进行同步,比如NIST,你就不能启用Windows NTP Client或是Windows NTP Server使用外部时间来源时,你可能还要打开一些防火墙端口。Windows服务器为时间协议运用UDP端口123,它在默认情况下就该打开。但如果你想要使用NIST,你还要打开TCP端口13,TCP端口37和UDP端口37
正如你所见,保持Windows Server时钟间的同步十分重要。尽管时钟一般会自动同步,准备好面对需要手动同步时钟的情况还是必要的。1控制面板-->日期与时间-->Internet时间-->清除"自动与Internet时间服务器同步"选项;确定,然后退出; 2运行-->Regedit-->依次打开 HKEY_LOCAL_MACHINE-->SYSTEM-->CurrentControlSet -->Services-->W32Time-->TimeProviders-->NtpClient -->EventLogFlags:REG_DWORD=0 (右击修改,0为数字,下同) -->Enabled:REG_DWORD=0 3退出注册表程序,运行-->cmd-->在命令提示符下输入 net stop w32time && net start w32time (输入后按一下回车键) 补充:上面是两条指令,&&后面是第二条指令. 4退出然后重启,使设置生效
问题1: 在域控上面设置default domain policy对全域设置了时间同步参数,其中MaxPollInterval=10,MinPollInterval =8;我想请教一下,同步的时间间隔只能从这两个参数定义吗,能不能自定义。
通常我们如果通过注册表的方式配置域的时间同步的话,按照下面的注册表设置来配置:
===主域控制器===
1 PDC宣布它为NTP服务器:
Path: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
Key Name: AnnounceFlags
Type: REG_DWORD (DWORD Value )
Data: 0x5
2 将服务器类型更改为NTP:
Path: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type
Key Name: Type
Type: REG_SZ(String Value)
Data: NTP
3 启用NTP服务器:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer
Key Name: Enabled
Type: REG_DWORD
Data: 1
4 指定哪个服务器充当NTP服务器:
Path: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
Key Name: NtpServer
Type: REG_SZ(String Value)
Data: Peers (example: timewindowscom, 0x9)
5仅当我们的PDC计算机是虚拟机时,才需要设置此注册表。 如果它不是虚拟机,则没有有关此注册表的信息。
HLM\SYSTEM\CurrentControlSet\services\w32time\TimeProviders\VMICTimeProvider
Name: Enabled
Type: REG_DWORD
Data:0
===其他的域控制器和客户端===
Path: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type
Key Name: Type
Type: REG_SZ(String Value)
Data: NT5DS
Path: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
Key Name: AnnounceFlags
Type: REG_DWORD (DWORD Value )
Data: 0xa
之后,使用命令 net stop w32time && net start w32time 重新启动时间服务器。
0x1 为 NtpServer的Flag位,表示启用SpecialInterval。 它将会等待SpecialPollInterval 内设置的时间间隔再和时间源同步。
SpecialPollInterval
这个值指定了特定的取样时间间隔,当NtpServer值的SpecialInterval 0x1 标志设置后 (所以SpecialPollInterval只在时间同步方式为NTP时才有效,简单来讲,就是在PDC上此值才有意义),W32Time用这个时间间隔进行取样,单位为秒。默认值为3600秒。
Path: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
Key Name: NtpServer
Type: REG_SZ(String Value)
Data: Peers (timewindowscom,0x9)
NTP server键值中,timeserver,0x9的含义,有如下解释:
0x9其实是两种标识的组合,即0x1和0x8。在w32time中,共有4种基础标识。
0x1 specialinterval
0x2 useasfallbackonly
0x4 symmatricactive
0x8 client
具体可以参考这个文章: Parameters\NtpServer
总结:一般如果我们的环境中没有出现时间同步问题的情况下不建议修改对应的值,保持默认的就可以。一般如果有时间跳变或者精度问题,才可能要调整这两个值。请问我们的环境是否出现了什么问题。我们是觉得时间同步精度不够还是什么其他原因需要去自定义这两个参数呢?
问题2: 还有我查看了客户端事件查看器并不是每一次到了间隔时间都会记录时间同步,一天之内只有2次或1次甚至没有记录。不知道该事件日志记录的原理是什么,想请高手指点一下,谢谢!
MaxPollInterval
这个值指定了在使用NT5DS同步机制时(简单的说就是按照域的结构和DC做时间同步),最大的时间取样时间间隔,单位为2的次方秒。 域控制器的默认值为为10(1024秒) ,域成员的默认值为15(32768秒),没有加入域的机器的默认值为15(32768秒)。如果当前值为F,即32768秒。
MinPollInterval
这个值指定了在使用NT5DS同步机制时(简单的说就是按照域的结构和DC做时间同步),最小的时间取样时间间隔,单位为2的次方秒。 域控制器的默认值为为6(64秒) ,域成员的默认值为10(1024秒),没有加入域的机器的默认值为10(1024秒)。如果当前值为A,即1024秒。
LargePhaseOffset (HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Config\LargePhaseOffset):
当时间差小于LargePhaseOffset时,认为是同步的,默认值为5秒。
MaxAllowedPhaseOffset (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxAllowedPhaseOffset):
当时间差大于LargePhaseOffset时,且当时间差超过MaxAllowedPhaseOffset这个值,则W32Time将直接将时间一次性修改正确;
当时间差大于LargePhaseOffset时,且当时间差小于MaxAllowedPhaseOffset这个值,则以渐进式的方式进行时间修改,直到时间正确为止。
总结:如果每次到了时间间隔确实不一定会记录时间同步,到了间隔时间会进行时间取样,如果没有超过阈值,就不需要同步,那么不同步就不会有记录。
不需要同步的情况:因为如果时间差小于LargePhaseOffset时, 认为是同步的,默认值为5秒。
需要同步的情况:
1 只有每次到了时间间隔,当时间差大于LargePhaseOffset时,且当时间差超过MaxAllowedPhaseOffset这个值,则W32Time将直接将时间一次性修改正确;
REF: >如果使用的是winNT/2000/xp,设置一台计算机为时间服务器, 在控制面板中的服务中可以启动或停止。
其他的计算机使用Net time 命令来进行时间同步。可以做到秒级的时间同步。
NET TIME
作 用:使计算机的时钟与另一台计算机或域的时间同步。
命令格式:net time [\\computername | /domain[:name]] [/set]
参数介绍:
(1)\\computername要检查或同步的服务器名。
(2)/domain[:name]指定要与其时间同步的域。
(3)/set使本计算机时钟与指定计算机或域的时钟同步。
当然你也可以在作为时间服务器的机器上安装GPS。来保证服务器的时间准确。时间服务器也可以选择专业的时间服务器。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)