能不能设置域客户机的时间跟服务器的时间一致，要怎样设置，有什么风险

这段时间发现，整个公司的计算机时间都快了2分钟，后来发现主域控制器上同Internet时间服务器总是无法联系上，我们都知道启用了Windows的Windows Time服务，计算机就会定期同Internet时间同步。同步的都是国外的时间服务器，通常很难连接成功。我们国家也有主时间服务器，国家授时中心服务器的IP地址：2107214544，同这个服务器连接成功率很高。我们就修改域控制器和这个服务器进行时间同步。一、设置主域控制器与国家授时中心服务器时间同步，同步周期为1天。1、 添加时间服务器IP（下面这个键存放着时间服务器列表）HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\DateTime\Servers在右边窗口点右键新建“字符串值”，将此“字符串值”命名为6。双击此新建的“字符串值”，输入IP：2107214544，保存。将“默认”（即第一个“字符串值”）修改为6即可。前面的几个时间服务器分别为：1 timewindowscom2 timenistgov3 time-nwnistgov4 time-anistgov5 time-bnistgov2、 指定时间源HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters修改键NtpServer的值为2107214544,0x63、 设置校时周期HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\SpecialPollInterval修改键SpecialPollInterval的值为十进制的604800（即为604800秒，1天）二、设置权威服务器1、 设置权威服务器在域控服务器上打开注册表，找到键值HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config修改键AnnounceFlags的值为十进制的10。2、 启用 NTPServerHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer修改键Enabled的值为十进制的1三、配置组策略，设置时间同步1、 打开“Active Directory 用户和计算机”，在域上点右键，属性。组策略，打开。2、 在“Default Domain Policy”上右键，编辑。3、 计算机配置—管理模板—系统—Windows时间服务，双击“全局时间配置”，选择“已启用”。修改MaxNegPhaseCorrection的值为3600（即为3600秒，1小时）修改MaxPosPhaseCorrection的值为3600（即为3600秒，1小时）修改AnnounceFlags的值为5点“应用”，“确定”。4、 计算机配置—管理模板—系统—Windows时间服务—时间提供程序，“启用Windows NTP客户端”，选择“已启用”。“配置Windows NTP客户端”，选择“已启用”。修改NtpSever的值为ad-serverrybbcom,0x6修改Type的值为NTP修改SpecialPollInterval的值为1800（30分钟）四、W32tm命令 这个命令很有用啊，举几个例子：1、 列出本地计算机指定的远程计算机的时间差，我这里和国家授时中心服务器的IP地址：2107214544作比较。命令：w32tm /stripchart /computer: 2107214544Tracking 2107214544 [2107214544]The current time is 2009-12-7 11:28:48 (local time)11:28:48 d:+000468744s o:-000075503s [ ]11:28:51 d:+000468744s o:-000073991s [ ]11:28:53 d:+000468744s o:-000072479s [ ] 怎么样，我的计算机和国家授时中心的服务器只相差0007秒。2、 域内的客户端想要同主域时间同步，执行下面的命令即可。命令：w32tm /resync /rediscover下面列出使用方法：（使用命令W32tm /列出的帮助） w32tm [/ | /register | /unregister ]

一 域环境，默认情况下，所有计算机都会和域控制器同步时间的，无需特别设置。
二 工作组环境
1）如果所有机器都可以访问internet,可以直接使用timewindowscom（默认的配置）
2）如果机器不能访问internet,或者有防火墙导致无法同步，可以在2003服务器上创建时间服务器，客户端XP系统设置时间服务器地址为2003服务器。
三 客户端设置
双击托盘区显示时间的地方，出现对话框之后选择Internet时间设置时间服务器的地址。默认为timewindowscom，设置为2003服务器地址，然后单击“立即更新”按钮实现“时间同步”。
四 服务器端设置
1 单击“开始”，单击“运行”，键入 regedit，然后单击“确定”。
2 找到并单击下面的注册表子项：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags
3 在右窗格中，右键单击“AnnounceFlags”，然后单击“修改”。
4 在“编辑 DWORD 值”的“数值数据”框中键入 A，然后单击“确定”。
5 退出注册表编辑器。
6 在命令提示符处，键入以下命令以重新启动 Windows 时间服务，然后按 Enter：
net stop w32time && net start w32time
参见>域环境中不推荐客户端使用还原卡。
其次即是使用，也可以定制进行更新同步。即把接近同步周期结束时，同步至还原卡上，让第一次启动电脑，只恢复今天的同步的数据。
此外同步的是计算机机器密码与域控的信息。
可以尝试以下方法禁用计算机密码同步（不推荐）
设置"域安全画策略 域用户:禁止更改计算机密码

-网络认证失败
-和系统中心数据保护管理器(SCDPM)代理的沟通问题
-Exchange Server、Active Sync和Outlook Web Access(OWA)不可用
在很多情况中，
服务器时间同步问题来源于Kerberos协议
，它有一个安全功能专门查看Kerberos票据上的时间戳，这主要是为了保护它们不会被重复使用。如果一张票据上的时间距离现在超过了五分钟，这张票据会遭到拒绝。因此，如果时钟五分钟内没有同步，Kerberos会开始出现故障。
通常来讲，时间同步不会带来问题。例如，当Windows在活动目录(AD)环境中运行时，域内的所有计算机时钟都自动地与域控制器同步。但是，在域成员和工作组成员混合或是多个活动目录林存在的环境中，时钟同步就可能变成一个问题。
举个更具体的例子，我自己网络中的所有生产服务器都进行了虚拟化。因为这个原因，我的虚拟化主机服务器中没有域成员，且所有的域控制器都是虚拟机。由于虚拟机根本没有启动，所以主机服务器不能和域控制器沟通的情况就不可能出现。如此一来，我选择让主机 *** 作系统作为工作组成员。
另外，我所有的虚拟化主机都运行WindowsServer2008 R2上的Hyper-V这些服务器中的一些集群运行Windows 2008R2的虚拟机，其它的集群那些仍然运行Windows Server2003的虚拟机。但是虽然运行Windows 2008 R2的来宾机好像和主机服务器的时钟保持了同步，运行Windows 2003的机器有可能无法和其余网络保持同步。
在工作组环境中，你可以通过打开Command Prompt窗口然后键入如下命令来将机器链到时间来源：
W32tm/config/syncfromflags:manual/manualpeerlist:W32tm/config/update
在这个例子中，你可以将替换成完全限定域名(FQDN)或是你想与之保持同步的服务器IP地址。你可以通过隔离每个有一个空间的地址来指定多个时间来源。
在域环境中，使用组策略设置来指定时间来源情况会更好些。时钟相关的组策略设置可以在Group Policy Editor里看见，位置是：Computer Settings Administrative Templates System Windows Time Service
有三个不同的组策略设置可供你使用，包括：
-Configure Windows NTP Client-让你可以将计算机时钟和外部时间来源进行同步。
-Enable Windows NTP Client-允许计算机将时钟与其它Windows服务器进行同步。
-Enable Windows NTP Server-允许服务器向Windows NTP客户端提供时间同步。
注意，如果你打算和外部的时间来源进行同步，比如NIST,你就不能启用Windows NTP Client或是Windows NTP Server使用外部时间来源时，你可能还要打开一些防火墙端口。Windows服务器为时间协议运用UDP端口123,它在默认情况下就该打开。但如果你想要使用NIST,你还要打开TCP端口13,TCP端口37和UDP端口37
正如你所见，保持Windows Server时钟间的同步十分重要。尽管时钟一般会自动同步，准备好面对需要手动同步时钟的情况还是必要的。

---