У меня есть сеть Windows среднего размера, состоящая из 60 рабочих станций и 10 серверов (2 из которых являются контроллерами домена). Один DC выполняет роли FSMO, включая эмулятор PDC. Это DC с PDC не синхронизирует внешнее время, и время отстает примерно на 5 минут, в результате чего все рабочие станции отстают.
Не уверен, следует ли мне синхронизировать PDC с внешним интернет-источником или пока просто вручную увеличить время на этом сервере. Прямо сейчас он не настроен на использование внешнего источника.
Какие-либо предложения? Можно ли вручную увеличить время на несколько минут?
Натыкаясь вперед во времени обычно безопасно для большинства приложений, но возвращаться назад - плохо.
Тем не менее, вы должны использовать NTP, по крайней мере, на PDC для синхронизации с четырьмя (да, 4!) Внешними серверами NTP. Причины сложны, но в основном вам нужно убедиться, что хорошие серверы времени могут «превзойти» плохие. Я бы предложил использовать публичный пул NTP, в котором настроен Geo DNS, чтобы предоставить вам серверы времени в вашей стране. Используйте 0.pool.ntp.org, 1.pool.ntp.org, 2.pool.ntp.org, 3.pool.ntp.org.
В Windows 2003 или более поздней версии вы можете запустить эту команду в эмуляторе PDC, чтобы синхронизировать его:
w32tm /config /manualpeerlist:"0.pool.ntp.org,0x8 1.pool.ntp.org,0x8 2.pool.ntp.org,0x8 3.pool.ntp.org,0x8" /syncfromflags:MANUAL /update
Шестнадцатеричные числа после каждого имени сервера указывают службе времени Windows использовать ассоциации режима клиента NTP с адаптивными интервалами опроса (что является правильным способом). Вам также следует подумать о том, чтобы добавить то же самое по крайней мере к одному другому контроллеру домена, но вместо этого используйте "/ syncfromflags: ALL", чтобы он взаимодействовал с внешними серверами NTP, а также с вашими локальными контроллерами домена.
Вам понадобится открытый исходящий порт UDP 123 на вашем брандмауэре для любой системы, которая передает NTP в Интернет. Видеть Вот для получения полной документации от MSFT (обратите внимание, что вы можете настроить с помощью групповой политики, а не с помощью инструментов командной строки).
Вы уверены, что он не использует NTP? По умолчанию он попадает в Microsoft?
В любом случае ваши клиенты должны быть синхронизированы с вашим DC. Найдите хороший NTP-сервер, которому вы доверяете, и обновите свой эмулятор PDC. Со временем ваши клиенты будут обновляться, чтобы соответствовать DC.
И да, вы можете ударить несколько. Как я уже сказал, ваши клиенты должны быть синхронизированы с DC, но не несинхронизированы с внешним миром.