Назад | Перейти на главную страницу

Правильный дрейф времени во всем домене Windows

Я провел много исследований, но не смог найти надежного ответа на нашу проблему.

Короткий рассказ наш весь домен Windows работает медленно на 35 минут. Т.е. серверы и рабочие станции. Я думаю, это связано с тем, что роль хозяина операций назначается виртуальной машине Hyper-V. С тех пор мы переместили роль на физический сервер. К сожалению, я унаследовал это от замечательной бывшей службы поддержки.

Мой план (просто идея!):

  1. Измените «Максимальный допуск для синхронизации часов компьютера» с 5 минут до 60 минут для объекта групповой политики домена по умолчанию и подождите пару часов, пока он не будет распространен на рабочие станции? По умолчанию он реплицируется каждые 90 минут, верно?

  2. Установите внешний источник времени на контроллере домена с ролью хозяина операций. Это должно затем обновить другие серверы и рабочие станции по очереди.

Чтобы убедиться, что я задаю здесь простой вопрос, каков самый безопасный и эффективный способ исправить временной сдвиг во всей сети? Очевидно, что немедленное изменение времени на DC вызовет серьезные проблемы с аутентификацией Kerberos.

Повышение допуска, вероятно, сработает, однако вы, вероятно, захотите выделить более 90 минут. Я бы подождал хотя бы день.

Вот еще несколько дополнительных соображений:

  • Отключите любую аппаратную синхронизацию часов для контроллеров домена, которые являются виртуальными / гостевыми.

  • Настройте контроллер домена с ролью эмулятора PDC для синхронизации с внешним источником времени.

  • Настройте значения реестра с помощью групповой политики для следующих параметров: 48 часов (MaxNegPhaseCorrection, MaxPosPhaseCorrection десятичное: 172800, шестнадцатеричное: 0x0002A300)

  • Настройте все остальные контроллеры домена, рядовые серверы и рабочие станции для использования иерархии домена для синхронизации времени (NT5DS).

  • Если вы не используете контроллер домена с ролью эмулятора PDC для внешней синхронизации времени, он не должен быть контроллером домена с другими ролями хозяина инфраструктуры.

Настройка источника времени для леса
http://technet.microsoft.com/en-us/library/cc784800%28v=ws.10%29.aspx

Как работает служба времени Windows
http://technet.microsoft.com/en-en/library/cc773013%28v=ws.10%29.aspx

AD DS: значение MaxPosPhaseCorrection на этом контроллере домена должно быть равно 48 часам.
http://technet.microsoft.com/en-us/library/dd723684%28v=ws.10%29.aspx