Я знаю, что лучше всего иметь Эмулятор PDC для синхронизации с внешним источником времени NTP и для синхронизации всех остальных контроллеров домена с эмулятором PDC.
Однако моя схема сети ... "интересная", мягко говоря.
Моя компания - многонациональная компания. По неизвестным простым смертным причинам штаб-квартира группы (находится в другой стране) требования все страны-филиалы для подключения прямо в головной офис группы вместо головного офиса в стране. Эмулятор PDC находится в головном офисе в стране.
Но домен является общенациональным, а не глобальным.
Другими словами, это конфигурация «концентратор и спица» ... но с эмулятором PDC, расположенным на одной спице, а не в концентраторе.
Теперь штаб группы «достаточно любезен», чтобы предоставить сервер временной привязки; давай назовем это ntp.bigcompany.com. я уже мой эмулятор PDC синхронизировался с этой временной привязкой.
Вопрос на миллион долларов: По вашему мнению, следует ли мне продолжать делать это «рекомендованным» способом (т.е. синхронизировать контроллеры домена ветви с эмулятором PDC) или мне следует принудительно синхронизировать все контроллеры домена с ntp.bigcompany.com?
Отредактировано для добавления: Просто чтобы было понятнее, все офисов (филиалов или головных) в моей стране Нет прямое подключение к Интернету; все офисы подключены к HQ через VPN. В штаб-квартире есть прокси-ферма для обслуживания веб-браузеров в филиале / головном офисе. NTP-трафик к общедоступным Интернет-серверам NTP блокируется.
Я бы синхронизировал с локальным ntp на каждом сайте DC, который синхронизируется с GPS-спутником лично, таким образом, даже когда ссылки не работают (не дай бог), все ваши системы все еще находятся в идеальной синхронизации времени и не нужно беспокоиться о времени и AD при репликации после сбоя сети.
Почему бы просто не переместить роль эмулятора PDC в офис «HUB»?
Как бы вы это ни делали, вы должны убедиться, что все в домене находится не более чем на 5 минут отдельно от всего остального. Честно говоря, похоже, что вам могли понадобиться дочерние домены для этого, если есть проблемы с управлением, решающие эту проблему.
Обычно дочерние домены не особо нужны, за исключением границ управления, но похоже, что вы явно столкнулись с проблемой управления. Отдельные дочерние домены позволят использовать отдельный эмулятор PDC на каждом сайте.