Windows域控配置时钟源
背景
在 Active Directory 环境中,所有成员计算机和域控制器默认使用层级时间同步架构:
- 森林根域的 PDC Emulator → 整个森林的权威时间源
- 子域的 PDC Emulator → 向森林根 PDC 同步
- 普通域控制器 → 向同域的 PDC Emulator 同步
- 域成员计算机 → 向所在站点的域控制器同步
因此,只需在森林根域的 PDC Emulator 上配置外部 NTP 源,时间就能自动向下层传播。
配置步骤
1. 查看当前时间同步状态
w32tm /query /status
输出中关注以下字段:
源:当前同步的上游服务器最后成功的同步时间
2. 设置外部 NTP 源
w32tm /config /manualpeerlist:"172.25.2.254,0x8 time.windows.com,0x8 pool.ntp.org,0x8" /syncfromflags:manual /reliable:yes /update
参数说明:
| 参数 | 说明 |
|---|---|
/manualpeerlist | 手动指定 NTP 服务器列表,用空格分隔 |
0x8 | 客户端模式,不向对端提供时间服务(推荐用于 DC) |
/syncfromflags:manual | 仅从手动指定的列表同步 |
/reliable:yes | 标记为可靠时间源,允许下游客户端向其同步 |
/update | 将更改写入注册表并通知服务 |
3. 重启时间服务并触发同步
net stop w32time && net start w32time
w32tm /resync /rediscover
4. 验证
w32tm /query /status
w32tm /query /source
确认源地址已变更为指定的 NTP 服务器,且同步成功。
注意事项
- 多个 NTP 服务器之间用空格分隔,不是逗号
0x8标志表示使用客户端模式(NTP Client),适用于 DC 向上游同步;如果希望这台 DC 同时为其他客户端提供服务,仍然使用0x8,因为/reliable:yes已声明其可靠性- 修改后无需重启服务器,重启
w32time服务即可生效 - 域内客户端默认每 604800 秒(7天) 进行一次时间校正偏移,可通过组策略调整
MaxPosPhaseCorrection和MaxNegPhaseCorrection
排查
时间同步失败时检查:
:: 查看时间服务配置详情
w32tm /query /configuration
:: 检查 NTP 连通性(需放行 UDP 123)
w32tm /stripchart /computer:time.windows.com /samples:5 /dataonly
如果客户端时间偏差超过 15 分钟,Kerberos 认证将失败,导致无法登录域。此时需手动同步:
w32tm /resync /force