https://www.0niu.cn/tags/ntp/Recent content in NTP on HiDaHugo -- gohugo.iozhMon, 08 Apr 2024 08:16:34 +0800https://www.0niu.cn/posts/set-windows-dc-time-source/Mon, 08 Apr 2024 08:16:34 +0800https://www.0niu.cn/posts/set-windows-dc-time-source/<h2 id="背景">背景</h2> <p>在 Active Directory 环境中，所有成员计算机和域控制器默认使用层级时间同步架构：</p> <ul> <li><strong>森林根域的 PDC Emulator</strong> → 整个森林的权威时间源</li> <li><strong>子域的 PDC Emulator</strong> → 向森林根 PDC 同步</li> <li><strong>普通域控制器</strong> → 向同域的 PDC Emulator 同步</li> <li><strong>域成员计算机</strong> → 向所在站点的域控制器同步</li> </ul> <p>因此，<strong>只需在森林根域的 PDC Emulator 上配置外部 NTP 源</strong>，时间就能自动向下层传播。</p><h2 id="背景">背景</h2> <p>在 Active Directory 环境中，所有成员计算机和域控制器默认使用层级时间同步架构：</p> <ul> <li><strong>森林根域的 PDC Emulator</strong> → 整个森林的权威时间源</li> <li><strong>子域的 PDC Emulator</strong> → 向森林根 PDC 同步</li> <li><strong>普通域控制器</strong> → 向同域的 PDC Emulator 同步</li> <li><strong>域成员计算机</strong> → 向所在站点的域控制器同步</li> </ul> <p>因此，<strong>只需在森林根域的 PDC Emulator 上配置外部 NTP 源</strong>，时间就能自动向下层传播。</p> <h2 id="配置步骤">配置步骤</h2> <h3 id="1-查看当前时间同步状态">1. 查看当前时间同步状态</h3> <div class="highlight"><pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;"><code class="language-batch" data-lang="batch"><span style="display:flex;"><span>w32tm /query /status </span></span></code></pre></div><p>输出中关注以下字段：</p> <ul> <li><code>源</code>：当前同步的上游服务器</li> <li><code>最后成功的同步时间</code></li> </ul> <h3 id="2-设置外部-ntp-源">2. 设置外部 NTP 源</h3> <div class="highlight"><pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;"><code class="language-batch" data-lang="batch"><span style="display:flex;"><span>w32tm /config /manualpeerlist:<span style="color:#e6db74">&#34;172.25.2.254,0x8 time.windows.com,0x8 pool.ntp.org,0x8&#34;</span> /syncfromflags:manual /reliable:yes /update </span></span></code></pre></div><p>参数说明：</p> <table> <thead> <tr> <th>参数</th> <th>说明</th> </tr> </thead> <tbody> <tr> <td><code>/manualpeerlist</code></td> <td>手动指定 NTP 服务器列表，用空格分隔</td> </tr> <tr> <td><code>0x8</code></td> <td>客户端模式，不向对端提供时间服务（推荐用于 DC）</td> </tr> <tr> <td><code>/syncfromflags:manual</code></td> <td>仅从手动指定的列表同步</td> </tr> <tr> <td><code>/reliable:yes</code></td> <td>标记为可靠时间源，允许下游客户端向其同步</td> </tr> <tr> <td><code>/update</code></td> <td>将更改写入注册表并通知服务</td> </tr> </tbody> </table> <h3 id="3-重启时间服务并触发同步">3. 重启时间服务并触发同步</h3> <div class="highlight"><pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;"><code class="language-batch" data-lang="batch"><span style="display:flex;"><span>net stop w32time &amp;&amp; net start w32time </span></span><span style="display:flex;"><span>w32tm /resync /rediscover </span></span></code></pre></div><h3 id="4-验证">4. 验证</h3> <div class="highlight"><pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;"><code class="language-batch" data-lang="batch"><span style="display:flex;"><span>w32tm /query /status </span></span><span style="display:flex;"><span>w32tm /query /source </span></span></code></pre></div><p>确认源地址已变更为指定的 NTP 服务器，且同步成功。</p> <h2 id="注意事项">注意事项</h2> <ul> <li>多个 NTP 服务器之间用<strong>空格</strong>分隔，不是逗号</li> <li><code>0x8</code> 标志表示使用<strong>客户端模式</strong>（NTP Client），适用于 DC 向上游同步；如果希望这台 DC 同时为其他客户端提供服务，仍然使用 <code>0x8</code>，因为 <code>/reliable:yes</code> 已声明其可靠性</li> <li>修改后无需重启服务器，重启 <code>w32time</code> 服务即可生效</li> <li>域内客户端默认每 <strong>604800 秒（7天）</strong> 进行一次时间校正偏移，可通过组策略调整 <code>MaxPosPhaseCorrection</code> 和 <code>MaxNegPhaseCorrection</code></li> </ul> <h2 id="排查">排查</h2> <p>时间同步失败时检查：</p> <div class="highlight"><pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;"><code class="language-batch" data-lang="batch"><span style="display:flex;"><span>:<span style="color:#75715e">: 查看时间服务配置详情</span> </span></span><span style="display:flex;"><span>w32tm /query /configuration </span></span><span style="display:flex;"><span> </span></span><span style="display:flex;"><span>:<span style="color:#75715e">: 检查 NTP 连通性（需放行 UDP 123）</span> </span></span><span style="display:flex;"><span>w32tm /stripchart /computer:time.windows.com /samples:5 /dataonly </span></span></code></pre></div><p>如果客户端时间偏差超过 <strong>15 分钟</strong>，Kerberos 认证将失败，导致无法登录域。此时需手动同步：</p> <div class="highlight"><pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;"><code class="language-batch" data-lang="batch"><span style="display:flex;"><span>w32tm /resync /force </span></span></code></pre></div>