none
Windows 2016 Std 域PDC不能域与外部时钟源同步,刷新策略重启也一直是local RRS feed

  • 问题

  • 【环境描述】:

    一个外部GPS时钟源,两台物理服务器和几台Win10 64bit客户端

    【架构描述】:

    物理服务器A&B都安装Windows2016 std,都启用了hyper-v。分别在虚拟机里建了win2016系统的虚拟机作为域控制器,并取消了hyper-v集成服务里的时间同步功能。

    【需求描述】:

    AD的PDC & BDC 与GPS时钟源同步,加域的系统与AD时间同步。

    【问题描述】:

    域的PDC不能域与外部时钟源同步,刷新策略重启也一直是local时钟源。时钟源的IP在PDC上可以ping通

    参考过https://blog.csdn.net/zhengfeng2100/article/details/9614491

    域策略的配置文件和注册表导出文件参见如下连接

    https://pan.baidu.com/s/1y_HAQi_RCGWxZO2wlfoCaw

    2019年12月5日 4:38

全部回复

  • 尊敬的客户,您好!

    感谢您在我们的TechNet论坛发帖。

    根据我们的描述,我们有两个物理服务器(都安装了Windows server 2016操作系统),我们分别在这两个Windows server 2016的物理服务器里面安装了Hyper-V虚拟机,一个Hyper-V虚拟机作为PDC,另一个Hyper-V虚拟机作为BDC,并取消了Hyper-v集成服务里的时间同步功能。

    同时,我们想配置域里机器的时间同步。我理解我们有一个域,里面有两个域控制器,PDC和BDC,还有其他加了域的机器。那么根据AD中的时间同步机制,我们环境中的时间同步应该如下:

    1.PDC与外部时间源同步;
    2.BDC与PDC同步;
    3.其他的客户端或者成员服务器与BDC同步。








    在AD中配置时间同步之前,我们应检查以下两点:

    1.确保端口UDP 123已打开,可以先去检查端口UDP 123是否打开。
    2.确保我们可以ping通此外部NTP服务器的IP地址。

    然后我们可以尝试以下两种方法在PDC和其他计算机(DC和工作站)上配置时间同步。


    方法 一:使用组策略配置时间同步。

    1.配置以下GPO设置,并将其仅应用于PDC。

    启用以下设置:Computer Configuration\Policies\Administration Templates\System\Windows Time Service\Time Providers\Enable Windows NTP Client

    Computer Configuration\Policies\Administration Templates\System\Windows Time Service\Time Providers\Configure Windows NTP Client 

    如果我们有多个NTP服务器,我们可以通过使用空格分隔来添加它们。




    2.配置以下GPO设置并将其应用于除PDC之外的其他计算机(DC和工作站)。

    Computer Configuration\Policies\Administration Templates\System\Windows Time Service\Time Providers\Configure Windows NTP Client 


    3. 之后运行gpupdate /force或者重启机器,刷新组策略。



    方法二:使用注册表配置时间同步。


    ===在 PDC上===

    1. PDC宣布它为NTP服务器:
    Path: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
    Key Name: AnnounceFlags
    Type: REG_DWORD (DWORD Value )
    Data: 0x5

    2. 将服务器类型更改为NTP:
    Path: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type
    Key Name: Type
    Type: REG_SZ(String Value)
    Data: NTP

    3. 启用NTP服务器:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer
    Key Name: Enabled
    Type: REG_DWORD
    Data: 1


    4. 指定哪个服务器充当NTP服务器:
    Path: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
    Key Name: NtpServer
    Type: REG_SZ(String Value)
    Data: Peers (example: time.windows.com, 0x9)

    5. 仅当我们的PDC计算机是虚拟机时,才需要设置此注册表。 如果它不是虚拟机,则没有有关此注册表的信息(在我们的环境中,我们需要设置这个注册表):
    HLM\SYSTEM\CurrentControlSet\services\w32time\TimeProviders\VMICTimeProvider
    Name: Enabled
    Type: REG_DWORD
    Data:0


    ===在BDC和客户端上===

    Path: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type
    Key Name: Type
    Type: REG_SZ(String Value)
    Data: NT5DS
     
    Path: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
    Key Name: AnnounceFlags
    Type: REG_DWORD (DWORD Value )
    Data: 0xa

    之后,使用命令net stop w32time && net start w32time重新启动时间服务器。



    对于以上的配置,更详细的信息,我们可以参考以下文档:

    Time Synchronization in Active Directory Forests
    https://social.technet.microsoft.com/wiki/contents/articles/18573.time-synchronization-in-active-directory-forests.aspx

    How to configure an authoritative time server in Windows Server
    https://support.microsoft.com/en-us/help/816042/how-to-configure-an-authoritative-time-server-in-windows-server


    温馨提示:
    1.在修改注册表之前一定要提前备份注册表。
    2.我们要么使用注册表配置,要么使用 组策略配置,不要两种方法混合配置 (可以使用命令w32tm /query /configuration检查配置情况)。




    此致,
    Daisy Zhou

    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。



    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年12月6日 3:31
    版主
  • 如果注册表和组策略两种方法都一起配置了。请教下该如何还原或者全部清除掉NTP的配置呢?,现在已经是生产环境,我不敢乱动,还请指点下


    2019年12月9日 3:16
  • 尊敬的客户,您好!

    我们先检查PDC与外部时间源同步。请问我们的PDC与外部时间源的配置方式也是组策略与注册表混合配置的吗?
    如果是的话,我们可以运行以下命令来清除注册表上的时间配置,然后取消组策略的配置方式,最后再通过注册表重新配置时间配置。

    1.注销时间服务,并从注册表中删除所有配置信息。
    W32tm / unregister

    2.注册时间服务以作为服务运行,并将默认配置添加到注册表。
    W32TM /register

    3.然后按照以上的注册表的配置在PDC上重新配置与外部时间源不同。

    4.之后,使用命令net stop w32time && net start w32time重新启动时间服务器。


    其他的DC与域成员服务器或者客户端如果加了域,应该会自动遵循域的时间同步机器,我们可以找1-2台机器去检查下这些机器是否是注册表或者组策略的配置方式(确保只是注册表配置或者组策略配置)。

    同时检查以下注册表键值是否正确,如果是的话,其他的机器应该已经遵循了域的时间同步机制。

    ===在BDC和客户端上===

    Path: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type
    Key Name: Type
    Type: REG_SZ(String Value)
    Data: NT5DS
     
    Path: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
    Key Name: AnnounceFlags
    Type: REG_DWORD (DWORD Value )
    Data: 0xa



    此致,
    Daisy Zhou


    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。



    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年12月10日 2:34
    版主

  • 4. 指定哪个服务器充当NTP服务器:
    Path: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
    Key Name: NtpServer
    Type: REG_SZ(String Value)
    Data: Peers (example: time.windows.com, 0x9)


    这个值是
    0x1吧

    2019年12月10日 7:55
  • 尊敬的客户,您好!

    我们可以先配置0x9,然后检查是否有问题。




    此致,
    Daisy Zhou



    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年12月10日 8:21
    版主
  • 尊敬的客户,您好!

    我们可以先配置0x9,然后检查是否有问题。

    改为0x9后,执行w32tm /query /source 

    显示 Local CMOS Clock

    这就不对了。


    2019年12月10日 8:37
  • 尊敬的客户,您好!

    显示Local CMOS CLock不一定是0x9引起的。

    请问我们可以把在PDC上执行w32tm /query /configuration的结果给我们看下吗?


    还有,我们这两台2016物理服务器是否也加域了呢?






    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年12月11日 9:17
    版主
  • 尊敬的客户,您好!

    请问我们的问题是否解决了呢?或者还需要我们为您提供什么帮助吗?

    感谢您的理解和支持!


    此致,
    Daisy Zhou


    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年12月13日 8:34
    版主
  • 尊敬的客户,您好!

    请问我们的问题是否解决了呢?如果已经解决的话,我们可以在此更新一下信息。

    如果我们使用自己的方法解决的话,我们可以分享一下解决方案。如果使用以上提供的方法解决的,我们可以把有用的回复标记为答案。这对于正在查找类似问题的人将很有帮助。

    如果有任何不清楚的地方,欢迎您随时咨询。

    感谢您的理解和支持。祝您工作生活愉快!





    此致,
    Daisy Zhou



    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。



    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2019年12月16日 5:47
    版主