Por um lado, esta é uma questão interessante, mas por outro lado, pode ser primariamente baseada em opinião. Não existe uma única maneira de fazer isso. Você tem opções e muitas delas são igualmente válidas.
A partir da leitura de postagens como este , você tem a impressão de que até mesmo os funcionários da Microsoft estão preocupados com isso:
Our original recommendation was to disable the time synchronization and leave it up to the DC’s own functionality to synchronize time with other DC’s.
Por um tempo, segui esse conselho sem efeitos negativos, porque estava tão confortável com a maneira como o NTP e o tempo de sincronização em um domínio do AD funcionam, que senti que a sincronização de tempo do Hyper-V estava acabando caminho. Funcionou bem para mim.
Mas Ben Armstrong, gerente do programa Hyper-V, diz o seguinte:
Question #8 – When should I disable the Hyper-V time synchronization service (either in the virtual machine settings, or inside the guest operating system)?
Never.
There are definitely times when you will want to augment the functionality of the Hyper-V time integration services with a remote time source (be it a domain source or an external time server) but the only way to get the best experience around virtual machine boot / restore operations is to leave the Hyper-V time integration services enabled.
Quando executo os seguintes comandos em um convidado virtualizado do Win8.1 (associado a um domínio do AD, cujos DCs também são virtualizados e serviços de integração de sincronização de horário ativados em todos), no Hyper-V 2012 R2, vejo isto:
C:\>w32tm /query /source
VM IC Time Synchronization Provider
C:\>w32tm /query /peers
#Peers: 1
Peer: DC01.labs.myotherpcisacloud.com
State: Active
Time Remaining: 254.6744551s
Mode: 3 (Client)
Stratum: 2 (secondary reference - syncd by (S)NTP)
PeerPoll Interval: 10 (1024s)
HostPoll Interval: 10 (1024s)
O resultado parece contraditório.
E esse cara fala sobre parcialmente desativar a sincronização de horário nos convidados do seu domínio por meio de um ajuste de registro em todos os membros do seu domínio. Mas eu pessoalmente evito essa abordagem. Isso me incomoda quando entro no ambiente de outra pessoa (para corrigir seus problemas de sincronização de tempo, sem dúvida) e vejo que eles reconfiguraram manualmente o serviço de tempo do Windows de cada membro de domínio. Deixe isso em paz, é o meu lema.
Aqui está minha lista de verificação pessoal:
-
Deixe o serviço de integração de sincronização de horário ativado em todos os lugares.
-
Supondo que todos os DCs sejam VMs, configure seu controlador de domínio PDCE raiz da floresta para sincronizar com uma fonte de tempo externa, como * .pool.ntp.org. Seu PDCE raiz da floresta deve ser o único computador em sua floresta do AD configurado para procurar uma fonte de tempo externa. Todos os outros membros do domínio e controladores de domínio localizarão organicamente um controlador de domínio por meio dos mecanismos tradicionais de tempo do Windows.
-
Configure seus hosts do Hyper-V para apontar para a mesma (s) fonte (s) de horário externa que o PDCE raiz da floresta virtualizada. Independentemente de os hosts do Hyper-V estarem associados ao mesmo domínio ou não, você deseja que eles consigam alcançar uma fonte de tempo confiável se os DCs virtualizados executados dentro deles estiverem inativos.
Isso funciona bem ... não é a única maneira de esfolar o gato, mas funciona bem.