Desvio de tempo correto em todo o domínio do Windows

Navegue suas respostas
5

Eu fiz muita pesquisa, mas não consegui encontrar uma resposta confiável para o nosso problema.

O conto é o nosso domínio inteiro do Windows que está sendo executado 35 minutos lento . Ou seja servidores e estações de trabalho. Acho que isso se deve à função de mestre de operações que está sendo atribuída a uma VM do Hyper-V. Desde então, transferimos a função para um servidor físico. Infelizmente, eu herdei isso da maravilhosa empresa de suporte.

Meu plano (apenas uma ideia!):

  1. Altere "Tolerância máxima para sincronização do relógio do computador" de 5 minutos para 60 minutos para o GPO de Domínio Padrão e aguarde algumas horas para que ele seja enviado para as estações de trabalho? Ele replica a cada 90 minutos por padrão, certo?

  2. Defina uma fonte de tempo externa no DC com a função de mestre de operações. Isso deve atualizar outros servidores e estações de trabalho, por sua vez.

Para garantir que estou fazendo uma pergunta direta aqui, qual é a maneira mais segura e eficiente de corrigir o desvio de tempo dentro de toda a rede? Obviamente, alterar imediatamente o tempo no DC causará grandes problemas com a autenticação do kerberos.

    
por Kez 16.04.2012 / 17:23

1 resposta

5

Aumentar a tolerância provavelmente funcionaria, mas você provavelmente desejaria permitir mais de 90 minutos. Eu esperaria pelo menos um dia.

Aqui estão algumas considerações adicionais:

  • Desabilite qualquer sincronização de relógio de hardware para controladores de domínio que são virtuais / convidados.

  • Configure o controlador de domínio da função Emulador PDC para sincronizar com uma fonte de tempo externa.

  • Configure os valores do Registro usando a diretiva de grupo para as seguintes configurações como 48 horas (MaxNegPhaseCorrection, MaxPosPhaseCorrection decimal: 172800, hex: 0x0002A300)

  • Configure todos os outros controladores de domínio, servidores integrantes e estações de trabalho para usar a hierarquia de domínio para sincronização de horário (NT5DS).

  • Se você não usar o controlador de domínio da função Emulador PDC para o sincronização de horário externo, não deve ser um controlador de domínio com qualquer uma das outras funções do mestre de infra-estrutura.

Configurando uma fonte de tempo para a floresta
link

Como funciona o serviço de tempo do Windows
link

AD DS: o valor de MaxPosPhaseCorrection neste controlador de domínio deve ser igual a 48 horas
link

    
por 16.04.2012 / 17:52

Tags

Erro ao instalar o serviço NFS no Windows 2016 Posso reutilizar o endereço IP de um controlador de domínio com falha para um novo controlador de domínio