Fonte de tempo incorreta no domínio do DCs Server 2008?

1

Então, pedimos a um usuário que se queixasse de que os relógios estivessem em um minuto em sua área de trabalho e como ela sempre sente falta do trem. Apesar da minha reação incrédula a tal coisa, isso me levou a investigar a sincronização de tempo em nosso domínio, e isso destaca a falta de compreensão de minha parte, eu acho.

Atualmente os resultados do meu comando "w32tm / monitor" produzem isso:

C:\Users\TAlexander>w32tm /monitor
NCCDC1.xxxxxx.xx.xx[10.168.50.32:123]:
    ICMP: 0ms delay
    NTP: +2.4042293s offset from RHDC1.xxxxxx.xx.xx
        RefID: firewall.xxxxxx.xx.xx [10.168.xxx.xxx]
        Stratum: 4
NCCDC3.xxxxxx.xx.xx[10.168.50.36:123]:
    ICMP: 0ms delay
    NTP: +2.4122098s offset from RHDC1.xxxxxx.xx.xx
        RefID: firewall.xxxxxx.xx.xx [10.168.xxx.xxx]
        Stratum: 4
NCCDC.xxxxxx.xx.xx[[fe80::d1e0:8675:36c1:acba%14]:123]:
    ICMP: 0ms delay
    NTP: -0.0916479s offset from RHDC1.xxxxxx.xx.xx
        RefID: RHDC1.xxxxxx.xx.xx [10.168.50.35]
        Stratum: 2
RHDC1.xxxxxx.xx.xx *** PDC ***[10.168.50.35:123]:
    ICMP: 0ms delay
    NTP: +0.0000000s offset from RHDC1.xxxxxx.xx.xx
        RefID: 'LOCL' [0x4C434F4C]
        Stratum: 1
ICMDC1.xxxxxx.xx.xx[10.168.50.31:123]:
    ICMP: 0ms delay
    NTP: +2.4229719s offset from RHDC1.xxxxxx.xx.xx
        RefID: wwwco1test12.microsoft.com [65.55.21.20]
        Stratum: 3
ICMDC2.xxxxxx.xx.xx[10.168.50.33:123]:
    ICMP: 0ms delay
    NTP: +0.1387203s offset from RHDC1.xxxxxx.xx.xx
        RefID: RHDC1.xxxxxx.xx.xx [10.168.50.35]
        Stratum: 2

O RHDC1 é o nosso PDC, então meu raciocínio pelo que li é que o RHDC1 deve ter RefID de uma fonte de tempo diferente (nesse caso, seria nosso firewall) e que outros DCs devem procurar o PDC pelo tempo e como resultado, mostre RHDC1 no RefID. Os clientes (servidores e estações de trabalho) devem então sincronizar na execução do processo NETLOGON.

Como é, temos um pouco de mistura de diferentes fontes e configurações. Estou correto em minha suposição de que nossos CDs não estão sincronizando na moda tradicional da Hierarquia de Domínio? E se houver um GP ou comando que possa forçá-los a retornar a esse estado?

    
por Tim Alexander 09.03.2012 / 12:27

3 respostas

3

Parece que as coisas estão fora de sintonia com relação à fonte de tempo que alguns DCs de emulação não PDC estão usando. Eu sugeriria executar o seguinte em todos os DC's, com exceção do emulador PDC:

w32tm / config / syncfromflags: domhier / update. Então reinicie o w32time.

No que diz respeito à sincronização do emulador de PDC para uma fonte externa, como o firewall, minha pergunta seria se fosse necessário? O tempo é relativo. É perfeitamente aceitável ter um "sistema fechado", a menos que você precise de um tempo verdadeiro e preciso de uma fonte externa para auditar, legalmente, etc. Se você fizer isso, provavelmente precisará sincronizar com algo diferente do firewall.

    
por 09.03.2012 / 12:57
4

Parte do problema com um controlador de domínio no virtual é que ele deseja obter seu tempo do PDC, mas os "drivers virtuais" são definidos por padrão para sincronizar o tempo com o host. Isso causará um cabo-de-guerra se o host e o PDC não forem ao mesmo tempo. A maioria das pessoas apenas desabilitará o recurso de sincronização de tempo da VM, mas isso causará um problema se a VM for sempre salva vs. desligada.

No mundo do Hyper-V para o PDC: As etapas a seguir definem a VM para usar o Host na inicialização, no modo sleep / awake e na recuperação do instantâneo, mas quando o sistema operacional estiver ativo, ele usará a lista de manual para sincronização de horário. Você também deve ter o tempo de sincronização do host com as mesmas fontes para que o host / convidados fiquem com apenas 5 a 10 segundos de intervalo, no máximo

Abra um prompt de administrador e digite os seguintes comandos:

reg add HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider /v Enabled /t reg_dword /d 0

(responda sim para sobrescrever e desabilitar esta fonte de tempo)

w32tm /config /syncfromflags:MANUAL /reliable:YES /manualpeerlist:"us.pool.ntp.org,0x1" /update

net stop w32time & net start w32time

w32tm /resync /force

(deve ser concluído com sucesso)

w32tm /query /source

(deve mostrar o IP / nome do servidor NTP)

Eu juntei isso do TechEd e um ótimo post de virtualização na Microsoft depois de ajudar vários clientes a superar problemas de tempo com o DC / PDC sendo virtuais. link

    
por 13.03.2012 / 08:20
1

Ok, os Doamins sincronizam apenas com o EMULATOR ROLE do PDC.

E a sincronização da hora do Windows é feita para manter os computadores "próximos o suficiente para que o kerberos funcione", o que significa um atraso de 5 minutos no servidor.

Qualquer outra coisa não é para o que o serviço de horário é feito e requer um servidor de horário de alta resolução.

O seu colaborador foi mau ao pensar que deveria estar tão perto. Nunca foi feito para isso.

    
por 09.03.2012 / 12:54