时间管理的重要性:
在一个windows AD域中,时间同步非常重要,这主要是因为AD使用的是Kerberos验证,验证需要保证客户端和服务器之间的时间不能相差太多。默认情况下,客户端与服务器之间的时间不能相差5分钟,否则验证无法通过。
Windows AD中的时间管理:(http://technet.microsoft.com/en-us/library/cc773013(WS.10).aspx)
参考微软文档,AD中客户端主要是通过W32tm这个服务使用NTP协议来同步,从而保证客户端与服务器的时间准确,主要为:
1. 所有的客户端都是与域中的DC进行同步
2..域中所有的DC与本域中的PDC进行时间同步(如上一章FSMO角色中关于PDC的介绍)
3..森林中所有的域的PDC或其他DC都可以与自己的父域的DC进行同步
4.根域的PDC域Internet的时间源进行同步。截一张微软的图或许更加清楚
对于根域的PDC如何与Internet的时间源进行同步,可以参考微软的KB:
外部的时间源设定可以参考网站:http://www.pool.ntp.org/en/
如果你想查看一下你的电脑是与哪台服务器进行时间同步的,可以执行以下net time 命令来看一下。
需要注意的问题:
1. 如果DC是在虚拟化的平台上时,要特别注意,因为无论是Hyper-V/VMWare ESX还是Xenserver都会安装一个类似于Agent的工具在系统中,这个工具包括时间是否与Host主机同步,这个一定不能选择。
2.. 需要在防火墙上开通123端口使DC可以与Internet时间源同步。
转载于:https://blog.51cto.com/chenzhonghua/481816