域控服務(wù)器同步時(shí)間策略及注意事項是系統管理員需要重視的一個(gè)重要問(wèn)題。域控服務(wù)器的時(shí)間同步不僅僅是為了解決系統中不同對象間的時(shí)間差異，同時(shí)還能保證系統的安全穩定運行。本文將從域控服務(wù)器同步時(shí)間的必要性、同步方式、注意事項和最佳實(shí)踐等四個(gè)方面進(jìn)行詳細的闡述。

　　

1、域控服務(wù)器同步時(shí)間的必要性

在開(kāi)發(fā)和部署系統時(shí)，時(shí)間非常重要。正確同步域控服務(wù)器的時(shí)間，可以避免很多因時(shí)間不同步而導致的問(wèn)題。例如，在某些安全的場(chǎng)景下，惡意攻擊者可能通過(guò)更改系統中的時(shí)間來(lái)繞過(guò)驗證，或者是造成時(shí)間戳不同步而引發(fā)的系統錯誤等問(wèn)題。

 

　　在 Windows 管理的網(wǎng)絡(luò )中，時(shí)間同步也非常重要。域控制器同步的時(shí)間必須正確執行，否則網(wǎng)絡(luò )中的客戶(hù)端機器的時(shí)間會(huì )與域控制器的時(shí)間不同步。當客戶(hù)端和服務(wù)器的系統時(shí)間不同步時(shí)，可能會(huì )發(fā)生許多不期望的后果。例如，在登錄時(shí)，用戶(hù)可能無(wú)法正確地驗證他們的憑據。

　　

　　與此同時(shí)，域控制器的時(shí)間同步也保證了網(wǎng)絡(luò )日志文件中的時(shí)間戳是一致的，這樣在查找和分析網(wǎng)絡(luò )活動(dòng)時(shí)可以更加方便。

　　

2、域控服務(wù)器同步的方式

2.1 使用內部 Windows 時(shí)間服務(wù)

Windows 系統的時(shí)間同步服務(wù)是一個(gè)被稱(chēng)為 W32Time 的 Windows 時(shí)間服務(wù)。W32Time 是 Windows 系統中默認的時(shí)間同步服務(wù)，支持內部同步和外部同步。通過(guò)組策略設置，管理員可以使用 W32Time 服務(wù)控制域內所有計算機的時(shí)間同步。

 

　　在 Windows Server 2008 或者更高版本的操作系統中，可通過(guò)以下命令啟用內部時(shí)間服務(wù)：

　　w32tm /config /manualpeerlist:"ntp_server_IP_Address" /syncfromflags:manual /reliable:yes /update

　　其中 "ntp_server_IP_Address" 代表的是 NTP 服務(wù)器的 IP 地址。如果需要同步多個(gè)服務(wù)器時(shí)間，則可以在 IP 地址之間使用英文逗號進(jìn)行分隔。

　　

2.2 使用第三方 NTP 時(shí)間服務(wù)

除了內部 Windows 時(shí)間服務(wù)外，還可以使用第三方 NTP 時(shí)間服務(wù)進(jìn)行時(shí)間同步。NTP 時(shí)間服務(wù)是由一組可靠的 NTP 服務(wù)器提供的。推薦的 NTP 服務(wù)器有 time.nist.gov、time.windows.com、pool.ntp.org 等等。

 

　　使用 NTP 服務(wù)對域控制器進(jìn)行時(shí)間同步操作，可使用以下命令：

　　w32tm /config /manualpeerlist:pool.ntp.org /syncfromflags:MANUAL /update /reliable:YES

　　

3、域控服務(wù)器同步時(shí)間的注意事項

3.1 時(shí)間同步順序

在 Windows 域中，每個(gè)計算機都與域控制器同步時(shí)間。在同步域時(shí)間時(shí)，建議始終從 PDC 主域控制器（即 PDC Emulator 角色持有者）開(kāi)始同步。隨后，PDC 主域控制器以 UDP 報文的形式將消息傳播到其他所有域控制器。

 

　　

3.2 防火墻設置

在防火墻設置中應該允許 NTP 服務(wù)器通信。默認情況下，域控制器支持同步 Windows 時(shí)間服務(wù)，而防火墻默認不允許外部流量進(jìn)入 Windows 時(shí)間服務(wù)端口。因此，系統管理員還需要在防火墻配置中添加 Windows 時(shí)間服務(wù)或 NTP 服務(wù)器端口。

 

　　

3.3 關(guān)閉時(shí)間同步方式不明的設備

有些設備可能會(huì )干擾域控制器同步時(shí)間。為了保證域時(shí)間一致性，管理員需要關(guān)閉這些設備的時(shí)間同步設置。對于一些不知道時(shí)間同步方式的設備，最好是關(guān)閉時(shí)間服務(wù)和時(shí)間同步。

 

　　

4、域控服務(wù)器同步時(shí)間最佳實(shí)踐

4.1 定期檢查時(shí)間同步狀態(tài)

因為時(shí)間同步不是一次性設置的操作，系統管理員需要定期檢查時(shí)間同步設置是否正確。使用命令行有助于快速檢查網(wǎng)絡(luò )計算機的時(shí)間同步狀態(tài)。

 

　　使用以下命令可檢查計算機的當前時(shí)間：

　　w32tm /query /status

　　使用以下命令檢查計算機正在使用的時(shí)間服務(wù)器：

　　w32tm /query /peers

　　

4.2 適當提高日志級別

為了更好地跟蹤系統時(shí)間同步，管理員應該適當提高日志級別。例如，增加事件日志記錄等參數。

 

　　

4.3 為 VMWare 虛擬本地域控制器啟用真實(shí)時(shí)鐘

由于 VMWare 工具的影響，虛擬機的系統時(shí)間可能會(huì )偏離真實(shí)時(shí)間。為了保證虛擬本地域控制器的時(shí)間同步，管理員要在 VMware 中啟用真實(shí)時(shí)鐘。

 

　　啟用真實(shí)時(shí)鐘的方法可參考 VMware 官方的說(shuō)明文檔。

　　總的來(lái)說(shuō)，管理員們需要注意以上幾點(diǎn)最佳實(shí)踐，保證域控服務(wù)器的時(shí)間同步運行順暢。

　　總結：

　　本文詳細介紹了域控服務(wù)器同步時(shí)間策略及注意事項，并從域控服務(wù)器同步時(shí)間的必要性、同步方式、注意事項和最佳實(shí)踐等四個(gè)方面進(jìn)行了闡述。系統管理員們應該注意每個(gè)方面，并在實(shí)際工作中按照最佳實(shí)踐來(lái)配置和維護域控制器的時(shí)間同步。只有這樣才能保證系統穩定的運行和安全性。

上一篇：時(shí)間戳服務(wù)器：掌控時(shí)間的中心樞紐 下一篇：中興魔百盒時(shí)間服務(wù)器：重塑網(wǎng)絡(luò )時(shí)間標桿