域控时间同步设置

为了便于日常管理，公司网络内所有主机及服务器均已加入到了域环境内。采用自建的Exchange实现办公邮件的收发。但前些天突然出现邮件无法收发的情况，经排查发现，是由于Exchange服务器与域控服务器时间异常，时间差值大于5分钟所导致。在调整完时间后邮件恢复正常，为了防止再次出现此类故障，故决定通过域控来为域成员同步时间，而域控本身与阿里云的NTP同步时间。

配置分为两步：第一步为域控服务器配置与阿里云NTP的时间同步；第二步通过组策略实现域内成员同步域控服务器的时间。

一、域控服务器配置NTP

1、 添加时间服务器地址（域名或IP）（下面这个键存放着时间服务器列表）

在右边窗口点右键新建“字符串值”，将此“字符串值”命名为6。双击此新建的“字符串值”，输入地址：ntp.aliyun.com，保存。将“默认”（即第一个“字符串值”）修改为6即可。前面的几个时间服务器分别为：

2、 指定时间源

3、 设置校时周期

4、重启服务

重启服务net stop w32time&net start w32time

5、验证配置情况

二、配置权威服务器及组策略

1、设置权威服务器

在域控服务器上打开注册表，找到键值

2、 启用 NTPServer

3、配置组策略，设置时间同步

4、域内成员同步策略

刷新组策略指令：gpupdate /force

重启服务net stop w32time&net start w32time

5、域内成员验证配置

三、填坑说明

如果在“Default Domain Policy”下添加时间同步策略，将会导致域控服务器也获取并执行策略，由于组策略的优先级较高，导致第一步配置的与阿里云NTP同步策略失效。使得域控服务器本身的时间准确性得不到保证。因此通过新建组织单位的方式，对除了域控服务器以外的计算机下发该策略。确保所有成员时间准确。

我们都知道域策略在域控上的默认刷新时间是5分钟，那么客户端PC一般需要重启或者用命令来立即获取域策略。其实我们可以通过修改域策略来直接实现的。

首先，打开服务器管理器--工具--组策略管理

右击编辑 “default domain policy"策略（或者新建GPO），

找到 计算机配置------策略------管理模板：从本地计算机中检索的策略定义（ADMX文件）--------系统----------组策略---------找到

1.配置计算机的组策略的刷新间隔---

Windows server 2012应用--域环境下的组策略刷新时间设置

2.设置域控制器的组策略刷新间隔---未配置的情况下域控制器的默认刷新时间是5分钟，不建议改动。如果选择关闭，则客户端没有重启的话，无法自动获取域策略。

1、打开Server 2012域控制器上的Active Directory Users and Computers维护工具。

2、打开存放指定账户的OU，演示中存放用户的OU为NS。

3、鼠标单击选中指定的域用户。

4、选中用户后右击，并选择右击菜单中的“Properties”按钮。

5、用户Properties对话框自动打开。

6、点击“Account”选项卡。

7、勾选“Password never expires”复选项。

8、点击“OK”按钮后，域用户密码设置完成。

---