两台windows 2003 域控时间同步出现问题。 打完net time 后时间同步,但是过了一分钟时间又不同步

两台windows 2003 域控时间同步出现问题。 打完net time 后时间同步,但是过了一分钟时间又不同步,第1张

1 将2台DC的主DNS服务器地址都指向同一台SERVER1,察看解析是否正常。确保域名服务(DNS) 配置正确,正确的目录复制需要有正确的DNS 配置。

a 在SERVER1和SERVER2上,运行Ipconfig /all 检查TCP/IP的配置,请把主DNS服务器指向PDC,辅助DNS服务器指向其它的DC。
b 在CMD模式,运行ipconfig /flushdns 命令清空本地DNS缓存,运行net stop netlogon 和net start netlogon 命令重启netlogon服务,重建DC的相关记录。

c 如果SERVER1上有其他网卡的话,请暂时禁用其他网卡。
HOW TO:在 Windows Server 2003 中安装和配置 DNS 服务器

>服务器时钟不同步时可能发生的一些问题包括:
-网络认证失败
-和系统中心数据保护管理器(SCDPM)代理的沟通问题
-Exchange Server、Active Sync和Outlook Web Access(OWA)不可用
在很多情况中,服务器时间同步问题来源于Kerberos协议,它有一个安全功能专门查看Kerberos票据上的时间戳,这主要是为了保护它们不会被重复使用。如果一张票据上的时间距离现在超过了五分钟,这张票据会遭到拒绝。因此,如果时钟五分钟内没有同步,Kerberos会开始出现故障。
通常来讲,时间同步不会带来问题。例如,当Windows在活动目录(AD)环境中运行时,域内的所有计算机时钟都自动地与域控制器同步。但是,在域成员和工作组成员混合或是多个活动目录林存在的环境中,时钟同步就可能变成一个问题。
举个更具体的例子,我自己网络中的所有生产服务器都进行了虚拟化。因为这个原因,我的虚拟化主机服务器中没有域成员,且所有的域控制器都是虚拟机。由于虚拟机根本没有启动,所以主机服务器不能和域控制器沟通的情况就不可能出现。如此一来,我选择让主机 *** 作系统作为工作组成员。
另外,我所有的虚拟化主机都运行Windows Server2008 R2上的Hyper-V这些服务器中的一些集群运行Windows 2008R2的虚拟机,其它的集群那些仍然运行Windows Server2003的虚拟机。但是虽然运行Windows 2008 R2的来宾机好像和主机服务器的时钟保持了同步,运行Windows 2003的机器有可能无法和其余网络保持同步。
那么,你要如何解决这个问题呢解决方法会因为这台计算机是不是域成员而有所不同。但不管是何种情况,你需要指定一台服务器作为时间来源。它可以是你网络中的一台服务器或者你可以和国家标准与技术局(NIST)的原子钟进行同步。
在工作组环境中,你可以通过打开Command Prompt窗口然后键入如下命令来将机器链到时间来源:
W32tm/config/syncfromflags:manual/manualpeerlist:W32tm/config/update
在这个例子中,你可以将替换成完全限定域名(FQDN)或是你想与之保持同步的服务器IP地址。你可以通过隔离每个有一个空间的地址来指定多个时间来源。
在域环境中,使用组策略设置来指定时间来源情况会更好些。时钟相关的组策略设置可以在Group Policy Editor里看见,位置是:Computer Settings Administrative Templates System Windows Time Service
有三个不同的组策略设置可供你使用,包括:
-Configure Windows NTP Client-让你可以将计算机时钟和外部时间来源进行同步。
-Enable Windows NTP Client-允许计算机将时钟与其它Windows服务器进行同步。
-Enable Windows NTP Server-允许服务器向Windows NTP客户端提供时间同步。
注意,如果你打算和外部的时间来源进行同步,比如NIST,你就不能启用Windows NTP Client或是Windows NTP Server使用外部时间来源时,你可能还要打开一些防火墙端口。Windows服务器为时间协议运用UDP端口123,它在默认情况下就该打开。但如果你想要使用NIST,你还要打开TCP端口13,TCP端口37和UDP端口37
正如你所见,保持Windows Server时钟间的同步十分重要。尽管时钟一般会自动同步,准备好面对需要手动同步时钟的情况还是必要的。

域环境中不推荐客户端使用还原卡。
其次即是使用,也可以定制进行更新同步。即把接近同步周期结束时,同步至还原卡上,让第一次启动电脑,只恢复今天的同步的数据。
此外同步的是计算机机器密码与域控的信息。
可以尝试以下方法禁用计算机密码同步(不推荐)
设置"域安全画策略 域用户:禁止更改计算机密码

步骤如下:

1、首先鼠标右击win7旗舰版电脑系统桌面上的计算机,选择“属性”选项。

2、在打开的系统属性窗口中,咱们将界面切换到计算机名这一栏,之后,点击窗口下面的更改按钮。

3、一般来说,执行完上述的 *** 作之后就可以顺利的退出这个域环境了,如果是域控的话,会提示域控制不能这样修改计算机名会导致登陆不了,如果这样的话,就需要通过删除ad活动目录,降级来实现退出域环境了。


欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/zz/10284302.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2023-05-07
下一篇 2023-05-07

发表评论

登录后才能评论

评论列表(0条)

保存