AD域控制器NTP服务设置

1）首先确认虚拟化底层的时间是否准确，因为所有虚拟机会自动同步虚拟主机的时间。

2）在所有AD服务器上开启时间同步功能

一、找到适合的NTP服务器

首先需要找一个适合自己网络环境的NTP服务器，因为不同的网络会有不同的NTP服务器起作用，检测NTP服务器的方法为在AD上运行 w32tm /stripchart /computer:NTP服务器域名或IP ，如 w32tm /stripchart /computer:182921211 ，若是可以使用会显示如下图

找到适合自己网络的可用NTP服务器后，假设找到182921211为可用NTP服务器，在AD服务器上开启时间同步，运行如下命令

三、设置主域控制器与国家授时中心服务器时间同步，同步周期为1天。

1、 添加时间服务器

在右边窗口点右键新建“字符串值”，将此“字符串值”命名为0。双击此新建的“字符串值”，输入： 182921211 ，保存。将“默认”（即第一个“字符串值”）修改为0即可，删除其他所有的值只保留如图所示的值

2、 指定时间源

修改键NtpServer的值为 182921211

3、 设置校时周期

修改键SpecialPollInterval的值为十进制的604800（即为604800秒，1天）

四、设置权威服务器

1、 设置权威服务器

在域控服务器上打开注册表，找到键值

修改键AnnounceFlags的值为十进制的10。

2、 启用 NTPServer

修改键Enabled的值为十进制的1

五、配置组策略，设置时间同步

1、 打开组策略管理

2、 在“Default Domain Policy”上右键，编辑。

3、 计算机配置—管理模板—系统—Windows时间服务，双击“全局配置设置”，选择“已启用”。

修改MaxNegPhaseCorrection的值为3600（即为3600秒，1小时）

修改MaxPosPhaseCorrection的值为3600（即为3600秒，1小时）

修改AnnounceFlags的值为5

点“应用”，“确定”。

4、 计算机配置—管理模板—系统—Windows时间服务—时间提供程序，“启用Windows NTP客户端”，选择“已启用”。

“配置Windows NTP客户端”，选择“已启用”。

修改NtpSever的值为 1829211

修改Type的值为NTP

修改SpecialPollInterval的值为1800（30分钟）

5、cmd命令在域控和客户端完成检测

域控上运行下面三条命令检测，返回成功执行了命令即为成功。若是返回此计算机没有重新同步，因为没有可用的时间数据。请排查上述文档中一步时间服务器是否可用，和五-4步服务器是否正确，看w32tm /query /source命令返回的结果是否正确。

域内的客户端想要同主域时间同步，执行下面的命令，返回成功执行了命令即为成功

注意时间若想成功同步，时间不能跟标准时间差别太大，在范围内的才能成功同步。

1、系统时间比标准时间系统时间晚14小时59分钟之内

2、系统时间比标准时间早30分钟之内

3）对于有些客户端Windows Times服务会自动停止，可以尝试重新注册一下此服务项

1首先，运行如下命令删除时间服务：

2然后，再运行如下命令加载默认时间配置服务：

　解决方法是，用户需将Windows Server 2008 R2系统升级为域控制器，那么域会自动把本地安全策略的某些功能锁定。现在，Windows Server 2008 R2的域安全策略应如何启动和打开呢？
一、方法步骤如下：
1、点击“开始”-“程序”-“管理工具”-点击“组策略管理”。
2、在打开的组策略管理，一次展开“林”-“域”-“saymscom（域名）”-“组策略对象”-右击“Default Domain Policy”，选择“编辑”。
3、在打开的“组策略管理编辑器”，依次展开“计算机配置”-“策略”，这个策略里面包含的就是Windows Server 2008的域安全策略啦。
注：如用户需修改账户密码的复杂度，应继续展开“Windows设置”-“安全设置”-“账户策略”-“密码策略”。
当一台服务器被提升为域控制器后，本地策略不再有效，取而代之的是默认域策略。
二、本地组策略
本地组策略是指应用于本机，且设定后只会在本机起作用的策略，运行的方法为点‘开始’-‘运行’-然后键入‘gpeditmsc’，在d出本地组策略编辑器中即可进行设置。
三、域组策略
域组策略是指应用于站点，域或者组织单元(OUs)的策略，它的最终作用对象通常是多个用户或者计算机，可以在DC上点开始 运行 然后键入gpmcmsc来运行。
密码策略是属于域级别的策略，必须在默认域策略或链接到根域的新策略中定义。所以虽然您可以在Default domain controller policy 中定义密码策略，但是因为Default domain controller policy只应用到了domain controllers OU而不是整个域，所以在Default domain controller policy 中定义密码策略是无效的。 另外由于域组策略的优先级高于本地组策略的优先级，在域密码策略应用并生效后，所有已经加入域的电脑（包括DC）的本地策略中，密码相关设置都会变成灰色不可修改状态。
在本地策略中的，密码策略就应该是灰色的，无法编辑。当点击开始-运行， 然后键入gpeditmsc回车后，本地策略编辑器就会被打开。而由于域组策略的优先级高于本地组策略的优先级，所有在域组策略中已经设定过的策略都将变为灰色不可修改状态（比如密码策略）。
如果您要修改密码策略，可以使用以下方法：
1、点击‘开始’-‘运行’-然后键入‘gpmcmsc’，回车后打开“组策略管理”控制台。
2、展开到 “域-Domaincom-组策略对象（Domaincom是指您的域名）”。
3、右键点击Default Domain Policy然后选择“编辑”。
4、展开到“计算机配置-策略-Windows 设置- 安全设置-账户策略- 密码策略”。
5、您可以在右边的窗口中定义密码相关的策略，此策略会应用于整个域中的所有账户。

---