如何在域控中搭建ntp时间服务器

域内时间服务器的时间同步，是遵循这样一个规则： client->child domain PDCe->parent domain PDCe->root PDCe->Internal Time Source->Internet Time Source
层层向上，自动同步，这就是为什么您即便修改了域内工作站的时间，重新启动又会恢复域内时间。
所以，一个标准的、稳定的时间源对于整个AD架构是非常重要的。需要提到的一点是，时间服务使用 udp 123--- gnaw0725
据我所知，net time命令只能使计算机的时钟与其他计算机或域的时钟同步。
我们建议您将权威时间服务器配置为从硬件源收集时间。当您将权威时间服务器配置为与 Internet 时间源同步时，不会有任何身份验证。我们还建议您降低服务器和独立客户端的时间校准设置。这可以为您的域提供更准确的时间和更高的安全性。
Windows 包含 W32Time，它是 Kerberos 身份验证协议所需的时间服务工具。Windows 时间服务的目的是确保组织中运行 Microsoft Windows 2000 或更高版本的所有计算机都使用同一个时间。
配置 Windows 时间服务以使用外部时间源的具体步骤，请参考以下文章：
如何在 Windows Server 2003 中配置权威时间服务器
>一． 常见命令 1 修改当前计算机时间 使用time命令，同时会要求您重设时间 如果不需要设置时间，则直接回车即可 这个命令仅限于粗糙的时间调整。 2 获取当前计算机的日期及时间信息 在Windows HyperV中，用户无法看到图形界面的日期与时间信息，但可以通 过以下命令进行查看： a) 在命令行中输入timedatecpl, 系统自动d出日期，时间设置窗口，可 以在此位置进行设置 b) 在命令行中输入net time \\IP地址或计算机名称，此命令还可以查看 其他计算机的当前时间，例如： net time \\3242107129, 如果是域 内计算机，想查看当前域的整体时间 net time /domain:shinseifin 3 显示时区 a) Timedatecpl b) W32tm /tz 显示本地计算机时区设置 4 很多时间我们想知道， 当前域内的计算机是从哪个服务器同步的时间，可 以用如下命令： W32tm /monitor /computers:计算机名称 或者w32tm /monitor /domain:域名 结果如下 这样如果发现域内时间异常，直接更改此对应PDC的计算机时间即可。 5 更改完时间后，我们希望让一台计算机立即进行同步 W32tm /resync /computer:计算机名称 6 设置本地时间 上面提到直接使用time命令即可 7 设置一台与另外计算机时间同步 使用net time 命令。格式如下 net time [\\computername|/domain[:domainname] | /rtsdomain[:domainname]] [/set] net time [\\computername] [/querysntp] | [/setsntp[:ntp server list]] 参数说明： ◆ 无参数，显示被指派为本地计算机的Windows服务器域时间服务器的当前时 间。 ◆ \\computername，指定要检查或与之同步的服务器的名称。 ◆ /domain[:domainname]，指定要同步时间的域。 ◆ /rtsdomain[:domainname]，指定要与之同步的可信时间服务器所在的域。 ◆ /set，使计算机的时钟与指定的计算机或域的时间同步。

XP的时间总是不对，该如用internet时间服务器让时间同步呢
下面我将详细介绍 *** 作方法，记得投票哦！
方法/步骤
1
使用浏览器打开百度在搜索框中搜索“ntp服务器地址”
然后找到一个有internet时间服务器的网页，或者有该信息的网页。
internet时间服务器如何让时间同步
2
然后我们在系统托盘区的时间上面双击，打开时间设置面板。
internet时间服务器如何让时间同步
3
现在，我们在时间设置的面板上把我们得到的那个时间服务器地址，如下图的粘贴到“服务器:”后面的框中。
internet时间服务器如何让时间同步
4
然后点击“应用”保存一下设置
如果你现在的电脑时间本来就不正确，而又连接了互联网，那么可以点击一下“立即同步”来与NTP服务器时间同步。
internet时间服务器如何让时间同步
5
如果同步出错，那么我们先按：WIN+r键调出运行窗口
在窗口中输入“servicesmsc”，然后点击“确定”
internet时间服务器如何让时间同步
6
在服务窗口中
找到windows time 这个服务，然后查看6它是否被启动。
如果没有启动，那么我们该服务上面点击鼠标右键---->单击“启动”即可。
internet时间服务器如何让时间同步
7
如果经过第五第六步都还会出错，那么你得更换一下这个internet时间服务器的地址啦
因为很多internet时间服务器并不能长久存在。可能已经过期，那么就得换掉。
那么我们点击那个“服务器：”后面的框，展开它的下拉框，在里面找到windows time这些时间服务器，看是否现在能使用官方的更新时间。
internet时间服务器如何让时间同步
8
需要更改日期和更换NTP服务器地址的错误解决方法如下。
对于要把日期更改为当天的日期的错误，是因为时间服务器是无法更改你的日期的，它仅仅能在日期一致的情况下，同步一个正确的时间。
internet时间服务器如何让时间同步

Ntp时间同步可以直接在windows里面开启设置即可，具体 *** 作如下，
开启 NTP Client 服务
1、打开 powershell 终端， 输入：gpeditmsc，打开组策略管理器
2、执行上述命令后，计算机策略对话框打开，按照如下路径 计算机配置\管理模板\系统\windows 时间服务\时间提供程序 找到服务器设置文件
3、双击 配置 Windows NTP 客户端，显示 配置 Windows NTP 客户端
4、将 Ntp Server项，输入将要同步到的时间服务器IP地址（这里输入阿里云的ntp服务器地址： timepoolaliyuncom），注意 0x9 或 0x1 必须要有;在 类型 项, 选择 NTP;点击 应用、确定 按钮；
5、启动 NTP 客户端；启用NTP客户端；点击 应用、确定 按钮；
6、执行下面命令更新组策略
gpupdate /force
7、检查W32Time服务是否启动，启动类型是否是 自动启动
设置NTP服务器地址，跟组策略一样
在命令提示符下键入以下命令（PeerList 是以逗号分隔的DNS 名称或时间源IP 地址列表）：
C:\> w32tm /config /syncfromflags:MANUAL /manualpeerlist:"168123,0x08 168456,0x08" /update
C:\> w32tm /resync /rediscover
完成后输入以下命令查看当前时间服务器设置
C:\> w32tm /query /peers
可以进入命令行模式，查看当前Windows Time服务运行情况：
C:\>w32tm /query /status
手动启动w32time服务
C:\>net start w32time
C:\>net stop w32time
（1）服务器不能上网，当前环境有ntpd服务器
在第4步里把ntp server的地址改为内网ntpd服务器的地址即可
（2）服务器必须要能上网，使用公网上的ntpd服务器，例如阿里云的ntpd服务器

问题1： 在域控上面设置default domain policy对全域设置了时间同步参数，其中MaxPollInterval=10，MinPollInterval =8；我想请教一下，同步的时间间隔只能从这两个参数定义吗，能不能自定义。

通常我们如果通过注册表的方式配置域的时间同步的话，按照下面的注册表设置来配置：

===主域控制器===
1 PDC宣布它为NTP服务器：
Path: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
Key Name: AnnounceFlags
Type: REG_DWORD (DWORD Value )
Data: 0x5

2 将服务器类型更改为NTP：
Path: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type
Key Name: Type
Type: REG_SZ(String Value)
Data: NTP

3 启用NTP服务器：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer
Key Name: Enabled
Type: REG_DWORD
Data: 1

4 指定哪个服务器充当NTP服务器：
Path: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
Key Name: NtpServer
Type: REG_SZ(String Value)
Data: Peers (example: timewindowscom, 0x9)

5仅当我们的PDC计算机是虚拟机时，才需要设置此注册表。 如果它不是虚拟机，则没有有关此注册表的信息。
HLM\SYSTEM\CurrentControlSet\services\w32time\TimeProviders\VMICTimeProvider
Name: Enabled
Type: REG_DWORD
Data:0

===其他的域控制器和客户端===
Path: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type
Key Name: Type
Type: REG_SZ(String Value)
Data: NT5DS

Path: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
Key Name: AnnounceFlags
Type: REG_DWORD (DWORD Value )
Data: 0xa

之后，使用命令 net stop w32time && net start w32time 重新启动时间服务器。

0x1 为 NtpServer的Flag位，表示启用SpecialInterval。 它将会等待SpecialPollInterval 内设置的时间间隔再和时间源同步。

SpecialPollInterval
这个值指定了特定的取样时间间隔，当NtpServer值的SpecialInterval 0x1 标志设置后 (所以SpecialPollInterval只在时间同步方式为NTP时才有效，简单来讲，就是在PDC上此值才有意义），W32Time用这个时间间隔进行取样，单位为秒。默认值为3600秒。

Path: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
Key Name: NtpServer
Type: REG_SZ(String Value)
Data: Peers （timewindowscom,0x9）

NTP server键值中，timeserver,0x9的含义，有如下解释：
0x9其实是两种标识的组合，即0x1和0x8。在w32time中，共有4种基础标识。
0x1 specialinterval
0x2 useasfallbackonly
0x4 symmatricactive
0x8 client

具体可以参考这个文章： Parameters\NtpServer

总结：一般如果我们的环境中没有出现时间同步问题的情况下不建议修改对应的值，保持默认的就可以。一般如果有时间跳变或者精度问题，才可能要调整这两个值。请问我们的环境是否出现了什么问题。我们是觉得时间同步精度不够还是什么其他原因需要去自定义这两个参数呢？

问题2： 还有我查看了客户端事件查看器并不是每一次到了间隔时间都会记录时间同步，一天之内只有2次或1次甚至没有记录。不知道该事件日志记录的原理是什么，想请高手指点一下，谢谢！

MaxPollInterval
这个值指定了在使用NT5DS同步机制时（简单的说就是按照域的结构和DC做时间同步），最大的时间取样时间间隔，单位为2的次方秒。 域控制器的默认值为为10（1024秒） ，域成员的默认值为15（32768秒），没有加入域的机器的默认值为15（32768秒）。如果当前值为F，即32768秒。

MinPollInterval
这个值指定了在使用NT5DS同步机制时（简单的说就是按照域的结构和DC做时间同步），最小的时间取样时间间隔，单位为2的次方秒。 域控制器的默认值为为6（64秒） ，域成员的默认值为10（1024秒），没有加入域的机器的默认值为10（1024秒）。如果当前值为A，即1024秒。

LargePhaseOffset (HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Config\LargePhaseOffset):
当时间差小于LargePhaseOffset时，认为是同步的，默认值为5秒。

MaxAllowedPhaseOffset (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxAllowedPhaseOffset):
当时间差大于LargePhaseOffset时，且当时间差超过MaxAllowedPhaseOffset这个值，则W32Time将直接将时间一次性修改正确；
当时间差大于LargePhaseOffset时，且当时间差小于MaxAllowedPhaseOffset这个值，则以渐进式的方式进行时间修改，直到时间正确为止。

总结：如果每次到了时间间隔确实不一定会记录时间同步，到了间隔时间会进行时间取样，如果没有超过阈值，就不需要同步，那么不同步就不会有记录。

不需要同步的情况：因为如果时间差小于LargePhaseOffset时, 认为是同步的，默认值为5秒。

需要同步的情况：
1 只有每次到了时间间隔，当时间差大于LargePhaseOffset时，且当时间差超过MaxAllowedPhaseOffset这个值，则W32Time将直接将时间一次性修改正确；

REF: >域内各个服务器的时间保持一致，是一个很重要而又往往又容易被人忽略的问题，如果时间不同步或出现异常，往往会出现以下问题：
1 服务器上应用程序Server端无法获取准确的日期，导致反馈给客户端的日期时间不准确
2 系统日志上时间不正确，无法通过时间点查找错误信息
3 ***用户无法连接网络，导致无法正常工作
4 Failover Cluster无法正常启动或切换
以下内容，我们会介绍如下获取修改系统时间，如何设置成与时间服务器同步，并介绍各个常用的与时间有关的命令。
一． 常见命令
1 修改当前计算机时间
使用time命令，同时会要求您重设时间
如果不需要设置时间，则直接回车即可
这个命令仅限于粗糙的时间调整。
2 获取当前计算机的日期及时间信息
在Windows HyperV中，用户无法看到图形界面的日期与时间信息，但可以通过以下命令进行查看：
a) 在命令行中输入timedatecpl, 系统自动d出日期，时间设置窗口，可以在此位置进行设置
b) 在命令行中输入net time \\IP地址或计算机名称，此命令还可以查看其他计算机的当前时间，例如： net time \\3242107129, 如果是域内计算机，想查看当前域的整体时间 net time /domain:shinseifin
3 显示时区
a) Timedatecpl
b) W32tm /tz 显示本地计算机时区设置
4 很多时间我们想知道， 当前域内的计算机是从哪个服务器同步的时间，可以用如下命令：
W32tm /monitor /computers:计算机名称
或者w32tm /monitor /domain:域名
结果如下
这样如果发现域内时间异常，直接更改此对应PDC的计算机时间即可。 5 更改完时间后，我们希望让一台计算机立即进行同步
W32tm /resync /computer:计算机名称
6 设置本地时间
上面提到直接使用time命令即可
7 设置一台与另外计算机时间同步
使用net time 命令。格式如下 参数说明：
◆ 无参数，显示被指派为本地计算机的Windows服务器域时间服务器的当前时间。
◆ \\computername，指定要检查或与之同步的服务器的名称。
◆ /domain[:domainname]，指定要同步时间的域。
◆ /rtsdomain[:domainname]，指定要与之同步的可信时间服务器所在的域。
◆ /set，使计算机的时钟与指定的计算机或域的时间同步。
◆ /querysntp，显示当前为本地计算机或 \\computername 所指定的计算机配置网络时间协议（NTP）服务器的名称。
◆ /setsntp[:ntp server list]，指定本地计算机所使用的NTP时间服务器的列表。该列表可以包含IP地址或DNS名称，用空格分开。如果要使用多个时间服务器，该列表必须用引号引起来。
例如： net time \\3242107142 /querysntp 查询使用哪一个sntp服务器
Net time \\3242107143 /setsntp:timewindowsgov 指定计算机143与windows sntp服务器同步
Net time /set \\3242107142 设置当前计算机与与142时间同步
通常用来设置服务器的时间与某一服务器同步。
二．如何设置PDC的服务器时间？
1 将服务器设置为内部硬件时钟
打开Service注册表，HKEY LOCAL MACHINE\SYSTEM\ CurrentControlSet\Services\W32Time\Parameters中ReliableTimeSource与 LocalNTP（二进制）均设置为1，重启服务，net stop w32tim & net strart w32time
2 将PDC的时间与公网服务器时间同步。
a) net time /setsntp:1924324418
b) 进入域控注册表修改Parameters
(1)将服务器类型改为 NTP，即修改“TYPE”值为NTP。
(2) 将该服务器配置为可靠的时间源，即修改“ReliableTimeSource”为1。
(3) 修改“LocalNTP”值为1。
(4) 指定时间源，即修改“NtpServer”为时间源地址。
(5）
HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\Services\W32Time\TimeProviders\ NtpClient]分支，并双击 SpecialPollInterval键值，将对话框中的“基数栏”选择到“十进制”上，输入框中显示的数字正是自动对时的间隔(以秒为单位)，比如默认的604800就是由7(天)×24(时)×60(分)×60(秒)计算来的。设定时间同步周期（建议设为900=15分钟或3600=1小时等周期值），填入对话框，点击确定保存关闭对话框。
（6） 在命令提示符处，键入以下命令以重新启动 Windows 时间服务，然后按 Enter 键：net stop w32time && net start w32time
三．同步域内时间的步骤小结：
确定域内的PDC， net time /domain:domain名称 2 查询PDC使用的时间源 net time \\PDC的IP地址 /QuerySntp 3 修改PDC使用的时间源 net time \\PDC的IP地址 /SetSntp:事件源地址 4 立即手动同步域内其他服务器的时间，使其与PDC保持一致。 net time /set或w32tm /resync /computer:PDC(IP)，建议使用后一个命令，前一个命令可能会出问题，问题描述见后面。

---