域控制器與客戶機之：時間同步問題

配置組策略，設置時間同步

defaultdomainpolicy------計算機配置---管理模板---系統---windows時間服務----全局時間配置

w32tm命令：

列出本地計算機指定的遠程計算機的時間差

域內客戶機想要同主域時間同步，執行以下命令便可！

有用戶反映本身的電腦顯示的時間是中華民國112年，並不是是正常的2013年，這種狀況是因爲在繁體OS中，將地區語言月曆類型選擇錯誤所致！以下如所示！將月曆類型選擇爲中文便可恢復正常！

AD時間同步原理分析

對於加入域環境的客戶端是與在父域中的權威服務器進行時間同步的。默認的同步時間的方法就是使用域層次，客戶端會使用其所鏈接域中的域控來同步時間，而域控會反過來從整個林中的權威時間源來同步時間。若是在森林的根域中沒有指定某個域控爲權威時間源，那麼擁有PDC角色域控會擔當這個權威時間服務器。這臺PDC會使用本身內部的時鐘來爲整個林的域控提供時間。

1.如何保證全部域控制器和層次結構的PDC同步時間？如何保證全部成員服務器（客戶端）與驗證服務器同步時間。

因爲PDC是林中默認的時間源，所以咱們必須確保這個DC是永遠在線的。若是咱們發現PDC負載太高的話，那麼就應該使用林中另一臺域控作爲權威的時間源。

在森林根中的權威時間源獲取時間的方式有兩種。第一種就是從內網中所安裝的硬件時鐘設備上去獲取時間。第二種就是從外部的時間服務器去獲取時間。須要注意的是，若是咱們沒有配置權威時間服務器是從內部獲取時間仍是從外部獲取時間，那麼PDC就會使用其本身的內部時鐘，也就是整個森林可靠的時間源了。

在與外部時間源進行同步時，咱們是使用NTP協議來進行同步的，但NTP協議使用的是UDP123這個端口，所以咱們必定要確保這個端口的入站和出站流量，以確保windows時間服務的正常工做。

也就是說，咱們首先要保證默認狀況下這個PDC這個時間源要是正確的，那麼客戶端與服務端就會自動進行同步了。不然就沒法靠域的層級結構來同步整個域的時間了。

2.全部與服務器、PDC服務器時間各不相同。該如何檢查？

若是想使用默認的PDC來做爲權威的時間源，建議是這樣的

1)首先確保PDC時間源才準確性，一般建議PDC使用外部的權威時間源（這樣能夠減小時間誤差和咱們管理工做量）。

咱們先經過下面的命令來檢查，PDC如今的所使用時間源的狀態：

w32tm/query/configuration

2)若是咱們想要指定外部權威時間服務器做爲源，咱們可使用，下面這個命令：

w32tm/config[/computer:目標計算機][/update][/manualpeerlist:peers][/syncfromflags:flag][/reliable:(yes|No)]

例如：

w32tm/config/update/manualperrlist:time.windows.com,time.nist.gov,time-nw.nist.lov/syncfromflags:manual/reliable:Yes

使用這個命令咱們就把PDC設置成了使用time.windows.com,time.nist.gov,time-nw.nist.lov這三個做爲時間源，而且是森林中的權威時間服務器。咱們能夠經過上面的方法，來對咱們以爲有必要的全部服務進行配置。

3)若是客戶端中的windows時間服務有問題的話，咱們能夠經過下面的方法來重置這個服務（恢復到默認狀態）。

一、打開命令行

二、鍵入netstopw32time來中止這服務

三、鍵入w32tm/unregister來刪除如今的w32時間服務配置

四、鍵入w32tm/register來導入默認的時間配置

五、鍵入netstartw32time來開啓這個服務。

4)若是上面所述的方法仍是不能解決咱們的問題，我可使用下面的方法來啓用客戶端上的windows時間服務日誌文件來進行排錯。

1.啓動註冊表編輯器。

2.找到並單擊下面的註冊表項：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config

3.在編輯菜單上單擊新值，而後添加如下注冊表值：

·值名稱：FileLogSize

數據類型：DWORD

值數據：10000000

·值名稱：FileLogName

數據類型：字符串

值數據：C:\Windows\Temp\w32time.log

·值名稱：FileLogEntries

數據類型：字符串

值：300

4.在有問題的客戶端上運行這個命令w32tm/config/update

5.收集這個日誌文件，與PDC和任意兩臺有問題DC的時間服務配置信息（w32tm/query/configuration）

一、域控制器和PDC之間同步時間這個是理論上。可是它們之間同步是否有一個肯定的標準或機制？若是沒有他們之間時間同步我是否能夠經過一些日誌或文件證實他們的同步。

首先，Windows時間服務是設計用來同步網絡上計算機的時鐘的。網絡時鐘同步的過程，也叫作時間收斂，這個過程發生於當每一個計算機經過網絡訪問來自一個更可靠時間服務器時。時間收斂這個過程，涉及一個權威服務器把當前的時間以NTP包的形式發送給每一個客戶端計算機。而在這個包中所提供的信息表示了是否須要調整客戶端計算機當前的時鐘時間，這樣就能夠與更準確的服務器進行同步了。

做爲時間收斂過程的一部分，域成員會試圖與其在相同域內的域控進行同步時間。若是該計算機就是域控，那麼它會試圖與更權威的域控進行同步。

關於咱們是否能夠驗證他們之間是否同步的問題，其實也就是監測的問題：要監測某個特定域中或計算機上的時間服務時，咱們可使用/monitor參數。該命令的基本語法以下：

w32tm/monitor[/domain:域名][/computers:計算機1，計算機2，計算機3，…][/threads:N]

這裏，域名是指要監測的域的DNS名，和由DNS名或IP地址指定的計算機名。若是咱們沒有指定某個域或計算機，那麼就會使用目前咱們所登陸的這個域。咱們要確保計算機名之間用逗號隔開，而且沒有空格。/thread參數指定了同時分析的計算機數量。默認的值是3；而容許的範圍值在1至50之間。

二、成員服務器和客戶端與它們驗證服務器間同步。每臺DC的時間不同，通過檢查是它們是經過各自的硬件時鐘同步的。針對這類型問題是如何引發的？怎樣進一步去確認？

針對這個問題，就像咱們以前說的那樣，默認狀況下DC是會去找PDC去同步時間的，至於爲何會變成經過各自的硬件時鐘去同步，這有不少種多可能的緣由，如第三方程序的干預等等。但若是Windowstimeservice工做是正常的話，那麼咱們也就不必去找其中的緣由了，只有當與咱們的預期不符時，咱們須要知道它到底在幹什麼的時候，咱們能夠經過啓用在我上一次回覆中的Debuglog來看時間服務到底在幹什麼。

三、關於沒法運行命令w32tm/query，及其w32tm/register的問題

若是沒法運行這個命令是由於這個命令是windowsvista和windowsserver2008時引入的。那麼咱們能夠換一種辦法來查看這個狀態，咱們能夠查看這個註冊表項：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\

·Nosync表示客戶端沒有同步時間（就是所謂的硬件時鐘）

·NTP表示客戶端從外部時間源同步時間，而且NTPServer字段定義了這個時間源

·NT5DS表示客戶端配置了使用域架構做爲本身的時間同步

·AllSync表示客戶端會從任何可靠的時間源處同步時間，包括域結構和外部時間源的。

就該註冊表項而言，在DC上默認值是NT5DS，在獨立的客戶端或服務器上是NTP。

w32tm/register這個命令不須要指定某個時間源，由於這個命令的用意是，把時間服務註冊一下並向註冊表添加默認的值。而這個默認值會牽涉到許多的註冊表項，所以能夠經過下面的這篇文檔來進一步瞭解。

文檔連接：

http://technet.microsoft.com/en-us/library/cc773263(v=ws.10).aspx