AD域中NTP服務器的配置

1、步驟
1.1 配置修改

1) 以下圖，用命令netdom query fsmo查看域內的PDC主機，當前爲thdc01；

2) 檢查其餘域控的時間源，均爲PDC主機，以下圖所示，所以其餘域控的時間源無需修改；不然需執行命令：w32tm /config /syncfromflags:domhier /reliable:no /update，配置其餘域控的時間源；

3) 而後登陸到thdc01上，用命令w32tm /query /configuration查看該域控是否爲NTPServer；以下圖Ntpserver中，「Enabled」值爲「1」說明當前域控是NTP服務器；若該值爲「0」，則須要在註冊表的下列位置HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer中，將「Enabled」值改成「1」，

4) 用命令w32tm /query /status查看PDC主機的時間源以下，能夠看到當前PDC主機的時間來源爲系統時鐘，咱們須要將它改成一個可靠的外部NTP服務器，但NTP 協議使用的是UDP 123這個端口，所以咱們必定要確保這個端口的入站和出站流量，以確保windows時間服務的正常工做；

5) 咱們能夠從網上搜索到不少國內經常使用的NTP服務器，好比此處咱們選擇如下NTP服務器：ntp.neu.edu.cn；首先在PDC服務器上用Ping命令測試與該服務器之間的網絡正常，以下圖；

6) 而後在PDC主機上執行命令：w32tm /config /manualpeerlist:ntp.neu.edu.cn /syncfromflags:manual /reliable:yes /update，將PDC主機的時間源設置爲該NTP服務器，以下圖；

7) 修改PDC主機的註冊表，將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\W32Time\Parameters下的Type值改成「NTP」（NTP表示客戶端從外部時間源同步時間）；將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\W32Time\Config下的AnnounceFlags值改成十六進制的5（或十進制的5），以下圖所示；

8) 而後依次執行下列命令，重啓時間服務，以下圖所示：

W32tm /config /update

Net stop w32time && Net start w32time

W32tm /resync

1.2 檢查確認

1) 設置完成後用命令w32tm /query /status查看PDC服務器的時間源，以下圖，配置成功；

2) 檢查其餘域控的註冊表值，其中「NT5DS」表示經過域層次（domain hierarchy）進行時間同步，以下圖所示；

Ø [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters]— "Type"="NT5DS"

Ø [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config]—"AnnounceFlags"=dword:0000000a

Ø [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters] —"NtpServer"="time.windows.com,0x9"

3) 更多詳細註冊表鍵值的含義可參考以下連接：https://technet.microsoft.com/en-us/windows-server-docs/identity/ad-ds/get-started/windows-time-service/windows-time-service-tools-and-settings ；

4) 再次檢查其餘域控的時間源，均爲thdc01（即PDC主機），以下圖；

5) 若是檢查過程當中修改了某臺服務器的配置，爲使修改儘快生效，可再依次執行如下命令：

W32tm /config /update

Net stop w32time && Net start w32time

W32tm /resync