除非极其精确的计时对您来说至关重要，否则除了2分钟的时钟变化外，您的用户应该没有明显的影响。

可能的例外情况是，如果他们宣布您的NTP服务器由于大的更改而导致“疯狂”（这将要求您在受影响的系统上重新启动NTP服务来强制他们同步时钟 – 尽pipe您可以停电）。

当你在解决这个问题的时候，还有一些其他的指针：

• 您应该configuration查看外部NTP源的系统，以查看来自公共NTP池项目的多个（4-5）服务器 – 最好是在地理上合适的服务器。
  拥有更多的NTP服务器允许selectalgorithm忽略那些破坏/疯狂并保持时钟准确的selectalgorithm。

• 在像你这样的configuration中，我将Core Router 1和Core Router 2指向外部时钟源（不是彼此）。
  这给你两个独立同步的时钟，这个时钟应该在几个毫秒内，但是如果你的一个路由器疯了，它不会伤害另一个。

• 在像你这样的configuration中，我会将域控制器指向两个核心路由器（同样是为了防止下一个）。
  如果你想防止疯狂的时钟，你应该添加第三个权威的NTP服务器（或者两次列出你的路由器之一，并希望它不是那个失去理智的人）

Windows的域默认值允许时间closures+/- 300秒，然后authentication停止工作，所以你会没事的。 这里有一个相当详尽的文章关于这个问题 ，甚至提到如何改变你的容忍时间歪曲与域级别的GPO。 它在Computer Configuration – > Policies – > Windows Settings – > Security Settings – > Account Policies – > Kerberos Policy – > Maximum tolerance for computer clock synchronization 。

也就是说，您应该拥有权威的时间源（通常是在Windows域中持有PDC模拟器angular色的域控制器）与外部ntp源（如pool.ntp.org ）同步。 来自Technet的更多信息，在这里 。

而对于其他答案，这不需要停机。 只需重新指定您的权威时间源，其他join域的计算机也将自行同步。

编辑：自@ voretaq7提到它，我应该指出，我们只有一个系统看到一个外部时间源，我们的PDC模拟器。 所有设备，包括networking齿轮同步到它。 我们发现这是一个更好的安排，因为networking设备不会因为时间偏差而拒绝authentication，而是使用Kerberos的域join的计算机（这些都是我们的）将会。 所以在这方面，准确的时间在我们的networking设备上并不是特别重要，但是在我们的Windows系统上是非常重要的，因为我们也在Windows服务器上为小时工雇用我们的计时软件。

Windows客户端实际上没有任何问题login。 Maximum tolerance for computer clock synchronization策略的Maximum tolerance for computer clock synchronization的描述现在相当不准确。

时钟严重错误的客户端将得到服务器响应，build立其时钟之间的偏差 – authentication继续正常进行（客户端调整自身以考虑到明显的时钟偏差）。

关于一件事的描述是正确的。 该策略仍然有效地设置了重播攻击的计时器，但就合法stream量而言，通信对于大时钟偏移是有效的。

有关更多信息，请参阅此MS知识库文章 。

您可能需要考虑查看其他NTP服务器而不是您的核心cisco设备：严重的NTPstream量会给cisco设备带来很高的cpu负载，这可能会导致networking问题。

显然你不能安排一个小的停机时间，是吗？ 我会推迟停机时间，以便在所有受影响的服务器上重新启动ntp服务。 如果这是不可能的，那么你必须等待一段时间。

（我打算对vortaq7的回答作出评论，但我认为这是值得重复的，因为很多人犯这个错误。）

您需要至less3个（最好是4-6个）时间源才能使NTPalgorithm准确地收敛到正确的时间。 如果NTP只有两个主要来源，而且都有很大数量，NTP无法知道应该信任哪一个。

对我来说理解这一点最大的帮助就是Sun的蓝图“使用NTP控制和同步系统时钟，第三部分：NTP监视和故障排除”第9页上的图表。 当甲骨文收购Sun后，这个文件就消失了，但是你仍然可以在Wayback Machine上find它。 如果您search标题，networking上也会有很多点击。