我想在Server 2008 R2域中仅使用GP来configuration时间服务。 我已经创build了一个GP,如下所示:
计算机configuration,策略,pipe理模板,系统,Windows时间策略:
=全局configuration设置 – 启用/默认设置。
计算机configuration,策略,pipe理模板,系统,Windows时间策略,时间提供者:
=configurationWindows NTP客户端 – 启用/默认设置。
=启用Windows NTP客户端 – 启用/默认设置。 =启用Windows NTP服务器 – 启用/默认设置。
该策略被链接,强制执行并应用于域控制器OU。 GPbuild模结果显示该策略在DC(单个DC域)上生效,DC被识别为PDC仿真器。 我已经运行gpupdate / force并注销/打开。
问题是DC将时间源显示为内部。 我知道我可以使用w32tm强制在cmd行设置对等,但我想了解什么是在GP中缺less的。 默认的NTP客户端GP设置包括time.windows.com,0x9作为源,但它似乎没有生效。
编辑:请求的输出:
C:\ Users \ xxxxx> w32tm / query / configuration [configuration]
EventLogFlags:2(策略)
AnnounceFlags:10(政策)
TimeJumpAuditOffset:28800(本地)
MinPollInterval:6(策略)
MaxPollInterval:10(策略)
MaxNegPhaseCorrection:172800(政策)
MaxPosPhaseCorrection:172800(政策)
MaxAllowedPhaseOffset:300(策略)
FrequencyCorrectRate:4(策略)
PollAdjustFactor:5(策略)
LargePhaseOffset:50000000(策略)
SpikeWatchPeriod:900(策略)
LocalClockDispersion:10(策略)
HoldPeriod:5(策略)
PhaseCorrectRate:1(策略)
UpdateInterval:100(策略)
[TimeProviders]
NtpClient(本地)
DllName:C:\ Windows \ system32 \ w32time.dll(本地)
启用:1(本地)
InputProvider:1(本地)
CrossSiteSyncFlags:2(策略)
AllowNonstandardModeCombinations:1(本地)
ResolvePeerBackoffMinutes:15(策略)
ResolvePeerBackoffMaxTimes:7(策略)
CompatibilityFlags:2147483648(本地)
EventLogFlags:0(策略)
LargeSampleSkew:3(本地)
SpecialPollInterval:3600(策略)
types:NT5DS(策略)
NtpServer(本地)
DllName:C:\ Windows \ system32 \ w32time.dll(本地)
启用:1(本地)
InputProvider:0(本地)
AllowNonstandardModeCombinations:1(本地)
VMICTimeProvider(本地)
DllName:C:\ Windows \ System32 \ vmictimeprovider.dll(本地)
启用:1(本地)
InputProvider:1(本地)
编辑:GP结果
系统/ Windows时间服务
政策设置赢得GPO
全局configuration设置启用FIT DC时间策略
时钟纪律参数
FrequencyCorrectRate 4
HoldPeriod 5
LargePhaseOffset 50000000
MaxAllowedPhaseOffset 300
MaxNegPhaseCorrection 172800
MaxPosPhaseCorrection 172800
PhaseCorrectRate 1
PollAdjustFactor 5
SpikeWatchPeriod 900
UpdateInterval 100
一般参数
AnnounceFlags 10
EventLogFlags 2
LocalClockDispersion 10
MaxPollInterval 10
MinPollInterval 6
ChainEntryTimeout 16
ChainMaxEntries 128 ChainMaxHostEntries 4
ChainDisable 0
ChainLoggingRate 30
系统/ Windows时间服务/时间提供者
政策设置赢得GPO
configurationWindows NTP客户端启用FIT DC时间策略
NtpServer time.windows.com,0x9
键入NT5DS
CrossSiteSyncFlags 2
ResolvePeerBackoffMinutes 15
ResolvePeerBackoffMaxTimes 7
SpecialPollInterval 3600
EventLogFlags 0
政策设置赢得GPO
启用Windows NTP客户端启用FIT DC时间策略
启用Windows NTP服务器启用FIT DC时间策略
好。 感谢您的数据。 我看到你有客户端和服务器的GPO。 NTP客户端和NTP服务器的概念与Windows服务器和客户端不同。 所以,首先,我build议摆脱服务器设置。 这些用于将提供NTP请求的机器。 在一个域中,使用Windows时间服务(而不是NTP)为客户端提供时间。
在您的情况下,您的DC是NTP客户端,因为它正从外部NTP服务器接收数据。 所以只应该为客户端设置定义策略。
接下来,将您的时间提供程序GPO设置更改为键入NTP ,而不是NT5DS 。
做一个gpupdate并再次运行w32tmconfiguration查询。
总结:
– 启用Windows NTP客户端
– 启用Windows NTP服务器未configuration
– configurationWindows NTP客户端| Ntp服务器(NTP服务器名称),0x9 (0x9是一个标志,指定NTP服务器为主。
– configurationWindows NTP客户端| typesNTP
我在我们的实验室域中testing了这个,它似乎工作。 运行w32tmconfiguration查询时,它应该在[时间提供商]部分显示types:NTP和NtpServer:(NTP服务器名称)。
默认情况下,所有域客户端将查find域控制器的权威时间。 没有必要build立一个GPO来做到这一点。
我不build议你设置每个客户端直接去一个NTP服务器的时间。 Kerberos身份validation依赖于您的DC和客户端彼此同步,所以客户最好从DC自己获得时间。
现在,如果您希望使用NTP将您的域同步到外部校准的源,则应该在保留PDC模拟器angular色的DC上进行configuration。 请参阅http://technet.microsoft.com/en-us/library/cc786897(WS.10).aspx ,其中提供了有关如何将PDC同步到NTP服务的说明。
我们使用我们的域名,连接到一些内部的Symmetricom NTP服务器。 客户端上的平均错误运行时间为+/- 0.1秒。 如果您需要更高的精确度,您需要在客户端上使用专门的第三方软件。
你检查你的防火墙是否有端口123出站打开。 我遇到了同样的问题,事实certificate,防火墙阻止了DC联系NIST服务器。