我做了很多研究,但没有find可靠的答案来解决我们的问题。
小故事是我们整个Windows域运行速度慢了35分钟 。 即服务器和工作站。 我认为这是由于将操作主机angular色分配给Hyper-V虚拟机所致。 我们已经把angular色转移到物理服务器上了。 不幸的是,我从这个美好的前支持公司inheritance了这个。
我的计划(只是一个主意!):
对于默认域GPO,将“计算机时钟同步的最大容忍度”从5分钟更改为60分钟,并等待几个小时将其推送到工作站? 它默认每90分钟复制一次,对吧?
使用操作主机angular色在DC上设置外部时间源。 这应该依次更新其他服务器和工作站。
为了确保我在这里提出一个简单的问题, 纠正整个networking中时间漂移的最安全和最有效的方法是什么? 显然,立即改变DC的时间将会导致Kerberosauthentication的重大问题。
放宽容忍可能会奏效,但是你可能会想要超过90分钟。 我会至less等一天。
这里有一些额外的考虑:
为虚拟机/来宾的域控制器禁用任何硬件时钟同步。
configurationPDC模拟器angular色域控制器与外部时间源同步。
使用组策略将以下设置configurationregistry值为48小时(MaxNegPhaseCorrection,MaxPosPhaseCorrection十进制:172800,hex:0x0002A300)
configuration所有其他域控制器,成员服务器和工作站以使用域层次结构进行时间同步(NT5DS)。
如果您不使用PDC仿真器angular色域控制器进行外部时间同步,则它不应该是具有任何其他基础架构主机angular色的域控制器。
configuration林的时间源
http://technet.microsoft.com/en-us/library/cc784800%28v=ws.10%29.aspx
Windows时间服务如何工作
http://technet.microsoft.com/en-en/library/cc773013%28v=ws.10%29.aspx
AD DS:此域控制器上的MaxPosPhaseCorrection的值应等于48小时
http://technet.microsoft.com/en-us/library/dd723684%28v=ws.10%29.aspx