简短的故事是我们整个Windows域运行缓慢35分钟.即服务器和工作站.我认为这是由于操作主机角色被分配给Hyper-V VM.之后我们将角色转移到物理服务器上.不幸的是,我从这个出色的前支持公司继承了这一点.
我的计划(只是一个想法!):
>将默认域GPO的“计算机时钟同步的最大容差”从5分钟更改为60分钟,并等待几个小时将其推送到工作站?它默认每90分钟复制一次,对吗?
>使用操作主机角色在DC上设置外部时间源.然后应该依次更新其他服务器和工作站.
为了确保我在这里提出一个简单的问题,在整个网络中纠正时间偏差的最安全,最有效的方法是什么?显然,立即改变DC上的时间将导致kerberos身份验证的主要问题.
以下是一些其他注意事项:
>禁用域控制器的任何硬件时钟同步
这是虚拟/客人.
>配置PDC仿真器角色域控制器以与其同步
外部时间源.
>使用组策略为以下设置配置注册表值为48小时(MaxNegPhaseCorrection,MaxPosPhaseCorrection decimal:172800,hex:0x0002A300)
>配置所有其他域控制器,成员服务器和
工作站使用域层次结构进行时间同步
(NT5DS).
>如果您不使用PDC模拟器角色域控制器
外部时间同步,它不应该是域控制器
与任何其他基础架构主角色.
配置林的时间源
http://technet.microsoft.com/en-us/library/cc784800%28v=ws.10%29.aspx
Windows时间服务的工作原理
http://technet.microsoft.com/en-en/library/cc773013%28v=ws.10%29.aspx
AD DS:此域控制器上MaxPosPhaseCorrection的值应等于48小时
http://technet.microsoft.com/en-us/library/dd723684%28v=ws.10%29.aspx
