建議 - 利用權威時間來源來設定根 PDC,避開廣泛時差問題
為何要考慮到這一點
沒有將根 PDC 模擬器設為使用網路時間通訊協定 (NTP) 伺服器。 許多 Windows 和網路功能都仰賴網路上強固的時間同步處理。 時間同步整理故障,很可能造成各種問題,尤其是登入失敗。 由於有時間差異,Kerberos 驗證和以宣告為主的單一登入很可能會失敗。
觀賞客戶工程師如何解釋問題
內容與最佳做法
依預設,網域中的所有電腦和裝置都使用到網域階層圖,來為系統時間進行同步處理。 網域成員將時間與網域控制站先進行同步處理,再處理時間與執行 PDC 模擬器角色的網域控制站,依次進行同步處理。 樹系根網域的 PDC 模擬器位於網域階層的上方,因此設定此網域控制站,將時間與網域階層進行同步處理,結果無效。 Windows 時間服務會透過從 W32Time 事件來源,將事件識別碼 12 寫入 Windows 事件記錄來警告您有此條件。
在部分案例中,PDC 模擬器會從 BIOS 時鐘得知正確時間。 但是,此方法仍有缺點。 如果在 PDC 模擬器 BIOS 中未準確地設定時間和日期,則整體網域的時間和日期設定就不正確。 此外,如果將 PDC 模擬器設為離線,網域成員就無法同步處理時間。 還有更好的方法,就是設定 PDC 模擬器,以將時間與外部時間來源直接進行同步處理。 或者,您可以在網域中設定另一個裝置,以將時間與外部時間服務進行同步處理,然後將 PDC 模擬器設定為使用內部時間伺服器,作為權威時間來源。
權威外部時間來源是網際網路對向服務,通常是由政府、科學或教育機構共同維護,讓您能使用網路時間通訊協定 (NTP) 來同步處理系統時間。 例如,NIST 在全美各地都有提供時間伺服器。
建議動作
您可以將持有 PDCE 角色的網域控制站設定為使用 NTP 伺服器,以同步處理時間,方法如下。
若要透過命令列設定時間同步處理:
在 PDC Emulator 上開啟管理命令提示字元,並使用下列命令:
w32tm.exe /config /syncfromflags:manual /manualpeerlist:131.107.13.100,0x8 /reliable:yes /update
w32tm.exe /config /update
注意
範例中的 IP 位址是位於華盛頓州雷德蒙德 Microsoft 國家標準暨技術研究院 (NIST) 的那台時間伺服器。 請用您選擇的時間服務取代此 IP 位址。
若要透過 PDC Emulator 上的登錄編輯設定時間同步處理:
開啟登錄編輯程式 (regedit.exe)
瀏覽到以下的登錄機碼:
HKLM\System\CurrentControlSet\Services\W32Time\Parameters若要使用特定 NTP 來源,請將類型數值修改為 NTP。
修改 NtpServer 數值,以包含 NTP 伺服器,將時間與後面接著的 0x8 進行同步處理,例如 131.107.13.100,0x8。 多個 NTP 伺服器之間必須以空格分隔,例如:131.107.13.100,0x8 24.56.178.140,0x8
開啟系統管理員命令提示字元,然後輸入下列命令:
w32tm /config /update。
若要透過群組原則設定時間同步整理:
開啟群組原則管理主控台。
建立新的群組原則物件 (GPO)。
開啟群組原則物件 (GPO),並至此處瀏覽:電腦設定 ->系統管理範本 ->系統 -> Windows 時間服務 ->時間提供者
按兩下設定 Windows NTP 用戶端]。
將狀態設定為 [已啟用]。
將類型設定為 NTP。
設定 NTPServer,以指向時間伺服器的 IP 位址,接著 ,0x8。 例如:131.107.13.100,0x8
關閉群組原則編輯器。
在安全性篩選群組原則管理主控台的窗格中,為新建立的原則移除驗證的使用者,並新增持有 PDC 模擬器角色的電腦。
將 GPO 連結到網域控制站組織單位。
注意
Windows Time 的群組策略設定會寫入登入路徑 HKLM\Software\Policies\Microsoft\W32time。
疑難排解操作說明
若要檢視 Windows 時間服務目前的設定,請使用下列提升權限的命令提示字元中命令:
w32tm /query /configuration
若要查看目前的時間同步處理來源,請使用下列命令:
w32tm /query /source
深入了解
有關 NIST 網際網路時間服務的詳細資訊,請參閱 NIST 網際網路時間服務 (ITS)。
有關 Windows 時間服務的詳細資訊,請參閱 Windows 時間服務的運作原理。