如何以域服务器为中心修改时间?

如何以域服务器为中心修改时间?本文将围绕这一问题,从以下四个方面详细阐述,包括:域时间同步机制、域控制器时间服务、域组策略配置和域成员服务器时间同步。

1、域时间同步机制

域时间同步机制是指在域中所有计算机都采用相同的时间,以保证计算机间的时间同步。Windows 基于 Kerberos 的身份验证体系依赖于一致的时间。如果域中的计算机时间不同,就会导致 Kerberos 失败。为了避免这种情况发生,Windows 系统采用了域时间同步机制,即利用主控域控制器 (PDC) 将域中的所有客户端时钟进行同步调整。

 

如何以域服务器为中心修改时间?

  域时间同步机制的关键是主控 PDC,该 PDC 在初次配置域控制器时就必须指定。当域中有多个 PDC 时,运行 PDC Emulator 角色的计算机必须被指定为主控 PDC。在主控 PDC 上使用域管理员帐户和“域用户和计算机”控制台(dssite.msc)配置全局的时钟同步策略。

主控 PDC 默认会将自己的时钟同步到外部时间源(例如 Internet 上的 NTP 服务器)的 UTC 时间。域内成员服务器和客户端会定时查询主控 PDC,以获取其当前时钟值,并将本地时钟同步到主控 PDC 的时间。

2、域控制器时间服务

域控制器上的时间服务是在安装域控制器时自动启用的。Windows Server 中的时间服务包括 Windows Time 服务,该服务已注册为 W32Time,以及一个可选的 NTP 服务。这两个服务都可以用于在域环境中提供时间数值。

 

域控制器上的 NTP 服务是一个可选的组件,必须在安装域控制器时选择安装。如果选择安装该组件,则可通过控制面板上的“时间与日期”选项卡配置该组件。

域控制器默认情况下启用 Windows Time 服务,以便自动调整时间。可以通过使用命令行工具 “w32tm” 来配置 W32Time 服务。

3、域组策略配置

通过域组策略配置可以在域中实现自动时间修正和一致时间。可以在组策略中配置在域中的所有计算机上运行时间同步任务,以及配置主控 PDC 中断 Internet 时间源(如:time.windows.com)以获取时间值。具体操作可在“计算机配置”-“管理模板”-“系统”-“Windows Time Service”中完成。

 

一般情况下,可以通过组策略配置,将 Master PDC 安装的 NTP 服务设置为所有域成员服务器和客户端的默认时间锁定源。此外,还可以将所有外部 NTP 服务器添加到主控 PDC 的可信时间源列表中,以便通过域中的所有计算机自动处理时间同步。

4、域成员服务器时间同步

域成员服务器需要与域控制器保持时间同步,以确保全局一致的时间戳,从而实现 Kerberos 身份验证。为此,可以通过配置 Windows Time 服务和使用命令行工具“w32tm”中的参数来实现。

 

通过控制面板可以打开系统的“时间”属性窗口,在“Internet 时间”选项卡中,勾选“自动从 Internet 时间服务器上同步时间”选项,可以实现自动从 Internet 时间服务器同步时间。如果计算机在域中成为了域成员,Windows Time 服务会自动被配置为与域控制器时间同步,以确保该计算机的时钟与域中的其他计算机保持一致。

总结:

本文从域时间同步机制、域控制器时间服务、域组策略配置和域成员服务器时间同步四个方面,详细阐述了如何以域服务器为中心修改时间。通过域时间同步的机制和使用组策略配置,在域环境中可以轻松实现各计算机时间的同步,从而为后续应用提供更为可靠的时间基准。