Question Correction de la dérive temporelle sur l'ensemble du domaine Windows


J'ai fait beaucoup de recherches mais je n'ai pas trouvé de réponse fiable à notre problème.

La nouvelle est notre tout le domaine Windows fonctionne 35 minutes lentement. C'est à dire. serveurs et postes de travail. Je pense que cela est dû au rôle de maître d'opérations attribué à une machine virtuelle Hyper-V. Nous avons depuis transféré le rôle sur un serveur physique. Malheureusement, cela a été hérité de la merveilleuse ancienne société de soutien.

Mon plan (juste une idée!):

  1. Modifiez la tolérance maximale pour la synchronisation d'horloge de 5 minutes à 60 minutes pour le GPO de domaine par défaut et attendez quelques heures qu'il soit transmis aux stations de travail? Il se réplique toutes les 90 minutes par défaut, non?

  2. Définissez une source de temps externe sur le contrôleur de domaine avec le rôle de maître d'opérations. Cela devrait ensuite mettre à jour les autres serveurs et postes de travail.

Pour m'assurer que je pose une question simple ici, Quel est le moyen le plus sûr et le plus efficace de corriger la dérive temporelle sur l’ensemble du réseau?  Évidemment, changer immédiatement l'heure sur le contrôleur de domaine causera des problèmes majeurs avec l'authentification Kerberos.


5
2018-04-16 15:23


origine


J'aurais pu jurer avoir vu un épisode de MacGuyver avec un problème similaire impliquant un réveil lié à une horloge. Peut-être pourriez-vous accélérer un peu la fréquence du courant alternatif dans votre bâtiment, en accélérant toutes les horloges système? - Bart Silverstrim
Avez-vous envisagé de modifier manuellement le temps de quelques minutes, quelques fois par jour? - Zoredache


Réponses:


Augmenter la tolérance fonctionnerait probablement, mais vous voudriez probablement allouer plus de 90 minutes. J'attendrais au moins un jour.

Voici quelques considérations supplémentaires:

  • Désactiver toute synchronisation d'horloge matérielle pour les contrôleurs de domaine qui sont virtuels / invités.

  • Configurer le contrôleur de domaine du rôle d'émulateur PDC avec lequel il doit se synchroniser une source de temps externe.

  • Configurez les valeurs de registre à l'aide de la stratégie de groupe pour que les paramètres suivants soient définis sur 48 heures (MaxNegPhaseCorrection, MaxPosPhaseCorrection décimal: 172800, hex: 0x0002A300)

  • Configurez tous les autres contrôleurs de domaine, serveurs membres et postes de travail pour utiliser la hiérarchie de domaine pour la synchronisation de l'heure (NT5DS).

  • Si vous n'utilisez pas le contrôleur de domaine du rôle d'émulateur PDC pour la synchronisation horaire externe, il ne doit pas s'agir d'un contrôleur de domaine avec l’un des autres rôles de maître d’infrastructure.

Configuration d'une source de temps pour la forêt
http://technet.microsoft.com/en-us/library/cc784800%28v=ws.10%29.aspx 

Comment fonctionne le service de temps Windows
http://technet.microsoft.com/en-en/library/cc773013%28v=ws.10%29.aspx 

AD DS: la valeur de MaxPosPhaseCorrection sur ce contrôleur de domaine doit être égale à 48 heures.
http://technet.microsoft.com/en-us/library/dd723684%28v=ws.10%29.aspx 


5
2018-04-16 15:52