AD域中NTP服务器的配置

1、步骤
1.1 配置修改

1) 以下图，用命令netdom query fsmo查看域内的PDC主机，当前为thdc01；

2) 检查其余域控的时间源，均为PDC主机，以下图所示，所以其余域控的时间源无需修改；不然需执行命令：w32tm /config /syncfromflags:domhier /reliable:no /update，配置其余域控的时间源；

3) 而后登陆到thdc01上，用命令w32tm /query /configuration查看该域控是否为NTPServer；以下图Ntpserver中，“Enabled”值为“1”说明当前域控是NTP服务器；若该值为“0”，则须要在注册表的下列位置HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer中，将“Enabled”值改成“1”，

4) 用命令w32tm /query /status查看PDC主机的时间源以下，能够看到当前PDC主机的时间来源为系统时钟，咱们须要将它改成一个可靠的外部NTP服务器，但NTP 协议使用的是UDP 123这个端口，所以咱们必定要确保这个端口的入站和出站流量，以确保windows时间服务的正常工做；

5) 咱们能够从网上搜索到不少国内经常使用的NTP服务器，好比此处咱们选择如下NTP服务器：ntp.neu.edu.cn；首先在PDC服务器上用Ping命令测试与该服务器之间的网络正常，以下图；

6) 而后在PDC主机上执行命令：w32tm /config /manualpeerlist:ntp.neu.edu.cn /syncfromflags:manual /reliable:yes /update，将PDC主机的时间源设置为该NTP服务器，以下图；

7) 修改PDC主机的注册表，将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\W32Time\Parameters下的Type值改成“NTP”（NTP表示客户端从外部时间源同步时间）；将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\W32Time\Config下的AnnounceFlags值改成十六进制的5（或十进制的5），以下图所示；

8) 而后依次执行下列命令，重启时间服务，以下图所示：

W32tm /config /update

Net stop w32time && Net start w32time

W32tm /resync

1.2 检查确认

1) 设置完成后用命令w32tm /query /status查看PDC服务器的时间源，以下图，配置成功；

2) 检查其余域控的注册表值，其中“NT5DS”表示经过域层次（domain hierarchy）进行时间同步，以下图所示；

Ø [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters]— "Type"="NT5DS"

Ø [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config]—"AnnounceFlags"=dword:0000000a

Ø [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters] —"NtpServer"="time.windows.com,0x9"

3) 更多详细注册表键值的含义可参考以下连接：https://technet.microsoft.com/en-us/windows-server-docs/identity/ad-ds/get-started/windows-time-service/windows-time-service-tools-and-settings ；

4) 再次检查其余域控的时间源，均为thdc01（即PDC主机），以下图；

5) 若是检查过程当中修改了某台服务器的配置，为使修改尽快生效，可再依次执行如下命令：

W32tm /config /update

Net stop w32time && Net start w32time

W32tm /resync