WindowsServerで権限のあるタイムサーバーを構成する方法

Question

ファイアウォールの背後でパフォーマンスラボを実行しているため、ラボ内のどのマシンもインターネットにアクセスできません。ラボ内のすべてのマシンはドメインの一部であり、ドメインコントローラーもラボ内に存在します。問題は、一部のサーバーの時間が大幅に変動していることです。

いくつかの背景情報：

DCはWinServer 2K3 EnterpriseSP2です。

9台のマシンがServer2K3Standardを実行しています。（これらはすべて1分以内なので、問題ありません）
3台のマシンはWinServer 2K8 R2 Standardです（これらは物理サーバーです）これらは1〜6分の間で異なり、二度と同期することはありません）

6台のマシンはWinServer 2K8 R2コアです（これらはHyper-Vホストです）（一部は異なります）

これらの6台のマシンでは、それぞれでWin 2K8 R2 Standardのインスタンスを1つホストします（これらは1〜6分で異なり、再度同期することはありません）

SCVMMとして機能する2K8R2 Enterpriseを実行している1台のマシン（6分後に同期します）

上記のことから、問題は2008サーバーにあるようです。

私は次を見つけました：

Windows Serverで権限のあるタイムサーバーを構成する方法[内部ハードウェアクロックを使用する]---（http://support.Microsoft.com/ kb/816042

ここから、PT-DC01（ドメインコントローラー）に「MicrosoftFixit50394」をインストールしました。

私も見つけました：

Windows Serverで権限のあるタイムサーバーを構成する方法 http://support.Microsoft.com/kb/816042

ここから、次の設定でSSVMM（環境内のサーバー）に「MicrosoftFixit50395」をインストールしました。

NtpServer：pt-dc01.pt.local、0x1
SpecialPollInterval：900（15分*）
MaxPosPhaseCorrection：3600（1時間*）
MaxNegPhaseCorrection：3600（1時間*）

*明らかに括弧内のすべてを除外します。

また、両方のサーバーでWindows TimeServiceを再起動しました。最初に機能することを証明するために、これら2つのサーバーのみを実行しました。問題は、そうではないように思われることです。執筆時点では、SSVMMの時刻は12:10であり、PT-DC01の時刻は12:04でした。

レジストリをチェックインしましたが、これらの値はいずれも変更されていないため、NtpServerを手動で更新し、MaxPosPhaseCorrectionとMaxNegPhaseCorrectionを0xffffffffのままにしました。これは、常に更新されることを意味します。

サーバーを再起動しても効果はありませんでした。

c：\> w32tm/resync/nowait

効果はありませんでした

また、次のコマンドを実行しました http://www.zimbio.com/open+source+consulting/articles/193/Troubleshooting+w32tm+issues

w32tm /config /manualpeerlist:"pt-dc01.pt.local",0×1 /syncfromflags:MANUAL w32tm /config /update net stop w32time net start w32time w32tm /resync /nowait pause

また、効果はありません。また、最初の行の0x1ではなく0x8で試してみました。

どんな助けでも大歓迎です。

Gineer · Accepted Answer

上記は、NetBIOSが有効になっている場合にのみ当てはまります。

また、Hyper-Vで実行されている仮想サーバーの場合：仮想マシンを作成すると、Hyper-Vにはデフォルト設定があり、VMはホストと時刻を同期する必要があります。これはVMで何をするかに関係なく適用されます。したがって、ホストの時刻がPDCと同期されていることを確認するか、Hyper-Vの設定を無効にします（VMのプロパティ->ハードウェア構成-> Integration Services->時間同期）。

MDMarra · Answer

すべてのドメインメンバーは、最後に認証したドメインコントローラーと時間を自動的に同期する必要があります。これらのDCは、次にDCからPDCエミュレーターの役割）に同期します。これを構成することに夢中になる必要はありません。本当の理由。これはすべてデフォルト設定です。

Avery Payne · Answer

一部のサーバーをAMDプロセッサで実行していて、VM（AMDベースのボックス）で「クライアントからホストまでの時間を同期」オプションがアクティブになっていない場合は、多少のずれが生じます。これはAMD固有のようで、Intelベースのチップには影響しません。しかし、ドリフトはあなたを失望させるものではありません-私たちは最悪の場合数秒話しているのです。

Active Directoryは他の場所のドメインコントローラーと自動的に魔法のように同期しますが（MarkMが指摘しているように）、同期する期間は笑えるほど長いです...時には数時間です。これはすべて、デフォルトで有効になっている（私が信じている）Windows TimeServiceで発生します。 Kerberosには通常、+ /-5分の許容誤差があります。時計が5分以上ドリフトしている場合は、何かが深刻な問題です。

必死で、他のすべての努力にもかかわらずそれが続く場合は、サードパーティのNTPサービスが維持されている場合はインストールすることをお勧めします。サービスをVMではなく物理ハードウェアに一度インストールします！）、他のすべてのマシンをそれに向けます。