AD域中NTP服務器的配置

一、步驟
1.1 配置修改

1) 如下圖，用命令netdom query fsmo查看域內的PDC主機，當前為thdc01；

2) 檢查其他域控的時間源，均為PDC主機，如下圖所示，因此其他域控的時間源無需修改；否則需執行命令：w32tm /config /syncfromflags:domhier /reliable:no /update，配置其他域控的時間源；

3) 然后登錄到thdc01上，用命令w32tm /query /configuration查看該域控是否為NTPServer；如下圖Ntpserver中，“Enabled”值為“1”說明當前域控是NTP服務器；若該值為“0”，則需要在注冊表的下列位置HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer中，將“Enabled”值改為“1”，

4) 用命令w32tm /query /status查看PDC主機的時間源如下，可以看到當前PDC主機的時間來源為系統時鐘，我們需要將它改為一個可靠的外部NTP服務器，但NTP 協議使用的是UDP 123這個端口，因此我們一定要確保這個端口的入站和出站流量，以確保windows時間服務的正常工作；

5) 我們可以從網上搜索到很多國內常用的NTP服務器，比如此處我們選擇以下NTP服務器：ntp.neu.edu.cn；首先在PDC服務器上用Ping命令測試與該服務器之間的網絡正常，如下圖；

6) 然后在PDC主機上執行命令：w32tm /config /manualpeerlist:ntp.neu.edu.cn /syncfromflags:manual /reliable:yes /update，將PDC主機的時間源設置為該NTP服務器，如下圖；

7) 修改PDC主機的注冊表，將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\W32Time\Parameters下的Type值改為“NTP”（NTP表示客戶端從外部時間源同步時間）；將HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\W32Time\Config下的AnnounceFlags值改為十六進制的5（或十進制的5），如下圖所示；

8) 然后依次執行下列命令，重啟時間服務，如下圖所示：

W32tm /config /update

Net stop w32time && Net start w32time

W32tm /resync

1.2 檢查確認

1) 設置完成后用命令w32tm /query /status查看PDC服務器的時間源，如下圖，配置成功；

2) 檢查其他域控的注冊表值，其中“NT5DS”表示通過域層次（domain hierarchy）進行時間同步，如下圖所示；

? [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters]— "Type"="NT5DS"

? [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config]—"AnnounceFlags"=dword:0000000a

? [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters] —"NtpServer"="time.windows.com,0x9"

3) 更多詳細注冊表鍵值的含義可參考如下鏈接：https://technet.microsoft.com/en-us/windows-server-docs/identity/ad-ds/get-started/windows-time-service/windows-time-service-tools-and-settings ；

4) 再次檢查其他域控的時間源，均為thdc01（即PDC主機），如下圖；

5) 如果檢查過程中修改了某臺服務器的配置，為使修改盡快生效，可再依次執行以下命令：

W32tm /config /update

Net stop w32time && Net start w32time

W32tm /resync