AD域控制器NTP服务设置

1）首先确认虚拟化底层的时间是否准确，因为所有虚拟机会自动同步虚拟主机的时间。

2）在所有AD服务器上开启时间同步功能

一、找到适合的NTP服务器

首先需要找一个适合自己网络环境的NTP服务器，因为不同的网络会有不同的NTP服务器起作用，检测NTP服务器的方法为在AD上运行 w32tm /stripchart /computer:NTP服务器域名或IP ，如 w32tm /stripchart /computer:182921211 ，若是可以使用会显示如下图

找到适合自己网络的可用NTP服务器后，假设找到182921211为可用NTP服务器，在AD服务器上开启时间同步，运行如下命令

三、设置主域控制器与国家授时中心服务器时间同步，同步周期为1天。

1、 添加时间服务器

在右边窗口点右键新建“字符串值”，将此“字符串值”命名为0。双击此新建的“字符串值”，输入： 182921211 ，保存。将“默认”（即第一个“字符串值”）修改为0即可，删除其他所有的值只保留如图所示的值

2、 指定时间源

修改键NtpServer的值为 182921211

3、 设置校时周期

修改键SpecialPollInterval的值为十进制的604800（即为604800秒，1天）

四、设置权威服务器

1、 设置权威服务器

在域控服务器上打开注册表，找到键值

修改键AnnounceFlags的值为十进制的10。

2、 启用 NTPServer

修改键Enabled的值为十进制的1

五、配置组策略，设置时间同步

1、 打开组策略管理

2、 在“Default Domain Policy”上右键，编辑。

3、 计算机配置—管理模板—系统—Windows时间服务，双击“全局配置设置”，选择“已启用”。

修改MaxNegPhaseCorrection的值为3600（即为3600秒，1小时）

修改MaxPosPhaseCorrection的值为3600（即为3600秒，1小时）

修改AnnounceFlags的值为5

点“应用”，“确定”。

4、 计算机配置—管理模板—系统—Windows时间服务—时间提供程序，“启用Windows NTP客户端”，选择“已启用”。

“配置Windows NTP客户端”，选择“已启用”。

修改NtpSever的值为 1829211

修改Type的值为NTP

修改SpecialPollInterval的值为1800（30分钟）

5、cmd命令在域控和客户端完成检测

域控上运行下面三条命令检测，返回成功执行了命令即为成功。若是返回此计算机没有重新同步，因为没有可用的时间数据。请排查上述文档中一步时间服务器是否可用，和五-4步服务器是否正确，看w32tm /query /source命令返回的结果是否正确。

域内的客户端想要同主域时间同步，执行下面的命令，返回成功执行了命令即为成功

注意时间若想成功同步，时间不能跟标准时间差别太大，在范围内的才能成功同步。

1、系统时间比标准时间系统时间晚14小时59分钟之内

2、系统时间比标准时间早30分钟之内

3）对于有些客户端Windows Times服务会自动停止，可以尝试重新注册一下此服务项

1首先，运行如下命令删除时间服务：

2然后，再运行如下命令加载默认时间配置服务：

很简单就可以实现，而且0成本，在AD跟客户机上面设置就可以了，不用像楼上楼下说的什么防火墙啊、网管软件啊、ISA等等，你跟老板说要买这些，老板估计不会答应下来，而且会对你印象不好。
下面是解答：
1、2，可以通过AD上面的DNS来实现，因为加入域需要首选项要设置成AD上面的DNS IP，可以从这点入手。老板和经理级以上人员，在备用DNS上面填写运营商的DNS即可，达到无限上网要求；所有员工使用自己的帐号和密码登陆系统后，只能收发邮件和上公司网站的，在你AD上面的DNS添加邮件服务器和公司网站的IP、域名解析记录即可，备用DNS不要设置。另外担心所有员工自己添加备用DNS，把员工帐号权限改成非管理员组即可，或者从组策略设置相关策略项也可以。
3，设置文件服务器的文件目录访问权限，可以从共享权限来设置，这个相对来说比较简单，也一般是用这个，也可以从NTFS权限入手，涉及权限对象输入相关的用户名即可。

一域的作用：如果企业中国络中计算机和用户数量较多时，要实现高效管理，就需要windows域。 创建域 。 二域控安装：要建立域进行管理，首先需安装域控制器（dc），dc上存储着域中的信息资源，如名称、位置和特性描述等信息。通过在一台服务器上安装活动目录（AD），就会将这台计算机安装成dc。 安装条件： 一安装者必须具有本地管理员的权限。 二 *** 作系统版本必须满足条件（Windows server二00三除web以外的所有都满足）。 三本地磁盘必须有一个NTFS文件系统 四有TCP/IP设置 5有相应的DNS服务器支持 陆有足够的可用空间 三安装活动目录（AD） 一打开ad开始--运行输入dcpromo 二是否创建新域。dc有两种新域的域控和现有域的额外域控制器。一般选择新域的域控。 三新域的DNS全名。如ruirui中国中国 四新域的NetBIOS名。下一步 5数据库和日志文件夹。为了优化性能，可以将数据库和日志放在不同的硬盘上。该文件夹不一定在NTFS分区。如果本计算机是域的第一台域控，则sam数据库就会升级到C:\windows\ntds\ntdsdit，本地用户账户变成域用户账户。 陆共享的系统卷。共享系统卷SYSVOL文件夹存放的位置必须是NTFS文件系统。 漆DNS注册诊断。AD需要DNFS服务支持。 吧域兼容性。如果中国络中不存在Windows server 二00三 以前版本的域控制器，就选第二项。如果存在选第一项。 9还原模式密码。目录服务还原模式的管理员密码，是在目录服务还原模式下登录系统时使用。由于目录服务还原模式下，所有的域账户用户都不能使用，只有使用这个还原模式管理员账户登录。 一0安装完成后需重启计算机。 前面讲解了怎样创建windows域，现在完善一下，讲解怎样将计算机加入域。 在安装完AD后，需要将其它的服务器和客户计算机加入到域中。一般情况下，在从客户计算机加入域时，会在域中自动创建计算机账号。不过，用户必须在本地客户计算机上拥有管理权限才能将其加入到域中。 在加入域之前，首先检查客户机的中国络配置： 一确保中国络上物理连通 二设置IP地址 三检查客户机到服务器是否连通 四配置客户机的首选DNS服务器（通常为第一台DC的IP） 在客户端计算机系统属性中的“计算机名”选项卡里，单击更改按钮可以打开计算机加入域的对话框，选中域后，输入正确的域名，然后再根据提示输入具有加入域权限的用户名和密码即可。 这样就OK了！将客户机加入域，就可以在客户机上，使用域账户加入到域，也可以使用客户机的本地用户账户登录到域。 前面一直提到DNS，下面讲解DNS在域中的作用。 DNS在域中有两个作用： 域名的命名采用DNS的标准、定位DC。 一、域名的命名采用DNS标准。公司要创建第一个域，域名为ruirui中国中国。上海分公司要成为子域，域名为shruirui中国中国。这些都遵循DNS分布式、等级结构的标准。这体现了办公中国络与Internet集成的理念。 二、客户机如何定位DC。当域用户账户登陆时或者查找活动目录时，首先要定位DC，这需要DNS服务器支持， 主要步骤： 一）客户机发送DNS查询请求给DNS服务器。 二）DNS服务器查询匹配的SRV资源记录。 三）DNS服务器返回相关DC的ip地址列表给客户机。 四）客户机联系到DC 5）DC响应客户机的请求 DNS在活动目录中为什么能起到定位DC的作用 。 主要靠域的DNS区域中的SPV资源记录。开始--程序--管理工具--DNS，打开DNS管理器，就是SRV资源记录

AD服务器是一种目录服务，目录代表存储网络上对象信息的一种层次结构。像书的目录一样，可以提供windows系统内的快速查询网络上的对象，包括共享资源、域、应用程序、服务、安全方针等的网络中的一切事物。

AD服务器具有广泛的接受力，可以与 *** 作系统结合，也可以与应用程序结合。电脑系统成功的把目录服务与 *** 作系统结合在一起，生成了活动目录，它提供了对用户，计算机和共享资源的管理。

AD服务器版 *** 作系统的一种新的目录服务，只能运在域控制器上，它除了能够提供存储信息的场所，提供服务以使信息可用外，还可以保护网络对象不被非授权用户进入，通过网络复制对象以便在域控制器崩溃时数据不会丢失。

---