关于同步服务器时间安全策略的信息
如何避免Windows Server服务器时间同步问题
-网络认证失败
让客户满意是我们工作的目标,不断超越客户的期望值来自于我们对这个行业的热爱。我们立志把好的技术通过有效、简单的方式提供给客户,将通过不懈努力成为客户在信息化领域值得信任、有价值的长期合作伙伴,公司提供的服务项目有:域名申请、网络空间、营销软件、网站建设、乌恰网站维护、网站推广。
-和系统中心数据保护管理器(SCDPM)代理的沟通问题
-Exchange Server、Active Sync和Outlook Web Access(OWA)不可用
在很多情况中,
服务器时间同步问题来源于Kerberos协议
,它有一个安全功能专门查看Kerberos票据上的时间戳,这主要是为了保护它们不会被重复使用。如果一张票据上的时间距离现在超过了五分钟,这张票据会遭到拒绝。因此,如果时钟五分钟内没有同步,Kerberos会开始出现故障。
通常来讲,时间同步不会带来问题。例如,当Windows在活动目录(AD)环境中运行时,域内的所有计算机时钟都自动地与域控制器同步。但是,在域成员和工作组成员混合或是多个活动目录林存在的环境中,时钟同步就可能变成一个问题。
举个更具体的例子,我自己网络中的所有生产服务器都进行了虚拟化。因为这个原因,我的虚拟化主机服务器中没有域成员,且所有的域控制器都是虚拟机。由于虚拟机根本没有启动,所以主机服务器不能和域控制器沟通的情况就不可能出现。如此一来,我选择让主机操作系统作为工作组成员。
另外,我所有的虚拟化主机都运行WindowsServer2008 R2上的Hyper-V.这些服务器中的一些集群运行Windows 2008R2的虚拟机,其它的集群那些仍然运行Windows Server2003的虚拟机。但是虽然运行Windows 2008 R2的来宾机好像和主机服务器的时钟保持了同步,运行Windows 2003的机器有可能无法和其余网络保持同步。
在工作组环境中,你可以通过打开Command Prompt窗口然后键入如下命令来将机器链到时间来源:
W32tm/config/syncfromflags:manual/manualpeerlist:W32tm/config/update
在这个例子中,你可以将替换成完全限定域名(FQDN)或是你想与之保持同步的服务器IP地址。你可以通过隔离每个有一个空间的地址来指定多个时间来源。
在域环境中,使用组策略设置来指定时间来源情况会更好些。时钟相关的组策略设置可以在Group Policy Editor里看见,位置是:Computer Settings Administrative Templates System Windows Time Service.
有三个不同的组策略设置可供你使用,包括:
-Configure Windows NTP Client-让你可以将计算机时钟和外部时间来源进行同步。
-Enable Windows NTP Client-允许计算机将时钟与其它Windows服务器进行同步。
-Enable Windows NTP Server-允许服务器向Windows NTP客户端提供时间同步。
注意,如果你打算和外部的时间来源进行同步,比如NIST,你就不能启用Windows NTP Client或是Windows NTP Server.使用外部时间来源时,你可能还要打开一些防火墙端口。Windows服务器为时间协议运用UDP端口123,它在默认情况下就该打开。但如果你想要使用NIST,你还要打开TCP端口13,TCP端口37和UDP端口37.
正如你所见,保持Windows Server时钟间的同步十分重要。尽管时钟一般会自动同步,准备好面对需要手动同步时钟的情况还是必要的。
域控时间同步设置
为了便于日常管理,公司网络内所有主机及服务器均已加入到了域环境内。采用自建的Exchange实现办公邮件的收发。但前些天突然出现邮件无法收发的情况,经排查发现,是由于Exchange服务器与域控服务器时间异常,时间差值大于5分钟所导致。在调整完时间后邮件恢复正常,为了防止再次出现此类故障,故决定通过域控来为域成员同步时间,而域控本身与阿里云的NTP同步时间。
配置分为两步:第一步为域控服务器配置与阿里云NTP的时间同步;第二步通过组策略实现域内成员同步域控服务器的时间。
一、域控服务器配置NTP
1、 添加时间服务器地址(域名或IP)(下面这个键存放着时间服务器列表)
在右边窗口点右键新建“字符串值”,将此“字符串值”命名为6。双击此新建的“字符串值”,输入地址:ntp.aliyun点抗 ,保存。将“默认”(即第一个“字符串值”)修改为6即可。前面的几个时间服务器分别为:
2、 指定时间源
3、 设置校时周期
4、重启服务
重启服务net stop w32timenet start w32time
5、验证配置情况
二、配置权威服务器及组策略
1、设置权威服务器
在域控服务器上打开注册表,找到键值
2、 启用 NTPServer
3、配置组策略,设置时间同步
4、域内成员同步策略
刷新组策略指令:gpupdate /force
重启服务net stop w32timenet start w32time
5、域内成员验证配置
三、填坑说明
如果在“Default Domain Policy”下添加时间同步策略,将会导致域控服务器也获取并执行策略,由于组策略的优先级较高,导致第一步配置的与阿里云NTP同步策略失效。使得域控服务器本身的时间准确性得不到保证。因此通过新建组织单位的方式,对除了域控服务器以外的计算机下发该策略。确保所有成员时间准确。
Windows2003服务器怎么同步时间
1.
修改注册表以设置同步周期:
修改
hkey_local_machine\system\currentcontrolset\services\w32time\timeproviders\ntpclient下的specialpollinterval
十进制604800秒(默认7天)改为86400(每一天)同步一次,或者其它您所需要的周期同步一次。
2.修改组策略,放行udp123端口
开始菜单---程序---管理工具---本地安全策略--ip安全策略--双击allow
udp--在弹出菜单中选择如图所示的内容
添加--下一步--下一步---源地址选择任何ip地址--下一步---目标地址也选择任何ip地址--下一步--协议类型选择为udp然后下一步---选择"到此端口"123
然后下一步到完成
3.禁用hyper-v
time
synchronization
service服务以防从主服务器上同步时间
打开桌面上的服务--找到名为hyper-v
time
synchronization
service的服务--停止该服务并将启动类型设置为禁用即可(独立服务器跳过这步)
4.开启时间同步服务,以让其自动同步
打开桌面上的服务---找到名为windows
time--启动该服务即可,如启动过程中有报错
切换到登录选项卡并设置登录身份为"本地系统账户"即可
打开桌面右下角的时间---切换到"internet时间"选项卡--点击立即更新,如出现如图所示的成功,则表明设置已正常。
我的服务器用的是小鸟云的,访问流畅,现在可以免费试用。
windows2003怎么同步时间服务器
1时间服务器经常会碰到客户端机器需要和服务器在时间上保持同步,否则会出现各种问题,特别是有时间相关的触发功能的时候。为解决各设备间时间统一的问题,我们可在网络中设置一台服务器使其作为基准时间,其它设备通过NTP协议与其同步时间。这样很容易做到各设备时间差异小于1s。NTP-----NetworkTimeProtocol2服务端配置适用于WindowsServer2003以及WindowsSever20081)开放防火墙123UDP端口;2)运行中输入“gpedit.msc”;3)“策略”下的“计算机配置”中的“管理模板\系统\Windows时间服务\全局配置设置”;4)将其状态改变为“已启用”;5)改变AnnounceFlags参数值为5,6)“策略”下的“计算机配置”中的“管理模板\系统\Windows时间服务\时间提供程序\启用WindowsNTP服务器”7)将其状态改变为“已启用”;8)在Windows服务中启动WindowsTime服务,并设置启动类型为“自动”;9)完成。3客户端配置适用于WindowsXP、WindowsServer2003、WindowsVista、Windows7以及WindowsSever2008。1)运行中输入“gpedit.msc”;2)“策略”下的“计算机配置”中的“管理模板\系统\Windows时间服务\时间提供程序\启用WindowsNTP客户端”】3)将其状态改变为“已启用”;4)“策略”下的“计算机配置中的“管理模板\系统\Windows时间服务\时间提供程序\配置WindowsNTP客户端”5)将其状态改变为“已启用”;6)改变NtpServer参数中的IP为时间服务器地址:xxx.xxx.xxx.xxx,0x9;7)改变Type参数NTP;8)在Windows服务中启动WindowsTime服务,并设置启动类型为“自动”;9)双击任务栏右下角“时间”,打开[时间和日期属性]设置对话框10)选择[Internet时间]标签11)选中[自动与Internet时间服务器同步]选项,在[服务器]中填入“xxx.xxx.xxx.xxx”。点击[应用]并按[立即更新]可直接同步。看是否出现“windows在于XXX进行同步时出错”的信息,还是出现“时钟在2013/8/2712:12:00与XXX同步成功”12)点击[应用]并按[立即更新]可直接同步。看是否出现“windows在于XXX进行同步时出错”的信息,还是出现“时钟在2013/8/2712:12:00与XXX同步成功”
网站栏目:关于同步服务器时间安全策略的信息
本文路径:http://myzitong.com/article/ddeeooj.html