0
点赞
收藏
分享

微信扫一扫

域内时间同步

时间指标:linux主机时间与AD域保持一致,AD域时间与腾讯云服务器保持一致

时间主要故障:1,时间不同步导致谷歌身份验证器失效;2,生产程序报告与实际不符导致比对失败等

用以下命令在Linux中配置NTP时间客户端:
   1. 修改Chrony配置文件:编辑 /etc/chrony.conf 文件,在 server 行下添加 NTP 服务器的 IP 地址或域名:
   server 172.16.5.10   
   systemctl restart chronyd #编辑完成之后,使用以下命令重新启动Chrony:

chronyc sourcestats -v #查看时间同步源状态是AD域控:

chronyc tracking #校准时间服务器看到是AD域控。nslookup  IP也可以看到DNS能够正常解析

1个月之后,差异1分钟,zabbix通过企业微信自动报警。重新梳理:


vi /etc/sysconfig/clock  编辑如下并保存

 ZONE="Asia/Shanghai" UTC=false # 设置为false,硬件时钟不于utc时间一致

ARC=false

ln -sf /usr/share/zoneinfo/Asia/Shanghai /etc/localtime #设置时区

ntpdate 172.16.5.10 #同步 AD

/sbin/hwclock --systohc  # 设置硬件时间和系统时间一致并校准

crontab -e #配置计划任务,并保存,使得定期自动同步

*/1440 * * * * ntpdate 172.16.5.10 # 每天自动同步一次

没有加域的windows电脑或服务器,运行以下脚本:

@echo off

net stop w32time

net start w32time

w32tm /config /manualpeerlist:"172.16.5.10" /syncfromflags:manual /reliable:yes /update

w32tm /resync

w32tm /config /manualpeerlist:"172.16.5.10" /syncfromflags:manual /reliable:yes /update

w32tm /resync

echo 同步结束!

pause

已加域的,需要配置:

Windows域控时间同步

第一步,为域控服务器配置与腾讯云NTP Server的时间同步,域控服务器配置NTP(在域控上操作)

添加时间服务器地址(域名或IP)(下面这个键存放着时间服务器列表)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\DateTime\Servers ,这个优先级低于组策略,因此,首先,排除组策略的干扰,确保域控本身的组策略未配置。如果有配置,需要改为未配置,然后执行2遍reg delete "HKLM\SOFTWARE\Policies\Microsoft\W32Time" /f  确保未配置:

gpedit.msc -计算机配置-管理模板-系统-Windows时间服务

在右边空白处右键新建“字符串值”,命名为0,值为:ntp1.aliyun.com,保存。将"默认"值修改为0即可。ntp.pool.org 或者time.windows.com依次。

执行脚本验证效果,powershell执行

restart-service w32time

w32tm /query /source

w32tm /query /peers

第二步,通过组策略实现域内成员同步域控服务器的时间。

配置权威服务器及组策略

1、设置权威服务器(在域控上操作)

reg add "HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Config" /v "AnnounceFlags" /t REG_DWORD /d 5 /f

2、 启用 NTPServer(在域控上操作)

reg add "HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer" /v "Enabled" /t REG_DWORD /d 1 /f

3、配置域的组策略,设置时间同步(在域控上操作,注意不是域本地组策略)

如果在“Default Domain Policy”下添加时间同步策略,将会导致域控服务器也获取并执行策略,由于组策略的优先级较高,导致第一步配置的与腾讯云NTP同步策略失效,使得域控服务器本身的时间准确性得不到保证。对除了域控服务器以外的计算机下发该策略,确保所有成员时间准确。域控新建GPO之对江苏公司的计算机OU生效,再链接到其他公司OU,注意避开域控。

举报

相关推荐

0 条评论