域控如何下发时间
配置分为两步:第一步为域控服务器配置与阿里云NTP的时间同步;第二步通过组策略实现域内成员同步域控服务器的时间。
一、域控服务器配置NTP
1、 添加时间服务器地址(域名或IP)(下面这个键存放着时间服务器列表)
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\DateTime\\Servers
在右边窗口点右键新建“字符串值”,将此“字符串值”命名为6。双击此新建的“字符串值”,输入地址:ntp.aliyun.com,保存。将“默认”(即第一个“字符串值”)修改为6即可。前面的几个时间服务器分别为:
time.windows.com
time.nist.gov
time-nw.nist.gov
time-a.nist.gov
time-b.nist.gov
2、 指定时间源
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\W32Time\\Parameters
修改键NtpServer的值为ntp.aliyun.com,0x6
3、 设置校时周期
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\W32Time\\TimeProviders\\NtpClient\\SpecialPollInterval
修改键SpecialPollInterval的值为十进制的1800(即为1800秒,半小时)
4、重启服务
重启服务net stop w32timenet start w32time
5、验证配置情况
C:\\Users\\Administratorw32tm /query /status
Leap 指示符: 0(无警告)
层次: 3 (次引用 - 与(S)NTP 同步)
精度: -6 (每刻度
根延迟: 0.0424652s
根分散: 0.0296346s
引用 ID: 0xCB6B0658 (源 203.107.6.88)
上次成功同步时间: 2020/7/20 11:19:13
源: ntp.aliyun.com,0x6
轮询间隔: 10 (1024s)
C:\\Users\\Administratorw32tm /query /peers
#对等数: 1
对等: ntp.aliyun.com,0x6
状态: 运行中
剩余时间: 759.4448167s
模式:1 (主动对称)
层次: 2 (次引用 - 与(S)NTP 同步)
对等机轮询间隔: 10 (1024s)
主机轮询间隔: 10 (1024s)
二、配置权威服务器及组策略
1、设置权威服务器
在域控服务器上打开注册表,找到键值
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\W32Time\\Config
修改键AnnounceFlags的值为十进制的10
2、 启用
HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\W32Time\\TimeProviders\\NtpServer
修改键Enabled的值为十进制的1
3、配置组策略,设置时间同步
1. 打开“Active Directory 用户和计算机”,新建组织单位,起名为“DesktopServer”,将Computers内的计算机全部移动到新建的组织单位下。(此步操作重要,见填坑说明)
2. 打开组策略管理:控制面板-管理工具-组策略管理
3. 选中新建的“DesktopServer”,鼠标右键,选择“在这个域中创建GPO并在此处链接……”,输入新建GPO的名称(随意)
4. 在下方的“组策略对象”中,选新建的GPO,右键编辑
5. 计算机配置—策略—管理模板—系统—Windows时间服务,双击“全局时间配置”,选择“已启用”。
修改MaxNegPhaseCorrection的值为3600(即为3600秒,1小时)
修改MaxPosPhaseCorrection的值为3600(即为3600秒,1小时)
修改AnnounceFlags的值为5
点“应用”,“确定”。
6. 计算机配置—策略—管理模板—系统—Windows时间服务—时间提供程序,“启用Windows NTP客户端”,选择“已启用”。
“配置Windows NTP客户端”,选择“已启用”。
修改NtpSever的值为dc.rybb.com,0x6
注:dc.rybb.com 是你域控的名字,也就是域控机的主机名
修改Type的值为NTP
修改SpecialPollInterval的值为1800(30分钟)
4、域内成员同步策略
刷新组策略指令:gpupdate /force
重启服务net stop w32timenet start w32time
5、域内成员验证配置
C:\\Users\\Administratorw32tm /query /status
Leap 指示符: 0(无警告)
层次: 4 (次引用 - 与(S)NTP 同步)
精度: -6 (每刻度
根延迟: 0.0738678s
根分散: 0.1001609s
引用 ID: 0xAC10F665 (源 172.16.1.10)
上次成功同步时间: 2020/7/20 12:17:49
源: dc.rybb.com,0x6
轮询间隔: 10 (1024s)
C:\\Users\\Administrator
windows时间服务器地址
域控AD:作为时间服务器给加入域或未加域的PC和其他服务器作为时间源提供,同时作为互联网时间服务器的客户端,自动从互联网时间服务器同步时间。
操作步骤:
1.将AD配置为NTPclient 从互联网时间服务器同步时间
域控制器默认情况下,时间配置里并没有internet时间配置这个标签,是因为域控制器默认以自己的时间为准,同时向加入域的PC或成员服务器提供时间,也就是说域成员机器会把域控当作时间源服务器并自动同步。
这里需要修改注册表
打开注册表定位到:HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\W32Time\\TimeProviders\\NtpClient 分支 将enable 值设为十进制1,表示启用ntp client
再将SpecialPollInterval的值设为900,这个值表示多长时间和服务器同步一次,单位是秒。
再到config子项下修改AnnounceFlags值为十进制的5
AnnounceFlags设为5表示以外部时间源为准进行同步,10表示以本机BIOS时间为准。
转到Parameters分支下修改ntpserver的值为外部时间源域名或ip地址和Type值为ntp。
这里也是网上搜索到的阿里云的时间服务器,测试可用。阿里提供7个时间源服务器,
ntpserver的值可以有多个,以空格分隔开。
到此ntp客户端配置完成
打开命令行(以管理员身份运行)重启一下w32time这个服务,而且这个服务要设为自动启动。
显示目前服务器指定的外部时间源
w32tm /query /status 可以看时间源域名和IP地址 上次成功同步的时间撮。
显示本地时间与目标时间的时间差
w32tm /stripchart /computer:time7.aliyun.com /samples:30 /dataonly
看到机器当前时间与时间源的时间相差很小,基本是准确的。
2.将AD或任一台机器配置为NTPserver 对内提供时间源
打开注册表定位到:HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\W32Time\\TimeProviders\\NtpServer 分支 将enable 值设为十进制1,表示启用ntp server
windows ntp时间同步命令
Ntp时间同步可以直接在windows里面开启设置即可,具体操作如下,
开启 NTP Client 服务
1、打开 powershell 终端, 输入:gpedit.msc,打开组策略管理器
2、执行上述命令后,计算机策略对话框打开,按照如下路径 计算机配置\\管理模板\\系统\\windows 时间服务\\时间提供程序 找到服务器设置文件
3、双击 配置 Windows NTP 客户端,显示 配置 Windows NTP 客户端
4、将 Ntp Server项,输入将要同步到的时间服务器IP地址(这里输入阿里云的ntp服务器地址: time.pool.aliyun.com),注意 0x9 或 0x1 必须要有;在 类型 项, 选择 NTP;点击 应用、确定 按钮;
5、启动 NTP 客户端;启用NTP客户端;点击 应用、确定 按钮;
6、执行下面命令更新组策略
gpupdate /force
7、检查W32Time服务是否启动,启动类型是否是 自动启动
设置NTP服务器地址,跟组策略一样
在命令提示符下键入以下命令(PeerList 是以逗号分隔的DNS 名称或时间源IP 地址列表):
C:\\ w32tm /config /syncfromflags:MANUAL /manualpeerlist:\"168.1.2.3,0x08 168.4.5.6,0x08\" /update
C:\\ w32tm /resync /rediscover
完成后输入以下命令查看当前时间服务器设置
C:\\ w32tm /query /peers
可以进入命令行模式,查看当前Windows Time服务运行情况:
C:\\w32tm /query /status
手动启动w32time服务
C:\\net start w32time
C:\\net stop w32time
(1)服务器不能上网,当前环境有ntpd服务器
在第4步里把ntp server的地址改为内网ntpd服务器的地址即可
(2)服务器必须要能上网,使用公网上的ntpd服务器,例如阿里云的ntpd服务器
阿里云ECS集群服务器时间同步解决方案
阿里云ECS实例已经提供了NTP服务器支持,直接启动已配置好的NTP服务即可。
《阿里云NTP服务器》
《配置Linux实例NTP服务》
在开启服务前,先确保环境配置:
文档 《配置Linux实例NTP服务》 中介绍了CentOS环境下开启NTP服务。
由于本人购买的Ubuntu服务器,下面总结Ubuntu环境下的配置。
执行命令查询所有服务,看ntp服务是否已开启(+号:已开启;-号:未开启):
发现香港地区的服务默认都没有开启ntp服务;但深圳地区的服务器默认已经开启了ntp服务。
执行命令查询ntp进程,发现深圳服务器默认已经开启了ntp服务:
如果未开启ntp服务,执行命令开启ntp服务:
开启成功后,如图:
或者查询ntp相关的进程:
重启后通过如下命令观察NTP的运行状态:
这个命令可以列出目前我们的 NTP 与相关的上层 NTP 的状态,上头的几个字段的意义为:
driftfile /etc/ntp/drift
语法为: restrict IP地址 mask 子网掩码 参数
其中IP地址也可以是default ,default 就是指所有的IP
参考 《ubuntu安装和使用NTP》
阿里云服务器配置ipv6地址
开一台阿里云服务器
1. 进入实例详情页面,在 \"网络信息\" 模块,点击右方 更多 按钮,下拉框选择 \"管理IPv6\"
2. 步骤1完成后,弹出一个弹框,标题为 \"管理辅助私网IP \",在下面 ipv6地址,点击 \"分配新ip\"
3. 分配ipv6地址成功后,需要给该地址开通公网带宽,进入ipv6网关详情页面,找到对应的ipv6地址,右方操作栏点击 \"开通公网带宽\"
4. 服务器拥有ipv6公网ip,终端执行 ping6 ipv6地址 测试是否能正常访问,如果失败了,可能是服务器实例的安全组规则中没有放行 ipv6 地址访问,添加一条新规则,入方向允许 ::1 来源的访问
ssh通过ipv6地址远程登录服务器,格式和ipv4一样,例如:ssh root@2408:4006:1101::1900
注意,ssh通过ipv6登录服务器,需要该服务器sshd已经配置可以通过ipv6登录,若未配置,需要先登录到该服务器,修改sshd配置文件
① vim /etc/ssh/sshd_config
②输入/AddressFamily,将值修改为 any 后保存文件 (适用于ipv4和ipv6,若为inet则适用于ipv4,inet6适用于ipv6)
③重启ssh,/etc/init.d/ssh restart,重启后ssh就可以通过ipv6远程登录该服务器了
参考阿里云帮助文档:
NTP的安装与部署
背景我们有5台虚拟主机做时间同步,那就需要分别安装NTP服务。
主机地址为:
192.168.3.1 master
192.168.3.2 客户机1
192.168.3.3 客户机2
192.168.3.4 客户机3
192.168.3.5 客户机4
1、安装NTP
我们使用yum命令为每台机器安装ntp软件,命令如下:
yum install -y ntp
每台机器都需要安装,所以要分别在对应的主机上分别执行该命令。如下图
看到如下图片提示内容,则代表安装完成:
2、修改ntp的配置文件
vi /etc/ntp.conf
首先我们要编辑主机的ntp服务配置文件,
我们去编辑master的机器的文件/etc/ntp.conf
找到ntp时间同步的机器范围配置项
restrict 192.168.3.0 mask 255.255.255.0 nomodify notrap
这里的意思代表,192.168.3的网段的机器都参与ntp的时间同步。
内容大致如下:
////存放ntp服务日志的位置
logfile /var/log/ntpd.log
////ntp依赖的互联网时间服务器地址,我们这里选择的是阿里云的时间服务器,当然还有很多其他时间服务器可以选择,看下这个地址 ,
////兜底时间服务器,当以上三个时间服务器不可用时,就是以本机时间作为集群机器的统一时间。
server 127.0.0.1
fudge 127.0.0.1 stratum 10
3、主机做时间同步操作:
这里需要使用如下命令:
ntpdate -u ntp2.aliyun.com(取用时间服务器的任意一台即可),出现如下提示内容,即代表我们的时间服务器是可以同步时间的。如果没有出现相应的内容,可能是由于自己的机器网络防火墙或者端口没有打开导致的。
5、查看ntpd的状态
systemctl status ntpd
如下图,则代表ntp服务运行中
代表没有做完时间同步,因为第一次时间同步需要5-10分钟时间,所以需要等待。直到看到如下提示,即可:
8、我们去完成NTP客户机的配置
vi /etc/ntp.conf
我们客户机的配置的时间服务器,就不需要直接指向阿里云的机器了,直接使用我们的master主机即可。可以是主机名,也可以是ip地址。
server 192.168.3.1
同理,其他几个客户机也按照这种方式配置,保存。配置完成后,也要做服务启动,系统重启后随机自动启动,这里就不赘述了。
这样,我们就把ntp服务安装完毕了,谢谢。