请教关于域成员与域PDC时间同步的问题

五种角色架构AD域环境中五大主机角色在Win2003多主机复制环境中，任何域控制器理论上都可以更改ActiveDirectory中的任何对象。但实际上并非如此，某些AD功能不允许在多台DC上完成，否则可能会造成AD数据库一致性错误，这些特殊的功能称为“灵活单一主机操作”，常用FSMO来表示，拥有这些特殊功能执行能力的主机被称为FSMO角色主机。在Win2003 AD域中，FSMO有五种角色,分成两大类:森林级别(在整个林中只能有一台DC拥有访问主机角色) 1：架构主机 (Schema Master)2：域命令主机 (Domain Naming Master)域级别(在域中只有一台DC拥有该角色3：PDC模拟器(PDC Emulator)4：RID主机 (RID Master)5：基础架构主机 (Infrastructure Master)1：架构主机控制活动目录整个林中所有对象和属性的定义，具有架构主机角色的DC是可以更新目录架构的唯一 DC。这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。 架构主机是基于目录林的，整个目录林中只有一个架构主机。2：域命令主机向目录林中添加新域。从目录林中删除现有的域。添加或删除描述外部目录的交叉引用对象3：PDC模拟器向后兼容低级客户端和服务器，担任NT系统中PDC角色时间同步服务源，作为本域权威时间服务器，为本域中其它DC以及客户机提供时间同步服务，林中根域的PDC模拟器又为其它域PDC模拟器提供时间同步!密码最终验证服务器，当一用户在本地DC登录，而本地DC验证本地用户输入密码无效时，本地DC会查询PDC模拟器，询问密码是否正确。首选的组策略存放位置，组策略对象(GPO)由两部分构成：GPT和GPC，其中GPC存放在AD数据库中，GPT默认存放PDC模拟器在\\windows\sysvol\sysvol\<domainname>目录下，然后通过DFS复制到本域其它DC中。name域主机浏览器，提供通过网上邻居查看域环境中所有主机的功能4：主机角色：RID主机Win2003环境中，所有的安全主体都有SID，SID由域SID+序列号组合而成，后者称为“相对ID”(Relative ID,RID),在Win2003环境中，由于任何DC都可以创建安全主体，为保证整个域中每个DC所创建的安全主体对应的SID在整个域范围唯一性，设立该主机角色，负责向其它DC分配RID池(默认一次性分配500个)，所有非RID主机在创建安全实体时，都从分配给的RID池中分配RID，以保证SID不会发生冲突! 当非RID主机中分配的RID池使用到80%时，会继续RID主机，申请分配下一个RID地址池!5：基础架构主机基础结构主机的作用是负责对跨域对象引用进行更新，以确保所有域间操作对象的一致性。基础架构主机工作机制是定期会对没有保存在本机的引用对象信息，而对于GC来说，会保存当前林中所有对象信息。如果基础架构主机与GC在同一台机，基础架构主机就不会更新到任何对象。所以在多域情况下，强烈建议不要将基础架构主机设为GC。二：标准图形界面查看和更改操作主机角色的方法1：查看和更改架构主机角色：步骤：注册：regsvr32 schmmgmt 在MMC中添加AD架构管理单元打开MMC控制台，选中“Active Directory架构”击“右键”，选择“操作主机”打开更改架构页面后,点击"更改"就可以进行架构主机角色的更改2查看和更改PDC模拟器,RID主机以及基础结构主机步骤：开始-设置-控制面板-管理工具-Active Directory用户和计算机 选定当前域名，右键单击，选择“操作主机”在打开的页面中，通过点击“更改”按钮就可以对RID主机，PDC模拟器以及基础结构主机角色进行更改3查看和更改域命名主机角色步骤：点击“开始-设置-控制面板-管理工具-Active Directory域和信任关系”: 选中“Active Directory域和信任关系”，右键单击，选择“操作主机”在打开的窗口中，点击“更改”按钮就可以实现对域命名主机角色进行更改四：使用命令行工具查看和更改操作主机角色有多个工具可以实现在命令行下查看操作主机角色，下面只列出几种常见方法注意，下面对应的工具有些需要安装Win2003 Support Tools工具1：使用Netdom工具查看操作主机角色Netdom Query FSMO3利用自制监视器Replmon查看和检查操作主机角色复制监视器Replication Monitor(ReplMon)是针对Windows Server的故障查找工具,不但是定位活动目录复制故障强有利的工具，同时也可以使用该工具查看和检查操作主机角色状态。步骤：选中当前DC，右键单击，选择“Properties”在弹出窗口中，选择“FSMO Roles”分窗口，出现如下界面：在该窗口，列出所有的FSMO操作主机，同时通过“Query”按钮，可以检测出当前DC 与FSMO操作主机之间通讯是否正常。四：使用命令行工具查看和更改操作主机角色有多个工具可以实现在命令行下查看操作主机角色，下面只列出几种常见方法注意，下面对应的工具有些需要安装Win2003 Support Tools工具1：使用Netdom工具查看操作主机角色 Netdom Query FSMO2：使用Dsquery工具查看操作主机角色Dsquery Server –Hasfsmo Schema //查看架构主机Dsquery Server –Hasfsmo Name //查看域 主机Dsquery Server –Hasfsmo PDC //查看PDC模拟器主机Dsquery Server –Hasfsmo RID //查看RID主机Dsquery Server –Hasfsmo Infr //查看基础结构主机3：使用Ntdsutil工具更改操作主机角色Ntdsutil工具的功能非常强大，可以进行AD数据库维护，查看和更换操作主机角色以及删除无法通过图形界面删除的DC遗留的元数据。通过Ntdsutil工具不但可以清理无效的DC信息，也可以使用Transfer子命令转移操作主机角色，使用Seize子命令夺取操作主机角色。五：操作主机角色放置优化配置建议默认情况下，架构主机和域命名主机角色是在根域的第一台DC上，而PDC模拟器，RID主机和基础结构主机默认放置在当前域的第一台DC上。特别是在单域环境中，按默认安装，第一台DC会同时拥有这五种FSMO操作主机角色。万一这台DC损坏，会对域环境造成极大风险!常见的操作主机角色放置建议如下：1：架构主机：拥有架构主机角色的DC不需要高性能，因为在实际环境中不会经常对Schema进行操作的，除非是经常会对Schema进行扩展，不过这种情况非常的少。但要保证可用性，否则在安装Exchange等会扩展AD架构的软件时会出错。2：域命名主机：对占有域命名主机的DC也不需要高性能，在实际环境中也不会经常在森林里添加或者删除域的。但要保证高可用性是有必要的，以保证在添加删除当前林中域时可以使用。一般建议由同一台DC承担架构主机与域域命名主机角色，并由GC放置在同一台DC中。3：PDC模拟器：从上述PDC功能中可以看出，PDC模拟器是FSMO五种角色里任务最重的，必须保持拥有PDC的DC有高性能和高可用性。4：RID主机：对于占有RID Master的域控制器，没有必要一定要求高性能，因为给其它DC分配RID池的操作不是经常性发生，但要求高可用性，否则在添加用户时出错。5：基础架构主机：对于单域环境，基础架构主机实际上不起作用，因为基础架构主机主要作用是对跨域对象引用进行更新，对于单域，不存在跨域对象的更新。基础架构主机对性能和可用性方面的要求较低。

域内时间服务器的时间同步，是遵循这样一个规则： client->child domain PDCe->parent domain PDCe->root PDCe->Internal Time Source->Internet Time Source

层层向上，自动同步，这就是为什么您即便修改了域内工作站的时间，重新启动又会恢复域内时间。

所以，一个标准的、稳定的时间源对于整个AD架构是非常重要的。需要提到的一点是，时间服务使用 udp 123--- gnaw0725

据我所知，net time命令只能使计算机的时钟与其他计算机或域的时钟同步。

我们建议您将权威时间服务器配置为从硬件源收集时间。当您将权威时间服务器配置为与 Internet 时间源同步时，不会有任何身份验证。我们还建议您降低服务器和独立客户端的时间校准设置。这可以为您的域提供更准确的时间和更高的安全性。

Windows 包含 W32Time，它是 Kerberos 身份验证协议所需的时间服务工具。Windows 时间服务的目的是确保组织中运行 Microsoft Windows 2000 或更高版本的所有计算机都使用同一个时间。

配置 Windows 时间服务以使用外部时间源的具体步骤，请参考以下文章：

如何在 Windows Server 2003 中配置权威时间服务器

http://supportmicrosoftcom/kb/816042/zh-cn

我所知道的公共时间服务器有：

ntp2usnonavymil at 192541209

tockusnonavymil at 19254141

timewindowscom

造成“工作站会与域的信任关系失败”（就是所谓的掉域）的原因有很多种，常见的有以下几种供楼主参考：

1、域内客户端操作系统部署时采用GHOST封装的导致其系统SID重复被AD拒绝所致，建议使用重新生成SID的相关工具或重新使用原版系统部署；

2、楼主已经提到了，域内客户端与AD系统时间相差大于指定值（默认5分钟）也会引起类似的故障；解决方法是开启时间同步服务；

3、域控制器策略默认为客户机30天为周期刷新一次域连接，如果到达这个周期后连接失败则会出现掉域的情况，解决方法是修改策略调整该数值；

至于完整的清单则无法提供，因为微软已经提供了一套可根据需求进行调整部署的策略，不同的策略可能出现的问题就会完全不一样，而如果保持策略为默认不修改的话，以上三点基本上都将常见的涵盖在内了，楼主可以自行参考下，如有不解可以追问，希望采纳。

服务器域修改时间，客户端要重启同步。正常的服务器重启可以清除内存碎片，重新优化软件调用级别，中断无用的网络端口等，对于缓解CPU压力、以及服务器保养都有一定的好处。因为服务器运行的时间过长，会造成很多冗余的DLL程序，导致系统运行速度较慢，所以服务器会重启。

服务器重启原因

因设备维护和更新、机房部署或其他特殊情况，技术管理人员进行的主动重启；因供电(欠压，过载，波动)、震动、硬件质量(热敏度和抗干扰能力)、DirectX文件的损坏、系统不完善或瓶颈问题、病毒、灰尘、散热不良等原因而造成的被迫重启。

因服务器宕机事件引发的重启，由于服务器硬件常年超荷运转，时间一长就容易出现宕机问题，常用解决方法就是定期重启，缓解硬件压力，让服务器性能可以维持更久。

　　-网络认证失败

　　-和系统中心数据保护管理器(SCDPM)代理的沟通问题

　　-Exchange Server、Active Sync和Outlook Web Access(OWA)不可用

　　在很多情况中，

服务器时间同步问题来源于Kerberos协议

，它有一个安全功能专门查看Kerberos票据上的时间戳，这主要是为了保护它们不会被重复使用。如果一张票据上的时间距离现在超过了五分钟，这张票据会遭到拒绝。因此，如果时钟五分钟内没有同步，Kerberos会开始出现故障。

　　通常来讲，时间同步不会带来问题。例如，当Windows在活动目录(AD)环境中运行时，域内的所有计算机时钟都自动地与域控制器同步。但是，在域成员和工作组成员混合或是多个活动目录林存在的环境中，时钟同步就可能变成一个问题。

　　举个更具体的例子，我自己网络中的所有生产服务器都进行了虚拟化。因为这个原因，我的虚拟化主机服务器中没有域成员，且所有的域控制器都是虚拟机。由于虚拟机根本没有启动，所以主机服务器不能和域控制器沟通的情况就不可能出现。如此一来，我选择让主机操作系统作为工作组成员。

　　另外，我所有的虚拟化主机都运行WindowsServer2008 R2上的Hyper-V这些服务器中的一些集群运行Windows 2008R2的虚拟机，其它的集群那些仍然运行Windows Server2003的虚拟机。但是虽然运行Windows 2008 R2的来宾机好像和主机服务器的时钟保持了同步，运行Windows 2003的机器有可能无法和其余网络保持同步。

　　在工作组环境中，你可以通过打开Command Prompt窗口然后键入如下命令来将机器链到时间来源：

　　W32tm/config/syncfromflags:manual/manualpeerlist:W32tm/config/update

　　在这个例子中，你可以将替换成完全限定域名(FQDN)或是你想与之保持同步的服务器IP地址。你可以通过隔离每个有一个空间的地址来指定多个时间来源。

　　在域环境中，使用组策略设置来指定时间来源情况会更好些。时钟相关的组策略设置可以在Group Policy Editor里看见，位置是：Computer Settings Administrative Templates System Windows Time Service

　　有三个不同的组策略设置可供你使用，包括：

　　-Configure Windows NTP Client-让你可以将计算机时钟和外部时间来源进行同步。

　　-Enable Windows NTP Client-允许计算机将时钟与其它Windows服务器进行同步。

　　-Enable Windows NTP Server-允许服务器向Windows NTP客户端提供时间同步。

　　注意，如果你打算和外部的时间来源进行同步，比如NIST,你就不能启用Windows NTP Client或是Windows NTP Server使用外部时间来源时，你可能还要打开一些防火墙端口。Windows服务器为时间协议运用UDP端口123,它在默认情况下就该打开。但如果你想要使用NIST,你还要打开TCP端口13,TCP端口37和UDP端口37

　　正如你所见，保持Windows Server时钟间的同步十分重要。尽管时钟一般会自动同步，准备好面对需要手动同步时钟的情况还是必要的。

常见故障类型

（1）域连接失败：加入域时，提示找不到域。

（2）域无法登陆：登录时密码不正确或登录后访问不了共享资源。

（3）域登录缓慢：登录时非常缓慢 。

（4）组策略部署失败：组策略未生效，或只对部分部分用户账户生效。

（5）域控制器之间复制失效：AD数据或DNS记录不能同步更新。

AD常见故障排查思路

（1）确认单一用户账户的的故障：在于控制器中查找用户账户的所有信息点去判断故障点及其原因。

（2）确认客户端的故障：用故障用户在其他客户机上登陆域或访问域内共享资源来判断客户端故障。

①计算机与服务器时间不同步。

②网络连接问题。

（3）确认网络方面的原因：如果用户账户在同一 网段的客户端都无法登陆域服务器或访问共享资源可以说明整个网段有问题。可以在路由器或交换机上使用自带的命令去检查网络故障。

（4）确认服务器端的故障：如果在任何客户端都无法登录域或无访问域内共享资源，就是网络方面的故障或域控制器的故障。