AD域控制器NTP服务设置

1）首先确认虚拟化底层的时间是否准确，因为所有虚拟机会自动同步虚拟主机的时间。

2）在所有AD服务器上开启时间同步功能

一、找到适合的NTP服务器

首先需要找一个适合自己网络环境的NTP服务器，因为不同的网络会有不同的NTP服务器起作用，检测NTP服务器的方法为在AD上运行 w32tm /stripchart /computer:NTP服务器域名或IP ，如 w32tm /stripchart /computer:182921211 ，若是可以使用会显示如下图

找到适合自己网络的可用NTP服务器后，假设找到182921211为可用NTP服务器，在AD服务器上开启时间同步，运行如下命令

三、设置主域控制器与国家授时中心服务器时间同步，同步周期为1天。

1、 添加时间服务器

在右边窗口点右键新建“字符串值”，将此“字符串值”命名为0。双击此新建的“字符串值”，输入： 182921211 ，保存。将“默认”（即第一个“字符串值”）修改为0即可，删除其他所有的值只保留如图所示的值

2、 指定时间源

修改键NtpServer的值为 182921211

3、 设置校时周期

修改键SpecialPollInterval的值为十进制的604800（即为604800秒，1天）

四、设置权威服务器

1、 设置权威服务器

在域控服务器上打开注册表，找到键值

修改键AnnounceFlags的值为十进制的10。

2、 启用 NTPServer

修改键Enabled的值为十进制的1

五、配置组策略，设置时间同步

1、 打开组策略管理

2、 在“Default Domain Policy”上右键，编辑。

3、 计算机配置—管理模板—系统—Windows时间服务，双击“全局配置设置”，选择“已启用”。

修改MaxNegPhaseCorrection的值为3600（即为3600秒，1小时）

修改MaxPosPhaseCorrection的值为3600（即为3600秒，1小时）

修改AnnounceFlags的值为5

点“应用”，“确定”。

4、 计算机配置—管理模板—系统—Windows时间服务—时间提供程序，“启用Windows NTP客户端”，选择“已启用”。

“配置Windows NTP客户端”，选择“已启用”。

修改NtpSever的值为 1829211

修改Type的值为NTP

修改SpecialPollInterval的值为1800（30分钟）

5、cmd命令在域控和客户端完成检测

域控上运行下面三条命令检测，返回成功执行了命令即为成功。若是返回此计算机没有重新同步，因为没有可用的时间数据。请排查上述文档中一步时间服务器是否可用，和五-4步服务器是否正确，看w32tm /query /source命令返回的结果是否正确。

域内的客户端想要同主域时间同步，执行下面的命令，返回成功执行了命令即为成功

注意时间若想成功同步，时间不能跟标准时间差别太大，在范围内的才能成功同步。

1、系统时间比标准时间系统时间晚14小时59分钟之内

2、系统时间比标准时间早30分钟之内

3）对于有些客户端Windows Times服务会自动停止，可以尝试重新注册一下此服务项

1首先，运行如下命令删除时间服务：

2然后，再运行如下命令加载默认时间配置服务：

如果 NTP 连接失败，可能是以下一些原因导致的：

网络连接问题：NTP 使用的是网络协议，需要连接互联网或本地网络。如果您的网络连接出现了问题，可能导致 NTP 连接失败。您可以尝试检查您的网络连接是否正常。

防火墙或代理问题：防火墙或代理可能会限制或阻止 NTP 连接，导致连接失败。您可以尝试暂时关闭防火墙或代理，并重新尝试连接 NTP。

NTP 服务器问题：NTP 服务器可能由于维护、更新或其他原因而无法连接，导致连接失败。您可以尝试选择其他可靠的 NTP 服务器，或稍后再尝试连接。

时间同步设置问题：NTP 连接失败可能是由于时间同步设置不正确所致。您可以尝试检查您的时间同步设置，并确保其与您的地理位置和时区相匹配。

如果以上方法仍然无法解决问题，请尝试搜索相关资料或联系技术支持以获取更多帮助

USG6000的初始账号为admin，初始密码为Admin@123。在浏览器网址一栏中输入https://19216801 ，即可进入防火墙WEB配置界面。在此页面中，即可输入账号和密码。

华为USG6000V是基于NFV架构的虚拟综合业务网关，虚拟资源利用率高，资源虚拟化技术支持大量多租户共同使用。产品具备丰富的网关业务能力，如vFW、vIPSec、vLB、vIPS、vAV、vURL过滤等，可根据对虚拟网关的业务需求，按需使用，灵活部署。

扩展资料：

1、浏览器登录 https://19216801 （缺省状态下WEB登录地址）进入防火墙WEB配置界面。输入用户名和密码登录，用户名：admin 密码：Admin@123（缺省状态下）。

2、进入快速向导，根据指引进行配置，然后点击下一步。

3、配置基本信息。（建议修改密码），然后点击下一步。

4、配置系统时间。（建议从本地系统同步时间，如果有NTP服务器选择NTP服务器同步时间），然后点击下一步。

5、选择接入互联网的方式。（一般情况下是PPPoE拨号），然后点击下一步。

6、配置拨号信息。（上网接口是连接运营商的接口，用户名密码由运营商提供，选自动获取IP），然后点击下一步。

7、配置局域网接口。（给连接下面设备或终端的接口配置IP），然后点击下一步。

8、配置局域网DHCP服务，（起始IP要排除上一步配置的接口IP）然后点击下一步。

9、确认配置信息，点击应用完成配置。

参考资料：

华为官网-usg6000

官网已经提供了具体的安装指导，下面仅仅是简单的翻译了一下（安装的操作系统：Win10_lstc_2019_x64）：

不用修改，关闭txt即可

注意：修改了ntpconf文件以后需要重启ntp服务，才能生效。

NTP服务启动后需要几分钟左右的时间才会对外提供服务。

1默认权限设定

restrict default noquery nopeer nomodify notrap

restrict -6 default noquery nopeer nomodify notrap

2本地信任

restrict 127001

restrict -6 ::1

3授权远程服务权限

restrict [ 客户端IP ] mask [ IP掩码 ] [参数 ]

restrict 19216801 mask 2552552550 noquery nomodify

19216801-1921680255 这个网段的IP，都可以对时。单个IP只需要mask 255255255255即可，19216801是网关地址。2552552550是子网掩码。

经过实验发现：

4上层授时服务器

server host [ key n ] [ version n ] [ prefer ] [ mode n ] [ minpoll n ] [ maxpoll n ] [ iburst ]

server IP1/Domain Name1 iburst minpoll 4 maxpoll 6 prefer

server IP2/Domain Name2

NTP消息的最大轮询间隔默认为10(1024秒=17分钟)，可以通过maxpoll增加到17(364小时)的上限。最小轮询间隔默认为6(64秒)，但可以通过minpoll降低到4(16秒的)下限。

server 1202511520 prefer minpoll 4 maxpoll 6 iburst

5本地时钟源

server 12712710

fudge 12712710 stratum 12

当没有时间同步来源的时候以自身的硬件时钟为准，这里的stratum是代表层级，创建时默认是12，0-15层。

ntpd 对下层 client 来说是 service server，对于上层 server 来说它是 client，也就是说新版的 NTP 服务程序已经不对服务端和客户端进行区分了，统一叫做 ntpd。ntpd 根据配置文件的参数决定是要为其他服务器提供时钟服务或者是从其他服务器同步时钟。

所以只需要将本机的stratum设置成server数+1即可。

6其他

driftfile "C:\NTP\etc\ntpdrift"

用于记录主机在与上层授时服务器之间沟通时所花费的时间

ntpd 服务并不是在任何情况下都会进行同步的。当时钟服务器时间和本地时间相差大于1024s 时，ntp 服务就会认为是人为调整了时钟或出现了硬件故障，例如 CMOS 电池损坏等。此时，NTP服务就会退出，需要人工使用 ntpdate进行时钟同步。

采用 -g 选项可以让 ntpd 忽略 1000s 或更大误差

7本地防护墙

ntp服务器默认UDP协议，123端口，需要在入站防火墙上进行端口UDP协议123的允许访问即可。

ntpq -p 列出本机与所有的server的状态

需要以管理员启动才能执行 start,restart,stop操作。

Allow initial big time step：大于1024秒，作为客户端是否还同步NTP的时间。 不建议勾上 ，作为对外授时的服务器，使用来自上层授时服务器的时间，如果时间与上层时间超过了1024秒，还是需要人员手动检查。

Set multimedia timer to highest resolution：多媒体定时器优化，使其最优能提供1ms延迟

Restart NTP service if stopped：如果NTP服务挂了是否自动重启。守护进程

本次安装的版本是“NetTimeSetup-320a3_NTP客户端”，安装步骤较简单，省略。

每次设置完，点击一次Update Now 确认运行状态

操作系统

华为交换机无法跟Windows NTP 时钟服务器进行同步故障处理



weixin_34125592

转载

关注

0点赞·2396人阅读

故障现象：

所有华为的交换机满屏的警告日志 Reason=Clock selection failed - No selectable clock ，clock status: unsynchronized

处理过程：

1、查华为知识库，有一篇类似的故障：http://supporthuaweicom/enterprise/KnowledgebaseReadActionactioncontentId=KB1000063521，抓包的结果也一样为收到的NTP报文的rdsp值超过1秒（我的为3200ms），根据RFC1305规定, 最大的同步距离是1秒，距离的计算公式包含peerrootdispersion的值，所以一旦rdsp达到1000ms，超过了1秒这个阈值，所以本设备收到报文后认为报文非法并丢弃。

该KB的处理方法是将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\W32Time\Config\LocalClockDispersion 的值由10改为0，改完后在cmd窗口执行命令"w32tm /config /update"来重启时间服务。

使用后仍无效。

2、查询微软KB库，配置 Windows 时间服务以使用外部时间源，配置方法如下：https://supportmicrosoftcom/zh-cn/kb/816042，NTP Server设置为cnpoolntporg，测试可用，配置完成后故障未能排除。

3、使用gpedit组策略配置-计算机配置--管理模板--windows时间服务，配置完成后问题仍然存在。

4、查询华为设备使用手册http://supporthuaweicom/ehedex/hdxdolib=DOC1000081668DZE0811M&docid=DOC1000081668&v=03&tocLib=DOC1000081668DZE0811M&tocV=03&id=dc_cfg_ntp_0019&tocURL=resources%252fdc%252fdc%255fcfg%255fntp%

操作步骤

登录管理控制台。

单击管理控制台左上角的，选择区域和项目。

选择“计算 > 弹性云服务器”。

选择待切换操作系统的弹性云服务器，单击弹性云服务器列表左上角的“关机”。

在待切换操作系统的弹性云服务器的“操作”列下，单击“更多 > 切换操作系统”。

系统进入“切换操作系统”界面。

根据需求选择需要更换的弹性云服务器规格，包括“镜像类型”和“镜像”。

说明： 

对于“包年/包月”方式购买的弹性云服务器，如果系统盘容量小于您选择的待切换镜像的大小，此时，您需要先卸载系统盘，并进行扩容，然后再挂载至原弹性云服务器执行切换操作。

扩容系统盘的操作指导，请参见“扩容云硬盘”章节。

图1 切换操作系统

设置登录方式。

如果待切换操作系统的弹性云服务器是使用密钥登录方式创建的，此时可以更换使用新密钥。

单击“确定”。

在“切换云服务器操作系统”页面，确认切换的操作系统规格无误后，阅读并勾选“我已经阅读并同意《华为弹性云服务器服务协议》”，单击“提交申请”。

提交切换操作系统的申请后，弹性云服务器的状态变为“切换中”，当该状态消失后，表示切换结束。

说明： 

切换操作系统过程中，会创建一台临时弹性云服务器，切换操作系统结束后会自动删除。

后续处理

如果操作系统切换失败，公有云平台支持重试功能，用户可重新执行3-9，切换弹性云服务器的操作系统。

重试后，如果仍未成功，可直接联系客服，客服会在后台进行人工恢复。

约束与限制

“包年/包月”方式购买的弹性云服务器切换操作系统时，由于所选镜像不同，当前云服务器的系统盘容量可能不足，不支持切换后的镜像使用。此时，需先卸载系统盘并进行扩容，然后再重新切换操作系统。

“包年/包月”方式购买的弹性云服务器切换操作系统时，由于费用原因，不支持使用市场镜像。

对于“包年/包月”方式购买的弹性云服务器，仅支持由免费的操作系统切换至免费的操作系统。

使用市场镜像创建的“包年/包月”弹性云服务器不支持切换操作系统。

云硬盘的配额需大于0。

H2型弹性云服务器不支持操作系统的切换功能。

不支持BIOS启动方式与UEFI启动方式的操作系统互相切换。

切换须知

切换操作系统后，弹性云服务器将不再保留原操作系统，并删除原有系统盘。

切换操作系统会清除系统盘数据，包括系统盘上的系统分区和所有其它分区，请做好数据备份。

切换操作系统后，您的业务运行环境需要在新的系统中重新部署。

切换操作系统成功后弹性云服务器会自动开机。

切换操作系统后不支持更换系统盘的云硬盘类型。

切换操作系统后弹性云服务器IP地址和MAC地址不发生改变。

切换操作系统后，当前操作系统内的个性化设置（如DNS、主机名等）将被重置，需重新配置。

重新配置云服务器DNS信息请参考：怎样配置弹性云服务器的DNS和NTP信息？

重新配置主机名请参考：怎样使修改的静态主机名永久生效？

切换操作预计需等待10~20分钟完成切换操作系统。切换操作系统过程中，弹性弹性云服务器会显示任务状态为“切换操作系统中”。

前提条件

待切换操作系统的弹性云服务器处于“关机”状态、“切换失败”或“重装失败”状态。

待切换操作系统的弹性云服务器挂载有系统盘。

切换操作系统会清除系统盘数据，包括系统盘上的系统分区和所有其它分区，请做好数据备份。

如果原服务器使用的是密码登录方式，切换操作系统后使用密钥登录方式，请提前创建密钥文件。

如果您使用私有镜像切换操作系统请参考《镜像服务用户指南》提前完成私有镜像的制作。

如果需要指定弹性云服务器器的镜像，请提前使用指定弹性云服务器创建私有镜像。

如果需要使用本地的镜像文件，请提前将镜像文件导入并注册为云平台的私有镜像。

如果需要使用其他区域的私有镜像，请提前复制镜像。

如果需要使用其他账号的私有镜像，请提前完成镜像共享。

>system\\进入用户视图

] sysname C2960\\更改交换机名为C2960

] vlan batch 2 to 4094\\创建2至4094号vlan

] stp bpdu-protection\\启用BPDU保护边缘端口

] domain abc\\AAA RADIUS HWTACACS命令

] domain abc1 admin\\AAA RADIUS HWTACACS命令

] undo http server enable\\关闭设备web网管功能

] aaa\\本地认证授权

aaa] local-user abc password cipher cisco\\新建本地用户账号名abc 登录密码cisco 密文加密

aaa] local-user abc privilege level 15\\账号abc 权限级别为15（最高权限）

aaa] local-user abc service-type telnet\\账号abc 登录方式为 telnet

aaa] quit\\退出aaa配置模式

] interface Vlanif100\\进入vlan 100 配置交换机管理ip

vlanif100] ip address 19216811 2552552550\\配置vlan100为交换机默认管理vlan,设置管理地址ip为19216811 2552552550

vlanif100] undo shut\\启用vlan100

vlanif100] quit\\退出vlan100配置

] ip route-static 0000 0000 19216810254\\设置交换机网关默认路由

]user-interface con 0\\进入交换机console 0口配置模式

console0] user privilege level 15\\连接console 0的用户权限级别为15 （最高权限）

console0] authentication-mode password\\设置接入console 0口时用户需要输入密码

console0] set authentication password cipher cisco\\配置接入console 0口的用户密码为cisco 密文加密

console0] quit\\退出 console 0口配置模式

] user-interface vty 0 4\\配置远程telnet

vty0-4] user privilege level 15\\telnet 0-4口 接入的用户级别为15（最高级别）

vty0-4] authentication-mode aaa\\认证模式为aaa

vty0-4] idle-timeout 10\\10分钟内用户与设备间没有信息交互 设备将断开远程连接

vty0-4] quit\\退出telnet配置模式

] ntp-service unicast-server 19216812\\进入配置NTP服务器19216812 时间同步

] header login information ^\\设置登录时的显示信息

命令service ntpd start

命令ntpstat

查看ntp状态时，可能会出现如下所示情况

① unsynchronised time server re-starting polling server every 8 s

② unsynchronised polling server every 8 s

这种情况属于正常，ntp服务器配置完毕后，需要等待5-10分钟才能与/etc/ntpconf中配置的标准时间进行同步。

等一段时间之后，再次使用ntpstat命令查看状态，就会变成如下正常结果：

命令ntpq -p

remote：本机和上层ntp的ip或主机名，“+”表示优先，“”表示次优先

refid：参考上一层ntp主机地址

st：stratum阶层

when：多少秒前曾经同步过时间

poll：下次更新在多少秒后

reach：已经向上层ntp服务器要求更新的次数

delay：网络延迟

offset：时间补偿

jitter：系统时间与bios时间差

4）查看ntpd进程的状态

命令watch "ntpq -p"

终止按 Ctrl+C 停止查看进程。

第一列中的字符指示源的质量。星号 ( ) 表示该源是当前引用。

remote：列出源的 IP 地址或主机名。

when：指出从轮询源开始已过去的时间（秒）。

poll：指出轮询间隔时间。该值会根据本地时钟的精度相应增加。

reach：是一个八进制数字，指出源的可存取性。值 377 表示源已应答了前八个连续轮询。

offset：是源时钟与本地时钟的时间差（毫秒）。