AD域控制器NTP服务设置

1）首先确认虚拟化底层的时间是否准确，因为所有虚拟机会自动同步虚拟主机的时间。

2）在所有AD服务器上开启时间同步功能

一、找到适合的NTP服务器

首先需要找一个适合自己网络环境的NTP服务器，因为不同的网络会有不同的NTP服务器起作用，检测NTP服务器的方法为在AD上运行 w32tm /stripchart /computer:NTP服务器域名或IP ，如 w32tm /stripchart /computer:182921211 ，若是可以使用会显示如下图

找到适合自己网络的可用NTP服务器后，假设找到182921211为可用NTP服务器，在AD服务器上开启时间同步，运行如下命令

三、设置主域控制器与国家授时中心服务器时间同步，同步周期为1天。

1、 添加时间服务器

在右边窗口点右键新建“字符串值”，将此“字符串值”命名为0。双击此新建的“字符串值”，输入： 182921211 ，保存。将“默认”（即第一个“字符串值”）修改为0即可，删除其他所有的值只保留如图所示的值

2、 指定时间源

修改键NtpServer的值为 182921211

3、 设置校时周期

修改键SpecialPollInterval的值为十进制的604800（即为604800秒，1天）

四、设置权威服务器

1、 设置权威服务器

在域控服务器上打开注册表，找到键值

修改键AnnounceFlags的值为十进制的10。

2、 启用 NTPServer

修改键Enabled的值为十进制的1

五、配置组策略，设置时间同步

1、 打开组策略管理

2、 在“Default Domain Policy”上右键，编辑。

3、 计算机配置—管理模板—系统—Windows时间服务，双击“全局配置设置”，选择“已启用”。

修改MaxNegPhaseCorrection的值为3600（即为3600秒，1小时）

修改MaxPosPhaseCorrection的值为3600（即为3600秒，1小时）

修改AnnounceFlags的值为5

点“应用”，“确定”。

4、 计算机配置—管理模板—系统—Windows时间服务—时间提供程序，“启用Windows NTP客户端”，选择“已启用”。

“配置Windows NTP客户端”，选择“已启用”。

修改NtpSever的值为 1829211

修改Type的值为NTP

修改SpecialPollInterval的值为1800（30分钟）

5、cmd命令在域控和客户端完成检测

域控上运行下面三条命令检测，返回成功执行了命令即为成功。若是返回此计算机没有重新同步，因为没有可用的时间数据。请排查上述文档中一步时间服务器是否可用，和五-4步服务器是否正确，看w32tm /query /source命令返回的结果是否正确。

域内的客户端想要同主域时间同步，执行下面的命令，返回成功执行了命令即为成功

注意时间若想成功同步，时间不能跟标准时间差别太大，在范围内的才能成功同步。

1、系统时间比标准时间系统时间晚14小时59分钟之内

2、系统时间比标准时间早30分钟之内

3）对于有些客户端Windows Times服务会自动停止，可以尝试重新注册一下此服务项

1首先，运行如下命令删除时间服务：

2然后，再运行如下命令加载默认时间配置服务：

您先搞明白域是干什么的吧

域既是 Windows 网络操作系统的逻辑组织单元，也是Internet的逻辑组织单元，在 Windows 网络操作系统中，域是安全边界。域管理员只能管理域的内部，除非其他的域显式地赋予他管理权限，他才能够访问或者管理其他的域;每个域都有自己的安全策略，以及它与其他域的安全信任关系。

域控制器就是存放域内信息的服务器

域主要是为了方便管理,方便使用网络中的资源,提高网络的集中度和安全度

域主要用于网络规模比较大网络使用量比较大,资源共享度比较大的场合,最为重要的是网络中的资源属于个人私自的不太多的场合

比如:一个企业组建的内部网,公司员工使用的机器都是企业的机器,机器里存放的资源也是与企业有关的,况且,员工之间要经常的进行数据交流和资源共享这样就有必要使用域模式的网络了

二,域有什么作用,何时使用域

相反,如果网络中的主机都是个人私有的,并且主机与主机之间的关系并不是那么的集中还有,内部网络利用率并不是那么的高这时比较适合使用工作组模式

比如一个内部局域网,网络内部的主机与主机之间的交流比较少,交流的范围也比较小,最重要的是网络中的主机都是个人私有的,所以使用工作组模式是最好不过的

三,域由哪些类型的机器组成,每种类型的机器都有什么作用

域由一些计算机组成,这些计算机按类别分可以分为:域控制器,成员服务器,客户机

1)域控制器是一种服务器,安装有活动目录,主要是利用此来进行网络的安全核查以及资源共享;

2)成员服务器也是一种服务器,它没有安装活动目录,不能提供网络的安全核查等工作,但是可以提供其他的网络服务,比如:web服务,ftp服务等;

3)客户机是网络中仅仅享受服务的机器,客户机上的作系统一般为桌面型的,如:windows98,2000professional等

一个域中可以有多台域控制器,它们存放的活动目录内容是一样的

信息同步复制

四,如何建立一个新域

开始-----运行-------键入dcpromo命令

开始----程序----管理工具----配置服务器

打开活动目录安装向导中进行必要的配置

五,如何把一台计算机加入到一个域中

前提一:这台计算机需要安装微软系列的作系统最好是2000系列

前提二:必须在网络中可以找到域控制器,所以在输入域名的时候,如果网络中没有定义DNS服务器,那么就必须输入域的NETBIOS名称

前提三:需要有一个域用户账号或者是域管理员账号

域是组织与存储资源的核心管理单元，那么怎么在Windows Server 2012 R2中配置第一台域控制器呢？

首先，打开“服务器管理器”，点击“添加功能和角色”。

进入“添加角色和功能向导”，检查到静态IP地址（为192168100100）已配置完成，管理员帐户使用的是强密码和最新的安全更新在实验中可以忽略，点击“下一步”。

我们在本地运行的物理计算机上安装，故安装类型选择第一项“基于角色或基于功能的安装”。

服务器选择服务器池中的本地服务器“dc”。

服务器角色中确保已安装了“DNS服务器”，如果没有安装将“DNS服务器”勾选上。然后勾选上“Active Directory域服务”，同时也在该服务器上安装域服务管理工具。

在Windows Server 2012 R2上Active Directory域服务的安装不需要添加额外的功能，直接点击“下一步”。

确认选择无误，点击“安装”按钮开始安装。

“Active Directory域服务”安装完成之后，点击“将此服务器提升为域控制器”。如果不慎点了“结束”按钮关闭了向导，也可以在“服务器管理器”中找到，如图所示。

进入“Active Directory域服务配置向导”，部署操作选择“添加新林”并输入根域名，必须使用允许的 DNS 域命名约定。

创建新林，“域控制器选项”页将显示以下选项。 默认情况下，林和域功能级别设置为 Windows Server 2012。 在 Windows Server 2012 域功能级别提供了一个新的功能：“支持动态访问控制和 Kerberos 保护”的 KDC 管理模板策略具有两个需要 Windows Server 2012 域功能级别的设置（“始终提供声明”和“未保护身份验证请求失败”）。 Windows Server 2012 林功能级别不提供任何新功能，但可确保在林中创建的任何新域都自动在 Windows Server 2012 域功能级别运行。除了支持动态访问控制和 Kerberos 保护之外，Windows Server 2012 域功能级别不提供任何其他新功能，但可确保域中的任何域控制器都能运行 Windows Server 2012。 超过功能级别时，运行 Windows Server 2012 的域控制器将提供运行早期版本的 Windows Server 的域控制器不提供的附加功能。例如，运行 Windows Server 2012 的域控制器可用于虚拟域控制器克隆，而运行早期版本的 Windows Server 的域控制器则不能。 创建新林时，默认情况下选择 DNS 服务器。林中的第一个域控制器必须是全局目录 (GC) 服务器，且不能是只读域控制器 (RODC)。 需要目录服务还原模式 (DSRM) 密码才能登录未运行 AD DS 的域控制器。指定的密码必须遵循应用于服务器的密码策略，且默认情况下无需强密码；仅需非空密码。总是选择复杂强密码或首选密码。

安装 DNS 服务器时，应该在父域名系统 (DNS) 区域中创建指向 DNS 服务器且具有区域权限的委派记录。委派记录将传输名称解析机构和提供对授权管理新区域的新服务器对其他 DNS 服务器和客户端的正确引用。由于本机父域指向的是自己，无法进行DNS服务器的委派，不用创建 DNS 委派。

确保为域分配了NetBIOS名称。

“路径”页可以用于覆盖 AD DS 数据库、数据库事务日志和 SYSVOL 共享的默认文件夹位置。默认位置始终位于 %systemroot% 中，保持默认即可。

“审查” 选项页可以用于验证设置并确保在开始安装前满足要求。这不是停止使用服务器管理器安装的最后一次机会。此页只是让你先查看和确认设置，然后再继续配置。

此页面上显示的一些警告包括： 运行 Windows Server 2008 或更高版本的域控制器具有一个用于“允许执行兼容 WindowsNT4 加密算法”的默认设置，在建立安全通道会话时它可以防止加密算法减弱。 无法创建或更新 DNS 委派。 点击“安装”按钮开始安装。

安装完毕之后系统会自动重启，重启之后将以域管理员的身份登录，到此，域控制器配置完毕。

一域的作用：如果企业网络中计算机和用户数量较多时，要实现高效管理，就需要windows域。 创建域 。

二域控安装：要建立域进行管理，首先需安装域控制器（dc），dc上存储着域中的信息资源，如名称、位置和特性描述等信息。通过在一台服务器上安装活动目录（AD），就会将这台计算机安装成dc。

安装条件：

1安装者必须具有本地管理员的权限。

2操作系统版本必须满足条件（Windows server2003除web以外的所有都满足）。　 3本地磁盘必须有一个NTFS文件系统

4有TCP/IP设置

5有相应的DNS服务器支持

6有足够的可用空间

三安装活动目录（AD）

1打开ad开始--运行输入dcpromo

2是否创建新域。dc有两种新域的域控和现有域的额外域控制器。一般选择新域的域控。

3新域的DNS全名。如ruiruicomcn

4新域的NetBIOS名。下一步

5数据库和日志文件夹。为了优化性能，可以将数据库和日志放在不同的硬盘上。该文件夹不一定在NTFS分区。如果本计算机是域的第一台域控，则sam数据库就会升级到C:\windows\ntds\ntdsdit，本地用户账户变成域用户账户。

6共享的系统卷。共享系统卷SYSVOL文件夹存放的位置必须是NTFS文件系统。7DNS注册诊断。AD需要DNFS服务支持。

8域兼容性。如果网络中不存在Windows server 2003 以前版本的域控制器，就选第二项。如果存在选第一项。

9还原模式密码。目录服务还原模式的管理员密码，是在目录服务还原模式下登录系统时使用。由于目录服务还原模式下，所有的域账户用户都不能使用，只有使用这个还原模式管理员账户登录。

10安装完成后需重启计算机。

前面讲解了怎样创建windows域，现在完善一下，讲解怎样将计算机加入域。 在安装完AD后，需要将其它的服务器和客户计算机加入到域中。一般情况下，在从客户计算机加入域时，会在域中自动创建计算机账号。不过，用户必须在本地客户计算机上拥有管理权限才能将其加入到域中。

在加入域之前，首先检查客户机的网络配置：

1确保网络上物理连通

2设置IP地址

3检查客户机到服务器是否连通 4配置客户机的首选DNS服务器（通常为第一台DC的IP） 在客户端计算机系统属性中的“计算机名”选项卡里，单击更改按钮可以打开计算机加入域的对话框，选中域后，输入正确的域名，然后再根据提示输入具有加入域权限的用户名和密码即可。 这样就OK了！将客户机加入域，就可以在客户机上，使用域账户加入到域，也可以使用客户机的本地用户账户登录到域。 前面一直提到DNS，下面讲解DNS在域中的作用。

DNS在域中有两个作用： 域名的命名采用DNS的标准、定位DC。

1、域名的命名采用DNS标准。公司要创建第一个域，域名为ruiruicomcn。上海分公司要成为子域，域名为shruiruicomcn。这些都遵循DNS分布式、等级结构的标准。这体现了办公网络与Internet集成的理念。

2、客户机如何定位DC。当域用户账户登陆时或者查找活动目录时，首先要定位DC，这需要DNS服务器支持，

主要步骤： 1）客户机发送DNS查询请求给DNS服务器。

2）DNS服务器查询匹配的SRV资源记录。

3）DNS服务器返回相关DC的ip地址列表给客户机。

4）客户机联系到DC

5）DC响应客户机的请求 DNS在活动目录中为什么能起到定位DC的作用

。 主要靠域的DNS区域中的SPV资源记录。开始--程序--管理工具--DNS，打开DNS管理器，就是SRV资源记录。