們公司里都應(yīng)該有NTP服務(wù)器,這樣所有的客戶端都指向這臺NTP服務(wù)器,時(shí)間就會都同步了,我們使用域控作為一臺NTP服務(wù)器,并且域控會像外網(wǎng)上的NTP服務(wù)器同步時(shí)間,而內(nèi)部的客戶端都指向這臺域控去獲取時(shí)間。網(wǎng)上有很多方法,改注冊表什么的,其實(shí)原理都是一樣的,我們同步修改組策略來完成。我這篇是自己結(jié)合網(wǎng)上很多文檔的終極版本。
下面的PDC是你的第一臺域控。你只要知道PDC就是第一臺域控即可
指定外部時(shí)間源并與之同步,在PDC所在的域控制器上的管理員命令行進(jìn)行操作(PDC角色(默認(rèn)的域內(nèi)權(quán)威的時(shí)間服務(wù)源)。
w32tm /config /manualpeerlist:” 3.cn.pool.ntp.org 1.cn.pool.ntp.org” /syncfromflags:manual /reliable:yes /update
net stop w32time & net start w32time
w32tm /resync
W32tm /query /status
/manualpeerlist表示外部時(shí)間源服務(wù)器列表,多個(gè)服務(wù)器之間可用空格分隔,210.72.145.44是中國國家授時(shí)中心的時(shí)間服務(wù)器ip地址
/syncfromflags:manual表示與指定的外部時(shí)間源服務(wù)器列表中的服務(wù)器進(jìn)行同步
/reliable:yes設(shè)置此計(jì)算機(jī)是一個(gè)可靠的時(shí)間源。此設(shè)置只對域控制器有意義。
/update向時(shí)間服務(wù)發(fā)出配置已更改的通知,使更改生效
在域環(huán)境中,只需設(shè)置根域控制器的外部時(shí)間源即可,其它服務(wù)器在添加進(jìn)域中時(shí)將自動設(shè)置與域控制器時(shí)間同步。
打開”Active Directory 用戶和計(jì)算機(jī)”,在域上點(diǎn)右鍵,屬性。組策略,打開。
在”Default Domain Policy”上右鍵,編輯。
計(jì)算機(jī)配置—策略-管理模板—系統(tǒng)—Windows時(shí)間服務(wù),雙擊”全局時(shí)間配置”,選擇”已啟用”。
修改MaxNegPhaseCorrection的值為3600(即為3600秒,1小時(shí))
修改MaxPosPhaseCorrection的值為3600(即為3600秒,1小時(shí))
修改AnnounceFlags的值為5
點(diǎn)”應(yīng)用”,”確定”。
計(jì)算機(jī)配置—策略-管理模板—系統(tǒng)—Windows時(shí)間服務(wù)—時(shí)間提供程序,”啟用Windows NTP客戶端”,選擇”已啟用”。
關(guān)閉w32time 并重新啟動w32time ,使策略生效
net stop w32time & net start w32time
計(jì)算機(jī)配置–策略-Windows設(shè)置–安全設(shè)置–系統(tǒng)服務(wù)-Windows Time
設(shè)置自動啟動,防止有些ghost系統(tǒng)優(yōu)化過把這個(gè)服務(wù)禁用了。
配置客戶端與服務(wù)器端時(shí)間同步 ,并驗(yàn)證
在成員服務(wù)器上更新域策略gpupdate/force
與域內(nèi)NTP服務(wù)器時(shí)間同步,并驗(yàn)證NTP同步來源
w32tm /resync
W32tm /query /status
w32tm /query /source
w32tm /query /peers
---關(guān)注IT小技術(shù),每天Get一個(gè)小技能!
一個(gè)中大型公司,搭建域控服務(wù)器,如果只有一個(gè)主域控制服務(wù)器,當(dāng)主域控制服務(wù)器,出現(xiàn)了一些難以預(yù)料的故障,硬盤損壞,系統(tǒng)損壞等問題。導(dǎo)致公司主域控服務(wù)器無法使用,就會造成活動目錄丟失,域控?zé)o法使用,導(dǎo)致很多麻煩。
是否可以再搭建一個(gè)備份域服務(wù)器,將主域控服務(wù)器和備域控服務(wù)器之間可以相互同步,這樣如果主域控壞了,備域控服務(wù)器還可以繼續(xù)工作。
備份域控制器(BDC)是Windows 2000網(wǎng)絡(luò)中的一個(gè)概念,與之相對的概念是主域控制器(PDC)。局域網(wǎng)中使用PDC來管理網(wǎng)絡(luò)域(Domain)中的網(wǎng)絡(luò)單元,包括主機(jī)、用戶/用戶組和用戶權(quán)限、策略等。PDC將管理單元的信息存儲在域目錄數(shù)據(jù)庫中,一個(gè)保存在服務(wù)器上的數(shù)據(jù)庫文件。
主域名:NJAD01
系統(tǒng):Windows Server 2019
FQDN:NJAD01.itxiaojishu.com
IP地址:192.168.10.254
子網(wǎng)掩碼:255.255.255.0
網(wǎng)關(guān):192.168.10.1
DNS:192.168.10.254
備DNS:127.0.0.1
備域名:NJAD02
系統(tǒng):Windows Server 2019
FQDN:NJAD02.itxiaojishu.com
IP地址:192.168.10.253
子網(wǎng)掩碼:255.255.255.0
網(wǎng)關(guān):192.168.10.1
DNS:192.168.10.254
備DNS:127.0.0.1
3.1、備域控服務(wù)器基本信息配置
1、搭建好主域控服務(wù)器(PDC)。
搭建主域控服務(wù)器請參考:Windows Server 2019 AD域控搭建,公司搭建AD域控有什么好處呢?
2、備域控服務(wù)器,安裝windows server 2019操作系統(tǒng)。
3、將備控域服務(wù)器,修改靜態(tài)IP地址,將主DNS設(shè)置為主域控的DNS:192.168.10.254,備DNS設(shè)置為127.0.0.1。
4、修改備域服務(wù)器的主機(jī)名稱。
5、設(shè)置備域控服務(wù)器administrator密碼,要有復(fù)雜性要求。至少6位,有大小寫,特殊符號。
6、設(shè)置密碼完成,點(diǎn)擊確定。
3.2、AD域角色添加安裝
1、開始安裝服務(wù)器管理器,找到右上角“管理”--“添加角色和功能”。
2、“開始之前”,啟用向?qū)ВM(jìn)行角色或功能添加,下一步。
3、選擇默認(rèn)的“基于角色或基于功能的安裝”,下一步。
4、選中“從服務(wù)器池中選擇服務(wù)器”,就選擇NJAD02,下一步。
5、找到“Active Directory域服務(wù)”,勾選。勾選后,會跳出如下需要安裝的角色或功能,點(diǎn)擊“添加功能”。
6、現(xiàn)在Active Directory域服務(wù),已經(jīng)選中,點(diǎn)擊下一步。
7、功能,下一步。
8、ADDS,下一步。
9、選擇“安裝”。
10、正在安裝Active Directory 域服務(wù)。
11、看到已在NJAD02上安裝成功,說明AD域的角色添加成功了。
3.3、備域配置
1、選擇右上角,帶感嘆號的旗子,點(diǎn)擊“將此服務(wù)器升級為域控制器”。
2、部署配置,因?yàn)楣局饔蚨家呀?jīng)搭建成功,現(xiàn)在是搭建備域,此時(shí)需要選擇“將域控制器添加到現(xiàn)有域(D)”。在“指定此操作的域信息”中,單擊“選擇”選項(xiàng)。
3、此時(shí)要注意,我們要將備域加入到主域中,此時(shí)"部署操作的憑據(jù)",需要輸入的是主AD域的管理員administrator和密碼,而不是備AD域本身的管理員用戶和密碼。
4、輸入itxiaojishu.com\administrator 主域管理員用戶名和密碼,點(diǎn)擊確定。
5、選擇“新域控制器將駐留的林中的域”中選擇我們之前創(chuàng)建好的主域itxiaojishu.com。此時(shí)會將備域添加到現(xiàn)在的主域中。
6、操作成功后,會出現(xiàn)如下界面。
7、域名系統(tǒng)(DNS)服務(wù)器,全局編錄(GC)也是需要安裝的備域上,站點(diǎn)名稱默認(rèn)。
8、設(shè)置目錄服務(wù)器還原模式(DSRM)密碼。
9、DNS選項(xiàng),下一步。
10、“其它選項(xiàng)”中,“復(fù)制自”,意思就是說,備域控制器,需要從哪個(gè)主域中將活動目錄等信息復(fù)制過來,那肯定是從我們搭建的主域中復(fù)制過來,所以選擇主域控NJAD01.itxiaojishu.com。
11、選中主域控信息后,點(diǎn)擊下一步。
13、選擇默認(rèn)數(shù)據(jù)庫文件夾,下一步。
14、選擇下一步。
15、選擇“安裝”。
16、備域控制器信息正在安裝。
17、安裝成功后,備域控服務(wù)器器會自動重新啟動,重啟完成后,備域控服務(wù)器搭建成功。
1、備域服務(wù)器已經(jīng)搭建成功。
2、查看用戶信息有沒有從主域控制器復(fù)制過來,在備域中,可以看到IT部門已經(jīng)從主域上復(fù)制過來了。
3、人員信息也從主域上復(fù)制過來了。
4、IT部門組策略也復(fù)制到備域控制器了。
5、在備域控制器上,新建OU,新建用戶,測試是否可以同步到主域控制器上。
6、新建OU。
7、新建用戶。
8、在備域控上人員創(chuàng)建成功后。在主域上查看,發(fā)現(xiàn)剛才在備域上創(chuàng)建的OU和人員信息都已經(jīng)同步到主域控制器上了。