關於分秒必爭域的時間同步問題的解決方法

  有網友有的時候客戶端無法登入域,除了小編談到的DNS問題,時間同步問題也可能引起不能登入域。

  域環境中的時間同步問題常常會引起域使用者無法登入域,那麼如何解決AD的時間同步問題呢?

  首先,我們看一下環境:

  客戶端:

  DC:

  通過上面兩副截圖大家可以發現DC和客戶端的時間是不同步的,這樣肯定會出問題,那麼如何解決呢?

  兩種解決方法:

  一、手動解決:

  在客戶端開啟命令提示符,鍵入 net time \\DC 檢視DC的時間

  接著鍵入:net time \\DC /set 設定客戶端與指定主機進行時間同步,之後大家可以通過date 和time 兩條命令看到同步後本地時間已經和DC一致。

  二、自動解決:

  開啟服務管理工具,將 “windows time” 服務設定為開機自動啟動,並啟用。

  通過以上的方式實現的客戶端和DC的時間同步,但是我們會想為什麼微軟會設定時間不同步就不能登入域呢?這裡主要是考慮到安全性問題,才這樣設定的,防止時間欺騙。而微軟預設在windows server 2008 域環境中視如何設定同步時間的,時差超過多大就不能登入域了呢?能不能更改呢?不要眨眼,一起向下看:

  開啟“組策略管理器”選中預設域策略,展開“計算機配置” 展開“安全設定”中的 “賬戶策略”可以看到“kerberos策略”下有“計算機時鐘同步的最大容差” 預設是5分鐘。

  那這個容差可不可以修改呢?答案是肯定的,我們可以根據安全性的需求和網路環境狀態來更改他,當我們安全性需求高時我們可以改的更小一些,當我們的網路環境不允許我們頻繁對時或者對時經常失敗時,為了保證使用者登入域,所以可以把容差時間調整大些。

  這裡要說明的是“計算機時鐘同步的最大容差”是按照格林威治時區的方式進行計算的,所以請在更改這個值得時候考慮好這點再做修改。