Windowsドメイン全体での正しい時間ドリフト
私は多くの調査を行いましたが、私たちの問題に対する信頼できる答えを見つけることができませんでした。
短編小説は私たちのWindowsドメイン全体の実行速度が35分遅いです。つまりサーバーとワークステーション。これは、Hyper-VVMに操作マスターの役割が割り当てられているためだと思います。その後、役割を物理サーバーに移しました。残念ながら、私はこれを素晴らしい元サポート会社から受け継いでいます。
私の計画(ただのアイデアです!):
デフォルトドメインの「コンピュータークロック同期の最大許容値」を5分から60分に変更し、GPO)ワークステーションにプッシュアウトされるまで数時間待ちますか?デフォルトですよね?
DCに操作マスターの役割で外部タイムソースを設定します。これにより、他のサーバーとワークステーションが順番に更新されます。
ここで簡単な質問をしていることを確認するために、ネットワーク全体の時間ドリフトを修正するための最も安全で効率的な方法は何ですか?明らかに、DC Kerberos認証で大きな問題が発生します。
許容範囲を上げることはおそらくうまくいくでしょう、しかしあなたはおそらく90分以上を許可したいと思うでしょう。私は少なくとも1日待つでしょう。
追加の考慮事項は次のとおりです。
仮想/ゲストであるドメインコントローラーのハードウェアクロック同期を無効にします。
PDCエミュレーターロールドメインコントローラーを構成して、外部タイムソースと同期します。
次の設定のグループポリシーを使用してレジストリ値を48時間に構成します(MaxNegPhaseCorrection、MaxPosPhaseCorrection 10進数:172800、16進数:0x0002A300)
時刻同期(NT5DS)にドメイン階層を使用するように、他のすべてのドメインコントローラー、メンバーサーバー、およびワークステーションを構成します。
PDCエミュレーターロールドメインコントローラーを外部時刻同期に使用しない場合は、他のインフラストラクチャマスターロールを持つドメインコントローラーであってはなりません。
フォレストのタイムソースの構成
http://technet.Microsoft.com/en-us/library/cc784800%28v=ws.10%29.aspx
Windowsタイムサービスの仕組み
http://technet.Microsoft.com/en-en/library/cc773013%28v=ws.10%29.aspx
AD DS:このドメインコントローラーのMaxPosPhaseCorrectionの値は48時間に等しい必要があります
http://technet.Microsoft.com/en-us/library/dd723684%28v=ws.10%29.aspx