存储架构

AD DS 域控与成员计算机的时间一致性

微信扫一扫,分享到朋友圈

AD DS 域控与成员计算机的时间一致性
0

一、工作组下的计算机与
TENKNET
时间同步


我们经常会发现计算机的时钟(日期和时间)不正确了。这种情况有时候是人为现象,有时候是计算机的问题。对于工作组下的
PC
机,时钟的偏差可能影响不大,经常关机而又日久年深的
CMOS
上的电池没电就是一种时钟产生偏差的原因。计算机在启动时,特别是台式机由于有了外部电源供电对于常年不关机的服务器不会存在此类现象。计算时间有了偏差,只要我们设置了与
INTELNET
时间服务器定期同步,我们的计算机也会在一定时间内与
INTELNET
上的时间服务器同步。如下图
1.1






(图
1.1




刚才虽然说了
PC
机的时间虽然产生偏差影响不大,但是总是会有影响的,如果让我说一个例子,那恐怕就是
MSN
因为时间问题造成无法登录最让我记忆犹新了。



二、域环境下域控与成员计算机的时间一致性


当计算机网络成为域环境下的时候,必须要保证域内的所有计算机在时间上保持一致性。即使有个别计算机的时钟出现了偏差除非

W32TIME

服务不工作或者异常,域内的计算机会在一个时间段内自动同步时间,保持一致。









有一些朋友可能会感觉到不理解,为什么要让域中所有的计算机时间保持一致?这是因为

通常情况下,
ADDS
域成员都会启动
windows time (w32time)
服务,
w32time
服务通过
NTP
协议访问目标时钟服务器的
123
端口进行实践同步。它会自动与域
DC
进行时间同步,无需人为干涉。而保持域内时间的同步是
kerberos
认证协议的一个基本要求,如果域成员客户机与
DC
的时间相差太大的话,它的登录将不能成功。我们设想一下,如果一个用户被设置为在
2013

1

9

18

00
时因为密码到期而被禁用。如果
DC
与域成员计算机的时钟存在偏差,一个事现在
19:00
,另一个事
17:00
那么到底以谁的为准呢?这个用户究竟是可不可以登录呢?不光是登录问题,时间的不一致性也会造成例如计划任务等依靠时间才能正确完成的所有任务。同时,时间一致性也是为了防止重放攻击的一种手段。关于重放攻击,请参考百度百科:




http://baike.baidu.com/view/1569933.htm










现在我们来谈第二个问题,在一个域中如果存在多个
DC
,那么我们究竟以哪台
DC
作为时间一致性的基准呢?答案就是操作主机中扮演
PDC
角色的那台主机。






让我们了解一下时间一致性的时钟同步过程吧:





1).

客户端与
DC
做时钟同步;





2).DC

与本域
PDC
做时钟同步;





3).PDC

与林根域
PDC
同步时钟;





4).

域或林的
PDC
与外部时钟源同步时钟;






有了这样一个顺序的过程,正常情况下,域成员服务器会定期与域控制器做时间同步,保持时间的一致性,而林的
PDC
与外部时钟源做同步,保持世界时间的一致性。




三、域成员计算机与域控制器如何做到时钟同步



1

、首先无论是

DC

还是域成员计算机都会启动

windows time

服务来保持时间和日期的同步,如下图

3.1.1







(图
3.1.1



上面截图中实际上来自
2
台计算机左边是域控的服务截图,右边是一台成员服务器的截图。从服务的描述中我们可以看出维护的是客户端和服务器端的时间同步,那么如此看来时间同步实际上也是基于
C/S
模式的,客户端要与服务器端的时间同步,按照这个理论左边的
DC
就是
NTP

SERVER
端,而右边的成员服务器就是
NTP

CLIENT
端。我们如何来验证这个结论呢,别着急,我们在注册表中有一个值能证明,如下图

3.1.2



(图
3.1.2


我现在说一下这个值的注册表完整路径:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProviders

NtpServer


内的「

Enabled

」设定为

1

,打开

NTP

服务器功能



因为默认情况下,

WINDOWS SERVER

是作为

NTP

客户端工作的


,所以右边的


Enabled

」设定为

0

,而右边恰恰是一台成员服务器。而左边「

Enabled

」设定为

1

,成为了

NTP

服务器,恰恰这个是一台

DC

,而且这台

DC

还是

PDC

。查看

PDC

的方法如下图


3.1.3


(图

3.1.3





因为我这里是一个很简单的单域环境,所有的操作主机都在一台

DC

上,所以这台

DC

也扮演

PDC

的角色,根据

PDC

的功能之一就是做时间同步,所以域内的计算机时间最后都会与这台

DC

进行时间同步。关于操作主机

PDC

,可以参考宋

SIR

的文章:




http://angerfire.blog.51cto.com/198455/211943/




那么我们最后再说一下林

PDC

是如何与外部时钟源做同步呢?这个问题我们还要通过

DC

中的注册表中来查看。




HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeConfig
下的
AnnounceFlags

5
.该设定强制主机将它自身宣布为可靠的时间源
,
但是如果是默认的
10
,就证明采用外面的时间服务器。如下图
3.1.4












(图
3.1.4

而在
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParameters

NtpServer
的值指明了外部时钟源服务器的地址,如下图3.1.5



(图
3.1.5


阅读原文...


Avatar

Last Class of the Semester

上一篇

技术人创业建站简略指南(第二季)

下一篇

您也可能喜欢

评论已经被关闭。

插入图片
AD DS 域控与成员计算机的时间一致性

长按储存图像,分享给朋友