域环境中时间同步问题常常会引起域用户无法登录域那么如何解决AD时间同步问题呢?
首先我们看下环境:
客户端:
DC:
通过上面两副截图大家可以发现DC和客户端时间是区别步这样肯定会出问题那么如何解决呢?
两种解决思路方法:
、手动解决:
在客户端打开命令提示符键入 net time \\DC 查看DC时间
接着键入:net time \\DC / 设置客户端和指定主机进行时间同步的后大家可以通过date 和time 两条命令看到同步后本地时间已经和DC致
2、自动解决:
打开服务管理工具将 “windows time” 服务设置为开机自动启动并启用
通过以上方式实现客户端和DC时间同步但是我们会想为什么微软会设置时间区别步就不能登录域呢?这里主要是考虑到安全性问题才这样设置防止时间欺骗而微软默认在windows server 2008 域环境中视如何设置同步时间时差超过多大就不能登录域了呢?能不能更改呢?不要眨眼起向下看:
打开“组策略管理器”选中默认域策略展开“计算机配置” 展开“安全设置”中 “账户策略”可以看到“kerberos策略”下有“计算机时钟同步最大容差” 默认是5分钟
图片看不清楚?请点击这里查看原图(大图)
那这个容差可不可以修改呢?答案是肯定我们可以根据安全性需求和网络环境状态来更改他当我们安全性需求高时我们可以改更小些当我们网络环境不允许我们频繁对时或者对时经常失败时为了保证用户登录域所以可以把容差时间调整大些
这里要介绍说明是“计算机时钟同步最大容差”是按照格林威治时区方式进行计算所以请在更改这个值得时候考虑好这点再做修改
出处: http://angerfire.blog.51cto.com/198455/200494
最新评论