如何同步加入域的 Windows 实例和 AWS Managed Microsoft AD 的时间？

简述

Windows 计算机可能有一个网络时间协议（NTP）服务器，在加入 AWS Managed Microsoft AD 域之前，在注册表中已预先设置了该服务器。加入域后，Windows 计算机会自动使用所有可用机制同步时间。但是，如果源 NTP 服务器的时间存在差异，则此设置可能会导致出现与时间偏差相关的问题。

在此示例中，在实例加入 AWS Managed Microsoft AD 域之前，NtpServer 参数已预先填充 169.254.169.123,0x9。但是，加入域后，类型 参数会更改为 AllSync。此配置更改可能会导致时间偏差问题。

加入域之前：

PS C:\> w32tm /dumpreg /subkey:parameters | findstr /i "NtpServer Type"
Value Name Value Type Value Data
NtpServer REG_SZ 169.254.169.123,0x9
Type REG_SZ NTP

PS C:\> w32tm /query /configuration | findstr /i "Type NTPServer:"
Type: AllSync (Local)
NtpServer: 169.254.169.123,0x9 time.windows.com,0x8 (Local)

加入域之后：

PS C:\> w32tm /dumpreg /subkey:parameters | findstr /i "NtpServer Type"
Value Name Value Type Value Data
NtpServer REG_SZ 169.254.169.123,0x9 time.windows.com,0x8
Type REG_SZ AllSync

PS C:\> w32tm /query /configuration | findstr /i "Type NTPServer:"
Type: AllSync (Local)
NtpServer: 169.254.169.123,0x9 time.windows.com,0x8 (Local)

解决方案

作为最佳实践，请使用域控制器来确保加入域的 Windows 计算机通过 AWS Managed Microsoft AD 域层次结构同步时间。有关更多信息，请参阅微软网站上的 Windows 时间服务的工作原理以及 Windows 时间服务工具和设置。

先决条件

请务必实现以下先决条件：

• 在加入域的 Amazon Elastic Compute Cloud（Amazon EC2）实例上安装 Active Directory 管理工具。

PS C:\> Install-windowsFeature RSAT-ADDS,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,GPMC,RSAT-DNS-Server
Success Restart Needed Exit Code      Feature Result
------- -------------- ---------      --------------
True    No             Success        {Group Policy Management, DNS Server Tools, . . . }

• 对于您要配置时间同步域层次结构的 AWS Managed Microsoft AD 域，验证 EC2 实例是否已加入这个域。有关详细信息，请参阅Manually join a Windows instance。

配置 AWS Managed AD 域时间层次结构

使用组策略设置来同步 AWS Managed AD 域层次结构中的时间：

1. 使用远程桌面协议（RDP）登录 EC2 实例。然后，将域用户设置为管理员。有关详细信息，请参阅使用 RDP 连接到 Windows 实例。
2. 运行 GPMC.msc 打开组策略管理控制台。
3. 选择域，然后选择 [域名]、[目录 NetBIOS 名称]、计算机。
4. 选择计算机，然后选择在此域中创建 GPO 并将其链接到此处：
   **注意：**计算机对象必须位于组织单位（OU）之下或同一层次结构中的其他 OU 之下。
5. 为 GPO 命名。例如，您可以使用 Domhier Time Syn。然后，选择确定。
6. 选择您刚刚创建的 GPO，然后选择编辑。
7. 选择计算机配置，然后选择管理模板、系统、Windows 时间服务、时间提供商。
8. 选择启用 Windows NTP 客户端，然后选择已启用。
9. 选择确定。
10. 选择配置 NTP 客户端。
11. 选择已启用，然后更改以下参数：
    对于类型，输入 NT5DS。
    在 SpecialPoolInterval 中输入 900。
12. 选择确定。

验证 EC2 实例是否使用时间同步层次结构

要确认域控制器是否正在通过 AWS Managed Microsoft AD 域层次结构同步时间，请完成以下步骤。

有关更多信息，请参阅微软网站上的Group Policy: basic troubleshooting steps for beginners。

1. 使用上一节中的实例强制更新域策略。以管理员身份打开 Windows PowerShell 终端窗口，或打开 Windows PowerShell 管理员窗口，然后运行以下命令：

   PS C:\> gpupdate /force
   Updating policy...
   Computer Policy update has completed successfully.
   User Policy update has completed successfully.

2. 确认 NT5DS 已准备就绪。

   PS C:\> w32tm /query /configuration | findstr /i "Type NTPServer:"
   Type: NT5DS (Policy)

3. 强行显示时间源：

   PS C:\> w32tm /resync /rediscover
   Sending resync command to local computer
   The command completed successfully.

4. 确定实例的同步服务器。在本示例中，IP-C61301F5 是时间源。

   PS C:\>  w32tm /query /status
   Leap Indicator: 0(no warning)
   Stratum: 5 (secondary reference - syncd by (S)NTP)
   Precision: -23 (119.209ns per tick)
   Root Delay: 0.0017265s
   Root Dispersion: 0.2926529s
   ReferenceId: 0xAC1F0DC6 (source IP:  172.31.13.198)
   Last Successful Sync Time: 4/18/2023 12:45:37 PM
   Source: IP-C61301F5.corp.example.com
   Poll Interval: 7 (128s)

5. 确认该服务器是域控制器：

   PS C:\> Get-ADDomainController -Filter * | select name
   name
   ----
   IP-C61301F5
   IP-C6130214

   **注意：**在配置过程中，同步时间的域控制器可能会发生变化。此变化不会导致时间同步出现问题。

6. 检查实例和域控制器之间的时间同步。理想情况下，时差尽可能接近于零。有关更多信息，请参阅微软网站上的 W32tm。

   PS C:\> w32tm /stripchart /computer:IP-C61301F5.corp.example.com /samples:3
   Tracking IP-C61301F5.corp.example.com [172.31.13.198:123].
   Collecting 3 samples.
   The current time is 4/18/2023 12:43:11 PM.
   12:43:11, d:+00.0010085s o:-00.0012111s  [                           *                           ]
   12:43:13, d:+00.0015748s o:-00.0011228s  [                           *                           ]
   12:43:15, error: 0x80072733

相关信息

如何排查 EC2 Windows 实例的时间问题？

为 Windows 实例设置时间

Amazon Windows AMI 的默认网络时间协议 (NTP) 设置