Windows2012R2里沒有了internet時間，需要使用另外的方式去做時間同步

image

下面分兩個情況

兩個情況，兩個情況都需要用修改組策略的方式來做

情況一

沒有Windows域環(huán)境

集群中的每個服務器都要能上網，每個服務器都要執(zhí)行下面的操作

開啟 NTP Client 服務

1、打開 powershell 終端， 輸入：gpedit.msc，打開組策略管理器

2、執(zhí)行上述命令后，計算機策略對話框打開，按照如下路徑 計算機配置\管理模板\系統(tǒng)\windows 時間服務\時間提供程序 找到服務器設置文件

image

3、雙擊 配置 Windows NTP 客戶端，顯示 配置 Windows NTP 客戶端

4、將 Ntp Server項，輸入將要同步到的時間服務器IP地址（這里輸入阿里云的ntp服務器地址： time.pool.aliyun.com），注意 0x9 或 0x1 必須要有;在 類型 項, 選擇 NTP;點擊 應用、確定 按鈕；

image

5、啟動 NTP 客戶端；啟用NTP客戶端；點擊 應用、確定 按鈕；

image

image

6、執(zhí)行下面命令更新組策略

gpupdate /force

7、檢查W32Time服務是否啟動，啟動類型是否是 自動啟動

image

（1）服務器不能上網，當前環(huán)境有ntpd服務器

在第4步里把ntp server的地址改為內網ntpd服務器的地址即可

（2）服務器必須要能上網，使用公網上的ntpd服務器，例如阿里云的ntpd服務器

情況二

有Windows域環(huán)境

只需要對域控制器執(zhí)行操作，其他域里面的client都不需要動

更改方法跟情況一的一樣，修改組策略-》更新組策略-》檢查W32Time服務是否啟動

如果對client設置了組策略，那么client會用組策略的配置，而不是跟域控制器同步時間

注意點：Windows是使用ntpd命令的方式跟NTP服務器同步時間，也就是當client和server的時間相差太大的時候，client無法與server進行時間同步

也就是，無論是有域環(huán)境還是沒有域環(huán)境，無論是用組策略還是不用組策略都是這樣

這個跟Linux的ntpdate命令 ntpd命令相同，Linux的ntpdate命令無論client與server時間相差多大都可以跟server同步，而ntpd命令當時間相差太大則無法同步

網上還有另一種方法不用修改組策略，但是本人還沒試過

有Windows域環(huán)境，在每臺client里添加一個任務計劃，定時執(zhí)行下面命令

<pre style="margin: 0px; padding: 0px; white-space: pre-wrap; word-wrap: break-word; font-family: "Courier New" !important; font-size: 12px !important;">w32tm /config /syncfromflags:manual /manualpeerlist:time.stdtime.gov.tw
w32tm /config /update</pre>

沒有Windows域環(huán)境，在每臺client里添加一個任務計劃，定時執(zhí)行下面命令

參考文章
https://social.technet.microsoft.com/Forums/zh-TW/8543dc5d-703c-4b49-a60f-683e76e09f09/windows-2012-ad-client?forum=winserver2012zhtw
http://blog.csdn.net/hobbithero/article/details/53349531

內網和公共NTP服務器
https://help.aliyun.com/knowledge_detail/40583.html

更新時間：2016-07-12 15:23:55
內網NTP服務器

阿里云為云服務器ECS提供了內部的NTP時間服務器，如下：

10.143.33.50
10.143.33.51
10.143.33.49
10.143.0.44
10.143.0.45
10.143.0.46
公共NTP服務器

雖然非阿里云的設備不能用阿里云的內網NTP服務器，但是阿里云提供了公共NTP服務器，供互聯網上的設備使用。其主要特性是GPS、北斗授時、原子鐘守時的一級時間源多機房、多鏈路冗余。

服務域名是：

Unix類系統(tǒng)：time1-7.aliyun.com ，time1.aliyun.com，time2.aliyun.com，time3.aliyun.com。。。。。。
Windows： time.pool.aliyun.com
另外，阿里云還提供了其他的互聯網基礎服務，例如：

公共DNS：223.5.5.5/223.6.6.6，域名是 http://www.alidns.com
公共鏡像站：http://mirrors.aliyun.com/ 鏡像同步頻率是每天凌晨2:00-4:00，覆蓋了大多數開源軟件及Linux發(fā)行版。

Linux配置NTP時間同步

一：NTP是網絡時間同步協(xié)議，就是用來同步網絡中各個計算機的時間的協(xié)議。

二：NTP服務端配置

1.檢查系統(tǒng)是否安裝了NTP包（linux系統(tǒng)一般自帶NTP4.2），沒有安裝我們直接使用yum命令在線安裝： yum install ntp

2.NTP服務端配置文件編輯： vim /etc/ntp.conf

結果:

image.png

 # @3新增-權限配置
 restrict 127.127.1.0
 restrict 192.168.31.0 mask 255.255.255.0 nomodify notrap


  # @3改動-注釋掉上級時間服務器地址

  #server 0.centos.pool.ntp.org iburst
  #server 1.centos.pool.ntp.org iburst
  #server 2.centos.pool.ntp.org iburst
  #server 3.centos.pool.ntp.org iburst

  # @4新增-上級時間服務器

  server 127.127.1.0 # local clockfudge 
  127.127.1.0 stratum 10**

2.啟動NTP時間服務器：service ntpd start
3.設置NTP開機自動啟動：chkconfig ntpd on
4.查看NTP是否正常運行：netstat -tlunp | grep ntp
5.配置防火墻過濾規(guī)則：

  /sbin/iptables -I INPUT -p udp --dport 123 -j ACCEPT

如何配置：/etc/sysconfig/iptables 文件內配置開放udp 123端口：

  -A INPUT -p udp --destination-port 123 -j ACCEPT

A.服務端配置文件解釋

①1：設定NTP主機來源（其中prefer表示優(yōu)先主機），192.168.31.134是本地的NTP服務器，所以優(yōu)先指定從該主機同步時間。

  server 192.168.7.49 prefer
  server 0.rhel.pool.ntp.org
  server 1.rhel.pool.ntp.org
  server 2.rhel.pool.ntp.org
  server 3.rhel.pool.ntp.org

②2：限制你允許的這些服務器的訪問類型,在這個例子中的服務器是不容許修改運行時配置或查詢您的Linux NTP服務器

restrict 192.168.0.0 mask 255.255.255.0 notrust nomodify notrap

在上例中，掩碼地址擴展為255，因此從192.168.0.1-192.168.0.254的服務器都可以使用我們的NTP服務器來同步時間

此時表示限制向從192.168.0.1-192.168.0.254這些IP段的服務器提供NTP服務。

  restrict 192.168.0.0 mask 255.255.255.0 notrust nomodify notrap noquery

設置默認策略為允許任何主機進行時間同步

  restrict default ignore

二：NTP客戶端配置

1.檢查安裝NTP服務有沒有安裝，未安裝請自行安裝

2.NTP客戶端配置文件編輯： vim /etc/ntp.conf

image.png

# @1新增-權限配置
restrict 192.168.31.0 mask 255.255.255.0 nomodify notrap
# Use public servers from the pool.ntp.org project.
# Please consider joining the pool (http://www.pool.ntp.org/join.html).
# 注釋掉原來的實際服務器地址
#server 0.centos.pool.ntp.org iburst
#server 1.centos.pool.ntp.org iburst
#server 2.centos.pool.ntp.org iburst
#server 3.centos.pool.ntp.org iburst

# @2新增-自己的時間服務器地址
server 192.168.31.223 prefer 
#<==以這部主機為最優(yōu)先
#broadcast 192.168.1.255 autokey # broadcast server
#broadcastclient # broadcast client
#broadcast 224.0.1.1 autokey # multicast server
#multicastclient 224.0.1.1 # multicast client
#manycastserver 239.255.254.254 # manycast server
#manycastclient 239.255.254.254 autokey # manycast client

3.手動同步一次時間：/usr/sbin/ntpdate192.168.31.134 （服務端主機IP，這里需要先關閉NTP服務哦）
4.啟動NTP服務：service ntpd start
5.觀察時間同步狀況：ntpq -p

結果：

  [root@localhost hct]# ntpq -p remote refid st t when poll reach delay offset jitter==============================================================================***192.168.31.134 **LOCAL(0) 11 u 64 128 377 0.202 73.980 412.834

⑥查看時間同步結果：ntpstat

[root@hct ~]# ntpstat
unsynchronised
polling server every 8 s

同步失敗,同步也需要時間嘛，需等待5-10分鐘再次查詢：

Every 2.0s: ntpstat Tue Jul 11 16:55:57 2017synchronised to NTP server (10.10.11.247) at stratum 12 time correct to within 605 ms polling server every 128 s

OK!時間同步完成，date一下是不是和服務器主機時間一致呢

B.客戶端配置文件詳解

修改/etc/ntp/stpe-tickers文件，內容如下（當ntpd服務啟動時，會自動與該文件中記錄的上層NTP服務進行時間校對

image.png

C.系統(tǒng)時間與硬件時間同步

如果主從服務時間超過1000秒則不再進行同步了，這時候要手動同步，即：/usr/sbin/ntpdate命令，如果怕服務器時差會經常變動比較大可以再Linux中添加計劃任務，例如：

10 5 * * * root /usr/sbin/ntpdate 192.168.31.223 && /sbin/hwclock -w

ntp服務，默認只會同步系統(tǒng)時間。如果想要讓ntp同時同步硬件時間，可以設置/etc/sysconfig/ntpd文件，在/etc/sysconfig/ntpd文件中，添加 SYNC_HWCLOCK=yes 這樣，就可以讓硬件時間與系統(tǒng)時間一起同步。

實際去發(fā)現這個參數是在/etc/sysconfig/ntpdate

[root@iZwz97m0gse3w1ezxl4zc9Z ~]# cat /etc/sysconfig/ntpdate 
# Options for ntpdate
OPTIONS="-U ntp -s -b"
# Number of retries before giving up
RETRIES=2
# Set to 'yes' to sync hw clock after successful ntpdate
SYNC_HWCLOCK=no
[root@iZwz97m0gse3w1ezxl4zc9Z ~]#

D.ntpq -p各個選項相關信息
restrict 控制相關權限。
語法為： restrict IP地址 mask 子網掩碼 參數
其中IP地址也可以是default ，default 就是指所有的IP

參數有以下幾個：
ignore ：關閉所有的 NTP 聯機服務
nomodify：客戶端不能更改服務端的時間參數，但是客戶端可以通過服務端進行網絡校時。
notrust ：客戶端除非通過認證，否則該客戶端來源將被視為不信任子網
noquery ：不提供客戶端的時間查詢：用戶端不能使用ntpq，ntpc等命令來查詢ntp服務器
notrap ：不提供trap遠端登陸：拒絕為匹配的主機提供模式 6 控制消息陷阱服務。陷阱服務是 ntpdq 控制消息協(xié)議的子系統(tǒng)，用于遠程事件日志記錄程序。
nopeer ：用于阻止主機嘗試與服務器對等，并允許欺詐性服務器控制時鐘
kod ： 訪問違規(guī)時發(fā)送 KoD 包。
restrict -6 表示IPV6地址的權限設置。

root@www ~]# vim /etc/ntp.conf
# 1\. 先處理權限方面的問題，包括放行上層伺服器以及開放區(qū)網用戶來源：
restrict default kod nomodify notrap nopeer noquery <==拒絕 IPv4 的用戶
restrict -6 default kod nomodify notrap nopeer noquery <==拒絕 IPv6 的用戶
restrict 220.130.158.71 <==放行 tock.stdtime.gov.tw 進入本 NTP 伺服器
restrict 59.124.196.83 <==放行 tick.stdtime.gov.tw 進入本 NTP 伺服器
restrict 59.124.196.84 <==放行 time.stdtime.gov.tw 進入本 NTP 伺服器
restrict 127.0.0.1 <==底下兩個是預設值，放行本機來源restrict -6 ::1
restrict 192.168.100.0 mask 255.255.255.0 nomodify <==放行區(qū)網來源 

# 2\. 設定主機來源，請先將原本的 [0|1|2].centos.pool.ntp.org 的設定註解掉：
server 220.130.158.71 prefer <==以這部主機為最優(yōu)先
server 59.124.196.83server 59.124.196.84

# 3.預設時間差異分析檔案與暫不用到的 keys 等，不需要更動它：
driftfile /var/lib/ntp/driftkeys /etc/ntp/keys

ntpd、ntpdate的區(qū)別

下面是網上關于ntpd與ntpdate區(qū)別的相關資料。如下所示所示：

使用之前得弄清楚一個問題，ntpd與ntpdate在更新時間時有什么區(qū)別。ntpd不僅僅是時間同步服務器，它還可以做客戶端與標準時間服務器進行同步時間，而且是平滑同步，并非ntpdate立即同步，在生產環(huán)境中慎用ntpdate，也正如此兩者不可同時運行。

時鐘的躍變，對于某些程序會導致很嚴重的問題。許多應用程序依賴連續(xù)的時鐘——畢竟，這是一項常見的假定，即，取得的時間是線性的，一些操作，例如數據庫事務，通常會地依賴這樣的事實：時間不會往回跳躍。不幸的是，ntpdate調整時間的方式就是我們所說的”躍變“：在獲得一個時間之后，ntpdate使用settimeofday(2)設置系統(tǒng)時間，這有幾個非常明顯的問題：
第一，這樣做不安全。ntpdate的設置依賴于ntp服務器的安全性，攻擊者可以利用一些軟件設計上的缺陷，拿下ntp服務器并令與其同步的服務器執(zhí)行某些消耗性的任務。由于ntpdate采用的方式是跳變，跟隨它的服務器無法知道是否發(fā)生了異常（時間不一樣的時候，唯一的辦法是以服務器為準）。
第二，這樣做不精確。一旦ntp服務器宕機，跟隨它的服務器也就會無法同步時間。與此不同，ntpd不僅能夠校準計算機的時間，而且能夠校準計算機的時鐘。
第三，這樣做不夠優(yōu)雅。由于是跳變，而不是使時間變快或變慢，依賴時序的程序會出錯（例如，如果ntpdate發(fā)現你的時間快了，則可能會經歷兩個相同的時刻，對某些應用而言，這是致命的）。因而，唯一一個可以令時間發(fā)生跳變的點，是計算機剛剛啟動，但還沒有啟動很多服務的那個時候。其余的時候，理想的做法是使用ntpd來校準時鐘，而不是調整計算機時鐘上的時間。

NTPD 在和時間服務器的同步過程中，會把 BIOS 計時器的振蕩頻率偏差——或者說 Local Clock 的自然漂移(drift)——記錄下來。這樣即使網絡有問題，本機仍然能維持一個相當精確的走時。

特此聲明轉自：https://www.cnblogs.com/lyhabc/p/6270448.html
https://blog.csdn.net/willinge/article/details/79928726