[问题处理]AD相关 时间提供程序 NtpClient 报错处理

  • ~2.98K 字
  • 次阅读

报错信息如下
“时间提供程序 NtpClient: 在尝试联系域控制器 X 8 次以后,仍然没有收到有效的响应。此域控制器将不再作为时间源使用,并且 NtpClient将尝试发现一个新的域控制器来同步。错误为: 无法连接到对等机。”

看到了这篇文章
https://shiyousan.com/post/635774974180847748

有说明原因,但说的很含糊。因为按我的理解,加域的机子都是把内网AD作为NTP Server的。(但实际不是,https://www.azurew.com/windows/windows-server-2016/3098.html,也可以不这么设)
划掉,按个人理解,虽然没有显式的设置以及注明,但实际加域客户端默认都是找AD进行NTP,类似于潜规则。从之前的AD断电导致的客户端时间异常,以及一些相应的文章都表明如此。

https://docs.microsoft.com/zh-cn/troubleshoot/windows-server/identity/configure-authoritative-time-server

https://docs.microsoft.com/en-us/windows-server/networking/windows-time-service/windows-time-service-tools-and-settings
还没折腾完,等会再更

我手头的系统都没有类似设置项,查询的都是看注册表,除了个别设了个内网机子(没报错的那台)
别的都是time.windows.com,0x8或0x9,但是ping不通
理论上Server自己进行过NTP所以应该能用才是

说下个人猜测,默认AD域会自动开启NTP Server,注册表里能看到enable,普通电脑默认不开NTP Server。很可能单纯的是网络问题,原先两个域控,我看提示有问题的那个域防火墙开了,但其他工作或者公共的防火墙是关的。
而另一台刚好相反,别的都开了,把域防火墙关了……………..


发现360这个憨逼似乎会把win32tm相关服务禁用(再结合360浏览器的速度单位M/s,可以确定360是垃圾软件)(这是另一次处理问题发现的) -2022-06-22


问题得到了有效的解决
之前的是事件报告
“时间提供程序 NtpClient 正在从 计算机名(ntp.d|0.0.0.0:123->目的:123) 接收有效的时间数据。”

然后基本每条后面跟最前面那种报错报告。
似乎成功不会进事件,也就是最后日志只能看到16号的。所以后面应该都成功了。
究其原因 123端口是udp的,也就是telnet不通,所以不大好判断。总之是防火墙的锅,所以理论按那个文章写的似乎没有任何意义。
也不知道前任是怎么做出这种奇葩配置的,两个防火墙刚好配的相反(域防火墙应该专门针对域里的机子,然后把公用,工作关了就很emmmm)


又仔细看了下,问题机子还有其他问题,在我来之前已经带病坚持了半年。然后我来了一年,就只动过上面的DHCP

先记一下,之后可能会用到的名词
PDC Emulator: The DC with the Primary Domain Controller Emulator role is the authoritative DC in the domain. The PDC Emulator responds to authentication requests, changes passwords, and manages Group Policy Objects. And the PDC Emulator tells everyone else what time it is! It’s good to be the PDC.

https://www.renanrodrigues.com/post/how-to-configure-ntp-server-in-active-directory-step-by-step



又研究了一下,13天没报错,所以其实是成功了,中间出问题,连续疯狂报错我也没太搞懂。

简单的说,这台问题服务器,实际是配了NTP Server,但是域防火墙一直没关。
理论上域内的NTP Server是自动查询,有啥用啥(没做验证),理论client端不需要做任何配置,可以在client端用w32tm /query /status验证,未加域的机子,不会启用用w32tm,”The Windows Time service (W32Time) synchronizes the date and time for all computers managed by Active Directory Domain Services (AD DS). “说明w32tm是AD域里专用的。
w32tm配置主要还是通过命令行。
NTP Server配置可以见HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/configure-authoritative-time-server

如问题机的type就是NTP,新加的AD是NT5DS(Most domain-joined computers have a time client type of NT5DS, which means that they synchronize time from the domain hierarchy. An exception to this is the domain controller, which functions as the primary domain controller (PDC) emulator operations master for the root forest domain. The PDC emulator operations master in turn is usually configured to synchronize time with an external time source.)
具体type的意思文档里都有



NTP Server 也是用 w32tm 这个命令配置,可以自己看文档(有误)

1
Windows Server 2016 已改进时间同步算法以与 RFC 规范保持一致。 因此,如果要将本地时间客户端设置为指向多个对等节点,我们建议你准备三个或更多不同的时间服务器。

https://docs.microsoft.com/zh-cn/windows-server/networking/windows-time-service/windows-time-service-tools-and-settings

打赏
打赏提示信息
分享
分享提示信息