有的时候客户端无法登录域,除了前面我们谈到的DNS问题,时间同步问题也可能引起不能登录域。
域环境中的时间同步问题常常会引起域用户无法登录域,那么如何解决AD的时间同步问题呢?
首先,我们看一下环境:
客户端:
DC:
通过上面两副截图大家可以发现DC和客户端的时间是不同步的,这样肯定会出问题,那么如何解决呢?
两种解决方法:
一、手动解决:
在客户端打开命令提示符,键入 net time \\DC 查看DC的时间
接着键入:net time \\DC /set 设置客户端与指定主机进行时间同步,之后大家可以通过date 和time 两条命令看到同步后本地时间已经和DC一致。
二、自动解决:
打开服务管理工具,将 “windows time” 服务设置为开机自动启动,并启用。
通过以上的方式实现的客户端和DC的时间同步,但是我们会想为什么微软会设置时间不同步就不能登录域呢?这里主要是考虑到安全性问题,才这样设置的,防止时间欺骗。而微软默认在windows server 2008 域环境中视如何设置同步时间的,时差超过多大就不能登录域了呢?能不能更改呢?不要眨眼,一起向下看:
打开“组策略管理器”选中默认域策略,展开“计算机配置” 展开“安全设置”中的 “账户策略”可以看到“kerberos策略”下有“计算机时钟同步的最大容差” 默认是5分钟。
那这个容差可不可以修改呢?答案是肯定的,我们可以根据安全性的需求和网络环境状态来更改他,当我们安全性需求高时我们可以改的更小一些,当我们的网络环境不允许我们频繁对时或者对时经常失败时,为了保证用户登录域,所以可以把容差时间调整大些。
这里要说明的是“计算机时钟同步的最大容差”是按照格林威治时区的方式进行计算的,所以请在更改这个值得时候考虑好这点再做修改。
本文转自 149banzhang 51CTO博客,原文链接:http://blog.51cto.com/149banzhang/976214,如需转载请自行联系原作者
