首页> 系统技术> 域客户端时间与域控时间不同步问题排查过程

[文章]域客户端时间与域控时间不同步问题排查过程

收藏
0 3034 0

【摘要】

域环境中,PDC主机角色所在域控制器为时间源,为客户端提供时间服务。默认情况下,客户端计算机和域控制器之间通过"NT5DS(客户端计算机通过域架构模式同步时间)"模式同步时间,理论上加域客户端会自动与域控进行时间同步,但实际环境中往往会因各种因素出现客户端与域控时间不同步问题,本文将介绍一次在实际环境中排查客户端与域控时间不同步的过程。

【正文】

、问题描述

域内经常有客户端出现时间与域控不同步问题,时间偏差从几分钟到几小时均有,而且在手动同步客户端系统时间后,隔段时间仍可能出现与域控时间不同步问题。

、排查过程

1.抽取了几台时间同步存在问题的域客户端(客户端均为物理机),检查确认注册表中的时间同步类型为NT5DSNT5DS同步类型是域内默认的时间同步机制,时源为任一域控制器,默认同步频率为3600秒(同步频率注册表键值为:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\SpecialPollInterval);

2.使用net stop/start w32time命令重启时间服务,结果没有作用;

3.使用w32tm /resync命令同步系统时间时报此计算机没有重新同步,因为没有可用的时间数据错误;


4.检查客户端来源为Time-Service的日志发现警告:客户端会正常联系DC1DC2,但是没有收到有效响应;


5.通过上面的排查结果可以看出客户端使用NT5DS模式同步时间,已经向域控发出时间同步请求,但是没有收到回应,判断可能是客户端与域控之间的联系出现了问题。

6.在时间正常的客户端上运行w32tm /resync,发现有的客户端是报此计算机没有重新同步,因为没有可用的时间数据错误,而有的客户端则可以成功执行命令;

7.使用命令w32tm /query /source检查当前机器的时间同步源,发现运行w32tm /resync报错的客户端的时间同步源均为Free-running System Clock(少数客户端显示Local CMOS Clock),而运行w32tm /resync成功执行命令的客户端时间同步源则显示DC1DC2


8.由此怀疑问题原因可能是用于Windows时间同步服务器的UDP 123端口没有开通,为了进一步验证猜想,我们对客户端做了抓包分析(抓包工具为Network Monitor,下载地址为:https://www.microsoft.com/en-US/download/details.aspx?id=4865抓包时运行多次w32tm /resync命令)分析结果如下:

a)在时间同步正常的生产网计算机上抓的包, 是有UDP端口123向外的请求, 同时得到了域控的答复跟回执;


b)   而在有问题的计算机上, 在我们运行命令” w32tm /resync”, 确实计算机本身有向外请求时间同步的包发出去, 但是域控并没有答复跟回执回来;


9.由此可以判定是由于UDP 123端口没有开启导致的域内客户端与域控时间不同步问题,在开通了UDP123端口后,时间同步有问题的计算机已经可以自动与域控做时间同步。


   、总结分析

1.域客户端与域控制器时间不同步原因:

环境内存在多个网段,部分网段没有开通用于Windows时间服务的UDP 123端口,所以这部分网段的客户端时间同步存在问题。

2.UDP 123端口没有开通应该会导致全部客户端时间同步存在问题,为什么只是偶尔有客户端出现时间不同步问题?

  检查发现域内有一条时间同步组策略,组策略内容是一个开机自启动脚本:net time \\<域控IP地址> /set /y,net time命令是通过RPC获取远程系统上的时间,使用的是RPCTCP 135端口,所以UDP 123端口没有开通不会影响net time命令的运行。客户端每次开机时都会运行该组策略,但如果客户端长期没有关机,当客户端的本机时间与域控时间偏移量较大时,客户端便无法应用域控下发的组策略,也就无法使用ney time命令同步系统时间。

系统技术
最近热帖
{{item.Title}} {{item.ViewCount}}
近期热议
{{item.Title}} {{item.PostCount}}