与外网隔离的局域网内各终端设备的系统时间经常存在不同步问题，为保证日常工作的有序开展，提出了计算机域环境下使用NTP同步时钟服务器的时间同步方案。该方案首先使用NTP同步时钟服务器给域控服务器校时，将域控服务器作为二级ntp同步时钟服务器，通过域策略实现局域网内所有终端设备与域控服务器对时，保证各终端设备系统时间的准确性和一致性，提高了信息管理及维护水平。

一、对时方案对比

1.1 Internet网络授时方案

网络授时系统就是通过网络对授时计算机进行授时，实现网络与计算机之间的时间同步。Internet网络授时系统的实现方案是建立授时网站，为用户提供通用的授时软件，用户通过授时软件就能与任何一个时间服务器建立连接，并完成时间传递，从而实现时间同步。这种方式对时精度高，但由于桂林网区终端设备禁止连接互联网，因此无法通过该方式对时。

1.2对时服务器方案

在每台终端设备上安装对时软件，通过广西电网有限责任公司（以下简称“公司”）的对时服务器对时，这种对时方式工作量大，并且无法监测终端设备对时软件安装情况，管控困难。

2.3域环境对时方案

在AD域环境下，AD域中所有的终端设备都会自动与域控服务器进行对时，以保障域管理正常。因此，只要保证域控服务器的时间准确，AD域环境中的所有终端设备的时间就能准确。

二、域环境对时方案

在2台域控服务器上安装公司的对时软件，设置域控服务器与公司的对时服务器对时，确保域控服务器的时间准确，再通过域策略实现所有终端设备与域控服务器对时，从而实现时间同步。系统架构如图1所示。

图1 ntp同步时钟服务器应用结构图

2.1设置域控服务器

将域控服务器作为桌面计算机等终端设备的时间源，需要进行以下设置：

（1）在服务器上面启用NTP对时服务，将

"HKEY_LOCAL_MACHINE\SYSTEM\CurrentCon⁃trolSet\Services\W32Time\Parameters"[Type]设定值修改为“NTP”。当终端设备需要时间服务时，向网络中的域控服务器发出时间请求，域控服务器接到请求后将时间等信息发回到终端设备上，设备用NTP协议的计算方法进行一系列计算，最后得出正确时间。

（2）取消域控服务器与根服务器对时，修改域控注册表，将

[HKEY_LOCAL_MACHINE\SYS⁃TEM\CurrentControlSet\Services\W32Time\TimePro⁃viders\NtpClientr]的“Enabled”由1改为0。

2.2桌面计算机、服务器与域控服务器对时

通过下发域策略，修改桌面计算机与服务器的注册表键值，设置

[HKEY_LOCAL_MACHINE\SYS⁃TEM\CurrentControlSet\Services\W32Time\Parameters]的"Type"="NT5DS"、[HKEY_LOCAL_MACHINE\SYS⁃TEM\CurrentControlSet\Services\W32Time\Time-Pro⁃viders\NtpClient]的"Enabled"=dword:00000001与"EventLogFlags"=dword:00000001设置完成后，由于时间同步机制，设备时间会逐渐调整，直至与对时服务器时间保持一致。

2.3非Windows服务器与域控服务器对时

（1）Linux系统服务器需要通过命令与域控服务器对时，并将命令加入自动作业中，可自动运行对时命令，如下面命令行：

*/5****/usr/sbin/ntpdatexxx.xxx.xxx.xxx（ip地址）//每5min执行1次。

（2）ESXi系统服务器可通过图形界面设置对时，在ESX主机配置中进行时间配置，输入1台域控的IP地址即可，如图3所示。图3ESXi系统NTP服务器设置

2.4网络设备及安全设备与域控服务器对时

以网络设备H3C5820为例，在配置模式下输入“ntp-serviceunicast-serverxx.xx.xx.xx（域控服务器地址）”，即配置NTP服务器的IP地址为域控服务器地址，就可实现网络设备与域控服务器对时。安全设备需要在系统配置中启用NTP服务，并设置NTP服务器地址即可实现对时。

三、应用总结

该方案中的NTP同步时钟服务器采用的是西安同步电子科技有限公司生产的SYN2151型NTP时间同步服务器，完美的实现了整个局域网域环境下的时间同步，切实提高了信息管理及维护水平。