域环境中时间同步的重要性,不言而喻,尤其是使用了虚拟桌面的情况下,kerberos协议会拒绝对与DC时间相差15分钟以上的终端进行授信。理论上第一台DC会成为域中的时间权威服务器,域内所有的服务器会向DC同步时间,但实际中经常会出问题。另外,DC经常也是以一个VM形式存在于Esxi主机上,并且根据最佳实践,会安装vmtools。在vSphere中,VM会通过vmtools与Esxi主机的时间进行同步,这样就形成了一个死循环,所以我们需要设置让充当DC的VM时间可以与Esxi主机时间不一致,然后让域中的VM和Esxi向DC同步时间,具体步骤为:
1.首先,在域中找到充当PDC的VM
2.在DC主机的高级选项中添加六个参数(添加动作只有在VM关机时才能进行),作用是让DC的时间不通过vmtools去和Esxi同步
3.打开DC,输入regedit在注册表中HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSite\services\W32Time\Parameters,将NtpServer设置成你要想地址或保持默认使用windows时间服务器,将Type类型改为NTP
4.在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSite\services\W32Time\Config中将AnnounceFlags值改为十进制的10 
5.在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSite\services\TimeProvider\NtpClient中将SpecialPollInterval的值改为十进制的600
6.在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSite\services\TimeProvider\NtpServer中确定Enable的值为十进制的1
7.在组策略编辑器里启用时间同步程序,将NtpServer的地址改为DC的地址,类型改为NTP
8.输入命令gpupdate /force刷新组策略。至此,DC上的操作就已完成,接下来修改Esxi host主机的时间服务器
9.找到Esxi主机的时间设置,修改启动策略和时间服务器地址,仅修改此处Esxi主机是不会向指定的DC去同步时间,还需要修改配置文件
10.在安全设置中打开SSH连接
11.使用终端工具连接到Esxi host,输入vi /etc/ntpconf,在末尾添加一行tos maxdist 30,保存并退出
12.之后,保存自动备份并重启NTP服务
13.稍等一会后,能看到所有Esxi主机以及VM的时间都同步了
本文转自 qiao645 51CTO博客,原文链接:http://blog.51cto.com/arkling/1761995
