Windows Time Service

Windows Time Service的架構如下圖，不過這不是我的重點，看過就好，設定"Input Provider"的NTP來源才是主要問題，如果PDC沒有設定NTP來源的話，通常會吃韌體的時間，是好是壞見仁見智，不過如果要符合ISO的話，建議是要從PDC上設定NTP來讓網域同步。

Windows Time Service工具

w32tm是設定校時的利器，個人常用的有以下幾種情境：

• 沒有設定NTP來源導致時間與主機韌體同步
  總之就設個NTP來同步就解決了，像是下面這樣設定兩個來源(time.windows.com, watch.stdtime.gov.tw)。

w32tm /config /update /manualpeerlist:"time.windows.com,0x1 watch.stdtime.gov.tw,0x1"
w32tm /resync

• 網域內主機NTP來源設定為外部主機，導致與其他網域不同步
  這個問題可能會導致帳號驗證出問題，差超過5分鐘會導致無法驗正帳號，這個Threshold可以到GPO裡的Computer Configuration\Windows Settings\Security Settings\Account Policies\Kerberos Policy設定，如果不是在GPO或Registry裡有設定，先resync再檢查看看就可以與PDC同步了，下面就先設定DC去跟PDC同步，再來個/resync /rediscover(一般主機用/resync /rediscover就夠了)。

w32tm /config /update /syncfromflags:domhier
w32tm /resync /rediscover

• 檢查NTP來源
  有下面幾種方式檢查，檢查PDC與NTP來源差異(/monitor)、檢查Windows Time Service狀態(/query /status)、檢查來源(/query /source)、檢查與特定主機的差異(/stripchart /computer:<TARGET COMPUTER>)。

w32tm /monitor
w32tm /query /status
w32tm /query /source
w32tm /stripchart /computer:AP01

如果網域內主機都設定跟PDC同步的情況下還有不同步的主機，就看下面的流程圖吧，比較容易檢查問題。(當然詳細的問題還是要隨機應變，畢竟問題的原因百百種)
check time service

check synchronization(如果NTP沒設，就設一下吧(NTP Source))

明天來弄Log啦，總覺得進度不夠快阿XD