Windows Server 中設定授權時間伺服器

https://support.microsoft.com/zh-tw/help/816042/how-to-configure-an-authoritative-time-server-in-windows-server

懶人法：下載這個檔案 http://go.microsoft.com/?linkid=9729248\
英英美代子法：

手動設定 Windows 時間服務

若要設定內部時間伺服器與外部時間來源同步，請依照下列步驟執行：

1. 將伺服器類型變更為 NTP。 若要執行這項操作，請依照下列步驟執行：
   1. 選取 [開始] > [執行]，輸入 regedit，然後選取 [確定]。
   2. 找出並按一下下列登錄子機碼：
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type
   3. 在右邊窗格中，用滑鼠右鍵按一下 [Type]，然後選取 [修改]。
   4. 在 [編輯數值] 的 [數值資料] 方塊中，輸入 NTP，然後選取 [確定]。
2. 將 [AnnounceFlags] 設定為 5。 若要執行這項操作，請依照下列步驟執行：
   1. 找出並按一下下列登錄子機碼：
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags
   2. 在右邊窗格中，用滑鼠右鍵按一下 [AnnounceFlags]，然後選取 [修改]。
   3. 在 [編輯 DWORD 值] 的 [數值資料] 方塊中，輸入 5，然後選取 [確定]。
      
      
       注意事項
      • 如果授權時間伺服器設定成使用 0x5 的 AnnounceFlag 數值，但無法與上游時間伺服器同步，則當授權時間伺服器和上游時間伺服器的時間重新同步時，客戶端伺服器可能無法正確地與授權時間伺服器同步。 因此，如果您的網路連接不佳或有其他問題，授權時間伺服器同步至上游伺服器時很可能會失敗，此時請將 AnnounceFlag 數值設為 0xA 而不是 0x5。
         
      • 如果授權時間伺服器設定成使用 0x5 的 AnnounceFlag 數值，並以 SpecialPollInterval 中指定的固定間隔與上游時間伺服器同步，則授權時間伺服器重新啟動後，客戶端伺服器可能無法正確地與授權時間伺服器同步。 因此，如果您設定授權時間伺服器以 SpecialPollInterval 中指定的固定間隔與上游 NTP 伺服器同步，請將 AnnounceFlag 數值設為 0xA 而不是 0x5。
3. 啟用 NTPServer。 若要執行這項操作，請依照下列步驟執行：
   1. 找出並按一下下列登錄子機碼：
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer
   2. 在右邊窗格中，用滑鼠右鍵按一下 [Enabled]，然後選取 [修改]。
   3. 在 [編輯 DWORD 值] 的 [數值資料] 方塊中，輸入 1，然後選取 [確定]。
4. 指定時間來源。 若要執行這項操作，請依照下列步驟執行：
   1. 找出並按一下下列登錄子機碼：
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
   2. 在右邊窗格中，用滑鼠右鍵按一下 [NtpServer]，然後選取 [修改]。
   3. 在 [編輯數值] 的 [數值資料] 方塊中，輸入 Peers，然後選取 [確定]。
      
      
       注意：Peers 是以空格分隔的對等裝置清單的預留位置，您的電腦會從中取得時間戳記。 清單所列的每個 DNS 名稱必須都是唯一的。 您必須在每個 DNS 名稱的結尾加上 ,0x1。 如果沒有在每個 DNS 名稱的結尾加上 ,0x1，您在步驟 5 所做的變更將不會生效。
5. 設定時間修正設定值。 若要執行這項操作，請依照下列步驟執行：
   1. 找出並按一下下列登錄子機碼：
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxPosPhaseCorrection
   2. 在右邊窗格中，用滑鼠右鍵按一下 MaxPosPhaseCorrection，然後選取 [修改]。
   3. 在 [編輯 DWORD 值] 的 [底數] 方塊中，按一下以選取 [十進位]。
   4. 在 [編輯 DWORD 值] 的 [數值資料] 方塊中，輸入 TimeInSeconds，然後選取 [確定]。
      
      
       注意：
      • TimeInSeconds 是合理數值的預留位置，例如 1 小時 (3600) 或 30 分鐘 (1800)。 您所選取的值將依輪詢間隔、網路狀況及外部時間來源而定。
      • 在 Windows Server 2008 R2 或更新版本中，MaxPosPhaseCorrection 的預設值為 48 小時。
   5. 找出並按一下下列登錄子機碼：
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxNegPhaseCorrection
       
   6. 在右邊窗格中，用滑鼠右鍵按一下 MaxNegPhaseCorrection，然後選取 [修改]。
   7. 在 [編輯 DWORD 值] 的 [底數] 方塊中，按一下以選取 [十進位]。
   8. 在 [編輯 DWORD 值] 的 [數值資料] 方塊中，輸入 TimeInSeconds，然後選取 [確定]。
      
      
       注意：
      • TimeInSeconds 是合理數值的預留位置，例如 1 小時 (3600) 或 30 分鐘 (1800)。 您所選取的值將依輪詢間隔、網路狀況及外部時間來源而定。
      • 在 Windows Server 2008 R2 或更新版本中，MaxNegPhaseCorrection 的預設值為 48 小時。
6. 關閉 [登錄編輯程式]。
7. 在命令提示字元處輸入下列命令，以重新啟動 Windows Time 服務，然後按 Enter 鍵：
   net stop w32time && net start w32time

Windows 網域控制站診斷工具

dcdiag.exe /s:<Directory Server>[:<LDAP Port>] [/u:<Domain>\<Username> /p:*|<Password>|""]
           [/hqv] [/n:<Naming Context>] [/f:<Log>] [/x:XMLLog.xml]
           [/skip:<Test>] [/test:<Test>]
   /h: 顯示這個說明畫面

   /s: 使用 <Directory Server> 做為主伺服器。在 DcPromo 與
       RegisterInDns 測試時將會略過，因為它們只能在本機執行。
   /n: 使用 <Naming Context> 做為命名內容進行測試
       網域可以使用 Netbios、DNS 或 DN 格式來指定。
   /u: 使用 domain\username 認證進行繫結。
       必須同時使用 /p 選項

   /p: 使用 <Password> 做為密碼。必須同時使用 /u 選項
   /a: 測試這個站台的所有伺服器
   /e: 測試整個企業的所有伺服器。覆寫 /a
   /q: Quiet - 僅顯示錯誤訊息
   /v: Verbose - 顯示延伸資訊
   /i: ignore - 略過非必要錯誤訊息。
   /c: 完整，執行所有測試，包括非預設測試，但排除
       DcPromo 與 RegisterInDNS。可以與 /skip 一起使用
   /fix: fix - 進行安全修復。
   /f: 將輸出重新導向至個別檔案 <Log>
   /x:<XMLLog.xml> 重新導向 xml 輸出到 <XMLLog.xml>。目前只能與 /test:dns 選項一起使用
   /xsl:<xslfile.xsl or xsltfile.xslt> 新增參照指定樣式表的處理指示。只能與 /test:dns /x:<XMLLog.xml> 選項一起使用

   /test:<TestName> - 僅執行這項測試。必要的測試仍會
                      執行。不能與 /skip 共用。

   /skip:<TestName> - 跳過指定的測試。必要的測試仍會
                      執行。不能與 /test 共用。

   已知測試的清單:

        Advertising
             檢查每個 DSA 是否正在宣告它自己，以及是否 在具有 DSA 功能的情況下宣告它自己。

        CheckSDRefDom
             這項測試會檢查所有應用程式目錄 磁碟分割是否具有適當的安全性描述元參照 網域。

        CheckSecurityError
             尋找安全性錯誤 (或那些可能與安全性相關的錯誤)， 並執行問題的初始診斷。 選擇性引數: /ReplSource:<來源 DC> 將
目標設定為特定來源， 而不管它的錯誤狀態。不需要是目前夥伴。
          * 預設不會執行的測試，也就是必須明確要求

        Connectivity
             測試 DSA 是否已註冊 DNS、可以進行 Ping，以及具有  LDAP/RPC 連線。
          * 無法跳過的測試
          * AD/LDS 適用的測試

        CrossRefValidation
             這項測試會尋找某個 部分不正確的交互參照。
          * AD/LDS 適用的測試

        CutoffServers
             檢查伺服器是否因 夥伴關機而接收不到複寫
          * 預設不會執行的測試，也就是必須明確要求
          * AD/LDS 適用的測試

        DcPromo
             測試現有 DNS 基礎結構是否可以升級到網域 控制站。如果基礎結構足夠，則電腦可以升級到 <Active_Directory_Domain
_DNS_Name> 中所指定網域的網域控制站。報告是否 需要對現有 DNS
            基礎結構進行任何修改。 必要引數: /DnsDomain:<Active_Directory_Domain_DNS_Name> 需要下列其中一個引數: /NewFor
est /NewTree
            /ChildDomain /ReplicaDC 如果指定 NewTree，則需要 ForestRoot 引數: /ForestRoot:<Forest_Root_Domain_DNS_Name>


        DNS
             這項測試會檢查整個企業的 DNS 設定健康情況。使用下面的切換參數可以個別執行 子測試。預設會執行所有測試 (但不
含外部名稱解析)         /DnsBasic            (基本測試，無法略過)
                   /DnsForwarders            (轉寄站和根目錄提示測試)         /DnsDelegation            (委派測試)
            /DnsDynamicUpdate            (動態更新測試)         /DnsRecordRegistration            (記錄登錄測試)
            /DnsResolveExtName            (外部名稱解析測試)         /DnsAll            (包含上面所有測試)         /DnsI
nternetName:
                  <內部名稱> (針對測試 /DnsResolveExtName)         (預設值是 www.microsoft.com)
          * 預設不會執行的測試，也就是必須明確要求

        FrsEvent
             這項測試會檢查檔案複寫系統 (FRS) 是否發生任何操作錯誤。SYSVOL 共用複寫失敗， 可能會導致原則問題。

        DFSREvent
             這項測試會檢查 DFS 是否發生任何操作錯誤。

        SysVolCheck
             這項測試會檢查 SYSVOL 是否已就緒。

        LocatorCheck
             檢查全域角色持有者是否為已知、可以找得到，而且正在回應。

        Intersite
             檢查會暫停或暫時暫停站台間複寫的失敗。

        KccEvent
             這項測試會檢查知識一致性檢查程式 是否正在完成，而且未發生錯誤。
          * AD/LDS 適用的測試

        KnowsOfRoleHolders
             檢查 DSA 是否認為它可以辨識角色持有者，並以詳細資訊模式列印這些角色。

        MachineAccount
             檢查電腦帳戶是否具有適當的資訊。如果本機電腦帳戶遺失，請使用 /RecreateMachineAccount 嘗試進行修復。如果電腦
帳戶旗標不正確，請使用 /FixMachineAccount。

        NCSecDesc
             檢查命名內容標頭上的安全性描述元是否具有進行複寫的適當權限。

        NetLogons
             檢查適當的登入權限允許繼續進行複寫。

        ObjectsReplicated
             檢查是否已複寫電腦帳戶 (僅限 AD) 及 DSA 物件。搭配使用 /objectdn:<dn> 與 /n:<nc>，以指定其他要檢查的物件。

          * AD/LDS 適用的測試

        OutboundSecureChannels
             確認安全通道是否來自 /testdomain: 所指定網域中的所有 DC。 /nositerestriction 則會讓測試不侷限於站台中的 DC
。
          * 預設不會執行的測試，也就是必須明確要求

        RegisterInDNS
             測試這個目錄伺服器是否可以登錄目錄伺服器定位器 DNS 記錄。這些記錄必須存在 於 DNS，其他電腦才能找到 <Active_
Directory_Domain_DNS_Name> 網域的這個目錄
            伺服器。報告是否需要對現有 DNS 基礎結構進行任何修改。 必要引數: /DnsDomain:<Active_Directory_Domain_DNS_Name
>

        Replications
             檢查目錄伺服器之間的及時複寫。
          * AD/LDS 適用的測試

        RidManager
             檢查是否可以存取 RID 主機，以及是否包含正確資訊。

        Services
             檢查適當的支援服務是否執行中。
          * AD/LDS 適用的測試

        SystemLog
             這項測試會檢查系統是否正在執行，而且未發生錯誤。
          * AD/LDS 適用的測試

        Topology
             檢查是否已完全連線所有 DSA 的已產生拓撲。
          * 預設不會執行的測試，也就是必須明確要求
          * AD/LDS 適用的測試

        VerifyEnterpriseReferences
             這項測試會確認是否保留每個 DSA 上企業之所有物件中的 FRS 及複寫基礎結構 的特定系統參照。
          * 預設不會執行的測試，也就是必須明確要求

        VerifyReferences
             這項測試會確認是否保留 FRS 及複寫基礎結構的特定系統參照。

        VerifyReplicas
             這項測試會確認是否已完全具體化所有複本伺服器上的所有應用程式目錄分割。
          * 預設不會執行的測試，也就是必須明確要求
          * AD/LDS 適用的測試


        在電腦已經升級為目錄伺服器之後，必須執行
        所有測試 (DcPromo 與 RegisterInDNS 除外)。

        注意: 必須載入適當的字型與語言支援，具有國際或
        Unicode 字元的文字 (命名內容名稱、伺服器名稱等)
        才能正確顯示