使 ESXi/ESX 时间与 Microsoft 域控制器同步

7877654

Symptoms

配置为使用 Microsoft Windows 2003 或较新版本域控制器的 ESXi/ESX 主机作为时间源，不会将其时钟与默认配置同步。
Resolution

权宜措施

如果使用的是 ESXi/ESX 4.1 Update 1 或更高版本，可以使用以下权宜措施：

在 ESXi/ESX 4.1 和更高版本中使用 Active Directory 集成时，同步 ESXi/ESX 和目录服务之间的时间以规划 Kerberos 安全协议，这一点非常重要。

ESXi/ESX 支持与符合 RFC 5905 和 RFC 1305 的外部 NTPv3 或 NTPv4 服务器同步时间。 Microsoft Windows 2003 和较新版本使用 W32Time 服务以同步 Windows 客户端的时间和规划 Kerberos v5 协议。 有关详细信息，请参见 Microsoft 知识库文章 939322 和 How the Windows Time Service Works。

默认情况下，未同步的 Windows 服务器会选择 10 秒钟的分散性时间并在仍保持同步的每个轮询间隔中添加该分散性。 ESXi/ESX 主机在默认情况下不会接受任何根分散性时间超过 1.5 秒的 NTP 回复。

截至 2013 年 4 月 16 日，上述链接正确无误。 如果您发现某个链接已损坏，请提供反馈，VMware 员工会更新该链接。

配置 Windows NTP 客户端

ESXi/ESX 需要可与其同步的准确时间源。 要使用 Windows 2003 或更高版本的服务器，应将其配置为从准确的上游 NTP 服务器中获取时间。 有关详细信息，请参见 Microsoft 知识库文章 816042。

截至 2013 年 4 月 16 日，上述链接正确无误。 如果您发现某个链接已损坏，请提供反馈，VMware 员工会更新该链接。

在 Windows 服务器上使用注册表编辑器进行配置更改：

注意： 此过程将修改 Windows 注册表。 在进行任何注册表修改之前，请确保拥有最新的有效注册表和虚拟机备份。 有关备份和还原注册表的详细信息，请参见 Microsoft 知识库文章 136393。

    启用 NTP 模式：


        查找 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters

        将 Type 值设置为 NTP。

    启用 NTP 客户端：


        查找 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config

        将 AnnounceFlags 值设置为 5。

    指定要与以下内容同步的上游 NTP 服务器：


        查找 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders

        将 NtpServer 值设置为至少包含 3 个 NTP 服务器的列表。

        示例： 可以将该值设置为：

        1.pool.ntp.org,0x1 2.pool.ntp.org,0x1 3.pool.ntp.org,0x1

        注意： 在 Windows 2008 域控制器上，NtpServer 位于HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters 中。

    指定 15 分钟的更新间隔：


        查找 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient

        将 SpecialPollInterval 值设置为 900。

    重新启动 W32time 服务，以便使更改生效。


配置 ESXi/ESX NTP 和 Likewise 客户端

vSphere Client

将 ESXi/ESX 配置为与 Windows 服务器 Active Directory 域控制器同步时间：

    使用 vSphere Client 连接到 ESXi/ESX 主机或 vCenter Server。

    在清单中单击 ESXi/ESX 主机。

    单击配置选项卡。

    在“软件”标题下方，单击时间配置。

    单击属性。

    确保 NTP 客户端已启用选项处于选中状态。

    单击选项。

    单击 NTP 设置。

    单击添加并指定 Windows 服务器域控制器的完全限定域名或 IP 地址。

    单击确定。

    单击确定以保存更改。

vSphere Web Client

    使用管理员凭据登录到 vSphere Web Client。

    单击主机和群集。

    从列表中选择 ESXi 主机

    单击管理 > 设置。

    展开系统并选择时间配置。

    单击编辑。

    输入 Windows 服务器域控制器信息。

必须从命令行完成其他配置。

ESX/ESXi 4.x 和 5.x

    打开 ESXi/ESX 主机的控制台。 有关详细信息，请参见 Connecting to an ESX host using a SSH client (1019852) 或 Using Tech Support Mode in ESXi 4.1 and ESXi 5.0 (1017910)。

    在文本编辑器中打开 /etc/ntp.conf 文件。 有关详细信息，请参见 Editing configuration files in VMware ESXi and ESX (1017022)。

    在其相关行中添加 tos maxdist 命令：

    tos maxdist 30

    保存并关闭配置文件。

    通过运行以下命令使 /etc/likewise/lsassd.conf 文件可写：

    chmod +w /etc/likewise/lsassd.conf

    在文本编辑器中打开 /etc/likewise/lsassd.conf 文件。 有关详细信息，请参见 Editing configuration files in VMware ESXi and ESX (1017022)。

    找到 sync-system-time 选项，取消其注释并将值设置为 no：

    sync-system-time = no

    保存并关闭配置文件。

    在 ESXi 中，通过运行以下命令将配置更改另存到引导槽，以便在重新引导后可以保留这些更改：

    /sbin/auto-backup.sh

    通过运行以下命令重新启动 ntpd 和 lsassd 服务，以使配置更改生效：

    service lsassd restart
    service ntpd restart

    注意： 要在 ESXi 主机上重新启动 ntpd 和 lsassd 服务，请执行以下命令：

    /etc/init.d/lsassd restart
    /etc/init.d/ntpd restart

如果 ntpd 和 lsassd 服务未重新启动，请首先考虑重新启动管理代理。 有关重新启动管理代理的详细信息，请参见 Restarting the Management agents on an ESX or ESXi Server (1003490)。

ESXi 6.0

    使用 SSH 会话连接到 ESXi 主机。 有关详细信息，请参见 Using ESXi Shell in ESXi 5.x and 6.0 (2004746)。

    在文本编辑器中打开 /etc/ntp.conf 文件。 有关详细信息，请参见 Editing configuration files in VMware ESXi and ESX (1017022)。

    在其相关行中添加 tos maxdist 命令：

    tos maxdist 30

    保存并关闭配置文件。

    运行以下命令以访问 likewise shell：

    /usr/lib/vmware/likewise/bin/lwregshell

    注意： 如果该命令失败并显示以下错误：

    lwregshell (error = 40700 - LWREG_ERROR_NO_SUCH_KEY_OR_VALUE)

    运行以下命令以启动 likewise 服务：

    /etc/init.d/lwsmd start

    之后再运行访问命令访问 likewise shell。

    使用以下命令导航到 HKEY_THIS_MACHINE\Services\lsass\Parameters\Providers\ActiveDirectory 目录：

    cd HKEY_THIS_MACHINE\Services\lsass\Parameters\Providers\ActiveDirectory

    运行以下命令以更改同步时间：

    set_value SyncSystemTime 0

    通过键入 quit 并按 Enter 退出 shell。

    使用以下命令刷新 lsass 服务：

    /usr/lib/vmware/likewise/bin/lwsm refresh lsass

    例如：

    /usr/lib/vmware/likewise/bin/lwsm refresh lsass

    Refreshing service: lsass

    要验证注册表项更改，请运行以下命令：

    /usr/lib/vmware/likewise/bin/lwregshell list_values "
    [HKEY_THIS_MACHINE\Services\lsass\Parameters\Providers\ActiveDirectory]"


配置更改完成后，请确保 ESXi/ESX 主机和 Windows 服务器之间的时间保持同步。 有关详细信息，请参见 Troubleshooting NTP on ESX and ESXi (1005092)。