Лучшая практика для внешнего NTP-сервера в сети Windows AD

У меня есть сеть Windows Hyper-V. У меня есть 2 контроллера домена; оба являются виртуальными машинами. DC1 работает на Host01, а DC2 - на Host02.

На каждом контроллере домена: w32tm /query /source возвращает VM IC Time Synchronization Provider.

На каждом хосте: w32tm /query /source возвращает имя контроллера домена.

Таким образом, виртуальные машины смотрят на хост как на свой источник NTP, а хосты смотрят на виртуальные машины как на свой источник NTP. Очевидно, это не очень хорошо. Я могу изменить контроллеры домена, чтобы они смотрели на внешний NTP-сервер в качестве источника времени - ИЛИ - я могу изменить хост, чтобы он смотрел на внешний NTP-сервер.

Какова лучшая практика и плюсы/минусы того или другого?

Я склоняюсь к тому, чтобы контроллеры домена запрашивали внешний сервер времени, поскольку по умолчанию все компьютеры в сети в любом случае синхронизируют свое время с DC. Это включает хосты и все другие серверы, а также все рабочие станции.

Я где-то читал, что существует потенциальная проблема, когда виртуальная машина вернется к 'VM IC Time Sync' в качестве источника. Кто-нибудь сталкивался с этим? Я не против перепроверять это время от времени, но если что-то вызывает сброс NTP-сервера, я хотел бы знать, почему, и как это предотвратить.

Если я отредактирую свойства Hyper-V для ВМ контроллера домена и сниму флажок Integration Services > Time Synchronization, это изменит /query /source ВМ на Local CMOS Clock. Я упоминаю об этом потому, что независимо от того, отмечен или не отмечен параметр Hyper-V Time Sync на ВМ, я хочу, чтобы источником всегда был внешний NTP сервер, который я указываю.