Taxitaxitaxi.ru

Эволюшн
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Настройка синхронизации времени в домене active directory server 2003

Настройка синхронизации времени в домене active directory server 2003

Внимание ! Решение проблемы связано с внесением изменений в системный реестр. Перед внесением изменений рекомендуется создать архивную копию системного реестра и изучить процедуру его восстановления. Дополнительные сведения об архивировании, восстановлении и изменении реестра см. в следующей статье базы знаний Майкрософт:
256986(http://support.microsoft.com/kb/256986/) Описание реестра Microsoft Windows

Проблема

После запуска средства Dcdiag на контроллере домена под управлением Windows 2000 или Windows Server 2003 появляется следующее сообщение об ошибке.

DC Diagnosis
Performing initial setup:
[DC1] LDAP bind failed with error 31

Если запустить команду REPADMIN /SHOWREPS на контроллере домена в локальном режиме, появляется следующее сообщение об ошибке:

[D:ntprivatedssrcutilrepadminrepinfo.c, 389] Ошибка LDAP 82 (Локальная ошибка).

При попытке получить с контроллера домена доступ к сетевому ресурсу (включая ресурсы с именами в формате UNC и подключенные сетевые диски) появляется следующее сообщение об ошибке:

Отсутствуют серверы, которые могли бы обработать запрос на вход в сеть (c000005e = «STATUS_NO_LOGON_SERVERS»)
После запуска с консоли контроллера домена одного из средств администрирования Active Directory, включая оснастки «Active Directory — сайты и службы» и «Active Directory — пользователи и компьютеры», появляется одно из следующих сообщений об ошибках.

Не удалось найти сведения об именах по следующей причине: Невозможно обратиться за проверкой подлинности в орган сертификации. Обратитесь к администратору и проверьте правильность настройки домена и что домен работает.

Не удалось найти сведения об именах по следующей причине: Конечная учетная запись указана неверно. Обратитесь к администратору и проверьте правильность настройки домена и что домен работает.

Клиенты Microsoft Outlook, подключающиеся к серверу Exchange, который использует данный контроллер домена для проверки подлинности, получают запрос на указание учетных данных, даже если проверка подлинности при входе на других контроллерах домена прошла успешно.

Средство Netdiag отображает следующие сообщения об ошибках.

DC list test . . . . . . . . . . . : Failed
[WARNING] Cannot call DsBind to <servername>.<fqdn> (<ip address>). [ERROR_DOMAIN_CONTROLLER_NOT_FOUND]
Kerberos test. . . . . . . . . . . : Failed
[FATAL] Kerberos does not have a ticket for krbtgt/<fqdn>.
[FATAL] Kerberos does not have a ticket for <hostname>.
LDAP test. . . . . . . . . . . . . : Passed
[WARNING] Failed to query SPN registration on DC <hostname><fqdn>

В журнале системных событий на контроллере домена регистрируется следующая запись.

Тип: Ошибка
Источник: Диспетчер служб
Код (ID): 7023
Описание: Служба «Центр распространения ключей Kerberos» завершена из-за ошибки: Диспетчер защиты (SAM) или локальный сервер (LSA) не смог выполнить требуемую операцию.

Решение

Далее в этой статье расположен список способов устранения таких ошибок. После списка для каждого способа представлен подробный перечень подлежащих выполнению действий. Используйте способы по очереди до полного устранения проблем. В конце статьи приведен перечень статей базы знаний Майкрософт, в которых описаны менее распространенные способы устранения подобных проблем.

Способ 1. Исправление ошибок в службе доменных имен (DNS)
Способ 2. Синхронизация времени компьютеров
Способ 3. Проверка наличия права Доступ к компьютеру из сети
Способ 4. Проверка значения атрибута userAccountControl на контроллере домена
Способ 5. Исправление сферы Kerberos (параметры реестра PolAcDmN и PolPrDmN совпадают)
Способ 6. Сброс пароля учетной записи компьютера и получение нового билета Kerberos

Способ 1. Исправление ошибок в DNS

1.В командной строке введите netdiag -v . В папке, из которой был произведен запуск, эта команда создает журнал Netdiag.log.
2.Перед тем как перейти к выполнению последующих действий, устраните все ошибки DNS, содержащиеся в файле Netdiag.log. Средство Netdiag входит в состав средств поддержки Windows 2000 Server на компакт-диске Windows 2000 Server. Кроме того, загрузить средства поддержки Windows 2000 Server можно с веб-узла корпорации Майкрософт по следующему адресу:

http://www.microsoft.com/windows2000/downloads/servicepacks/sp4/supporttools.asp3.Проверьте конфигурацию DNS. Одна из наиболее распространенных ошибок DNS: контроллер домена указывает для разрешения имен DNS на сервер поставщика услуг Интернета, а не на самого себя или на другой DNS-сервер, который поддерживает динамическое обновление и записи SRV. Оптимальной является конфигурация, при которой контроллер домена указывает на самого себя или на другой DNS-сервер, который поддерживает динамическое обновление и записи SRV. Рекомендуется настроить серверы пересылки на разрешение имен в Интернете через поставщика услуг Интернета

Дополнительные сведения о настройке DNS для службы каталогов Active Directory см. в следующих статьях базы знаний Майкрософт.

Способ 2. Синхронизация времени компьютеров

Убедитесь, что время правильно синхронизировано между контроллерами домена, а также между клиентскими компьютерами и контроллерами домена.

Дополнительные сведения о настройке службы времени Windows см. в следующих статьях базы знаний Майкрософт.

Способ 3. Проверка наличия права «Доступ к компьютеру из сети»

Проверьте файл Gpttmpl.inf и убедитесь, что соответствующим пользователям предоставлено право Доступ к компьютеру из сети на контроллере домена. Для этого выполните следующие действия.

1.Внесите изменения в файл Gpttmpl.inf политики по умолчанию для контроллеров домена. Права пользователей на контроллере домена, как правило, определяются в составе политики по умолчанию для контроллеров домена. Файл Gpttmpl.inf политики по умолчанию для контроллеров домена располагается в следующей папке.

Примечание . Папка Sysvol может находиться в другом месте, однако путь к файлу Gpttmpl.inf остается неизменным.

Контроллеры домена под управлением Windows Server 2003:

Контроллеры домена под управлением Windows 2000 Server:

C:WINNTSysvolSysvol<имя_домена>Policies<6AC1786C-016F-11D2-945F-00C04fB984F9>MACHINEMicrosoftWindows NTSecEditGptTmpl.inf
2.
Справа напротив записи SeNetworkLogonRight добавьте идентификаторы безопасности групп «Администраторы», «Прошедшие проверку» и «Все». См. следующие примеры.

Контроллеры домена под управлением Windows Server 2003:

Контроллеры домена под управлением Windows 2000 Server:

Примечание . Группы «Администраторы» (S-1-5-32-544), «Прошедшие проверку» (S-1-5-11), «Все» (S-1-1-0) и «Контроллеры домена предприятия» (S-1-5-9) имеют хорошо известные одинаковые для любого домена идентификаторы безопасности.
3.
Удалите все данные справа от записи SeDenyNetworkLogonRight (Отказ в доступе к компьютеру из сети). См. следующий пример.

Примечание . Этот пример применим как к Windows 2000 Server, так и к Windows Server 2003.

По умолчанию на компьютере под управлением Windows 2000 Server запись SeDenyNetworkLogonRight не содержит данных, а на компьютере под управлением Windows Server 2003 в ней указана только учетная запись Support_ произвольная_строка. (Учетная запись Support_ произвольная_строка используется удаленным помощником.) Поскольку учетная запись Support_ произвольная_строка имеет в каждом домене уникальный идентификатор безопасности (SID), ее сложно отличить по идентификатору от обычной учетной записи пользователя. Скопируйте идентификатор SID в текстовый файл, а затем удалите его из записи SeDenyNetworkLogonRight (его можно будет скопировать обратно после устранения проблемы).

Свойства SeNetworkLogonRight и SeDenyNetworkLogonRight могут быть определены в составе любой политики. Если выполнение описанных выше действий не приводит к устранению проблемы, проверьте файл Gpttmpl.inf для других политик в папке Sysvol и убедитесь, что права пользователей не определены где-нибудь еще. Если в файле Gpttmpl.inf нет ссылок на свойства SeNetworkLogonRight и SeDenyNetworkLogonRight, значит они не определены с помощью политики и, следовательно, описанные проблемы не могут быть вызваны данной политикой. Если же такие записи существуют, убедитесь, что они соответствуют формату, который был приведен выше для политики по умолчанию для контроллеров домена.

Способ 4. Проверка значения атрибута userAccountControl на контроллере домена

1.В меню Пуск выберите пункт Выполнить и введите команду adsiedit.msc .
2.Последовательно разверните узлы Domain NC , DC= имя_домена и OU=Domain Controllers .
3.Щелкните правой кнопкой мыши контроллер домена и выберите команду Properties .
4.На компьютере под управлением Windows Server 2003 установите на вкладке Attribute Editor флажки Show mandatory attributes и Show optional attributes . На компьютере под управлением Windows 2000 Server выберите значение Both в списке Select which properties to view .
5.На компьютере под управлением Windows Server 2003 выберите в списке Attributes атрибут userAccountControl . На компьютере под управлением Windows 2000 Server выберите атрибут userAccountControl в списке Select a property to view .
6.Если значение атрибута не равно 532480, введите 532480 в поле Edit Attribute , и последовательно нажмите кнопки Set , Apply и OК .
7.Закройте оснастку ADSI Edit.

Способ 5. Исправление сферы Kerberos (параметры реестра PolAcDmN и PolPrDmN совпадают)

Примечание . Этот способ применим только к Windows 2000 Server.
Внимание ! Неправильное использование редактора реестра может привести к возникновению серьезных неполадок, требующих переустановки операционной системы. Корпорация Майкрософт не несет ответственности за неправильное использование редактора реестра. При изменении реестра полагайтесь на свой опыт и знания.

1.Откройте редактор реестра.
2.На левой панели разверните узел HKEY_LOCAL_MACHINESECURITY .
3.В меню Безопасность выберите команду Разрешения , чтобы предоставить локальной группе «Администраторы» право полного доступа к кусту SECURITY, а также вложенным в него объектам и контейнерам.
4.Найдите раздел HKEY_LOCAL_MACHINESECURITYPolicyPolPrDmN.
5.На правой панели один раз щелкните параметр <Без имени>: REG_NONE
6.В меню Вид выберите команду Вывод двоичных данных . В разделе Формат выберите вариант 1 байт .
7.В правой части диалогового окна Двоичные данные отобразится имя домена в виде строки. Имя домена является сферой Kerberos.
8.Найдите раздел HKEY_LOCAL_MACHINESECURITYPolicyPolACDmN.
9.На правой панели два раза щелкните параметр <Без имени>: REG_NONE .
10.В диалоговом окне Редактор двоичных данных вставьте значение из раздела PolPrDmN. (Значение из раздела PolPrDmN — это NetBIOS-имя домена).
11.Перезагрузите контроллер домена.

Способ 6. Сброс пароля учетной записи компьютера и получение нового билета Kerberos

1.Остановите службу центра распространения ключей Kerberos и выберите для нее тип запуска «Вручную».
2.С помощью средства Netdom (входит в состав средств поддержки Windows 2000 Server и Windows Server 2003) выполните для контроллера домена сброс пароля учетной записи компьютера:

netdom resetpwd /server: другой контроллер домена /userd:domainadministrator /passwordd: пароль администратора

Убедитесь, что появилось сообщение об успешном выполнении команды netdom (в противном случае ожидаемый результат достигнут не был). Для домена Contoso, в котором контроллер домена, где наблюдаются проблемы, называется DC1, а работающий контроллер домена — DC2, с консоли DC1 необходимо запустить команду netdom следующего вида:

Управление контроллерами домена в Active Directory

Компьютеры под управлением Windows Server 2003 могут вы­ступать в роли рядового сервера (member server) или контрол­лера домена (domain controller, DC). Хотя все, что обсуждалось в предыдущих разделах этой главы, применимо к любому типу учетной записи компьютера, содержание данного раздела от­носится только к контроллерам домена.

Установка и удаление контроллеров домена

Контроллеры домена выполняют массу важных задач в доме­нах Active Directory. Рядовой сервер можно сделать контрол­лером домена через команду DCPROMO, которая устанавли­вает службы каталогов и назначает рядовой сервер на роль контроллера домена. Если вы запустите DCPROMO второй раз, то вернете контроллеру домена роль рядового сервера.

Поиск контроллеров домена в Active Directory

Если вы хотите работать исключительно с учетными запися­ми контроллеров домена, а не всех компьютеров, используйте команды DSQUERY server и DSGET server. По умолчанию DSQUERY server ведет поиск в вашем домене входа. Факти­чески, если вы просто наберете в командной строке dsquery server и нажмете Enter, то получите список всех контроллеров домена, к которому вы подключены. Если нужно, укажите до­мен для поиска через параметр -Domain, например:

  • dsquery server -domain site1.com

Здесь вы получаете список все контроллеров домена -site1.com. Если вам требуется список всех контроллеров до­менов в целом лесу, введите dsquery server -forest.
Во всех этих примерах вы получаете список DN контролле­ров домена. В отличие от DN, с которыми мы имели дело ра­нее, эти DN включают сведения о конфигурации сайта, скажем:
«CN=C0RPSVR02,CN=Servers,CN=Default-First-Site-Name, CN=Sites, CN=Configuration,DC=site1,DC=com»
Эти дополнительные сведения предоставляются командой DSQUERY server и описывают сайт, где находится сервер. Помните, что домены могут охватывать несколько физических мест, и вы сообщаете Active Directory о них через сайты и под­сети. В этом примере показывается сайт Default-First-Site-Na­me в контейнере Sites().

Как и в случае команд, ориентированных на операции с ря­довыми компьютерами, DSQUERY server и DSGET server луч­ше использовать совместно. DSQUERY server позволяет полу­чить DN одного или нескольких контроллеров домена, а затем передать вывод в DSGET server для отображения свойств со­ответствующих учетных записей. Выводимые свойства опреде­ляются следующими параметрами.

  1. Dn — выводит DN (составные имена) контроллеров доме­на, отвечающих критериям поиска.
  2. Desc — выводит описание контроллеров, удовлетворяющих критериям поиска.
  3. Dnsname — выводит полное доменное имя (FQDN) кон­троллера домена.
  4. iSgC _ выводит значение Yes или No, указывающее, явля­ется ли контроллер домена еще и сервером глобального ка­талога.

Например, если вам нужна детальная сводка обо всех кон­троллерах доменов в лесу, введите команду:

Настройка синхронизации времени в домене active directory server 2003

Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Сообщения: n/a

Так оно и есть. Но меня ломает переводить часы на каждой тачке по наступлению летнего/зимнего времени.

Требуется перевести дату на сервере, а потом чтобы воркстейшны отсинхронили время по серверу.
У меня нет синхронизации по времени с центральным серваком,
знаю, что Винды 2000 сию фичу имеют и работают на данном форнте без проблем, а вот в НТ-ях я сие сделать не могу.
А надо"

Сообщения: 351
Благодарности: 4

net time \servername /set

делаешь бат и шедулишь как хочешь

——-
Взрослые не верят в Деда Мороза. Они голосуют на выборах.

Сообщения: 365
Благодарности: 1

Вывод времени и синхронизация часов компьютера с общими часами
на сервере времени Microsoft Windows для рабочих групп,
Windows NT, Windows 95 или NetWare.

NET TIME [\компьютер | /WORKGROUP:группа] [/SET] [/YES]

компьютер Имя компьютера (сервера времени), предназначенного
для вывода или синхронизации времени.
/WORKGROUP Этот ключ указывает необходимость использования часов
компьютера из другой рабочей группы.
группа Имя рабочей группы, в которую входит нужный компьютер.
При наличии в группе нескольких серверов времени
команда NET TIME использует первый найденный из них.
/SET Синхронизация часов компьютера
с часами указанного компьютера или рабочей группы.
/YES Выполнение команды NET TIME
без предварительного запроса данных или подтверждения.

Эту команду поставь в Шедулер, и чтоб каждую минуту запускалась.
(правда я не знаю как это на траффик повлияет. )

——-
Может поставить Microsoft Windows на ракеты ПВО и *истребители?

Сообщения: n/a

Дык в том весь прикол, что

net time srv /set /y

не стартует с сообщением
Ошибка 1314
Клиент не обладает требуемыми правами.
Это под Вин-2000

Где поправить? Права на синхрон времени имеют токо админы да повер юзера.

Сообщения: 238
Благодарности:

Права на синхрон времени имеют токо админы да повер юзера

Сообщения: 351
Благодарности: 4

——-
Взрослые не верят в Деда Мороза. Они голосуют на выборах.

Сообщения: 1070
Благодарности: 17

Какой шедулер? Не нужно шедулера! вот читаем:

"Чтобы изменить установленные по умолчанию параметры службы W32Time, следует вручную модифицировать параметры в реестре по адресу: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParameters. Для активизации внесенных изменений необходимо перезапустить службу времени W32Time.

По умолчанию, после того как служба W32Time начала свою работу, синхронизация системного времени осуществляется трижды каждые 45 мин до тех пор, пока время не будет успешно синхронизировано (это означает, что локальное время системы будет совпадать с временем сервера — источника времени). После успешного завершения данного этапа согласования системного времени служба времени активизируется каждые 8 ч. Если нужно, чтобы станция выполняла синхронизацию каждый час, следует изменить значение SpecialSkew с типом REG_SZ параметра Period на REG_DWORD и, соответственно, присвоить ему новое десятичное значение, равное 24. Кроме того, можно задействовать строковое значение параметра службы W32Time для описания частоты синхронизации через параметр Period. Например, можно использовать значение DailySpecialSkew для организации процесса синхронизации системного времени каждые 45 мин до успешного завершения процедуры синхронизации, а затем выполнять синхронизацию один раз в сутки; значение WeeklySpecialSkew означает проведение синхронизации каждые 7 дней; TridailySpecialSkew – синхронизация выполняется каждые три дня; и, наконец, BidailySpecialSkew инициирует запуск процедуры согласования времени один раз в два дня."

Настройка сервера времени на домен контроллере

Задача: разобрать действия по организации сервиса времени для всей локальной сети дабы рабочие станции, сервера получали точное время и оно везде было одинаковым . Сервис времени организовывается на домен контроллере под управлением операционной системы Windows Server 2012 R2, также действия ниже аналогичны и для Server 2008 R2

Схема: интернет — Mikrotik — DC — Workstations

Открываю на srv-dc консоль командной строки с правами администратора:

Win + X — Command Prompt (Admin)

Определяю какой домен контроллер (Windows Server 2012 R2 Std) имеет роль PDC если домен контроллеров несколько в домене:

C:Windowssystem32>netdom query fsmo

  • Schema master srv-dc.polygon.local
  • Domain naming master srv-dc.polygon.local
  • PDC srv-dc.polygon.local
  • RID pool manager srv-dc.polygon.local
  • Infrastructure master srv-dc.polygon.local

The command completed successfully.

Как видно из вывода, это контроллер домена srv-dc.polygon.local, подключаюсь теперь к нему по RDP или VNC соединению для выполнения следующих команд:

C:Windowssystem32>net stop w32time

Настраиваем внешний источник времени:

C:Windowssystem32>w32tm /config /syncfromflags:manual /manualpeerlist:»0.pool.ntp.org»

Cделать ваш контроллер домена PDC доступным для клиентов:

C:Windowssystem32>w32tm /config /reliable:yes

Запускаю службу времени:

C:Windowssystem32>net start w32time

Также можно изменения вносить и через реестр в ключе: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParameters

Чтобы после принудительно запросить получение точного времени проделываем:

C:Windowssystem32>W32tm /config /reliable:yes

The command completed successfully.

C:Windowssystem32>W32tm /config /update

The command completed successfully.

C:Windowssystem32>W32tm /resync

Sending resync command to local computer

The command completed successfully.

Вот и все, служба времени Windows начинает синхронизацию времени с внешним источником, посмотреть этот процесс можно так:

C:Windowssystem32>w32tm /query /configuration

После нужно добавить параметр в DHCP оснастку, что сервер времени это наш домен контроллер:

Win + X — Control Panel — Administrative Tools — запускаю оснастку DHCP: DHCP → srv-dc.polygon.local → IPv4 → Scope [10.10.10.0] local → и через правый клик мышью по Scope Options вызываю меню Configure Options… где добавляю опцию для всего домена: 042 NTP Servers

Параметр времени для роли DHCP домен контроллера Server 2012 R2

Теперь доменные Windows станции будут знать, что сервер времени это домен контроллер, а для моих Ubuntu системы после установке sudo apt-get install ntp -y в файле /etc/ntp.conf нужно будет в параметре server указать IP адрес этого домен контроллера и перезапустить службу времени sudo service ntp restart.

Если же у Вас DHCP сервис развернут не на Windows, то донести до всех где брать точное время можно через групповые политики GPO. Создаем GPO_NTP и предопределяем, что ориентирована она будет на текущий домен и все рабочие станции посредством WMI-фильтра.

Открываю оснастку на srv-dc управления групповыми политиками домена:

Win + X — Control Panel — Administrative Tools — Group Policy Management, открываю на редактирование: Group Policy Management → Forest: polygon.local → Domains → polygon.local → и через правый клик мышью по WMI Filters вызываю меню New…

  • Name: W7
  • Decription: Windows 7 x86/x64
  • Queries: → Add
  • Namespace: rootCIMv2
  • Query: Select
    * from WIN32_OperatingSystem where ((Version > «6») and
    (ProductType = 1))

и
нажимаю OK, OK, Save

После перехожу к редактированию групповой политики для рабочих станции домена , через правый клик мышью по GPO_NTP вызываю меню Edit.

Computer Configuration → Policies → Administrative Tools → System → Windows Time Service → Time Providers → Configure Windows NTP Client, включаю ее Enabled и определяю настройки:

Настройки NTP через GPO для рабочих станций

NtpServer: srv-dc.polygon.local,0x9

все остальное оставляю по умолчанию.
После нажимаю Apply & OK.

И не забываем к политике добавить WMI фильтр. В конечном итоге политика должна выглядеть так:

Итоговый вид групповой политики

После когда политика применится к системам согласно WMI-фильтру можно будет проверить куда смотрит рабочая станции если ей нужно точное время:

C:Usersalektest>w32tm /query /status

Индикатор помех: 0(предупреждений нет)

Страта: 4 (вторичная ссылка — синхронизирована с помощью (S)NTP)

Точность: -6 (15.625ms за такт времени)

Задержка корня: 0.0876923s

Дисперсия корня: 7.8503892s

Идентификатор опорного времени: 0x0A0A0A02 (IP-адрес источника: 10.10.10.2)

Время последней успешной синхронизации: 30.04.2017 16:46:38

Интервал опроса: 10 (1024s)

C:Usersalektest>w32tm /monitor

srv-dc.polygon.local *** PDC ***[10.10.10.2:123]:

ICMP: 0ms задержка

NTP: +0.0000000s смещение относительно srv-dc.polygon.local

RefID: ground.corbina.net [85.21.78.91]

На замету: Если же в локальной сети появятся рабочие станции под управлением Windows 8 и выше, то нужно будет модифицировать WMI фильтр.

Но как известно, в случае чего с домен контроллером его роли можно забирать, так может произойти в случае различных проблем. Вот забрали роль PDC и время поехало во всем домене, чтобы этого не произошло нужно создать групповую политику ориентированную только на домен контроллер с ролью PDC: GPO_PDC и WMI фильтр с именем PDC следующего содержания:

Select * from Win32_ComputerSystem where DomainRole = 5

Computer Configuration → Policies → Administrative Tools → System → Windows Time Service → Time Providers → Configure Windows NTP Client, включаю ее Enabled и определяю настройки:

Настройки NTP через GPO для домен контроллера с ролью PDC

NtpServer: 0.pool.ntp.org,0x9

все
остальное оставляю по умолчанию.
После нажимаю Apply & OK.

и Computer Configuration → Policies → Administrative Tools → System → Windows Time Service → Time Providers -> Enable Windows NTP Client включить Enable.

Также параметр Type вместо NT5DS можно использовать и NTP

И не забываем к политике добавить WMI фильтр ← PDC. Теперь не важно кто является домен контроллером, точное время на нем будет.

А раз так, что рабочие станции не обязательно привязывать/создавать к политике назначения точного времени, ведь по умолчанию рабочие станции домена, итак, забирают точное время с контроллера домена по умолчанию.

  • Настраиваю GPO и привязываю ее через WMI фильтр к серверу у которого есть роль PDC
  • В оснастке DHCP указываю параметр кто в домене является сервером у которого клиентским рабочим станциям запрашивать точное время.
  • Если DHCP не на базе Windows, то можно настроить GPO и сделать нацеливание на определенную ось.

На заметку: Если домен контроллер развернут на виртуальной системе, то следует проверить, что время берется не с гипервизора, а через настройку этой заметки.

На заметку: если роль PDC б ыла переназначена на другой сервер, то я советую перезагрузить домен контроллер и все остальные также.

На этом у меня все. Задача выполнена и задокументирована, с уважением автор блога Олло Александр aka ekzorchik.

голоса
Рейтинг статьи
Читайте так же:
Сервера синхронизации времени яндекс
Ссылка на основную публикацию
Adblock
detector