Taxitaxitaxi.ru

Эволюшн
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Как настроить время на контроллере домена

Как настроить время на контроллере домена

Как настроить синхронизацию времени во всём домене сразу? И так, чтобы работало дальше само? А когда контроллер домена с ролью PDC изменится, что делать? А если уже синхронизация времени в домене настроена, но работает плохо, как починить?
Обо всём этом читайте в этой статье.

Немного теории

Синхронизация времени в домене может (теоретически) работать сама, безо всяких настроек. Выглядит это обычно так:

  1. Компьютеры домена и серверы синхронизируют свое время с контроллерами домена (с ближайшими к ним).
  2. Контроллеры домена синхронизируют свое время с контроллером домена, которому назначена FSMO роль PDC (в терминах windows 2000 — «первичный контроллер домена»).
  3. Контроллер домена (КД) с ролью PDC синхронизирует время с внешним источником.

Настройка времени для виртуальных … Настройка синхронизации времени по NTP … Установка доменных служб active … Как указать сервер точного времени для …

А дальше — начинаются ньюансы:

  • Если контроллер домена виртуальный, в настройках виртуальной машины должна быть выключена синхронизация времени [с хостом]. Иначе (если, к примеру, хост с виртуальными машинами — в домене): виртуальный контроллер домена будет (автоматически) синхронизировать время с хостом, а хост — с ближайшим контроллером домена, т.е. со своей виртуалкой.
  • Если синхронизация времени уже настроена (вручную или через групповые политики) то задаваемые Вами новые настройки могуть не примениться (несмотря на сообщение successful во всех командах) и тогда потребуется полный сброс настроек синхронизации времени на проблемных компьютерах или контроллерах домена.

Настройка контроллера домена

Для синхронизации времени с контроллером домена на сервере, выполняющем роль эмулятора PDC, с использованием командной строки должны быть выполнены следующие действия:

1. Проверьте, что контроллер домена, на котором вы работаете, является эмулятором PDC, выполнив команду

netdom query fsmo

2. На сервере-эмуляторе PDC запустите следующие команды синхронизации времени в указанном порядке:

net stop w32time

w32tm /configure /syncfromflags:manual /manualpeerlist:",0×1 , 0×1 , 0×1 , 0×1"

Внешним источником времени по умолчанию для Windows Server является сервер Наилучшим вариантом является синхронизация с несколькими серверами времени. В приведенной выше команде мы используем серверы времени, поддерживаемые NTP Pool Project.

net start w32time

w32tm /configure /reliable:yes /update

3. Если в Active Directory имеется несколько контроллеров домена, выполните в командной строке следующую команду:

w32tm /config /syncfromflags:domhier /update

4. Проверьте правильность настроек времени на сервере-эмуляторе PDC:

w32tm /query /status:

5. Проверьте правильность настройки времени на всех остальных контроллерах домена:

w32tm /query /status:

Синхронизация времени в Active Directory

Среди компьютеров, участвующих в Active Directory работает следующая схема синхронизация времени.

  • Контроллер корневого домена в лесу AD, которому принадлежит FSMО-роль эмулятора PDC (назовем его корневым PDC), является источником времени для всех остальных контроллеров этого домена.
  • Контроллеры дочерних доменов синхронизируют время с вышестоящих по топологии AD контроллеров домена.
  • Рядовые члены домена (сервера и рабочие станции) синхронизируют свое время с ближайшим к ним доступным контроллером домена, соблюдая топологию AD.

Корневой PDC может синхронизировать свое время как со внешним источником, так и с самим собой, последнее задано конфигурацией по умолчанию и является абсурдом, о чем периодически намекают ошибки в системном журнале.

Синхронизация времени в Active Directory

Синхронизация клиентов корневого PDC может осуществятся как с его внутренних часов, так и с внешнего источника. В первом случае сервер времени корневого PDC объявляет себя как «надежный» (reliable).

Далее я приведу оптимальную с моей точки зрения конфигурацию сервера времени корневого PDC, при которой сам корневой PDC периодически синхронизирует свое время от достоверного источника в интернете, а время обращающихся к нему клиентов синхронизирует со своими внутренними часами.

Вводим netdom query fsmo. В моем примере, роль PDC и NTP сервера, принадлежит контроллеру dc7

Настройка групповых политик

Для того чтобы действительно убедить ваши компьютеры под Windows использовать настройки времени, получаемые от контроллера домена, необходимо настроить групповые политики.

Чтобы установить новую групповую политику, откройте средство управления политиками на контроллере домена или на компьютере, на котором установлены средства администрирования удаленного сервера. Разверните свой домен. Щелкните правой кнопкой мыши по пункту Group Policy Objects и нажмите New. Дайте новой политике имя и нажмите ОК.

Кликните правой кнопкой по новой политике и нажмите Edit. Это запустит окно редактора политики группы.

Перейдите в Computer Configuration > Policies > Administrative Templates > System -> Windows Time Service > Time Providers. На правой панели дважды щелкните Enable Windows NTP Client. Установите опцию в положение Enabled и нажмите ОК.

Затем дважды щелкните Configure Windows NTP Client. Настройте параметры, как на рисунке ниже, добавив 0×1 в поле NtpServer, чтобы получилось , 0×1.

После сохранения групповой политики закройте редактор. Вы вернетесь в окно консоли управления основной политикой группы.

Если в вашем домене имеется большое количество политик, щелкните правой кнопкой по новой политике и перейдите в GPO Status > User Configuration Settings Disabled. Это ускорит обработку каждой политики.

Читайте так же:
Как отрегулировать давление в москвиче 412

Теперь нажмите правой кнопкой мыши по объекту Active Directory, к которому вы хотите применить эту политику, и нажмите Link an Existing GPO. Выделите новую политику и нажмите ОК. При необходимости повторите действия для других объектов.

Помните, что вложенные объекты наследуют групповую политику от своего родителя, если наследование не заблокировано или у дочернего объекта нет собственной связанной групповой политики с конфликтующими настройками.

Настройка синхронизации времени по NTP с помощью групповых политик

Служба времени Windows, несмотря на кажущуюся простоту, является одной из основ, необходимых для нормального функционирования домена Active Directory. В правильно настроенной среде AD служба времени работает следующим образом: компьютеры пользователей получают точное время от ближайшего контроллера домена, на котором они зарегистрировались. Все контроллеры домена в свою очередь получают точное время от DC с FSMO ролью «Эмулятор PDC», а контролер PDC синхронизирует свое время с неким внешним источником времени. В качестве внешнего источника времени может выступать один или несколько NTP серверов, например или NTP сервер вашего Интернет-провайдера. Также нужно отметить, что по умолчанию клиенты в домене синхронизируют время с помощью службы времени Windows (Windows Time), а не с помощью протокола NTP.

Если вы столкнулись с ситуацией, когда время на клиентах и контроллерах домена различается, возможно, в вашем домене есть проблемы с синхронизацией времени и эта статья будет вам полезна.

В первую очередь выберите подходящий NTP сервер, который вы могли бы использовать. Список общедоступных NTP серверов доступен на сайте . В нашем примере мы будем использовать NTP сервера из пула :

Изменить время на доменном компьютере … Как настроить NTP сервер и … Установка Active Directory Domain … PC360 — Настройка контроллера домена на …

Настройка синхронизации времени в домене с помощью групповых политик состоит из двух шагов:

1) Создание GPO для контроллера домена с ролью PDC2) Создание GPO для клиентов (опционально)

Вручную синхронизация времени с внешним

В настройках времени? (там у меня даже вкладки "Время Интернета" нет). Поподробнее плиз. Где какую галочку убрать?

Скрипт на загрузку системы

Хм, и что, он будет синхронизировать при каждом входе в систему. Мне так не нада. Мне нада чтобы он автоматом синхронизировал, без всяких скриптов. Это мне придется на 1-ом серваке (192.168.0.1) делать скрипт для загрузки:
echo Y|net time /set
net time /setsntp:proxy
где proxy — адрес компа который смотрит в инет

и на втором (дополнительном контроллере домена):
echo Y|net time /set
net time /setsntp:192.168.0.1
где 192.168.0.1 — адрес контроллера домена

Где то я читал что дополнительный контроллер домена синхронизироваться должен автоматически, а у меня ошибки выдает:
NTP-клиент поставщика времени не может достичь или получает неправильные данные о времени от 192.168.0.1 (ntp.m|0x0|192.168.0.20:123->192.168.0.1:123).

NTP-клиент поставщика времени: правильный ответ от контроллера домена 192.168.0.1 не был получен после 8 попыток обращения. Этот узел не будет использоваться в качестве источника времени, а NTP-клиент попытается найти новый узел с этим DNS-именем.

результат команды на дополнительном контроллере домена:

net time /querysntp
The current SNTP value is: 192.168.0.1

The command completed successfully.

результат команды на контроллере домена:

net time /querysntp
The current SNTP value is: proxy

The command completed successfully.

Как все исправить?

Нужно чтобы контроллер домена синхронизироваля с proxy (комп который синхронизируется с инетом), дополнительный контроллер домена (192.168.0.20) синхронизировался с контроллером домена (192.168.0.1). А компы в домене тоже синхронизировали время с доменом.

Хочется чтобы это все автоматически происходило, без всяких скриптов в загрузке.

По сути компы в домене должны автоматически синхронизировать свое время с серваком при входе в домен, или все же нет?

Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Сообщения: 1660
Благодарности: 190

Конфигурация компьютера
Процессор: Intel Core i5 (660)
Материнская плата: Gigabyte GA-P55-UD3L
Память: 4 GBt
HDD: WD3000HLHX + WD7500AARS
Видеокарта: GT-220
Звук: Realtek
CD/DVD: Pioneer DVD-RW DVR-219L
Монитор: VieSonic VA2014w
ОС: Win 7 Pro
Индекс производительности Windows: 5.1

Я сервер времени поднимал на FreeBSD (нет у меня домена), а у виндовых тачек запускал time.reg :

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParameters]
"LocalNTP"=dword:00000001
"type"="NTP"
"ReliableTimeSource"=dword:00000001
"NtpServer"="192.168.0.202"
"Period"=dword:00000024
————————

NtpServer — откуда берем время. Если есть доступ к DNS, можно указывать по именам. Можно указать несколько в одну строку (разделитель — не помню). После загрузки reg-файла надо рестартовать службу времени и поставить ее на автомат.
На вскидку:
http://www.microsoft.com/technet/pro. mspx?mfr=true
http://www.icn.bmstu.ru/services/time/
http://www.networkdoc.ru/insop/win2000.html

Сообщения: 4904
Благодарности: 496

——-
Если сообщение оказалось полезным, нажмите, пожалуйста, соответствующую кнопку.

Сообщения: 11
Благодарности:

Служба времени Windows

2.
Введите следующую строку, где список — это список имен DNS или IP-адресов нужных источников времени:

w32tm /config /syncfromflags:manual /manualpeerlist:

Пробовал, все равно ошибки прут.

NTP-клиент поставщика времени не может достичь или получает неправильные данные о времени от proxy (ntp.m|0x0|192.168.0.1:123->192.168.0.202:123).

Читайте так же:
Последовательность регулировки клапанов змз 402

А откуда сервак знает что 192.168.0.202 это точный сервак времени?
Как сделать чтобы он стал таковым или это все равно с каким компом синхронизацию делать?

Сообщения: 11
Благодарности:

Сообщения: 4904
Благодарности: 496

——-
Если сообщение оказалось полезным, нажмите, пожалуйста, соответствующую кнопку.

Сообщения: 11
Благодарности:

У Вас брандмауэром не перекрыт 123 порт?
Настройки для компьютеров домена можно сделать через Групповые политики — Comp. config. — Adm. Templates — System — Windows Time Service

Сообщения: 11
Благодарности:

У меня был такой вопрос.
Я синхронизацию сервера 192.168.0.1 делаю с 192.168.0.202.
192.168.0.202 — смотрит в инет и синхронизируется с сервером time.windows.com.
Вопрос:
1. Как настроить 192.168.0.1 чтобы он стал надежным источником времени в домене (в локалке)?
2. Чтобы 192.168.0.1 синхронизировал свое время с 192.168.0.202?
3. Чтобы дополнительный контроллер домена (192.168.0.20) синхронизировался с контроллером домена (192.168.0.1)?
4. Чтобы компы в сети синхронизировали свое время с сервером.
5. Может что-то нада сделать на 192.168.0.202, чтобы он давал 192.168.0.1 с собой синхронизироваться?

Что нада для всего этого сделать? Только поподробнее плиз. Все статьи уже перечитал, ничего не помогает.

На серваке 192.168.0.1 (контроллер домена) команда net time /querysntp дает такой результат — Текущее значение SNTP: 192.168.0.202

На дополнительном контроллере домена 192.168.0.20 команда net time /querysntp дает такой результат — Текущее значение SNTP: 192.168.0.1

На прокси 192.168.0.202 оманда net time /querysntp дает такой результат — Текущее значение SNTP: Текущее значение SNTP: time.windows.com,0x1

Но почему то только прокси нормально синхронизируется с инетом. Все остальные между собой не хотят синхронизироваться.

Контроллеры доменов

Хозяин инфраструктуры — это роль на уровне домена, и в каждом домене может быть только по одному хозяину инфраструктуры. Для работы с этими настройками вы должны быть членом группы Domain Admins. Хозяин инфраструктуры отслеживает объекты в своем домене и предоставляет эту информацию всем DC в этом домене. Для этого он сравнивает свои данные с глобальным каталогом, и если имеются отличия, то он запрашивает обновление с глобального каталога. (Глобальный каталог получает регулярные обновления объектов во всех доменах посредством репликации, поэтому данные глобального каталога всегда соответствуют текущему состоянию.)

По сути, данные, которые хранятся на этом DC, — это каталог домена. И здесь имеется источник потенциальной проблемы, поскольку приоритет получает глобальный каталог, и если он находится на DC, который действует как хозяин инфраструктуры , то данные домена никогда не реплицируются на другие DC в этом домене.

У вас не будет подобной проблемы, если у вас только один домен и только один DC в этом домене (поскольку глобальный каталог совпадает с каталогом домена). Кроме того, если все контроллеры домена содержат глобальный каталог, то все эти контроллеры имеют данные на уровне текущего состояния и тогда не имеет значения, какой контроллер домена исполняет роль хозяина инфраструктуры. Информацию по глобальному каталогу см. ниже в разделе «Глобальный каталог».

Чтобы передать роль хозяина инфраструктуры, когда вы работаете на компьютере, который является текущим обладателем этой роли, выполните следующие шаги.

  1. Откройте оснастку Active Directory Users and Computers.
  2. В дереве консоли щелкните правой кнопкой на Active Directory Users and Computers и выберите Connect to Domain Controller.
  3. Введите имя нужного DC или выберите его из списка имеющихся контроллеров домена.
  4. Щелкните на кнопке OK.
  5. В дереве консоли снова щелкните правой кнопкой на Active Directory Users and Computers и выберите All Tasks/Operations Masters.
  6. В диалоговом окне Operations Masters щелкните на вкладке Infrastructure (Инфраструктура).
  7. Щелкните на кнопке Change.
  8. Подтвердите изменение, щелкните на кнопке OK, чтобы убрать сообщение об успешном окончании, и щелкните на кнопке Close.

После этого произойдет передача роли хозяина инфраструктуры указанному компьютеру.

Если вы работаете на DC, которому хотите передать эту роль, то выполните следующие шаги для передачи этой роли от текущего обладателя роли.

  1. Откройте Active Directory Users and Computers.
  2. В дереве консоли щелкните правой кнопкой на Active Directory Users and Computers и выберите All Tasks/Operations Masters.
  3. В диалоговом окне Operations Masters щелкните на вкладке Infrastructure.
  4. Щелкните на кнопке Change.
  5. Подтвердите изменение, щелкните на кнопке OK, чтобы убрать сообщение об успешном окончании, и щелкните на кнопке Close.

После этого произойдет передача роли хозяина инфраструктуры локальному компьютеру.

W32Time

В Windows Server 2003 включена служба времени Windows (W32Time), которая обеспечивает синхронизацию таймеров всех компьютеров Windows 2000/XP/2003 в вашей сети. Ее нельзя назвать простым средством, поскольку с этой службой связаны безопасность Kerberos и другие средства сетевого уровня.

Аутентификация Kerberos не выполняется, если показания времени на клиентском компьютере и на аутентифицирующем DC отличаются более чем на пять минут. Этот интервал называется Maximum Tolerance for Synchronization of Computer Clocks (Максимальный допуск для синхронизации таймеров компьютеров). Вы можете использовать групповую политику, чтобы изменить (увеличить) это значение , но это ослабляет безопасность сети. (Политики Kerberos находятся в Default Domain Policy внутри Computer Configuration Windows SettingsSecurity SettingsAccount PoliciesKerberos Policy .)

Читайте так же:
Схема регулировки оборотов электродвигателя на тиристоре

Репликация зависит также от точности меток времени, поскольку в процессе репликации используется метка «последнего изменения», чтобы определить необходимость репликации данных. Но еще важнее то, что если отличие в значениях времени между двумя DC больше величины Kerberos Maximum Tolerance for Synchronization of Computer Clocks, то аутентификация между этими DC не проводится, а это означает, что не запускаются процессы репликации.

Не менее важно то, что компьютеры с различными значениями времени могут вызвать повреждения при записи в файлы данных. Неточность меток времени может нарушить работу таких функций, как синхронизация автономных файлов и работа над совместными документами.

Ознакомление с иерархией синхронизации времени

В рамках вашего предприятия синхронизация времени конфигурируется на иерархической основе, чтобы каждому компьютеру в сети не приходилось сверять свой таймер с одним компьютером. Вверху этой иерархии находится руководящий сервер времени, выбираемый следующим образом.

  • Для домена этим сервером является хозяин эмулятора PDC.
  • Если у вас несколько доменов, то хозяин эмулятора PDC в первом домене, который вы создали в лесу, является руководящим сервером времени для этого леса.

Все контроллеры доменов Windows Server 2003 и Windows 2000 находятся на втором уровне этой иерархии, и они синхронизируют свои таймеры по этому руководящему серверу времени. Все рядовые серверы и рабочие станции, работающие под управлением Windows 2000 или последующих версий Windows , автоматически синхронизируют свои таймеры по контроллеру домена, который аутентифицирует их.

В Windows Server 2003 (и Windows 2000) предлагается возможность поместить другой сервер времени поверх этой иерархии — как внешний таймер , который считается очень точным. Вы можете сделать так, чтобы ваш руководящий сервер времени синхронизировал свой таймер с этим таймером. См. ниже раздел «Использование внешнего таймера времени», где описывается, как найти и подсоединиться к внешнему таймеру.

Ознакомление с процессом синхронизации

При входе в домен компьютеров, работающих под управлением Windows 2000 или последующих версий, служба времени Windows проверяет время на подходящем компьютере, чтобы определить искомое время,которое должно использоваться как значение времени на этом компьютере. Для контроллеров домена искомое время — это время на руководящем сервере времени. Для всех остальных компьютеров искомое время — это время на аутентифицирующем DC.

Если искомое время не совпадает с временем локального таймера, то выполняющий вход компьютер выполняет следующие шаги, чтобы скорректировать свой таймер.

  • Если искомое время больше локального времени, то W32Time автоматически устанавливает локальное время равным искомому времени.
  • Если искомое время отстает от локального времени на три минуты или меньше, то W32Time «замедляет» локальный таймер, пока не совпадут показания времени.
  • Если искомое время отстает от локального времени более чем на три минуты, то W32Time автоматически приравнивает локальное время к искомому времени.

Синхронизация времени происходит не только в процессе входа — компьютеры периодически продолжают синхронизировать время. Компьютеры один раз за каждый период подсоединяются к компьютерам, которые являются их источниками времени, и каждый компьютер определяет свой период следующим образом.

  • Начальный период составляет 45 минут.
  • Если синхронизация времени успешно проходит три раза подряд с использованием периода 45 минут, то задается новый период, равный восьми часам.
  • Если время не удается синхронизировать три раза подряд, то период остается равным 45 минутам и процесс определения периода продолжается, пока не будут успешно выполнены три последовательные попытки синхронизации.
  • Если после изменения периода на восемь часов время не синхронизируется три раза подряд, то период изменяется на 45 минут и весь процесс начинается заново.

Прежде чем приступить к синхронизации времени, компьютер, на котором устанавливается время, обменивается пакетом данных с компьютером, который задает время. Целью обмена этим пакетом данных является измерение задержки в передаче данных между этими двумя компьютерами. Эта задержка учитывается в расчете при сравнении значений таймеров. Это означает, что услуги времени, предоставляемые через глобальную сеть, столь же эффективны, как и услуги, предоставляемые через локальную сеть.

Синхронизация компьютеров со старыми версиями Windows

На компьютерах со старыми версиями Windows нет службы W32Time, поэтому не существует автоматических проверок для синхронизации времени. Это не является препятствием для аутентификации или соединений, поскольку Kerberos не аутен-тифицирует эти компьютеры. Однако для поддержания точности меток времени в документах или в записях баз данных имеет смысл стараться держать таймеры этих компьютеров как можно ближе к остальным таймерам сети.

Компьютеры со старыми версиями Windows позволяют вручную синхронизировать их таймеры с уже синхронизированным таймером с помощью следующей команды:

<Имя_компьютера> — это имя компьютера в домене, на котором, как вы считаете, работает точный таймер.

/set — указывает компьютеру, что нужно синхронизировать время (а не только проверить время на удаленном компьютере).

/yes — подтверждает, что время на удаленном компьютере следует записать на локальном компьютере.

Вы можете ввести эту команду в пакетном файле и поместить ссылку (значок) на этот пакетный файл в папке Startup меню Programs, чтобы синхронизировать время при каждой загрузке данного компьютера, или можете поместить ссылку на эту команду в значке на рабочем столе и позволить пользователям синхронизировать время по мере надобности.

Читайте так же:
Регулировка фар вольво в40

Кроме того, если ваша сеть охватывает сайты в различных временных зонах (часовых поясах), не беспокойтесь — Windows автоматически вносит поправку на часовые пояса (если вы правильно сконфигурировали ваши компьютеры для их локальных часовых поясов).

Использование сервера внешнего времени

Для служб вашей сети (таких как Kerberos) не имеет значения точность таймеров относительно внешнего мира; главное, чтобы они были синхронизированы между собой в пределах заданного допуска. Но если таймеры всех компьютеров вашей сети синхронизированы между собой, то, конечно, удобнее, если они будут соответствовать остальному миру.

Для этого нужно, чтобы ваш руководящий сервер времени синхронизировал свой таймер с внешним таймером, точность которого гарантирована. А поскольку компьютеры вашего предприятия синхронизируют свое время в соответствии с иерархией, каждый таймер в вашей системе будет показывать точное время.

Имеется два способа, позволяющих вашему руководящему серверу времени синхронизировать свой таймер с внешним миром: приобрести устройство, получающее сигналы со спутников, и подсоединить его к руководящему серверу времени; или использовать Интернет для доступа к внешнему таймеру, показывающему точное время. Я предполагаю, что вы решите выбрать Интернет-вариант, поэтому в оставшейся части этого раздела дам его описание.

Серверы времени доступны по всему миру, и они поддерживаются в виде иерархии. Первичные серверы (уровень 1) наиболее точны, но вторичные серверы (уровень 2) обычно синхронизируются точно с серверами уровня 1 или отличаются всего лишь на несколько тактов от серверов уровня 1. Отличия между серверами уровней 1 и 2 никогда не превышают нескольких наносекунд, и этой величиной, несомненно, можно пренебречь.

  • Список серверов уровня 1 ( stratum 1) находится в http://www.eecis.udel.edu/

Каждый список содержит серверы времени NTP (Network Time Protocol — синхронизирующий сетевой протокол), предоставляемые для открытого доступа, включая любые ограничения на их использование (например, некоторые сайты серверов времени требуют, чтобы вы уведомляли их, что используете их таймер). Списки отсортированы по кодам стран. Вы можете выбирать только те серверы времени, которые используют протокол Simple Network Time Protocol (это протокол, используемый службами времени Windows), и эти серверы помечены как » NTP Servers.»

Если вы не хотите выполнять поиск, то можете использовать предлагаемые Microsoft серверы внешнего времени (все это серверы открытого доступа, то есть у вас не будут запрашиваться полномочия).

Единственный компьютер на вашем предприятии, который может выполнять доступ к серверу внешнего времени, — это ваш руководящий сервер времени (хозяин эмулятора PDC). Чтобы задать синхронизацию времени с внешним NTP -таймером, введите следующую команду в командной строке:

где список-серверов — это один или несколько адресов серверов времени NTP .

Список из нескольких внешних серверов вводится для того, чтобы в случае отсутствия доступа к одному из серверов руководящий сервер времени обращался к следующему серверу в списке. Адреса отделяются друг от друга пробелами, и весь список заключается в кавычки (например, net time /setsntp:»time.windows.com time.nist.gov» ).

Вам достаточно ввести эту команду только один раз, поскольку система записывает список серверов времени NTP в реестр, чтобы ваш руководящий сервер времени синхронизировал свой таймер с внешним источником автоматически. Адреса, которые вы указываете в команде, сохраняются в виде блока, который полностью заменяется, если вы вводите команду снова. Это означает, что если вы добавляете другой адрес, то должны ввести команду с полным списком, включая первоначальные и новые адреса. С другой стороны, если вы не боитесь работать с реестром, то можете добавить новый адрес непосредственно в раздел HKEY_LOCAL_MACHINE SYSTEMCurrentControlSetServicesW32TimeParameters.

Чтобы увидеть текущий список серверов NTP , введите в командной строке на вашем руководящем сервере времени net time /querysntp . Система возвратит адрес(а) серверов внешнего времени.

Устранение неисправностей службы времени Windows

Сводка: В этой статье содержится информация по устранению неисправностей службы времени Windows в домене Active Directory. Свернуть В этой статье содержится информация по устранению неисправностей службы времени Windows в домене Active Directory.

Возможно, эта статья была переведена автоматически. Если вы хотите поделиться своим мнением о ее качестве, используйте форму обратной связи в нижней части страницы.

Симптомы

Служба времени Windows очень важна для Active Directory. По умолчанию аутентификация Kerberos требует, чтобы часы на всех компьютерах в домене были синхронизированы друг с другом в пределах пяти минут после коррекции разницы часовых поясов и перехода на летнее время. Компьютеры, часы которых выходят за пределы этого диапазона, не смогут пройти аутентификацию и поэтому не будут иметь доступа к ресурсам домена.

Причина

В домене AD контроллер домена (DC) с ролью FSMO «Эмулятор PDC» является основным сервером времени для всего домена. Однако это не означает, что каждый компьютер в домене синхронизирует свои часы непосредственно с эмулятором PDC. Другие контроллеры домена синхронизируются с эмулятором PDC, а рядовые серверы и клиенты могут синхронизироваться с любым контроллером домена. В этой иерархии эмулятор PDC должен быть единственным компьютером, на котором настроена синхронизация с внешним источником времени (например, с общедоступным сервером NTP). Все остальные компоненты домена должны быть настроены на синхронизацию с AD. Любая другая конфигурация может привести к потере синхронизации часов.

Читайте так же:
Карбюратор солекс ремонт и регулировка своими руками

Подробные сведения о работе службы времени Windows см. на этом сайте TechNet.

Разрешение

Определите масштаб проблемы

Первым шагом в устранении неполадок службы времени Windows должно быть определение количества затронутых компьютеров. Если только на одном компьютере неправильное время, то действия, необходимые для устранения проблемы, будут отличаться от действий, необходимых для устранения проблемы времени во всем домене.

Если проблема касается только нескольких машин

  1. Если затронутый компьютер работает под управлением Windows Vista или более поздней версии, выполните команду w32tm /query /source в командной строке, чтобы определить источник времени затронутого компьютера. Внешний источник времени должен отображаться только в том случае, если эта команда выполняется на эмуляторе PDC; в противном случае команда должна вывести имя контроллера в домене.
  2. Команда w32tm /query /status также отображает источник времени компьютера и другую потенциально полезную информацию. Параметр /verbose предоставляет дополнительные сведения. Как и в случае первой команды, эти переключатели доступны только на компьютерах под управлением Windows Vista или более поздней версии.
  3. Если указан правильный источник времени, можно использовать команду w32tm /resync для повторной синхронизации часов компьютера с источником времени. При добавлении параметра /rediscover к этой команде компьютер сначала пытается обнаружить сетевые источники времени, а затем выполняет повторную синхронизацию.
  4. Для изменения источника времени компьютера можно использовать одну из следующих двух команд:
    w32tm /config /syncfromflags:DOMHIER /update настраивает компьютер на использование иерархии домена (AD) в качестве источника времени.
    w32tm /config /syncfromflags:MANUAL /manualpeerlist:<список> /update настраивает компьютер на использование серверов времени из <списка> в качестве источника времени.

Если проблема касается всего домена

  1. Если на всех компьютерах в домене указано неправильное время, скорее всего, причиной проблемы является эмулятор PDC. Выполните команду netdom query fsmo на контроллере домена, чтобы определить, какой контроллер имеет роль эмулятора PDC.
  2. Выполните команду w32tm /query /source из командной строки эмулятора PDC, чтобы убедиться, что он настроен на синхронизацию с внешним источником времени. Эмулятор PDC никогда не следует настраивать на синхронизацию с доменом, так как он является основным источником времени домена.
  3. Если эмулятор PDC представляет собой виртуальную машину (ВМ), отключите синхронизацию часов гостевого хоста. Эта процедура различается в зависимости от операционной системы, запущенной на хосте виртуализации.
  4. Чтобы настроить эмулятор PDC для синхронизации с одним или несколькими внешними серверами времени, используйте следующую команду:
    w32tm /config /syncfromflags:MANUAL /manualpeerlist:<список> /update

Настройки реестра службы времени Windows

Команды «w32tm», указанные в описанных выше процедурах, вносят изменения в значения реестра службы времени Windows, которые находятся в следующем разделе реестра:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32Time

Эти значения можно задавать вручную, а не с помощью команд «w32tm». Если вы решите сделать это, вам могут пригодиться следующие веб-сайты:

    (содержит раздел по параметрам реестра)

Групповая политика

Если вы вносите изменения в службу времени Windows с помощью команд «w32tm» или через реестр, но эти изменения не вступают в силу или вступают в силу только на короткое время, а потом происходит возврат к предыдущим значениям, возможно, объект групповой политики (GPO) переопределяет ваши изменения. Параметры групповой политики для службы времени Windows содержат множество одинаковых элементов, которые можно настроить с помощью реестра или команд «w32tm». Эти настройки можно найти в следующем каталоге:

Computer ConfigurationPoliciesAdministrative TemplatesSystemWindows Time Service

Восстановите значения реестра службы времени Windows по умолчанию

Если все другие действия не помогли, эта процедура сбрасывает службу времени Windows до настроек по умолчанию.

  1. Откройте консоль «Службы» и остановите службу времени Windows (или выполните команду net stop w32time из командной строки), если она запущена.
  2. Откройте командную строку с повышенными правами и выполните команду w32tm /unregister, чтобы удалить службу времени Windows из реестра. Служба больше не будет отображаться в консоли «Службы».
  3. Выполните команду w32tm /register, чтобы восстановить службу с настройками реестра по умолчанию.
  4. Внесите необходимые изменения в реестр, затем запустите службу времени Windows в консоли «Службы» или с помощью команды net start w32time.
Затронутый продукт

Servers, Microsoft Windows Small Business Server 2008, Microsoft Windows Small Business Server 2011 Essentials, Microsoft Windows 2008 Server R2, Microsoft Windows 2008 Server Service Pack 2, Microsoft Windows 2012 Server Servers, Microsoft Windows Small Business Server 2008, Microsoft Windows Small Business Server 2011 Essentials, Microsoft Windows 2008 Server R2, Microsoft Windows 2008 Server Service Pack 2, Microsoft Windows 2012 Server, Microsoft Windows 2012 Server R2 Развернуть

голоса
Рейтинг статьи
Ссылка на основную публикацию
Adblock
detector