Taxitaxitaxi.ru

Эволюшн
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Синхронизация времени с контроллером домена. Настройка синхронизации времени

Синхронизация времени с контроллером домена. Настройка синхронизации времени

Синхронизация системного времени в домене Active Directory имеет значение для корректной работы многих функций на пользовательских рабочих станциях под Windows. Сбившиеся системные часы могут повлиять на способность пользователя войти в систему, нарушить движение почты в Exchange и создать массу других проблем, которые достаточно трудно обнаружить.

В сложных случаях стандартные методы синхронизации времени в сети не являются на сто процентов надежными или даже предсказуемыми. К примеру, если часы физического хоста Hyper-V перестают синхронизироваться, это обычно сказывается на всех виртуальных машинах, иногда катастрофически. К счастью, не требуется много усилий, чтобы исправить ошибки синхронизации времени.

синхронизация времени с контроллером домена

Выбор компьютера в качестве источника времени

Первое, что необходимо сделать перед настройкой синхронизации времени, – выбрать компьютер, который станет основным источником системного времени в вашем домене.

Как правило, в качестве такого источника выбирается компьютер, который в Active Directory обладает ролью эмулятора первичного контроллера домена (PDC). Согласно официальной документации Microsoft, именно он должен являться главным ресурсом, от которого сеть получает данные о времени. Однако на практике это не всегда возможно.

Машина, которую вы выберете, будет регулярно консультироваться с интернет-источниками, поэтому, если вы находитесь на строго охраняемом объекте с высокими требованиями к информационной безопасности, следует задуматься о делегировании этой роли другому компьютеру.

К примеру, можно создать выделенный сервер, который будет получать информацию о времени из Интернета и передавать ее эмулятору PDC. В этом случае у вас будет несколько компьютеров, служащих источниками времени для машин, включенных в сеть.

Настройка брандмауэра

Трафик при синхронизации времени с контроллером домена поступает на UDP-порт 123. На компьютере, служащем источником времени, данный порт необходимо открыть для входящих соединений. На всех машинах в сети порт 123 должен быть открыт для исходящих соединений, по крайней мере с контроллером домена.

Настройка контроллера домена

Для синхронизации времени с контроллером домена на сервере, выполняющем роль эмулятора PDC, с использованием командной строки должны быть выполнены следующие действия:

1. Проверьте, что контроллер домена, на котором вы работаете, является эмулятором PDC, выполнив команду

netdom query fsmo

2. На сервере-эмуляторе PDC запустите следующие команды синхронизации времени в указанном порядке:

net stop w32time

w32tm /configure /syncfromflags:manual /manualpeerlist:»0.us.pool.ntp.org,0x1 1.us.pool.ntp.org, 0x1 2.us.pool.ntp.org, 0x1 3.us.pool. ntp.org, 0x1″

Внешним источником времени по умолчанию для Windows Server является сервер time.windows.com. Наилучшим вариантом является синхронизация с несколькими серверами времени. В приведенной выше команде мы используем серверы времени, поддерживаемые NTP Pool Project.

net start w32time

w32tm /configure /reliable:yes /update

3. Если в Active Directory имеется несколько контроллеров домена, выполните в командной строке следующую команду:

w32tm /config /syncfromflags:domhier /update

4. Проверьте правильность настроек времени на сервере-эмуляторе PDC:

w32tm /query /status:

5. Проверьте правильность настройки времени на всех остальных контроллерах домена:

w32tm /query /status:

cинхронизация времени в домене

Настройка DHCP

Для того чтобы обеспечить синхронизацию времени с контроллером домена на устройствах, отвечающих за DHCP, в настройках DHCP-сервера установите параметры 004 и 042.

настройка синхронизации времени

Для записей DHCP вы можете использовать только IP-адреса. Вы можете ввести имя сервера и нажать Resolve, чтобы получить IP-адрес сервера.

Если вы используете DHCP с помощью устройства Cisco, в настройках DHCP введите следующие команды:

option 4 ip [IP-адрес]

option 42 ip [IP-адрес]

IP-адрес следует заменить на фактический IP сервера, служащего источником времени.

Теперь все DHCP-устройства получат настройки времени от сервера при следующем обновлении.

Настройка статических устройств и компьютеров под другими ОС

Большинство устройств NAS и SAN имеют возможность ввода информации о сервере-поставщике настроек времени.

Чтобы настроить синхронизацию времени с контроллером домена на устройствах Cisco IOS, в командной строке введите:

ntp server 192.168.25.5

IP-адрес следует заменить на фактический IP сервера, служащего источником времени.

Чтобы настроить синхронизацию времени на компьютере под операционной системой, отличной от Windows, обратитесь к документации операционной системы. Впрочем, для других ОС корректные настройки времени не так важны, как для Windows, поэтому от синхронизации можно даже отказаться.

Настройка гостевых виртуальных машин

Все современные гипервизоры имеют возможность синхронизации системного времени для гостевых машин с помощью встроенных инструментов. Если синхронизация времени в домене включена, гостевые машины будут получать время с физического хоста, на котором они запущены.

В большинстве случаев нужно отключить эту функцию для гостевых машин Windows Server, которые служат в качестве виртуализированных контроллеров домена. Для всех остальных гостей она должна быть включена.

Для настройки синхронизации времени с контроллером домена в гипервизоре Hyper-V откройте диалоговое окно Settings и перейдите на вкладку Integration Services. Снимите или установите флажок Time Synchronization. Для других гипервизоров обратитесь к документации производителя.

команда синхронизации времени

Настройка групповых политик

Для того чтобы действительно убедить ваши компьютеры под Windows использовать настройки времени, получаемые от контроллера домена, необходимо настроить групповые политики.

Читайте так же:
Регулировка ремней безопасности ланос

Чтобы установить новую групповую политику, откройте средство управления политиками на контроллере домена или на компьютере, на котором установлены средства администрирования удаленного сервера. Разверните свой домен. Щелкните правой кнопкой мыши по пункту Group Policy Objects и нажмите New. Дайте новой политике имя и нажмите ОК.

синхронизация времени на компьютере

Кликните правой кнопкой по новой политике и нажмите Edit. Это запустит окно редактора политики группы.

Перейдите в Computer Configuration > Policies > Administrative Templates > System -> Windows Time Service > Time Providers. На правой панели дважды щелкните Enable Windows NTP Client. Установите опцию в положение Enabled и нажмите ОК.

Затем дважды щелкните Configure Windows NTP Client. Настройте параметры, как на рисунке ниже, добавив 0x1 в поле NtpServer, чтобы получилось yourdc.yourdomain.tld, 0x1.

ошибка синхронизации времени

После сохранения групповой политики закройте редактор. Вы вернетесь в окно консоли управления основной политикой группы.

Если в вашем домене имеется большое количество политик, щелкните правой кнопкой по новой политике и перейдите в GPO Status > User Configuration Settings Disabled. Это ускорит обработку каждой политики.

Теперь нажмите правой кнопкой мыши по объекту Active Directory, к которому вы хотите применить эту политику, и нажмите Link an Existing GPO. Выделите новую политику и нажмите ОК. При необходимости повторите действия для других объектов.

синхронизация времени в домене

Помните, что вложенные объекты наследуют групповую политику от своего родителя, если наследование не заблокировано или у дочернего объекта нет собственной связанной групповой политики с конфликтующими настройками.

Настройка других контроллеров домена

Если вы выполните описанные выше шаги для обеспечения синхронизации времени в домене, то почти гарантированно настроите получение корректного времени всеми компьютерами в сети. Поэтому другие контроллеры домена (если у вас их несколько) можно не трогать.

Однако если вы хотите быть уверенными, что они используют правильное время, вы можете отредактировать локальную групповую политику. Перейдите в меню Пуск > Выполнить и введите gpedit.msc. Нажмите ОК.

Затем используйте те же настройки, что приведены в предыдущем разделе. Если контроллер домена, на котором вы хотите работать, управляется Windows Server Core, вы можете сделать это удаленно, при условии, что такая возможность разрешена сетевым экраном. Просто запустите mmc.exe на компьютере с графическим интерфейсом, откройте пункт меню File > Add/Remove Snap-In, дважды щелкните Group Policy Object Editor и перейдите на компьютер, на котором вы хотите отредактировать групповую политику.

Проверка результата

Запустите на любом Windows-компьютере в сети командную строку с правами администратора и введите:

w32tm / query / source

В результате выполнения команды на контроллере домена будет возвращен адрес одного из серверов NTP, которые были заданы в качестве внешних источников времени из Интернета.

На пользовательской рабочей станции команда вернет адрес контроллера домена.

На виртуальной машине Hyper-V с включенной синхронизацией времени вы должны увидеть сообщение: VM IC Time Synchronization Provider.

Если команда сигнализирует, что время определяется по локальным CMOS-часам, синхронизация времени в домене не работает.

Страна Админа

За 2020 год из пары десятков тысяч посетителей, набралось всего пару десятков перечислений от 50 до 300 рублей.

Пустяк в денежном выражении, но большая ценность для автора. Посмотрим что год грядущий нам готовит ))

Сумма абсолютно не важна — главное участие.

NTP в домене Windows

Текст:

Казалось бы, по теме синхронизации времени в домене Windows написаны десятки подробных статей статей, например, качественная How the Windows Time Service Works.

Но пытаясь объяснить поведение ОС при изменении части настроек столкнулся с большими затруднениями — в статьях оказалось много пробелов, а местами и неточностей. На опыты и уяснение их результатов ушло несколько дней. Надеюсь статья поможет вам сэкономить время и посвятить его более приятным занятиям.

Начнем. Зачем нам в домене нужно точное время на всех компьютерах?

Во-первых из-за Kerberos. Компьютер начинает проверку своей подлинности на контроллере с посылки Authentication Service Request (AS_REQ). Составной частью пакета является зашифрованная отметка времени. На котроллере домена отметка времени сравнивается с текущим временем системы и при разнице более 300 секунд запрос отклоняется. Эта мера безопасности затрудняет передачу измененных AS_REQ.

Во-вторых из-за приложений. Практически во всех государственных и финансовых организациях требуется фиксировать точное время произведенных операций.

Если в первом случае, достаточно синхронизировать время внутри домена, то во втором необходима также синхронизация с внешним источником точного времени. Это может быть собственный NTP сервер, построенный на базе устройств спутниковой навигации GPS или ГЛОНАСС. Но обычно используются бесплатные NTP сервера доступные в Интернет.

В теории все получается просто, при вводе в домен на компьютерах автоматически настраиваются параметры и все клиентские станции начинают синхронизировать свое время с домен контроллером на котором они прошли аутентификацию. В свою очередь контроллеры домена синхронизируются с контроллером на котором находится FSMO роль PDC. По умолчанию, PDC синхонизируется с time.windows.com и его необходимо вручную настроить на нужный источник. Чтобы разобраться в текущей ситуации, можно последовательно выполнить команду

Читайте так же:
Регулировка клапанов на дизельном погрузчике

w32tm /query /peers

на рабочей станции, на домен контроллере с которого она берет время и на PDC.

Поняв текущую схему, можно переходить к изменениям настроек. Здесь нужно понимать, что есть сервис Windows Time (W32Time) и его субкомпонент который переводит часы на компьютере или изменяет их тактовую частоту. Сейчас мы будем говорить о настройках W32Time касающихся работы с NTP серверами.

Настройки расположены в двух разделах реестра:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32Time

HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftW32Time

При установке ОС создается только первый раздел, второй появляется при применении локальной или доменной политики и имеет приоритет. Из командной строки настройки Windows Time можно помотреть командой w32tm /query /configuration. Причем, настройки взятые из первого раздела будут отображаться с отметкой (Local), из второго с отметкой (Policy).

Настройки достаточно подробно описаны в Windows Time Service Tools and Settings. У меня, сложности вызвал, параметр HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParametersNtpServer

Он представляет собой перечисление NTP серверов с которыми может синхронизироваться данный сервер. Каждый сервер представляет собой IP адрес или DNS имя, а также флаг, относящийся к данному NTP серверу. Флаг следует после имени сервера и отделяется от него запятой. Сервера в строке разделяются пробелами. (Внимание. Допустим только один пробел, двойной пробел считается концом строки и имена серверов после него не рассматриваются).

ntp1.vniiftri.ru,0x02 ntp2.vniiftri.ru,0x02 ntp3.vniiftri.ru,0x02 ntp4.vniiftri.ru,0x02

Используется два основных флага 0x01 и 0x02.

0x01 SpecialInterval

От этого флага зависит как будет Windows Time использоват параметры:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProvidersNtpClientSpecialPollInterval

Если данный флаг присутствует, то сервер NTP будет опрашиваться через заданный параметром SpecialPollInterval период времени (секунды).

При отсутствии флага будет использоваться динамический интервал, ограниченный параметрами MinPollInterval и MaxPollInterval (двоичный логарифм от секунд, например, значение параметра 6 значит опрос сервера будет происходит через 2 в степени 6 = 64 секунды).

Посмотреть интервалы опроса и время оставшееся до следующего опроса можно командой w32tm /query /peers — строки PeerPoll Interval и Time Remaining.

Еще раз подчеркну, что интервалы отосятся к опросу NTP серверов, а не к обновлению времени системы.

Имеются неожиданные последствия, если все сервера указать с данным флагом — они перейдут в статус Pending. Если выполнить команду w32tm /monitor то можно увидеть, что RefId изменился на ‘LOCL’ [0x4C434F4C]. То есть, сервер не стал синхронизироваться с внешними NTP и выбрал источником синхронизации Local CMOS Clock (идентификатор этого источника 0x4C434F4C). С таким сервером часть клиентов синхронизироваться не будет, например, UNIXы в зависимости от настроек.

0x02 UseAsFallbackOnly

По моему мнению, данный флаг сделан специально для запутывания процесса. Предполагается, что помеченные этим флагом сервера будут опрашиваться только в случае неудачного опроса основных серверов (без флага 0x02). Но на практике реакция на данный флаг непредсказуема.

Я рекомендую не указывать никаких флагов, а просто задать имена серверов разделенные пробелами:

ntp1.vniiftri.ru ntp2.vniiftri.ru ntp3.vniiftri.ru ntp4.vniiftri.ru

и управлять частотой опроса через параметры MinPollInterval и MaxPollInterval

Все настройки сделанные в реестре вручную либо через политику вступают в силу после рестарта сервиса W32Time.

Собственно все, про NTP, в реализации от Микрософт.

Теперь немного о субкомпоненте (clock discipline subcomponent) который переводит локальные часы системы или изменяет их тактовую частоту в соответствии с данными NTP.

Он также настраивается через реестр, выше была приведена статья с описанием настроек, к данному субкомпоненту относятся:

FrequencyCorrectRate
HoldPeriod
LargePhaseOffset
MaxAllowedPhaseOffset
MaxNegPhaseCorrection
MaxPosPhaseCorrection
PhaseCorrectRate
PollAdjustFactor
SpikeWatchPeriod
UpdateInterval

В большинстве случаев их изменение не требуется.

Но иногда таки приходится.

Например, параметр MaxAllowedPhaseOffset (по умолчанию 300 секунд) управляет способом перевода локальных часов. Если расхождение между локальным временем и NTP источником меньше MaxAllowedPhaseOffset то W32Time пытается скорректировать время изменением тактовой частоты часов. Если — больше то локальное время переводится согласно полученному от NTP сервера.

Допустим, что в вашем домене, по какой-либо причине, в течении длительного времени не было синхронизации с внешним NTP. Обнаружив проблему вы видите, что разница составляет 320 секунд. Если просто исправить проблему, время в домене мгновенно изменится на 320 секунд, что может привести к различным последствиям для приложений чувствительных к отметкам времени.

Лучше попробовать способ с изменением тактовой частоты, для этого в первую очередь нужно установить MaxAllowedPhaseOffset = 350. Это необходимое, но недостаточное условие. Также должно выполнятся соотношение:

|CurrentTimeOffset| / (PhaseCorrectRate*UpdateInterval) < SystemClockRate / 2

SystemClockRate получим командой w32tm /query /status /verbose строка вывода ClockRate: 0.0156250s переведем секунды в такты ОС (1ms = 10000 тактов): 0.0156250s*1000*10000 = 156250 тактов.

В XP w32tm /query еще не поддерживается и значение SystemClockRate можно взять из реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeConfigLastClockRate

Выполняем команду w32tm /query /configuration — берем строки вывода UpdateInterval: 100 и PhaseCorrectRate: 1 (можно взять эти же значения из реестра).

UpdateInterval — по единицам измерения данной величины в источниках от Микрософт есть противоречие. В вышеприведенной статье указано, что величина измеряется в тактах и ее нужно подставлять в формулу как есть. В описании групповой политики единица измерения указана 1/100 секунды. В микрософтовском примере значение UpdateInterval используется без пересчета (по моим опытам это действительно так). PhaseCorrectRate — скалярная величина используем ее как есть.

Читайте так же:
Порядок регулировки клапанов ямз 7601

Подставляем в условие:

|3200 000 000| / (1*100) < 156250 / 2

32 000 000 < 78125 не выполняется.

Подберем значение UpdateInterval с которым условие будет выполняься = 40960. Сделаем запас и установим UpdateInterval = 45000.

|3200 000 000| / (1*45000) < 156250 / 2

71111 < 78125 второе условие выполнено.

Изменяем значение UpdateInterval в реестре, перезапускаем сервис W32Time. Устраняем причину неработоспособности NTP (если необходимо выполняем w32tm /resync) и . локальные часы начинают плавно синхронизироваться, путем корректировки тактовой частоты.

Комментарии

Сегодня столкнулся с

Опубликовано 25 апреля, 2016 — 16:03 пользователем manager

Сегодня столкнулся с проблемой — все сконфигурировано правильно, но время не синхронизируется.

Оказалось, что NTP сервера ntp*.vniiftri.ru блокируют трафик от определенных Интернет провайдеров.

Выявить такие ситуации можно анализируя сетевой трафик, например с помощью Network Monitor. Будет видно, что ваш сервер посылает правильный запрос, а в ответ ему ничего не приходит.

P.S. Аналогично time.windows.com и часть серверов ru.pool.ntp.org

Да, внутренние настройки —

Опубликовано 27 марта, 2018 — 09:28 пользователем Николай (не проверено)

Да, внутренние настройки — это хорошо, но и это очень важный момент:

«Допустим, что в вашем домене, по какой-либо причине, в течении длительного времени не было синхронизации с внешним NTP. Обнаружив проблему вы видите, что разница составляет 320 секунд.»

Проблема как раз в обнаружении проблемы. Я на простом домашнем компе написал батник, который синхронизирует время и засунул ярлык в автозагрузку. Когда внешне всё в порядке, то всё нормально синхронизируется. После этого службу даже можно остановить, чтобы не путалась под ногами. А если внешний сервер отвалится? w32tm об этом сообщит и завершит работу вроде бы штатно, при этом errorlevel=0. И окно cmd закроется, тем более, что оно у меня вообще свёрнуто. И я буду думать, что синхронизация продолжается. А как сделать так, чтобы неудачная попытка синхронизации изменяла поведение батника?

На вопрос так как он

Опубликовано 28 марта, 2018 — 17:52 пользователем manager

На вопрос так как он поставлен ответа у меня нет, но позволю предложить свое решение.

1. служба w32time остается включенной и настраивается на требуемый режим синхронизации, под ногами она совершенно не путается, это не какой-нибудь там windows search или diagnostic policy

2. в task scheduler регулярно запускается bat файл сверяющий время на локальном компьютере и ntp сервере при помощи команды w32tm /stripchart /computer:ntp1.vniiftri.ru /dataonly /samples:2

вывод там будет такой

The current time is 28.03.2018 17:40:53.
17:40:53, +00.3551899s

его можно распарсить и при расхождении во времени больше заданного выдавать оповещение

А как синхронизировать время

Опубликовано 12 апреля, 2018 — 10:32 пользователем Bob (не проверено)

А как синхронизировать время на сетевых устройствах (принтера, свитчи, камеры) с контроллером домена? Их в домен не добавить и реестра у них нет.

Клиентом может быть любое

Опубликовано 12 апреля, 2018 — 10:48 пользователем manager

Клиентом может быть любое устройство поддерживающее протокол NTP.

Вводить в домен не обязательно.

Просто задайте на устройстве адрес вашего домен контроллера и убедитесь, что на сетевом уровне открыты порты для NTP.

Настройка синхронизации времени в домене Windows Server 2008 R2/2012 R2

Для правильного функционирования доменной среды Windows Server 2008 R2/2012 R2, является корректная работа службы времени Windows (W32Time).

Схема работы синхронизации времени в доменной среде Active Directory:

  • Контроллер корневого домена в лесу AD, которому принадлежит FSMО-роль PDC-эмулятора, синхронизируется с внешними источниками точного времени. Он же является источником времени для всех остальных контроллеров этого домена.
  • Контроллеры дочерних доменов в AD, синхронизируют время с вышестоящих контроллеров домена AD.
  • Рядовые члены домена (сервера и рабочие станции) синхронизируют свое время с ближайшим к ним доступным контроллером домена, соблюдая топологию AD.

Служба времени в Windows (W32Time) не имеет графического интерфейса и настраивается из командной строки (утилита w32tm), с помощью реестра (HKLMSystemCurrentControlSetServicesW32TimeParameters) и посредством Групповой политики (Group Policy Managment)

Включение NTP-сервера

NTP-сервер по-умолчанию включен на всех контроллерах домена, но его можно включить и на рядовых серверах:

  • [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProvidersNtpServer] — «Enabled»=1
Конфигурация NTP-сервера

Задаем тип синхронизации внутренних часов, на использование внешнего источника. (Командная строка/Реестр):

  • w32tm /config /syncfromflags:manual
  • [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParameters] — «Type»=NTP

NoSync — NTP-сервер не синхронизируется с каким либо внешним источником времени. Используются системные часы, встроенные в микросхему CMOS самого сервера.
NTP — NTP-сервер синхронизируется с внешними серверами времени, которые указаны в параметре реестра NtpServer.
NT5DS — NTP-сервер производит синхронизацию согласно доменной иерархии.
AllSync — NTP-сервер использует для синхронизации все доступные источники.

Читайте так же:
Регулировка карбюратор в гараже

Задание списка внешних источников для синхронизации, с которыми будет синхронизировать время данный сервер. По-умолчанию в этом параметре прописан NTP-сервер Microsoft (time.windows.com, 0×1). (Командная строка/Реестр):

  • w32tm /config /manualpeerlist:»0.ru.pool.ntp.org,0x1 1.ru.pool.ntp.org,0x1 2.ru.pool.ntp.org,0x1″
  • [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParameters] — «NtpServer»=0.ru.pool.ntp.org,0x1 1.ru.pool.ntp.org,0x1 2.ru.pool.ntp.org,0x1

0×1 – SpecialInterval, использование временного интервала опроса.
0×2 – режим UseAsFallbackOnly.
0×4 – SymmetricActive, симметричный активный режим.
0×8 – Client, отправка запроса в клиентском режиме.

Задание интервала синхронизации с внешним источником (для источников помеченных флагом 0×1). По-умолчанию время опроса задано — 3600 сек. (1 час). (Командная строка/Реестр):

  • [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProvidersNtpClient] — «SpecialPollInterval»=3600

Объявление NTP-сервера в качестве надежного. (Командная строка/Реестр):

  • w32tm /config /reliable:yes
  • [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeConfig] — «AnnounceFlags»=0000000a

После настройки необходимо обновить конфигурацию сервиса. Выполняем команду:

  • w32tm /config /update

  • w32tm /resync /rediscover

Отобразить текущую конфигурацию службы времени:

  • w32tm /query /configuration

Получения информации о текущем сервере времени:

  • w32tm /query /source

Отображение текущих источников синхронизации и их статуса:

  • w32tm /query /peers

Отображение состояния синхронизации контроллеров домена с компьютерами в домене:

  • w32tm /monitor /computers:192.168.1.2

Отобразить разницу во времени между текущим и удаленным компьютером:

  • w32tm /stripchart /computer:192.168.1.2 /samples:5 /dataonly

Удалить службу времени с компьютера:

  • w32tm /unregister

Регистрация службы времени на компьютере. Создается заново вся ветка параметров в реестре:

  • w32tm /register

Остановка службы времени:

  • net stop w32time

Запуск службы времени:

    net start w32time

Конфигурация NTP-сервера/клиента групповой политикой

Для централизованной настройки службы времени Windows, на серверах и рабочих станциях в доменной среде Active Directory, воспользуемся групповой политикой. На примере, выполним настройку для рабочих станций.

Переходим в ветку: Конфигурация компьютера (Computer Configuration) — Политики (Policies) — Административные шаблоны (Administrative Templates) — Система (System) — Служба времени Windows (Windows Time Service) — Поставщики времени (Time Providers).

Открываем параметр: Настроить NTP-клиент Windows (Configure Windows NTP Client)

Babochkinbox

В операционных системах Windows за синхронизацию времени отвечает служба времени Windows, она же w32time. Эта служба обеспечивает работу серверной, и клиентской частей. Иными словами один и тот же компьютер может выступать в роли сервера и клиента одновременно.

Служба времени Windows не имеет графического интерфейса. Настройка производится через CMD утилитой w32tm, ручной правкой реестра, или через групповые политики.

Утилита w32tm меняет параметры в разделе

Групповые политики создают раздел в

Параметры, созданные групповыми политиками, имеют больший приоритет, и перекрывают параметры по умолчанию.

Рассмотрим содержимое подраздела Parameters компьютера, находящегося в рабочей группе

w32tm_param_wg

и для доменного компьютера

w32tm_param_dom

Ключ NtpServer определяет список серверов времени, с которыми будет происходить синхронизация. По умолчанию указан адрес time.windows.com,0x9. При указании более одного сервера времени, адреса нужно разделять пробелами.

Параметр 0x9, является суммой 0x1 и 0x8.

0x1 – SpecialInterval, использование специального интервала опроса.
0x2 – режим UseAsFallbackOnly.
0x4 – SymmetricActive, симметричный активный режим.
0x8 – Client, отправка запроса в клиентском режиме.

Специальный интервал опроса указан в ключе

и составляет 3600 секунд. То есть синхронизация происходит каждый час.

Ключ Type определяет тип синхронизации, и имеет следующие значения:

NoSync- служба времени не синхронизируется с другими источниками.
NTP- служба времени выполняет синхронизацию с серверами, указанными в записи реестра NtpServer.
NT5DS- служба времени выполняет синхронизацию на основе иерархии домена.
AllSync — служба времени использует все доступные механизмы синхронизации.

В случае с компьютером из рабочей группы, используется тип NTP, то есть синхронизация времени происходит с сервером time.windows.com, указанном в ключе NtpServer.

Доменный компьютер использует тип NT5DS. В данном случае синхронизация времени происходит с контроллером домена, на котором авторизовался компьютер. Контроллеры синхронизируют свое время с контроллером, являющимся владельцем роли PDC Emulator. Владелец роли PDC Emulator, также использует тип NT5DS и синхронизирует свое время с локальным часами, получившими время от CMOS схемы, расположенной на материнской плате. Минус в том, что время полученное от CMOS схемы постоянно «съезжает» относительно реального. Чтобы такого не происходило, на корневом контроллере с ролью PDC Emulator, меняют тип на NTP и в NtpServer указывают список внешних серверов времени.

На корневом контроллере домена, с ролью PDC Emulator, откроем CMD и выполним команду

/manualpeerlist — задает список адресов источников времени. Этот список будет добавлен в значение уже известного ключа NtpServer.

/syncfromflags — определяет источник синхронизации. Этот параметр меняет значение ключа Type. Возможные варианты:

MANUAL — синхронизация с узлами из заданного вручную списка. Аналогичен значению NTP.
DOMHIER — синхронизация с контроллером домена Active Directory в доменной иерархии. Аналогичен значению NT5DS.
NO — без синхронизации. Аналогичен значению NoSync.
ALL — синхронизация как с узлами, заданными вручную, так и с узлами домена. Аналогичен значению AllSync.

/update — уведомляет службу времени, что конфигурация изменилась, чтобы изменения вступили в силу.

Может ли компьютер выступать в роли сервера времени, определяется следующим ключом

У контроллера данный ключ имеет значение 1, у компьютера 0. Иными словами любой контроллер домена выступает в качестве сервера времени.

Читайте так же:
Замена колодок и регулировка ручного тормоза гранд витара

За то, как служба времени будет корректировать время на клиенте, отвечает ключ

У компьютера, находящегося в рабочей группе, значение ключа MaxAllowedPhaseOffset равно 1-ой секунде. У доменного компьютера 300 секунд. Если разница во времени между клиентом и сервером времени будет больше, чем значение ключа MaxAllowedPhaseOffset, то служба времени сразу поменяет время на клиенте, на время, установленное на сервере времени. Если разница во времени меньше, то корректировка часов будет происходить постепенно. Это сделано, чтобы предотвратить сбои служб, чувствительных к сдвигам времени. С другой стороны 300 секунд, это 5 минут, или максимально допустима разница во времени, для протокола Kerberos.

Чтобы изменить настройки службы времени через групповые политики, нужно создать фильтр WMI, для нацеливания политики на корневой контроллер домена, с ролью PDC Emulator. Для этого нужно открыть оснастку «Управление групповой политикой», нажать на раздел «Фильтры WMI» правой кнопкой мыши и выбрать «Создать». В поле имя нужно написать название фильтра, например, «PDC Emulator». Далее нужно нажать кнопку «Добавить» и вставить WMI запрос

затем нужно нажать «Ok» и «Сохранить».

wmi_pdc

Создадим политику, нажмем правой кнопкой мыши на раздел «Domain Controllers» и выберем «Создать объект групповой политики…», назовем его «PDC Emulator Time Sources». Нажмем правой кнопкой мыши по созданному объекту, выберем «Изменить». Откроем раздел «Конфигурация компьютера->Политики->Административные шаблоны->Система->Служба времени Windows->Поставщики времени». Выберем параметр «Настроить NTP-клиент Windows». В поле NtpServer вставим адреса серверов времени

В поле Type нужно выбрать значение «NTP», затем нажать «Ок» и закрыть окно «Редактор управления групповыми политиками».

gpo_ntp_cl

После этого нужно выбрать созданную политику «PDC Emulator Time Sources» и в поле «Фильтр WMI» выбрать созданный ранее фильтр «PDC Emulator»

f_wmi_pdc

Диагностика

Принудительно синхронизировать время можно командой

Посмотреть текущий источник времени можно командой

Эта команда показывает текущий источник времени, время синхронизации и прочую информацию

Эта команда показывает данные о всех источниках времени

Разницу во времени между компьютером и источником времени можно посмотреть командой

Для просмотра текущей конфигурации используется команда

Перезапустить службу времени можно командой

Если что-то пошло не так, можно перерегистрировать службу времени. При этом создастся заново вся ветка реестра, относящаяся к службе времени

Для быстрой синхронизации времени с определенным хостом, можно воспользоваться командой

Если выполнить команду на доменном компьютере без указания хоста, с которым нужно синхронизировать время, синхронизация произойдет с доменным сервером времени.

На днях вновь озаботился вопросом синхронизации времени на компьютерах в домене Windows 2008. Теоретически, нет никакой проблемы, если первый контроллер домена будет сверять время с железом, на котором стоит. Однако моя практика показала, что когда DC стоит на виртуальной машине, а платформа виртуализации (конкретно, была использована VMWare ESXi 5) сверяет время, как и все остальные, с DC, то время в домене начинает сильно убегать. В любом случае, намного лучше и удобнее, если время не только синхронизировано внутри самого домена, но и является достоверным.

Итак, настройка синхронизации времени в домене Windows 2008.

0. Прежде чем настраивать синхронизацию времени нужно обеспечить прохождение трафика от PDC в интернет и обратно по порту UDP 123.

1. Определяем основной контроллер домена. Обычно администратор прекрасно знает, какой из контроллеров у него держит роль PDC, но для верности можно легко проверить это, набрав в командной строке:

В ответ будет выдано несколько строк, в числе которых можно найти PDC.

2. Переходим на PDC и запускаем командную строку. ПО умолчанию, в домене 2008, даже если вход в систему выполнен под учетной записью администратора, полные права в CMD будут только если запустить CMD в режиме RUN AS. В меню «Start» щелкаем по строке «Command Promt» правой кнопкой мыши и выбираем в контекстном меню «Run as administrator».

3. Останавливаем службу W32Time:

4. Задаем пул адресов достоверных источников времени

Если команда копировалась в командную строку со страницы этого сайта через буфер обмена и в результате выдается сообщение вида:

можно попробовать удалить и ввести вручную символы кавычек. Годится символ с последней клавиши среднего ряда в латинской раскладке.

5. Теперь попросим PDC отвечать клиентам на запросы о синхронизации времени:

6. Снова запускаем службу времени W32Time:

После настройки нужно обязательно проверить журнал событий в разделе «Windows Logs — System» и убедиться, что синхронизация работает, в противном случае разбираться с ошибками. Проблемы могут быть с доступом в интернет с контроллера по порту UDP 123, либо с недоступностью заданных источников времени.

Проверить теущую конфигурацию службы времени можно командой:

либо сохранить конфигурацию в текстовый файл, Например, так:

Имя файла, конечно, можно задать произвольное.

Выполнялись и исправно работали приведенные команды на английской версии Windows Server 2008 R2 Standard, Service Pack 1

голоса
Рейтинг статьи
Ссылка на основную публикацию
Adblock
detector