Синхронизировать время с доменом: Как синхронизировать время в домене Active Directory – RDB IT Support
Синхронизация времени с контроллером домена. Настройка синхронизации времени
Синхронизация системного времени в домене Active Directory имеет значение для корректной работы многих функций на пользовательских рабочих станциях под Windows. Сбившиеся системные часы могут повлиять на способность пользователя войти в систему, нарушить движение почты в Exchange и создать массу других проблем, которые достаточно трудно обнаружить.
В сложных случаях стандартные методы синхронизации времени в сети не являются на сто процентов надежными или даже предсказуемыми. К примеру, если часы физического хоста Hyper-V перестают синхронизироваться, это обычно сказывается на всех виртуальных машинах, иногда катастрофически. К счастью, не требуется много усилий, чтобы исправить ошибки синхронизации времени.
Выбор компьютера в качестве источника времени
Первое, что необходимо сделать перед настройкой синхронизации времени, – выбрать компьютер, который станет основным источником системного времени в вашем домене.
Как правило, в качестве такого источника выбирается компьютер, который в Active Directory обладает ролью эмулятора первичного контроллера домена (PDC). Согласно официальной документации Microsoft, именно он должен являться главным ресурсом, от которого сеть получает данные о времени. Однако на практике это не всегда возможно.
Машина, которую вы выберете, будет регулярно консультироваться с интернет-источниками, поэтому, если вы находитесь на строго охраняемом объекте с высокими требованиями к информационной безопасности, следует задуматься о делегировании этой роли другому компьютеру.
К примеру, можно создать выделенный сервер, который будет получать информацию о времени из Интернета и передавать ее эмулятору PDC. В этом случае у вас будет несколько компьютеров, служащих источниками времени для машин, включенных в сеть.
Настройка брандмауэра
Трафик при синхронизации времени с контроллером домена поступает на UDP-порт 123. На компьютере, служащем источником времени, данный порт необходимо открыть для входящих соединений. На всех машинах в сети порт 123 должен быть открыт для исходящих соединений, по крайней мере с контроллером домена.
Настройка контроллера домена
Для синхронизации времени с контроллером домена на сервере, выполняющем роль эмулятора PDC, с использованием командной строки должны быть выполнены следующие действия:
1. Проверьте, что контроллер домена, на котором вы работаете, является эмулятором PDC, выполнив команду
netdom query fsmo
2. На сервере-эмуляторе PDC запустите следующие команды синхронизации времени в указанном порядке:
net stop w32time
w32tm /configure /syncfromflags:manual /manualpeerlist:»0.us.pool.ntp.org,0x1 1.us.pool.ntp.org, 0x1 2.us.pool.ntp.org, 0x1 3.us.pool. ntp.org, 0x1″
Внешним источником времени по умолчанию для Windows Server является сервер time.windows.com. Наилучшим вариантом является синхронизация с несколькими серверами времени. В приведенной выше команде мы используем серверы времени, поддерживаемые NTP Pool Project.
net start w32time
w32tm /configure /reliable:yes /update
w32tm /resync
3. Если в Active Directory имеется несколько контроллеров домена, выполните в командной строке следующую команду:
w32tm /config /syncfromflags:domhier /update
4. Проверьте правильность настроек времени на сервере-эмуляторе PDC:
w32tm /query /status:
5. Проверьте правильность настройки времени на всех остальных контроллерах домена:
w32tm /query /status:
Настройка DHCP
Для того чтобы обеспечить синхронизацию времени с контроллером домена на устройствах, отвечающих за DHCP, в настройках DHCP-сервера установите параметры 004 и 042.
Для записей DHCP вы можете использовать только IP-адреса. Вы можете ввести имя сервера и нажать Resolve, чтобы получить IP-адрес сервера.
Если вы используете DHCP с помощью устройства Cisco, в настройках DHCP введите следующие команды:
option 4 ip [IP-адрес]
option 42 ip [IP-адрес]
IP-адрес следует заменить на фактический IP сервера, служащего источником времени.
Теперь все DHCP-устройства получат настройки времени от сервера при следующем обновлении.
Настройка статических устройств и компьютеров под другими ОС
Большинство устройств NAS и SAN имеют возможность ввода информации о сервере-поставщике настроек времени.
Чтобы настроить синхронизацию времени с контроллером домена на устройствах Cisco IOS, в командной строке введите:
ntp server 192.168.25.5
IP-адрес следует заменить на фактический IP сервера, служащего источником времени.
Чтобы настроить синхронизацию времени на компьютере под операционной системой, отличной от Windows, обратитесь к документации операционной системы. Впрочем, для других ОС корректные настройки времени не так важны, как для Windows, поэтому от синхронизации можно даже отказаться.
Настройка гостевых виртуальных машин
Все современные гипервизоры имеют возможность синхронизации системного времени для гостевых машин с помощью встроенных инструментов. Если синхронизация времени в домене включена, гостевые машины будут получать время с физического хоста, на котором они запущены.
В большинстве случаев нужно отключить эту функцию для гостевых машин Windows Server, которые служат в качестве виртуализированных контроллеров домена. Для всех остальных гостей она должна быть включена.
Для настройки синхронизации времени с контроллером домена в гипервизоре Hyper-V откройте диалоговое окно Settings и перейдите на вкладку Integration Services. Снимите или установите флажок Time Synchronization. Для других гипервизоров обратитесь к документации производителя.
Настройка групповых политик
Для того чтобы действительно убедить ваши компьютеры под Windows использовать настройки времени, получаемые от контроллера домена, необходимо настроить групповые политики.
Чтобы установить новую групповую политику, откройте средство управления политиками на контроллере домена или на компьютере, на котором установлены средства администрирования удаленного сервера. Разверните свой домен. Щелкните правой кнопкой мыши по пункту Group Policy Objects и нажмите New. Дайте новой политике имя и нажмите ОК.
Кликните правой кнопкой по новой политике и нажмите Edit. Это запустит окно редактора политики группы.
Перейдите в Computer Configuration > Policies > Administrative Templates > System -> Windows Time Service > Time Providers. На правой панели дважды щелкните Enable Windows NTP Client. Установите опцию в положение Enabled и нажмите ОК.
Затем дважды щелкните Configure Windows NTP Client. Настройте параметры, как на рисунке ниже, добавив 0x1 в поле NtpServer, чтобы получилось yourdc.yourdomain.tld, 0x1.
После сохранения групповой политики закройте редактор. Вы вернетесь в окно консоли управления основной политикой группы.
Если в вашем домене имеется большое количество политик, щелкните правой кнопкой по новой политике и перейдите в GPO Status > User Configuration Settings Disabled. Это ускорит обработку каждой политики.
Теперь нажмите правой кнопкой мыши по объекту Active Directory, к которому вы хотите применить эту политику, и нажмите Link an Existing GPO. Выделите новую политику и нажмите ОК. При необходимости повторите действия для других объектов.
Помните, что вложенные объекты наследуют групповую политику от своего родителя, если наследование не заблокировано или у дочернего объекта нет собственной связанной групповой политики с конфликтующими настройками.
Настройка других контроллеров домена
Если вы выполните описанные выше шаги для обеспечения синхронизации времени в домене, то почти гарантированно настроите получение корректного времени всеми компьютерами в сети. Поэтому другие контроллеры домена (если у вас их несколько) можно не трогать.
Однако если вы хотите быть уверенными, что они используют правильное время, вы можете отредактировать локальную групповую политику. Перейдите в меню Пуск > Выполнить и введите gpedit.msc. Нажмите ОК.
Затем используйте те же настройки, что приведены в предыдущем разделе. Если контроллер домена, на котором вы хотите работать, управляется Windows Server Core, вы можете сделать это удаленно, при условии, что такая возможность разрешена сетевым экраном. Просто запустите mmc.exe на компьютере с графическим интерфейсом, откройте пункт меню File > Add/Remove Snap-In, дважды щелкните Group Policy Object Editor и перейдите на компьютер, на котором вы хотите отредактировать групповую политику.
Проверка результата
Запустите на любом Windows-компьютере в сети командную строку с правами администратора и введите:
gpupdate
w32tm / query / source
В результате выполнения команды на контроллере домена будет возвращен адрес одного из серверов NTP, которые были заданы в качестве внешних источников времени из Интернета.
На пользовательской рабочей станции команда вернет адрес контроллера домена.
На виртуальной машине Hyper-V с включенной синхронизацией времени вы должны увидеть сообщение: VM IC Time Synchronization Provider.
Если команда сигнализирует, что время определяется по локальным CMOS-часам, синхронизация времени в домене не работает.
Настройка синхронизации времени по NTP с помощью групповых политик
Служба времени Windows, несмотря на кажущуюся простоту, является одной из основ, необходимых для нормального функционирования домена Active Directory. В правильно настроенной среде AD служба времени работает следующим образом: компьютеры пользователей получают точное время от ближайшего контроллера домена, на котором они зарегистрировались. Все контроллеры домена в свою очередь получают точное время от DC с FSMO ролью «Эмулятор PDC», а контролер PDC синхронизирует свое время с неким внешним источником времени. В качестве внешнего источника времени может выступать один или несколько NTP серверов, например time.windows.com или NTP сервер вашего Интернет-провайдера. Также нужно отметить, что по умолчанию клиенты в домене синхронизируют время с помощью службы времени Windows (Windows Time), а не с помощью протокола NTP.
Если вы столкнулись с ситуацией, когда время на клиентах и контроллерах домена различается, возможно, в вашем домене есть проблемы с синхронизацией времени и эта статья будет вам полезна.
В первую очередь выберите подходящий NTP сервер, который вы могли бы использовать. Список общедоступных NTP серверов доступен на сайте http://ntp.org. В нашем примере мы будем использовать NTP сервера из пула ru.pool.ntp.org:
- 0.ru.pool.ntp.org
- 1.ru.pool.ntp.org
- 2.ru.pool.ntp.org
- 3.ru.pool.ntp.org
Настройка синхронизации времени в домене с помощью групповых политик состоит из двух шагов:
1) Создание GPO для контроллера домена с ролью PDC
2) Создание GPO для клиентов (опционально)
Настройка политики синхронизации NTP на контролере домена PDC
Этот шаг предполагает настройку контроллера домена с ролью эмулятора PDC на синхронизацию времени с внешним NTP сервером. Т.к. теоретически роль эмулятора PDC может перемещаться между контроллерами домена, нам нужно сделать политику, которая применялась бы только к текущему владельцу роли PDC. Для этого в консоли управления Group Policy Management Console (GPMC.msc), создадим новый WMI фильтр групповых политик. Для этого в разделе WMI Filters создадим фильтр и именем PDC Emulator и WMI запросом: Select * from Win32_ComputerSystem where DomainRole = 5
Затем создайте новую GPO и назначьте ее на контейнер Domain Controllers.
Перейдите в режим редактирования политики и разверните следующий раздел политик: Computer Configuration->Administrative Templates->System->Windows Time Service->Time Providers
Нас интересуют три политики:
- Configure Windows NTP Client: Enabled (настройки политики описаны ниже)
- Enable Windows NTP Client: Enabled
- Enable Windows NTP Server: Enabled
В настройках политики Configure Windows NTP Client укажите следующие параметры:
- NtpServer: 0.ru.pool.ntp.org,0x1 1.ru.pool.ntp.org,0x1 2.ru.pool.ntp.org,0x1 3.ru.pool.ntp.org,0x1
- Type: NTP
- CrossSiteSyncFlags: 2
- ResolvePeerBackoffMinutes: 15
- Resolve Peer BAckoffMaxTimes: 7
- SpecilalPoolInterval: 3600
- EventLogFlags: 0
Совет. Не забудьте настроить межсетевой экран таким образом, чтобы сервер PDC мог получить доступ к внешним NTP серверам по протоколу NTP (UDP порт 123).
Примечание. Обратите внимание на синтаксис в поле NtpServer. Формат указания нескольких NTP серверов такой:ntsrv1.org,0x1 ntpsrv2.org,0x1 (разделитель пробел). На скриншоте указаны ошибочные данные!
Примените созданный ранее фильтр PDC Emulator к данной политике.
Совет. Найти имя сервера с ролью PDC можно с помощью команды: netdom query fsmo
Осталось обновить политики на контроллере PDC:gpupdate /force
Вручную запустите синхронизацию времени:w32tm /resync
Проверьте текущие настройки NTP:w32tm /query /status
Совет. В том случае, если время не синхронизировалось, перезапустите службу времени Windows и сбросьте текущие настройки:net stop w32time
w32tm.exe /unregister
w32tm.exe /register
net start w32time
Настройка синхронизации времени на клиентах домена
В среде Active Directory по умолчанию клиенты домена синхронизируют свое время с контролерами домена (опция Nt5DS – синхронизировать время согласно иерархии домена). Как правило, эта схема работает и не требует перенастройки. Однако при наличии проблем с синхронизацией времени на клиентах домена, можно попробовать принудительно назначить сервер времени для клиентов с помощью GPO.
Для этого создайте новую GPO и назначьте ее на контейнеры (OU) с компьютерами. В редакторе GPO перейдите в раздел Computer Configuration -> Administrative Templates -> System -> Windows Time Service -> Time Providers и включите политику Configure Windows NTP Client.
В качестве сервера NTP укажите имя или ip адрес PDC, например msk-dc1.winitpro.ru,0x9, а в качестве типа синхронизации — NT5DS
Обновите настройки групповых политик на клиентах и проверьте, что клиенты успешно синхронизировали свое время с PDC.
Совет. Указанная схема применима только к небольшим доменам. Для больших распределенных доменов с большим количеством DC и сайтов придется создать отдельную политику для каждого сайта, чтобы клиенты синхронизировали свое время с DC в сайте.
Как настроить NTP сервер и синхронизацию времени в домене Active Directory
Добрый день уважаемые читатели и гости блога pyatilistnik.org, как много люди говорят о времени, что оно быстро или медленно бежит, и все понимают, что оно бесценно и важно. Так и в инфраструктуре Active Directory, она является одним из важнейших факторов, правильного функционирования домена. В домене все друг другу доверяют, и один раз авторизовавшись и получив все тикеты от Kerberos, пользователь ходит куда угодно, ограничиваясь лишь своими доступными правами. Так вот если у вас не будет точного времени на ваших рабочих станциях к контроллеру домена, то можете считать, что у вас начинаются серьезные проблемы, о которых мы поговорим ниже и рассмотрим как их устранить с помощью настройки NTP сервера в Windows.
Синхронизация времени в Active Directory
Среди компьютеров, участвующих в Active Directory работает следующая схема синхронизация времени.
- Контроллер корневого домена в лесу AD, которому принадлежит FSMО-роль эмулятора PDC (назовем его корневым PDC), является источником времени для всех остальных контроллеров этого домена.
- Контроллеры дочерних доменов синхронизируют время с вышестоящих по топологии AD контроллеров домена.
- Рядовые члены домена (сервера и рабочие станции) синхронизируют свое время с ближайшим к ним доступным контроллером домена, соблюдая топологию AD.
Корневой PDC может синхронизировать свое время как со внешним источником, так и с самим собой, последнее задано конфигурацией по умолчанию и является абсурдом, о чем периодически намекают ошибки в системном журнале.
Синхронизация клиентов корневого PDC может осуществятся как с его внутренних часов, так и с внешнего источника. В первом случае сервер времени корневого PDC объявляет себя как «надежный» (reliable).
Далее я приведу оптимальную с моей точки зрения конфигурацию сервера времени корневого PDC, при которой сам корневой PDC периодически синхронизирует свое время от достоверного источника в интернете, а время обращающихся к нему клиентов синхронизирует со своими внутренними часами.
Для того, чтобы понять кто у вас в сети является NTP сервером из контроллеров домена, прочитайте вот эту статью, многие вопросы отпадут сами собой
Вводим netdom query fsmo. В моем примере, роль PDC и NTP сервера, принадлежит контроллеру dc7
Конфигурация NTP-сервера на корневом PDC
Конфигурирование сервера времени в Windows (NTP-сервера) может осуществляться как с помощью утилиты командной строки w32tm, так и через реестр. Где возможно, я приведу оба варианта. Но в начале посмотрите полностью ваши настройки на компьютере, делается это командой:
w32tm /query /configuration
EventLogFlags: 2 (Локально)
AnnounceFlags: 10 (Локально)
TimeJumpAuditOffset: 28800 (Локально)
MinPollInterval: 6 (Локально)
MaxPollInterval: 10 (Локально)
MaxNegPhaseCorrection: 172800 (Локально)
MaxPosPhaseCorrection: 172800 (Локально)
MaxAllowedPhaseOffset: 300 (Локально)FrequencyCorrectRate: 4 (Локально)
PollAdjustFactor: 5 (Локально)
LargePhaseOffset: 50000000 (Локально)
SpikeWatchPeriod: 900 (Локально)
LocalClockDispersion: 10 (Локально)
HoldPeriod: 5 (Локально)
PhaseCorrectRate: 7 (Локально)
UpdateInterval: 100 (Локально)[TimeProviders]
NtpClient (Локально)
DllName: C:\Windows\system32\w32time.dll (Локально)
Enabled: 1 (Локально)
InputProvider: 1 (Локально)
CrossSiteSyncFlags: 2 (Локально)
AllowNonstandardModeCombinations: 1 (Локально)
ResolvePeerBackoffMinutes: 15 (Локально)
ResolvePeerBackoffMaxTimes: 7 (Локально)
CompatibilityFlags: 2147483648 (Локально)
EventLogFlags: 1 (Локально)
LargeSampleSkew: 3 (Локально)
SpecialPollInterval: 3600 (Локально)
Type: NT5DS (Локально)NtpServer (Локально)
DllName: C:\Windows\system32\w32time.dll (Локально)
Enabled: 1 (Локально)
InputProvider: 0 (Локально)
AllowNonstandardModeCombinations: 1 (Локально)VMICTimeProvider (Локально)
DllName: C:\Windows\System32\vmictimeprovider.dll (Локально)
Enabled: 1 (Локально)
InputProvider: 1 (Локально)
Включение синхронизации внутренних часов с внешним источником
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters]
"Type"="NTP"w32tm /config /syncfromflags:manual
Объявление NTP-сервера в качестве надежного
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config]
"AnnounceFlags"=dword:0000000aw32tm /config /reliable:yes
Включение NTP-сервера
NTP-сервер по умолчанию включен на всех контроллерах домена, однако его можно включить и на рядовых серверах.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer]
"Enabled"=dword:00000001
Задание списка внешних источников для синхронизации
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters]
"NtpServer"="time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 ru.pool.ntp.org,0x8"w32tm /config /manualpeerlist:"time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 ru.pool.ntp.org,0x8"
Флаг 0×8 на конце означает, что синхронизация должна происходить в режиме клиента NTP, через предложенные этим сервером интервалы времени. Для того, чтобы задать свой интервал синхронизации, необходимо использовать флаг 0×1.
Задание интервала синхронизации с внешним источником
Время в секундах между опросами источника синхронизации, по умолчанию 900с = 15мин. Работает только для источников, помеченных флагом 0×1.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient]
"SpecialPollInterval"=dword:00000384
Установка минимальной положительной и отрицательной коррекции
Максимальная положительная и отрицательная коррекция времени (разница между внутренними часами и источником синхронизации) в секундах, при превышении которой синхронизация не происходит. Рекомендую значение 0xFFFFFFFF, при котором коррекция сможет производиться всегда.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config]
"MaxPosPhaseCorrection"=dword:FFFFFFFF
"MaxNegPhaseCorrection"=dword:FFFFFFFF
Все необходимое одной строкой
w32tm.exe /config /manualpeerlist:"time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 pool.ntp.org,0x8" /syncfromflags:manual /reliable:yes /update
Полезные команды
- Применение внесенных в конфигурацию службы времени изменений
w32tm /config /update
- Принудительная синхронизация от источника
w32tm /resync /rediscover
- Отображение состояния синхронизации контроллеров домена в домене
w32tm /monitor
- Отображение текущих источников синхронизации и их статуса
w32tm /query /peers
Настройка NTP сервера и клиента групповой политикой
Раз уж у нас с вами домен Active Directory, то глупо не использовать групповые политики, для массовой настройки серверов и рабочих станций, я покажу как настроить ваш NTP сервер в windows и клиента. Открываем оснастку «Редактор групповых политик». Перед тем как настроить наш NTP сервер в Windows, нам необходимо создать WMI фильтр, который будет применять политику, только к серверу мастера PDC.
Вводим имя запроса, пространство имен, будет иметь значение «root\CIMv2» и запрос «Select * from Win32_ComputerSystem where DomainRole = 5». Сохраняем его.
Затем вы создаете политику на контейнере Domain Controllers.
В самом низу политики применяете ваш созданный WMI фильтр.
Переходим в ветку: Конфигурация компьютера > Политики > Административные шаблоны > Система > Служба времени Windows > Поставщики времени.
Тут открываем политику «Настроить NTP-клиент Windows». Задаем параметры
- NtpServer: 0.ru.pool.ntp.org,0x1 1.ru.pool.ntp.org,0x1 2.ru.pool.ntp.org,0x1 3.ru.pool.ntp.org,0x1
- Type: NTP
- CrossSiteSyncFlags: 2. Двойка означает, если этот параметр равен 2 (Все), можно использовать любого участника синхронизации. Это значение игнорируется, если не задано значение NT5DS. Значение по умолчанию: 2 (десятичное) (0x02 (шестнадцатеричное))
- ResolvePeerBackoffMinutes: 15. Это значение, выраженное в минутах, определяет интервал ожидания службы W32time перед попыткой разрешения DNS-имени в случае неудачи. Значение по умолчанию: 15 минут
- Resolve Peer BAckoffMaxTimes: 7. Это значение определяет число попыток разрешения DNS-имени, предпринимаемых службой W32time перед перезапуском процесса обнаружения. При каждом неудачном разрешении DNS-имени интервал ожидания перед следующей попыткой удваивается. Значение по умолчанию: семь попыток.
- SpecilalPoolInterval: 3600. Это значение параметра NTP-клиента, выраженное в секундах, определяет частоту опроса настроенного вручную источника времени, который использует особый интервал опроса. Если для параметра NTPServer установлен флаг SpecialInterval, клиент использует значение, заданное как SpecialPollInterval, вместо значений MinPollInterval и MaxPollInterval, чтобы определить частоту опроса источника времени. Значение по умолчанию: 3600 секунд (1 час).
- EventLogFlags: 0
Делаем отдельную групповую политику для клиентских рабочих машин, вот с такими параметрами.
- NtpServer: Адрес вашего контроллера домена с ролью PDC.
- Type: NT5DS
- CrossSiteSyncFlags: 2
- ResolvePeerBackoffMinutes: 15
- Resolve Peer BAckoffMaxTimes: 7
- SpecilalPoolInterval: 3600
- EventLogFlags: 0
Далее идем на клиента и обновляем групповые политики gpupdate /force и вводим команду w32tm /query /status
Особенности виртуализированных контроллеров домена
Контроллеры домена, работающие в виртуализированной среде, требуют к себе особенного отношения.
- Средства синхронизации времени виртуальной машины и хостовой ОС должны быть выключены. Во всех адекватных системах виртуализации (Microsoft, vmWare и т. д.) присутствуют компоненты интеграции гостевой ОС с хостовой, которые значительно повышают производительность и управляемость гостевой системой. Среди этих компонентов всегда есть средство синхронизации времени гостевой ОС с хостовой, которое очень полезно для рядовых машин, но противопоказано для контроллеров домена. Потому как в этом случае весьма вероятен цикл, при котором контроллер домена и хостовая ОС будут синхронизировать друг друга. Последствия печальны.
- Для корневого PDC синхронизация с внешним источником должна быть настроена всегда. В виртуальной среде часы не настолько точны как в физической, потому как виртуальная машина работает с виртуальным процессором и прерываниями, для которых характерно как замедление, так и ускорение относительно «обычной» частоты. Если не настроить синхронизацию виртуализированного корневого PDC с внешним источником, время на всех компьютерах предприятия может убегать/отставать на пару часов в сутки. Не трудно представить неприятности, которые может принести такое поведение.
NET TIME — синхронизация часов компьютера
NET TIME — синхронизация часов компьютера
NET TIME синхронизирует показания часов компьютера с другим компьютером или доменом. Если используется без параметров в домене Windows Server, выводит текущую дату и время дня, установленные на компьютере, который назначен сервером времени для данного домена. Эта команда позволяет задать сервер времени NTP для компьютера.
Синтаксис команды NET TIME
- net time [{\\имя_компьютера | /domain[:имя_домена] | /rtsdomain[:имя_домена]}] [/set]
- net time [\\имя_компьютера] [/querysntp]
- net time [\\имя_компьютера] [/setsntp[:список_серверов_NTP]], где
- \\имя_компьютера — указывает имя сервера, время на котором нужно проверить или с которым нужно синхронизировать таймер.
- /domain[:имя_домена] — задает имя домена, с которым синхронизируются часы.
- /rtsdomain[:имя_домена] — указывает домен сервера надежного времени (RTS), с которым будут синхронизироваться часы.
- /set — синхронизирует часы с временем указанного компьютера или домена.
- /querysntp — выводит имя сервера NTP (Network Time Protocol), сконфигурированного для локального компьютера, или компьютера, указанного в параметре \\имя_компьютера.
- /setsntp[:список_серверов_NTP] — указывает список серверов времени NTP для использования на локальном компьютере.
Примеры команды NET TIME
- net help time — отображение справки для указанной команды net;
- net time \\PC1— вывод на экран текущего времение сервера в сети для компьютера PC1;
- net time /querysntp — отображение на экране имени сервера NTP для локальнго компьютера;
- net time \\Proton /set — синхронизация часов локального компьютера с временем компьютера Proton.
Net time системная ошибка 5 отказано в доступе
Часто спрашивают, почему появляется «Системная ошибка 5. Отказано в доступе» при использовании команды Net time. Отвечаю, все в правах пользователя под которым запускается команда. В качестве примера пробовал запустить команду сначала с правами локального администратора на Windows 10 — получил ошибку, далее запустил с правами администратора домена — результат на рисунке ниже.
Видео — NET TIME ознакомление с командой
Настройка времени в домене AD
Настройка синхронизации времени на PDC и остальных контроллерах домена AD
Настраивать время в домене нужно как только мы развернули новый лес, или же если мы передали роль PDC другому контроллеру домена в существующем лесу.
Стандартная схема синхронизации времени в домене довольно проста:
Есть контроллер домена, который держит роль FSMO — PDC (Primary Domain Controller). Его нужно настроить на синхронизацию времени с каким-либо внешним NTP сервером. Есть другие контроллеры домена, которые в стандартной схеме синхронизируются с вышестоящим контроллером домена в иерархии Active Directory.
Контроллеры наивысшего уровня синхронизируются с PDC эмулятором. Рядовые серверы AD и клиентские компьютеры синхронизируют время с соответствующим контроллером домена своего сайта.
Настраиваем контроллер домена с ролью PDC
PS C:\> w32tm /config /manualpeerlist:192.168.5.10 /syncfromflags:manual /reliable:yes /update
The command completed successfully.
PS C:\>
PS C:\> Restart-Service w32time
PS C:\>
PS C:\> w32tm /resync
Sending resync command to local computer
The command completed successfully.
где 192.168.5.10 — внешний или корпоративный NTP сервер. Также здесь можно указать и несколько пиров, разделенных пробелами и заключить все в двойные кавычки. Пиры можно указывать как с помощью IP-адресов, так и с помощью DNS-имён.
Настраиваем члена домена, не держащего роли PDC, на работу в стандартной доменной схеме Хочу отметить, что данную процедуру нужно проводить в том случае, если настройки времени на текущем компьютере домена перед этим менялись на нестандартные. Таким образом мы вернем все в дефолтные настройки.
PS C:\> w32tm /config /update /syncfromflags:DOMHIER
The command completed successfully.
PS C:\>
PS C:\> w32tm /resync
Sending resync command to local computer
The command completed successfully.
Источник: vam.in.ua
Настройка синхронизации времени в домене Active Directory
Много теории и немного практики о:
- топологии синхронизации времени среди участников Active Directory
- оптимальной с моей точки зрения конфигурации сервера времени корневого эмулятора PDC
- полезных командах для настройки и диагностики синхронизации времени
- особенностях, которые нужно учитывать для виртуализированных контроллеров домена
Топология синхронизации времени среди участников Active Directory
Среди компьютеров, участвующих в Active Directory работает следующая схема синхронизация времени.
Контроллер корневого домена в лесу AD, которому принадлежит FSMО-роль эмулятора PDC (назовем его корневым PDC), является источником времени для всех остальных контроллеров этого домена. Контроллеры дочерних доменов синхронизируют время с вышестоящих по топологии AD контроллеров домена. Рядовые члены домена (сервера и рабочие станции) синхронизируют свое время с ближайшим к ним доступным контроллером домена, соблюдая топологию AD.
Корневой PDC может синхронизировать свое время как со внешним источником, так и с самим собой, последнее задано конфигурацией по умолчанию и является абсурдом, о чем периодически намекают ошибки в системном журнале.
Синхронизация клиентов корневого PDC может осуществятся как с его внутренних часов, так и с внешнего источника. В первом случае сервер времени корневого PDC объявляет себя как «надежный» (reliable).
Далее я приведу оптимальную с моей точки зрения конфигурацию сервера времени корневого PDC, при которой сам корневой PDC периодически синхронизирует свое время от достоверного источника в интернете, а время обращающихся к нему клиентов синхронизирует со своими внутренними часами.
Конфигурация NTP-сервера на корневом PDC
Конфигурирование сервера времени (NTP-сервера) может осуществляться как с помощью утилиты командной строки w32tm, так и через реестр. Где возможно, я приведу оба варианта.
Включение синхронизации внутренних часов с внешним источником [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters] «Type»=»NTP» w32tm /config /syncfromflags:manual
Объявление NTP-сервера в качестве надежного
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config] «AnnounceFlags»=dword:0000000a w32tm /config /reliable:yes Подробности — в библиотеке TechNet.
Включение NTP-сервера
NTP-сервер по умолчанию включен на всех контроллерах домена, однако его можно включить и на рядовых серверах.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer] «Enabled»=dword:00000001 Задание списка внешних источников для синхронизации [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters] «NtpServer»=»time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 ru.pool.ntp.org,0x8″ w32tm /config /manualpeerlist:»time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 ru.pool.ntp.org,0x8»
Флаг 0x8 на конце означает, что синхронизация должна происходить в режиме клиента NTP, через предложенные этим сервером интервалы времени. Для того, чтобы задать свой интервал синхронизации, необходимо использовать флаг 0x1. Все остальные флаги описаны в библиотеке TechNet.
Задание интервала синхронизации с внешним источником Время в секундах между опросами источника синхронизации, по умолчанию 900с = 15мин. Работает только для источников, помеченных флагом 0x1.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient] «SpecialPollInterval»=dword:00000384
Установка минимальной положительной и отрицательной коррекции Максимальная положительная и отрицательная коррекция времени (разница между внутренними часами и источником синхронизации) в секундах, при превышении которой синхронизация не происходит. Рекомендую значение 0xFFFFFFFF, при котором коррекция сможет производиться всегда.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config] «MaxPosPhaseCorrection»=dword:FFFFFFFF «MaxNegPhaseCorrection»=dword:FFFFFFFF
Все необходимое одной строкой
w32tm.exe /config /manualpeerlist:»time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 pool.ntp.org,0x8″ /syncfromflags:manual /reliable:yes /update
Полезные команды
Применение внесенных в конфигурацию службы времени изменений
w32tm /config /update
Принудительная синхронизация от источника
w32tm /resync /rediscover
Отображение состояния синхронизации контроллеров домена в домене
w32tm /monitor
Отображение текущих источников синхронизации и их статуса
w32tm /query /peers
Особенности виртуализированных контроллеров домена
Контроллеры домена, работающие в виртуализированной среде, требуют к себе особенного отношения.
Средства синхронизации времени виртуальной машины и хостовой ОС должны быть выключены. Во всех адекватных системах виртуализации (Microsoft, vmWare и т. д.) присутствуют компоненты интеграции гостевой ОС с хостовой, которые значительно повышают производительность и управляемость гостевой системой. Среди этих компонентов всегда есть средство синхронизации времени гостевой ОС с хостовой, которое очень полезно для рядовых машин, но противопоказано для контроллеров домена. Потому как в этом случае весьма вероятен цикл, при котором контроллер домена и хостовая ОС будут синхронизировать друг друга. Последствия печальны.
Для корневого PDC синхронизация с внешним источником должна быть настроена всегда. В виртуальной среде часы не настолько точны как в физической, потому как виртуальная машина работает с виртуальным процессором и прерываниями, для которых характерно как замедление, так и ускорение относительно «обычной» частоты. Если не настроить синхронизацию виртуализированного корневого PDC с внешним источником, время на всех компьютерах предприятия может убегать/отставать на пару часов в сутки. Не трудно представить неприятности, которые может принести такое поведение.
Источник: argon.pro
Настройка сервера времени на домен контроллере
Прочитано:
10 766
Задача: разобрать действия по организации сервиса времени для всей локальной сети дабы рабочие станции, сервера получали точное время и оно везде было одинаковым. Сервис времени организовывается на домен контроллере под управлением операционной системы Windows Server 2012 R2, также действия ниже аналогичны и для Server 2008 R2
Схема: интернет — Mikrotik — DC — Workstations
Открываю на srv-dc консоль командной строки с правами администратора:
Win + X — Command Prompt (Admin)
Определяю какой домен контроллер (Windows Server 2012 R2 Std) имеет роль PDC если домен контроллеров несколько в домене:
C:\Windows\system32>netdom query fsmo
Schema master srv-dc.polygon.local
Domain naming master srv-dc.polygon.local
PDC srv-dc.polygon.local
RID pool manager srv-dc.polygon.local
Infrastructure master srv-dc.polygon.local
The command completed successfully.
Как видно из вывода, это контроллер домена srv-dc.polygon.local, подключаюсь теперь к нему по RDP или VNC соединению для выполнения следующих команд:
C:\Windows\system32>net stop w32time
Настраиваем внешний источник времени:
C:\Windows\system32>w32tm /config /syncfromflags:manual /manualpeerlist:"0.pool.ntp.org"
Cделать ваш контроллер домена PDC доступным для клиентов:
C:\Windows\system32>w32tm /config /reliable:yes
Запускаю службу времени:
C:\Windows\system32>net start w32time
Также можно изменения вносить и через реестр в ключе: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
Чтобы после принудительно запросить получение точного времени проделываем:
C:\Windows\system32>W32tm /config /reliable:yes
The command completed successfully.
C:\Windows\system32>W32tm /config /update
The command completed successfully.
C:\Windows\system32>W32tm /resync
Sending resync command to local computer
The command completed successfully.
Вот и все, служба времени Windows начинает синхронизацию времени с внешним источником, посмотреть этот процесс можно так:
C:\Windows\system32>w32tm /query /configuration
После нужно добавить параметр в DHCP оснастку, что сервер времени это наш домен контроллер:
Win + X — Control Panel — Administrative Tools — запускаю оснастку DHCP: DHCP → srv-dc.polygon.local → IPv4 → Scope [10.10.10.0] local → и через правый клик мышью по Scope Options вызываю меню Configure Options… где добавляю опцию для всего домена: 042 NTP Servers
Теперь доменные Windows станции будут знать, что сервер времени это домен контроллер, а для моих Ubuntu системы после установке sudo apt-get install ntp -y в файле /etc/ntp.conf нужно будет в параметре server указать IP адрес этого домен контроллера и перезапустить службу времени sudo service ntp restart.
Если же у Вас DHCP сервис развернут не на Windows, то донести до всех где брать точное время можно через групповые политики GPO. Создаем GPO_NTP и предопределяем, что ориентирована она будет на текущий домен и все рабочие станции посредством WMI-фильтра.
Открываю оснастку на srv-dc управления групповыми политиками домена:
Win + X — Control Panel — Administrative Tools — Group Policy Management, открываю на редактирование: Group Policy Management → Forest: polygon.local → Domains → polygon.local → и через правый клик мышью по WMI Filters вызываю меню New…
- Name: W7
- Decription: Windows 7 x86/x64
- Queries: → Add
- Namespace: root\CIMv2
- Query: Select
* from WIN32_OperatingSystem where ((Version > "6") and
(ProductType = 1))
и
нажимаю OK, OK, Save
После перехожу к редактированию групповой политики для рабочих станции домена, через правый клик мышью по GPO_NTP вызываю меню Edit.
Computer Configuration → Policies → Administrative Tools → System → Windows Time Service → Time Providers → Configure Windows NTP Client, включаю ее Enabled и определяю настройки:
NtpServer: srv-dc.polygon.local,0x9
все остальное оставляю по умолчанию.
После нажимаю Apply & OK.
И не забываем к политике добавить WMI фильтр. В конечном итоге политика должна выглядеть так:
После когда политика применится к системам согласно WMI-фильтру можно будет проверить куда смотрит рабочая станции если ей нужно точное время:
C:\Users\alektest>w32tm /query /status
Индикатор помех: 0(предупреждений нет)
Страта: 4 (вторичная ссылка - синхронизирована с помощью (S)NTP)
Точность: -6 (15.625ms за такт времени)
Задержка корня: 0.0876923s
Дисперсия корня: 7.8503892s
Идентификатор опорного времени: 0x0A0A0A02 (IP-адрес источника: 10.10.10.2)
Время последней успешной синхронизации: 30.04.2017 16:46:38
Источник: srv-dc.polygon.local
Интервал опроса: 10 (1024s)
C:\Users\alektest>w32tm /monitor
srv-dc.polygon.local *** PDC ***[10.10.10.2:123]:
ICMP: 0ms задержка
NTP: +0.0000000s смещение относительно srv-dc.polygon.local
RefID: ground.corbina.net [85.21.78.91]
Страта: 3
Работает.
На замету: Если же в локальной сети появятся рабочие станции под управлением Windows 8 и выше, то нужно будет модифицировать WMI фильтр.
Но как известно, в случае чего с домен контроллером его роли можно забирать, так может произойти в случае различных проблем. Вот забрали роль PDC и время поехало во всем домене, чтобы этого не произошло нужно создать групповую политику ориентированную только на домен контроллер с ролью PDC: GPO_PDC и WMI фильтр с именем PDC следующего содержания:
Select
* from Win32_ComputerSystem where DomainRole = 5
Computer Configuration → Policies → Administrative Tools → System → Windows Time Service → Time Providers → Configure Windows NTP Client, включаю ее Enabled и определяю настройки:
NtpServer: 0.pool.ntp.org,0x9
все
остальное оставляю по умолчанию.
После нажимаю Apply & OK.
и Computer Configuration → Policies → Administrative Tools → System → Windows Time Service → Time Providers -> Enable Windows NTP Client включить Enable.
Также параметр Type вместо NT5DS можно использовать и NTP
И не забываем к политике добавить WMI фильтр ← PDC. Теперь не важно кто является домен контроллером, точное время на нем будет.
А раз так, что рабочие станции не обязательно привязывать/создавать к политике назначения точного времени, ведь по умолчанию рабочие станции домена, итак, забирают точное время с контроллера домена по умолчанию.
Подведу итог:
- Настраиваю GPO и привязываю ее через WMI фильтр к серверу у которого есть роль PDC
- В оснастке DHCP указываю параметр кто в домене является сервером у которого клиентским рабочим станциям запрашивать точное время.
- Если DHCP не на базе Windows, то можно настроить GPO и сделать нацеливание на определенную ось.
На заметку: Если домен контроллер развернут на виртуальной системе, то следует проверить, что время берется не с гипервизора, а через настройку этой заметки.
На заметку: если роль PDC была переназначена на другой сервер, то я советую перезагрузить домен контроллер и все остальные также.
На этом у меня все. Задача выполнена и задокументирована, с уважением автор блога Олло Александр aka ekzorchik.
Настройка синхронизации времени в домене Active Directory
Топология синхронизации времени среди участников Active Directory
Среди компьютеров, участвующих в Active Directory работает следующая схема синхронизация времени.
- Контроллер корневого домена в лесу AD, которому принадлежит FSMО-роль эмулятора PDC (назовем его корневым PDC), является источником времени для всех остальных контроллеров этого домена.
- Контроллеры дочерних доменов синхронизируют время с вышестоящих по топологии AD контроллеров домена.
- Рядовые члены домена (сервера и рабочие станции) синхронизируют свое время с ближайшим к ним доступным контроллером домена, соблюдая топологию AD.
Корневой PDC может синхронизировать свое время как со внешним источником, так и с самим собой, последнее задано конфигурацией по умолчанию и является абсурдом, о чем периодически намекают ошибки в системном журнале.
Синхронизация клиентов корневого PDC может осуществятся как с его внутренних часов, так и с внешнего источника. В первом случае сервер времени корневого PDC объявляет себя как «надежный» (reliable).
Далее я приведу оптимальную с моей точки зрения конфигурацию сервера времени корневого PDC, при которой сам корневой PDC периодически синхронизирует свое время от достоверного источника в интернете, а время обращающихся к нему клиентов синхронизирует со своими внутренними часами.
Конфигурация NTP-сервера на корневом PDC
Конфигурирование сервера времени (NTP-сервера) может осуществляться как с помощью утилиты командной строки w32tm, так и через реестр. Где возможно, я приведу оба варианта.
Включение синхронизации внутренних часов с внешним источником
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParameters]
“Type”=”NTP” - w32tm /config /syncfromflags:manual
Объявление NTP-сервера в качестве надежного
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeConfig]
“AnnounceFlags”=dword:0000000a - w32tm /config /reliable:yes
Включение NTP-сервера
NTP-сервер по умолчанию включен на всех контроллерах домена, однако его можно включить и на рядовых серверах.
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProvidersNtpServer]
“Enabled”=dword:00000001
Задание списка внешних источников для синхронизации
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParameters]
“NtpServer”=”time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 ru.pool.ntp.org,0x8” - w32tm /config /manualpeerlist:”time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 ru.pool.ntp.org,0x8″
Флаг 0x8 на конце означает, что синхронизация должна происходить в режиме клиента NTP, через предложенные этим сервером интервалы времени. Для того, чтобы задать свой интервал синхронизации, необходимо использовать флаг 0x1. Все остальные флаги описаны в библиотеке TechNet.
Задание интервала синхронизации с внешним источником
Время в секундах между опросами источника синхронизации, по умолчанию 900с = 15мин. Работает только для источников, помеченных флагом 0x1.
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProvidersNtpClient]
“SpecialPollInterval”=dword:00000384
Установка минимальной положительной и отрицательной коррекции
Максимальная положительная и отрицательная коррекция времени (разница между внутренними часами и источником синхронизации) в секундах, при превышении которой синхронизация не происходит. Рекомендую значение 0xFFFFFFFF, при котором коррекция сможет производиться всегда.
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeConfig]
“MaxPosPhaseCorrection”=dword:FFFFFFFF
“MaxNegPhaseCorrection”=dword:FFFFFFFF
Все необходимое одной строкой
w32tm.exe /config /manualpeerlist:”time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 pool.ntp.org,0x8″ /syncfromflags:manual /reliable:yes /update
Полезные команды
- Применение внесенных в конфигурацию службы времени изменений
w32tm /config /update - Принудительная синхронизация от источника
w32tm /resync /rediscover - Отображение состояния синхронизации контроллеров домена в домене
w32tm /monitor - Отображение текущих источников синхронизации и их статуса
w32tm /query /peers
Особенности виртуализированных контроллеров домена
Контроллеры домена, работающие в виртуализированной среде, требуют к себе особенного отношения.
- Средства синхронизации времени виртуальной машины и хостовой ОС должны быть выключены. Во всех адекватных системах виртуализации (Microsoft, vmWare и т. д.) присутствуют компоненты интеграции гостевой ОС с хостовой, которые значительно повышают производительность и управляемость гостевой системой. Среди этих компонентов всегда есть средство синхронизации времени гостевой ОС с хостовой, которое очень полезно для рядовых машин, но противопоказано для контроллеров домена. Потому как в этом случае весьма вероятен цикл, при котором контроллер домена и хостовая ОС будут синхронизировать друг друга. Последствия печальны.
- Для корневого PDC синхронизация с внешним источником должна быть настроена всегда. В виртуальной среде часы не настолько точны как в физической, потому как виртуальная машина работает с виртуальным процессором и прерываниями, для которых характерно как замедление, так и ускорение относительно «обычной» частоты. Если не настроить синхронизацию виртуализированного корневого PDC с внешним источником, время на всех компьютерах предприятия может убегать/отставать на пару часов в сутки. Не трудно представить неприятности, которые может принести такое поведение.
Источник: http://argon
Как синхронизировать время компьютера с контроллером домена
Введение
В этой статье рассматриваются различные способы синхронизации рабочих станций с вашим доменом (основным контроллером домена), чтобы все часы автоматически настраивались в сети.
Когда дело доходит до синхронизации времени, существует соответствующая иерархия синхронизации, в которой рабочая станция синхронизируется со своим локальным доменом, а локальные домены синхронизируются с соответствующими эмуляторами PDC; На вершине иерархии находится эмулятор корневого PDC , который связан с авторитетным источником времени (внешние аппаратные часы, маршрутизатор с сервером NTP, подключенный к GPS, онлайн-сервер NTP или другой).Схема иерархии представлена ниже: (источник изображения: [1], где вы можете найти дополнительную информацию о механизме обновления):
Важно иметь компьютер, который имеет временные полномочия для других компьютеров в вашей сети, потому что в противном случае могут возникнуть различные ошибки в системе Kerberos, а также неудачный вход пользователя в домен.
В моей сети есть следующие свойства:
- сеть с несколькими доменами
- Операционная система Windows Server 2008
- сервер с ролью PDC, подключенный к внешнему источнику времени (сервер NTP настроен на маршрутизаторе, который собирает информацию от поставщика GPS).
В этой статье описаны различные способы правильной настройки вашего сервера (с экспортом работающей конфигурации), а также рабочих станций. Мой способ настройки был непростым, поэтому я создал раздел устранения неполадок, в котором представлены решения типичных проблем (у меня была одна из них).
В конце концов, я создал раздел Дополнительная литература для вас, ребята, которые хотят углубить свои знания.
Что такое эмулятор PDC?
Эмулятор PDC — это компьютер со специальной ролью FSMO .Фактически, существует пять FSMO ( F lexible S ingle M aster O perations ), которые могут быть назначены домену ( примечание : приблизительное описание приведено ниже; для получения дополнительной информации , см. ссылку [2] в разделе для дальнейшего чтения):
- Мастер именования доменов — добавляет новые поддомены (дочерние домены),
- Мастер инфраструктуры — отвечает за управление пользователями в различных частях леса,
- Мастер схемы — отвечает за формальные определения того, как Active Directory хранит свои объекты, какие атрибуты доступны для этих объектов и другие.
- RID Master ( R elative I dentifier M aster ) — хранит относительные идентификаторы; SID связанный.
- Эмулятор PDC — это роль, относящаяся к данной статье, посвященной синхронизации времени. Давайте посмотрим на диаграмму иерархии; обратите внимание, что эмулятор PDC существует в корне леса и дочерних доменах. Прежней целью эмулятора PDC было обеспечение обратной совместимости со старыми системами NT (в этих системах было PDC и BDC , и только PDC мог вносить изменения.Сегодня каждый DC может изменять / обновлять активный каталог).
Контроллер домена , который находится в корне леса и которому назначена роль эмулятора PDC, представляет полномочия по времени для всех остальных членов леса.
Чтобы гарантировать надежность времени в лесу, установите только эмулятор PDC в корне леса для синхронизации с внешним источником времени. Другие деревья в лесу синхронизируются с этим временем.
Следуя этой логике синхронизации времени, каждый компьютер в Active Directory автоматически найдет соответствующий сервер для синхронизации в соответствии с иерархией синхронизации времени.В моем случае каждая рабочая станция синхронизируется с соответствующим контроллером домена, а контроллеры домена синхронизируются с сервером в корне леса с включенной ролью эмулятора PDC.
Конфигурация
Вы можете создать свою конфигурацию через:
- консольный инструмент: w32tm ,
- изменение соответствующего реестра ключей
Сначала проверьте , какой сервер выполняет роль эмулятора PDC .Введите следующую команду: netdom query fsmo
Если роль PDC указана, значит текущий сервер — это тот, который мы ищем.
В качестве альтернативы, для тех, кому нравится подход с графическим интерфейсом, в диалоговом окне Run (клавиша Win + R) введите: dsa.msc
Щелкните правой кнопкой мыши имя домена , выберите Мастера операций… и щелкните вкладку PDC; вы можете увидеть, какой сервер выполняет эту роль.
Команда ниже:
w32tm / config / manualpeerlist: 192.168.x.x, 0 × 8 / syncfromflags: РУЧНОЙ / надежный: да / обновить
… обозначает:
/ config — входит в конфигурацию мода
/ manualpeerlist — указывает сервер (ы) через DNS-имя или IP-адрес ; если их несколько, поместите их в кавычки (например, /manualpeerlist:ntstime-a.timefreq.bldrdoc.gov time-b.timefreq.bldrdoc.gov time-c.timefreq.bldrdoc.gov »). Список серверов NTP можно найти здесь.
Обратите внимание на эту часть: , 0x8 , которая следует за IP-адресом; вы также можете использовать их:
0x01 — использовать специальный интервал опроса SpecialInterval
0x02 — UseAsFallbackOnly
0x04 — отправить запрос в режиме SymmetricActive
0x08 — отправить запрос в режиме клиента
Этот параметр , 0x8 указывает, что запросы отправляются в клиентском режиме, потому что также существуют NTP-серверы «не Windows», которые работают с этими запросами исключительно в этом режиме.
/ syncfromflags: MANUAL — записывает значение NTP в реестр (вместо использования MANUAL вы можете использовать DOMHIER , который обозначает режим синхронизации домена и значение NT5DS записывается в реестр; это объясняется позже в статья).
/ надежный: да — помечает источник как надежный
/ update — выполняет обновление
Хорошо, это был первый способ. Второй способ — это запись правильных значений в реестр .Откройте редактор реестра и пройдите по этому пути:
HKLM \ SYSTEM \ CurrentControlSet \ Services \ W32Time \ Parameters
Самая важная настройка здесь — тип :
- Эмулятор PDC в корне леса имеет это значение: NTP
- каждый второй компьютер в домене имеет это значение: NT5DS (NT5DS — это режим синхронизации домена , который устанавливает компьютер для поиска локального эмулятора PDC для выполнения синхронизации времени).
Это экспорт моих настроек:
C: \ Users \ administrator> W32tm / запрос / конфигурация
[Конфигурация]
EventLogFlags: 2 (локально)
AnnounceFlags: 5 (локально)
TimeJumpAuditOffset: 28800 (локально)
MinPollInterval: 6 (местный)
MaxPollInterval: 10 (локально)
MaxNegPhaseCorrection: 172800 (локально)
MaxPosPhaseCorrection: 172800 (локально)
MaxAllowedPhaseOffset: 300 (локально)
FrequencyCorrectRate: 4 (местное)
PollAdjustFactor: 5 (локально)
LargePhaseOffset: 50000000 (локально)
SpikeWatchPeriod: 900 (локально)
LocalClockDispersion: 10 (локально)
HoldPeriod: 5 (локально)
PhaseCorrectRate: 7 (местный)
Интервал обновления: 100 (локально)
[TimeProviders]
NtpClient (локально)
DllName: C: \ Windows \ system32 \ w32time.dll (локальный)
Включено: 1 (локально)
InputProvider: 1 (локальный)
AllowNonstandardModeCombinations: 1 (локально)
ResolvePeerBackoffМинут: 15 (локально)
ResolvePeerBackoffMaxTimes: 7 (локально)
Совместимость Флаги: 2147483648 (локально)
EventLogFlags: 1 (локально)
LargeSampleSkew: 3 (местный)
SpecialPollInterval: 3600 (местный)
Тип: NTP (локальный)
NtpServer: 192.168.x.x, 0x8 (Local) // обратите внимание, введите здесь действительный IP-адрес
NtpServer (локальный)
DllName: C: \ Windows \ system32 \ w32time.dll (локальный)
Включено: 1 (локально)
InputProvider: 0 (локально)
AllowNonstandardModeCombinations: 1 (локальный)
Когда вы установите эти значения в соответствии с вашими потребностями, перезапустите службу времени и выполните синхронизацию с помощью следующих команд:
net stop w32time
чистый старт w32time
w32tm / повторная синхронизация
См. [6], если вы хотите, чтобы все эти параметры и соответствующие ключи регистров были подробно объяснены.
Примечание : примите во внимание альтернативное значение для AnnounceFlags; вы можете установить a как значение DWORD (по умолчанию 5 или 0x5 ).Этот параметр используется, когда у вас могут быть проблемы с подключением, например проблемы с синхронизацией из-за плохого соединения с NTP-сервером. Это гарантирует, что наш PDC по-прежнему будет помечен как надежный источник времени, даже если сервер NTP временно недоступен. Если вы используете SpecialPollInterval для синхронизации через фиксированные интервалы, рекомендуется использовать этот параметр: 0xa (источник). Наконец, Flags могут быть объединены, поэтому 0xa представляет собой комбинацию флагов 0 × 08 ( Client ) и 0 × 02 ( UseAsFallbackOnly ).
БОНУС и устранение неисправностей
Этот раздел написан, чтобы помочь вам, если у вас возникнут проблемы при применении вашей конфигурации. Внимательно посмотрите на решения и устраните проблемы синхронизации времени.
A) Проверьте параметры групповой политики (Конфигурация компьютера \ Административные шаблоны \ Система \ Служба времени Windows)
Не следует изменять эти настройки в контроллере домена , чтобы поддерживать синхронизацию (источник)
B) Конфигурация Сброс :
Если рабочая станция не синхронизируется с сервером, попробуйте сбросить ее конфигурацию:
net stop w32time
w32tm / отменить регистрацию
w32tm / регистр
чистый старт w32time
Один из параметров, которые изменяются с помощью этой команды, сбрасывается до значения по умолчанию NT5DS в реестре, если компьютер подключен к домену.После сброса конфигурации проверьте статус синхронизации.
C) Проверьте настройки брандмауэра и ; UDP ( U ser D atagram P rotocol ) порт 123 должен быть открыт.
D) Проверьте конфигурацию политики в вашем домене. Они должны быть установлены на , а не на ; В некоторых случаях (ошибка или что-то еще?) Установите для них значение Disabled , примените это изменение; затем установите для них значение Не настроено, примените настройку и, наконец, проверьте статус синхронизации.
На практике: Windows Key + R и введите: gpedit.msc . Найдите Windows Time Service, , затем выберите Global Configuration Settings и установите для него значение Not Configured . Также установите Поставщики времени с на Не настроено:
.
Active Directory: синхронизация времени — статьи TechNet — США (английский)
В домене Active Directory очень важно, чтобы все часы находились в пределах 5 минут друг от друга (по умолчанию) из-за реализации протокола Kerberos для аутентификации.
Кроме того, Active Directory использует модель репликации с несколькими мастерами между контроллерами домена. Поэтому важно, чтобы изменения, внесенные в более позднее фактическое время на одном контроллере домена, не перезаписывались аналогичными изменениями на другом контроллере домена, время которого
установлен неправильно, таким образом, он выглядит как последнее изменение.
В этой статье мы обсудим архитектуру синхронизации времени AD, как настроить внешний источник времени и различные другие аспекты службы времени Windows.
Мы также рекомендуем проверить эту статью TechNet, которая дает очень хорошее представление о службе времени Windows:
https://technet.microsoft.com/en-us/library/cc773013(WS.10).aspx
Network Time Protocol (NTP) — это протокол синхронизации времени по умолчанию, используемый службой времени Windows (WTS) на серверах и рабочих станциях Windows.
NTP реализуется через UDP через порт 123 и может работать в режимах широковещательной и многоадресной рассылки или по прямым запросам.
При развертывании Active Directory единственным компьютером, явно настроенным с сервером времени, должен быть компьютер, выполняющий роль FSMO эмулятора PDC в корневом домене леса.
Это связано с тем, что эмулятор PDC корневого домена леса является единственным одноразовым источником для всех контроллеров домена, рядовых серверов и рабочих станций на базе Windows для всего леса.
Можно переопределить эту конфигурацию и обойти эмулятор PDC, но конфигурация по умолчанию (и рекомендуемая) такова, что все члены домена должны синхронизировать время с эмулятором PDC леса, прямо или косвенно.
- Все контроллеры домена в корневом домене леса синхронизируют время с держателем роли FSMO эмулятора PDC.
- Все контроллеры домена в дочерних доменах синхронизируют время с любым контроллером домена с родительским доменом или с эмулятором PDC своего собственного домена.
- Все держатели ролей FSMO эмулятора PDC в дочерних доменах синхронизируют свое время с контроллерами домена в их родительском домене (включая, возможно, держатель роли FSMO эмулятора PDC в корневом домене леса).
- Все компьютеры-члены домена (серверы / рабочие станции / любые другие устройства) синхронизируют время с компьютерами контроллеров домена в своих соответствующих доменах.
Источник диаграммы: Microsoft
Чтобы определить, настроен ли член домена для синхронизации времени домена, проверьте значение REG_SZ в HKLM \ System \ CurrentControlSet \ Services \ W32Time \ Parameters \ Type.
- Если установлено значение «Nt5DS», компьютер синхронизирует время с иерархией времени Active Directory.
- Если он настроен со значением «NTP», то компьютер синхронизирует время с сервером NTP, указанным в значении NtpServer REG_SZ в том же разделе реестра.
Поскольку эмулятор основного контроллера домена корневого домена леса является основным источником времени для всего леса, важно, чтобы системные часы этого компьютера были точными.
Для обеспечения точности эмулятор PDC корневого домена леса должен быть настроен на синхронизацию своего времени с надежным внешним источником времени. Пример: Сервер времени Windows или Сервер времени Google.
Степень точности времени компьютера называется
страта .
- Самый точный источник времени в сети (например, аппаратные часы) занимает самый нижний уровень страты. Этот источник точного времени называется эталонными часами.
- Сервер NTP, который получает свое время непосредственно из эталонных часов, занимает слой, который на один уровень выше, чем у эталонных часов.
- Ресурсы, которые получают время от сервера NTP, находятся в двух шагах от эталонных часов и, следовательно, занимают уровень, который на два выше, чем самый точный источник времени, и так далее.
По мере увеличения числа слоев компьютера время на его системных часах может становиться менее точным. Следовательно, уровень любого компьютера является показателем того, насколько точно этот компьютер синхронизирован с наиболее точным источником времени.
Поэтому, когда вы настраиваете новый эмулятор основного контроллера домена или перемещаете существующую роль эмулятора основного контроллера домена на другой контроллер домена, выполните следующие действия для настройки внешнего источника времени.
Эмулятор старого PDC: DC1.subhro.com
Новый эмулятор PDC: DC2.subhro.com
Внешние источники времени: 1) time.windows.com 2) время.google.com
Примечание. Если эмулятор Forest PDC Emulator является виртуальной машиной, убедитесь, что это
не настроен для синхронизации времени со своим хостом.
1. На эмуляторе PDC выполните следующую команду из командной строки (режим администратора)
w32tm / config /manualpeerlist:»0.time.windows.com,0x1 1. time.google.com, 0X1 «/ syncfromflags: manual / secure: yes / update
2. Проверьте и подтвердите указанное ниже значение реестра:
- HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ W32Time \ Parameters \ Тип имеет «NTP» в качестве значения
- HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ W32Time \ Parameters \ NtpServer
имеет значение «0.time.windows.com, 0x1 1. time.google.com, 0X1 «
Обратите внимание: убедитесь, что имена серверов времени разрешаются. В противном случае используйте IP-адрес.
- HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ W32Time \ Config \ AnnounceFlags
имеет значение 0x5. Это значение указывает, что эта система настроена на синхронизацию с внешним источником времени. Если значение равно 0XA, это означает, что эта система не будет синхронизироваться ни с одним внешним источником времени, а будет синхронизироваться сама с собой.
3. Настройте интервал опроса с внешним источником времени, изменив следующий раздел реестра:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ W32Time \ TimeProviders \ NtpClient \ SpecialPollInterval
Введите значение в секундах. Например, если вы хотите установить интервал опроса равным 1 часу, введите здесь 3600.
4. Выполните следующие команды в последовательном порядке:
5. При необходимости перезапустите новый эмулятор PDC.
1. Выполните следующую команду из командной строки старого эмулятора PDC:
w32tm / config / syncfromflags: domhier / надежный: нет / обновление
2. Проверьте и подтвердите ключ реестра
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ W32Time \ Parameters \ Type имеет «NT5DS» в качестве значения
3. Выполните следующие команды в последовательном порядке:
2. При необходимости перезапустите сервер.
1. Проверьте конфигурацию времени, выполнив команду
w32tm / запрос / конфигурация
2. Проверьте отчет о синхронизации времени, выполнив команду
w32tm / монитор
Щелкните здесь, чтобы получить скрипт Powershell, который автоматизирует отчет Time Skew для вашего домена и отправит результат по электронной почте.
3. Чтобы сравнить синхронизацию времени сервера с внешним источником времени, используйте следующую команду
w32tm / stripchart / компьютер: time.windows.com
d: Внутренняя задержка (разница во времени между полученным пакетом UDP и пакетом UDP, отправленным на стороне сервера.
O: Фактическое смещение между местным временем и временем сервера.
4. Чтобы проверить источник времени сервера, запустите эту команду
w32tm / query / status
5. Чтобы вручную синхронизировать время с источником времени, выполните эту команду
w32tm / повторная синхронизация
Несколько моментов для наблюдения из вышеприведенного вывода:
Корневой разброс — это максимальная разница во времени, которая когда-либо наблюдалась между локальными часами и корневыми часами.Как видите, это значение уменьшилось до миллисекунд после синхронизации.
- Поскольку первичный источник времени (time.windows.com) недоступен, он автоматически переключился на вторичный источник времени (time.google.com).
- Значение Stratum ранее было 1, что указывает на то, что внешний источник времени не был настроен и этот эмулятор PDC был корневым источником времени (что не является рекомендуемой конфигурацией, как объяснялось ранее)
После запуска первой синхронизации сервер обнаружил вновь настроенный внешний источник времени и пометил его как корневой (значение уровня 1).Поэтому новое значение эмулятора PDC было изменено на один уровень выше, что составляет 2.
В Technet есть статья, объясняющая эти значения реестра, которые мы здесь использовали.
https://blogs.msdn.microsoft.com/w32time/2008/02/26/configuring-the-time-service-ntpserver-and-specialpollinterval/
Выдержки из этой статьи
Важно отметить, что W32Time будет активно синхронизироваться только с одним источником времени за раз, даже если вы можете указать более одного источника времени.Причина этого проста: если ваш любимый источник времени выходит из строя,
было бы хорошо иметь резервную копию или, возможно, список резервных копий.
W32Time настраивает список источников времени с помощью следующего ключа:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ W32Time \ Parameters \ NtpServer
Ключ NtpServer — это список серверов времени, разделенных пробелами, в виде DNS-адресов или IP-адресов. Каждый сервер в списке может дополнительно иметь набор флагов, которые обозначаются шестнадцатеричным значением в конце адреса, разделенными
через запятую.
Теперь посмотрим на флаги. У нас есть 4 возможных флага:
• 0x01 SpecialInterval
• 0x02 UseAsFallbackOnly
• 0x04 SymmatricActive
• 0x08 Клиент
В 99% случаев нас интересуют только первые два варианта, поэтому мы сосредоточимся именно на них. Если вы используете флаг SpecialInterval, вам также необходимо установить ключ «SpecialPollInterval»:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ W32Time \ TimeProviders \
NtpClient \ SpecialPollInterval
Обычно W32Time опрашивает (делает запрос времени) с плавающим интервалом в зависимости от качества выборок времени, возвращаемых источником времени.Однако вы можете указать статический интервал, который будет синхронизировать служба времени.
на. Это значение в секундах. Например, если вы установите 3600, служба времени будет синхронизировать каждый час (60 минут * 60 секунд).
Второй флаг — это параметр UseAsFallbackOnly. Установка этого флага сообщит службе времени, что вы хотите попробовать любой другой сервер времени, указанный перед тем, как попробовать этот.
Настройка эмулятора PDC и внешнего источника времени — это только одна часть конфигурации службы времени.Есть еще много других моментов, которые нам необходимо учитывать. Некоторые важные моменты описаны ниже.
1.
Заставить все системы Windows использовать контроллер домена в качестве источника времени
По умолчанию в среде домена Active Directory клиенты синхронизируют свое время с контроллерами домена (опция Nt5DS — синхронизировать время с иерархией домена).
Как правило, это поведение не требует перенастройки.Однако, если вы хотите гарантировать, что поведение по умолчанию не будет отменено кем-то на стороне клиента, вы можете принудительно принудительно передать конфигурацию групповой политикой.
a) Перейдите в Конфигурация компьютера-> Политики-> Административные шаблоны-> Система-> Служба времени Windows-> Поставщики времени. На правой панели дважды щелкните «Включить Windows NTP Client». Установите для него значение «Включено» и нажмите «ОК».
b) Затем дважды щелкните «Настроить Windows NTP Client».Настройте параметры, затем добавьте 0x1 в поле NtpServer, чтобы он читал yourdc.yourdomain.com, 0x1)
2.
Отключить синхронизацию времени виртуальной машины с хоста
Все современные гипервизоры имеют возможность обеспечивать синхронизацию времени на гостевых машинах с помощью инструментов интеграции этого гипервизора. Если этот параметр включен, гостевые машины будут получать время от физического хоста, на котором они работают.
В среде Active Directory рекомендуется отключить синхронизацию времени виртуальной машины с хостом, чтобы избежать потенциального конфликта.
3. Включить опцию области DHCP
Если вы хотите передать настройки сервера NTP на устройство, отличное от Windows (например, IP-телефон), используйте параметр области DHCP 042. Не используйте параметр 004 области DHCP, если он не специально упоминается в любой документации.
4.
Разрешить UDP-порт 123 через брандмауэр
UDP-порт 123 должен быть разблокирован брандмауэрами в обоих направлениях.
Также помните, что клиент NTP отправляет запрос UDP со случайного порта> 1023 на порт 123 на сервере NTP.Он ожидает ответа на том же исходном порте. Брандмауэр должен иметь возможность сохранять открытый исходный порт для UDP-трафика от
NTP-сервер.
5.
Настроить статические устройства
Есть несколько статических устройств (например, несколько устройств SAN, NAS), которые не поддерживают конфигурацию сервера NTP через групповую политику или DHCP. Для таких устройств вам необходимо настроить источники времени статически, из консоли устройства.
Обратной стороной является то, что если имя сервера NTP будет изменено, вам придется изменить эти настройки вручную.
Мы рекомендуем выполнить следующие шаги, чтобы убедиться, что все системы в среде AD поддерживают точное время.
a) Эмулятор PDC корневого домена леса должен регулярно синхронизировать свое время с внешним сервером NTP.
Чтобы убедиться в этом, выполните следующие действия.
1.Выполните w32tm / query / status из эмулятора PDC корневого домена леса. Проверьте сервер NTP, время последней синхронизации, отчаяние корня.
2. Сравните время эмулятора PDC с любым мировым временем и обратите внимание на разницу в секундах. Одним из таких сайтов является https://www.timeanddate.com/, где вы можете посмотреть мировые часы со вторым значением и сравнить их со своим
PDC.
b) Все остальные контроллеры домена должны синхронизировать время с эмулятором PDC корневого домена леса на регулярной основе.Разница во времени между контроллерами домена не должна превышать 1 секунды во всем лесу.
Чтобы в этом убедиться, настройте запланированную задачу, которая будет генерировать отчет о сдвиге времени для всех контроллеров домена и отправлять его в ваш почтовый ящик.
Щелкните здесь , чтобы увидеть сценарий, который я подготовил для этой цели.
c) Все остальные компьютеры и рабочие станции должны синхронизироваться с контроллерами домена через равные промежутки времени.
В этой статье мы рассмотрели архитектуру службы времени в лесу Active Directory. Мы также обсудили, как настроить внешний источник времени для эмулятора Forest PDC Emulator и как гарантировать, что клиентские системы будут
следуйте временной архитектуре Active Directory.
Кроме того, мы рассмотрели некоторые передовые практики, связанные с настройкой службы времени виртуальных машин, настройкой порта межсетевого экрана и настройкой устройств, отличных от Windows.
1. https://technet.microsoft.com/en-us/library/cc773013(WS.10).aspx
2. https://blogs.msdn.microsoft.com/w32time/2008/02/26/configuring-the-time-service-ntpserver-and-specialpollinterval/
.
Синхронизация времени — SambaWiki
В Active Directory (AD) вы должны иметь точную синхронизацию времени. Например, Kerberos требует правильных меток времени для предотвращения атак повторного воспроизведения, а AD использует время для разрешения конфликтов репликации. По умолчанию максимально допустимое отклонение времени в AD составляет 5 минут. Если член домена или контроллер домена (DC) имеет большую или меньшую разницу во времени, доступ запрещается. В результате пользователь не может получить доступ к общим ресурсам или запросить каталог.| |
| |
Другой DC <---- Рабочая станция
Из вышесказанного вы можете видеть, что только DC эмулятора PDC получает свое время от внешних серверов времени, все остальные DC получают свое время от эмулятора PDC, все остальные рабочие станции получают свое время от любого DC.
Однако существует проблема: клиенты Windows получают свое время от контроллера домена эмулятора PDC, и если он перейдет в автономный режим, они не будут использовать другие контроллеры домена, а другие контроллеры домена будут искать контроллер домена эмулятора PDC.
В качестве обходного пути установите одни и те же внешние серверы времени на всех контроллерах домена, а затем, если эмулятор основного контроллера домена переходит в автономный режим и его нельзя легко перезапустить, передайте или переведите роль эмулятора основного контроллера домена в другой контроллер домена.
По умолчанию клиенты Windows, присоединенные к домену, синхронизируют свои часы через NT5DS с AD-DC.
Протокол NT5DS использует цифровые подписи. Они могут быть предоставлены Samba, если сервер времени работает на том же сервере и настроен, как описано на этой странице (с параметрами mssntp и ntpsigndsocket).
В качестве альтернативы вы можете настроить все машины на стандартный протокол ntp, но рекомендуется NT5DS.
Обратите внимание, что синхронизация времени с проверкой подлинности с клиентами Windows 2000 не поддерживается.
Прежде чем решить, какое программное обеспечение сервера времени установить, вы можете увидеть сравнение ntp и chrony здесь https://chrony.tuxfamily.org/comparison.html
Например, таблица режимов NTP. (последняя дата проверена 7 июня 2018 г.)
хроны нтп openntpd Сервер вещания Да Да Нет Клиент вещания Нет Да Нет Сервер многоадресной рассылки Нет Да Нет Многоадресный клиент Нет Да Нет Сервер Manycast Нет Да Нет Клиент Manycast Нет Да Нет
Вы должны настроить сервер времени на всех Samba AD DC |
Требования
- ntpd> = 4.2.6 с http://www.ntp.org, скомпилирован с включенной поддержкой подписанного ntp (
--enable-ntp-signd
)
Или
с NTPD
- Проверьте разрешения сокета на контроллере домена (DC). У демона времени должны быть разрешения на чтение в каталоге
ntp_signed
. Чтобы получить список разрешений, введите:
# ls -ld / usr / local / samba / var / lib / ntp_signd / drwxr-x --- 2 root ntp 4096 1. Май, 09:30 / usr / local / samba / var / lib / ntp_signd /
- Чтобы установить разрешения, запустите:
# chown root: ntp / usr / local / samba / var / lib / ntp_signd / # chmod 750 / usr / local / samba / var / lib / ntp_signd /
Обычно демон ntpd
считывает свою конфигурацию из файла / etc / ntpd.conf
файл.
Ниже приведен файл минимум ntpd.conf
, который синхронизирует время с тремя внешними серверами NTP и позволяет клиентам запрашивать время с помощью подписанных запросов NTP:
# Местные часы. Обратите внимание, что это не адрес "localhost"! сервер 127.127.1.0 fudge 127.127.1.0 stratum 10 # Откуда брать время server 0.pool.ntp.org iburst предпочитает сервер 1.pool.ntp.org iburst предпочитает сервер 2.pool.ntp.org iburst предпочитает дрифт-файл / var / lib / ntp / ntp.дрейф файл журнала / var / журнал / ntp ntpsigndsocket / usr / местный / самба / вар / библиотека / ntp_signd / # Контроль доступа # Ограничение по умолчанию: разрешить клиентам запрашивать только время ограничить код по умолчанию nomodify notrap nopeer mssntp # Нет ограничений для "localhost" ограничить 127.0.0.1 # Включите источники времени, чтобы они предоставляли время только этому хосту ограничить маску 0.pool.ntp.org 255.255.255.255 nomodify notrap nopeer noquery ограничить маску 1.pool.ntp.org 255.255.255.255 nomodify notrap nopeer noquery ограничить 2.pool.ntp.org маска 255.255.255.255 nomodify notrap nopeer noquery
Если вы используете DC на виртуальной машине, вам следует подумать о добавлении tinker panic 0
в конец ntp.conf
. Это говорит NTP не паниковать и не выходить, независимо от того, каков временной сдвиг. Это рекомендуется, потому что
виртуальные машины не имеют физических часов, их можно приостановить в любой момент и запустить резервное копирование через несколько часов.
Для получения дополнительной информации см. Https://www.redhat.com/en/blog/avoiding-clock-drift-vms.
Для получения дополнительной информации об управлении доступом ntpd
см. Http: // support.ntp.org/bin/view/Support/AccessRestrictions.
Если на вашем сервере включен SELinux, см. Раздел «Синхронизация времени — маркировка и политика SELinux».
С хроником
- Проверьте разрешения сокета на контроллере домена (DC). У демона времени должны быть разрешения на чтение в каталоге
ntp_signed
. Чтобы получить список разрешений, введите:
# ls -ld / usr / local / samba / var / lib / ntp_signd / drwxr-x --- 2 root _chrony 4096 1. Май, 09:30 / usr / local / samba / var / lib / ntp_signd /
- Чтобы установить разрешения, запустите:
# chown root: _chrony / usr / local / samba / var / lib / ntp_signd / # chmod 750 / usr / local / samba / var / lib / ntp_signd /
Обычно демон chrony
считывает свою конфигурацию из файла / etc / chrony / chrony.conf
файл.
Ниже приведен файл не менее chrony.conf
, который синхронизирует время с тремя внешними серверами NTP и позволяет клиентам запрашивать время с помощью подписанных запросов NTP:
# Добро пожаловать в файл конфигурации chrony. См. Chrony.conf (5) для получения дополнительной информации. # информация об используемых директивах. # В этой директиве указывается расположение файла, содержащего пары ID / Key для # NTP-аутентификация. ключевой файл /etc/chrony/chrony.keys # В этой директиве указывается файл, в котором chronyd будет хранить курс # Информация.дрифт-файл /var/lib/chrony/chrony.drift # Раскомментируйте следующую строку, чтобы включить вход. #log отслеживание статистики измерений # Местоположение файлов журнала. logdir / var / log / chrony # Прекратите плохие оценки расстраивать часы машины. maxupdateskew 100.0 # Эта директива указывает 'chronyd' проанализировать файл 'adjtime', чтобы выяснить, # часы реального времени показывают местное время или UTC. Он отменяет директиву rtconutc. файл hwclock / и т. д. / adjtime # Эта директива включает синхронизацию ядра (каждые 11 минут) # часы реального времени.Обратите внимание, что его нельзя использовать вместе с директивой rtcfile. rtcsync # Переключите системные часы, а не поворачивайте их, если настройка больше # одну секунду, но только в первые три обновления часов. шаг 1 3 bindcmdaddress 192.168.0.2 # ipaddress этого DC # Источник, откуда мы получаем время сервер 0.pool.ntp.org iburst сервер 1.pool.ntp.org iburst сервер 2.pool.ntp.org iburst разрешить 192.168.0.0/24 # DNS netmask ntpsigndsocket / usr / местные / самба / вар / библиотека / ntp_signd
Требования
Или
Или
- systemd-timesyncd> = недавний дистрибутив Linux, который поддерживает и работает с systemd.
с NTPD
Обычно демон ntpd
считывает свою конфигурацию из файла /etc/ntpd.conf
.
Ниже приведен минимальный файл conf, который синхронизирует время с контроллерами домена Samba Active Directory (AD) (DC) DC1
и DC2
и не предоставляет службы времени для других хостов.
# Местные часы. Обратите внимание, что это не адрес "localhost"! сервер 127.127.1.0 fudge 127.127.1.0 stratum 10 # Откуда брать время сервер DC1.samdom.example.com я предпочитаю сервер DC2.samdom.example.com iburst дрифт-файл /var/lib/ntp/ntp.drift файл журнала / var / журнал / ntp # Контроль доступа # Ограничение по умолчанию: запретить все ограничить игнорирование по умолчанию # Нет ограничений для "localhost" ограничить 127.0.0.1 # Включить источники времени только для предоставления времени только этому хосту ограничить маску DC1.samdom.example.com 255.255.255.255 nomodify notrap nopeer noquery ограничить маску DC2.samdom.example.com 255.255.255.255 nomodify notrap nopeer noquery
Если вы используете член домена Unix на виртуальной машине, вам следует подумать о добавлении tinker panic 0
в конец ntp.conf
. Это говорит NTP не паниковать и не выходить, независимо от того, каков временной сдвиг. Это рекомендуется, поскольку виртуальные машины не имеют физических часов и могут быть приостановлены в любое время и запущены через несколько часов.
Для получения дополнительной информации см. Https://www.redhat.com/en/blog/avoiding-clock-drift-vms.
Для получения дополнительной информации об управлении доступом ntpd
см. Http://support.ntp.org/bin/view/Support/AccessRestrictions.
С хроником
Обычно демон chrony
считывает свою конфигурацию из файла / etc / chrony / chrony.conf
файл.
Ниже приведен минимальный файл conf, который синхронизирует время с контроллерами домена Samba Active Directory (AD) (DC) DC1
и DC2
и не предоставляет службы времени для других хостов.
# Добро пожаловать в файл конфигурации chrony. См. Chrony.conf (5) для получения дополнительной информации. # информация об используемых директивах. # В этой директиве указывается расположение файла, содержащего пары ID / Key для # NTP-аутентификация. ключевой файл / etc / chrony / chrony.ключи # В этой директиве указывается файл, в котором chronyd будет хранить курс # Информация. дрифт-файл /var/lib/chrony/chrony.drift # Раскомментируйте следующую строку, чтобы включить вход. #log отслеживание статистики измерений # Местоположение файлов журнала. logdir / var / log / chrony # Прекратите плохие оценки расстраивать часы машины. maxupdateskew 100.0 # Эта директива указывает 'chronyd' проанализировать файл 'adjtime', чтобы выяснить, # часы реального времени показывают местное время или UTC. Он отменяет директиву rtconutc. файл hwclock / и т. д. / adjtime # Эта директива включает синхронизацию ядра (каждые 11 минут) # часы реального времени.Обратите внимание, что его нельзя использовать вместе с директивой rtcfile. rtcsync # Переключите системные часы, а не поворачивайте их, если настройка больше # одну секунду, но только в первые три обновления часов. шаг 1 3 bindcmdaddress 192.168.0.6 # ipaddress этого члена домена Unix # Источник, откуда мы получаем время сервер DC1.samdom.example.com iburst сервер DC2.samdom.example.com iburst
с systemd-timesyncd
Есть несколько способов настроить systemd-timesyncd.
Демон systemd-timesynced
считывает свою конфигурацию из файла /etc/systemd/timesyncd.conf
,
или из конфигурации вашей сети, определенной в файле systemd .network /etc/systemd/network/your.network
,
или настройками dhcp.
Вариант 1. Использование файла /etc/systemd/timesyncd.conf
.
Включите следующее.
[Время] NTP = DC1.samdom.example.com DC2.samdom.example.com FallbackNTP = the.same.ntp-server.as.your.dc.points.to one-extra.ntp-server.as.your.dc.points.to
В этом примере также используются резервные серверы NTP, это не обязательно.
Вариант 2: установите серверы времени в конфигурации сети (например: /etc/systemd/network/20-wired-dev1.network
).
# / и т.д. / systemd / network / 20-wired-dev1.network [Сеть] NTP = dc1.samdom.example.com NTP = dc2.samdom.example.com [Адрес] Адрес = 192.168.0.200 / 24 [Маршрут] Пункт назначения = 0.0.0.0 / 0 Шлюз = 192.168.0.1
После внесения изменений включите и запустите демон времени.
systemctl включить systemd-timesyncd systemctl start systemd-timesyncd
Проверьте статус услуги с помощью:
статус systemctl systemd-timesyncd
Проверьте журналы журналов с помощью:
journalctl -u systemd-timesyncd
Проверьте демон времени с помощью:
статус timedatectl
При необходимости получите список часовых поясов:
timedatectl список часовых поясов
и примените новый часовой пояс.
timedatectl set-timezones Europe / Amsterdam
Зачем использовать демон времени systemd? Он отлично работает для рядового сервера и не требует установки какого-либо дополнительного программного обеспечения.
Ниже описаны основы настройки синхронизации времени на члене домена Windows. Дополнительные сведения см. В документации Microsoft Windows.
Источник времени по умолчанию
Члены домена
Windows AD будут использовать любой DC в качестве источника времени по умолчанию.Если вы настроили ntp на контроллере домена, как описано на этой странице, обычно не требуется перенастраивать клиентов. Ниже описаны альтернативные варианты конфигурации для клиентов.
Для получения дополнительных сведений о синхронизации времени и иерархии в AD см. Http://technet.microsoft.com/en-us/library/cc773013%28v=ws.10%29.aspx#w2k3tr_times_how_izcr.
Настройка источников времени и параметров, определяемых пользователем
Чтобы создать объект групповой политики (GPO) для установки определяемого пользователем источника времени и параметров NTP:
- Войдите в систему, используя учетную запись, которая позволяет редактировать групповые политики, например учетную запись администратора домена AD
.
- Откройте консоль управления групповой политикой
- Щелкните правой кнопкой мыши свой домен AD и выберите
Создать объект групповой политики в этом домене и связать его здесь
.
- Введите имя для GPO, например
Источники времени
. Новый объект групповой политики отображается под записью домена.
- Щелкните правой кнопкой мыши только что созданный объект групповой политики и выберите
Изменить
, чтобы открыть редактор управления групповой политикой
- Перейдите к
Computer Configuration
→Policies
→Administrative Templates
→System
→Windows Time Service
→Time Providers
и дважды щелкнитеConfigure Windows NTP Client
, чтобы настроить policy:
- Включите политику и установите следующие параметры:
- Введите полное доменное имя (FQDN) сервера NTP в поле
NtpServer
и добавьте0x9
флаг.Например:
- Чтобы ввести несколько серверов, разделите отдельные записи пробелом.
- Сохраните настройку типа
NT5DS
. - При необходимости обновите дополнительные параметры.
- Введите полное доменное имя (FQDN) сервера NTP в поле
- Щелкните
ОК
, чтобы сохранить настройки.
- Перейдите к
Computer Configuration
→Policies
→Administrative Templates
→System
→Windows Time Service
→Time Providers
и дважды щелкнитеEnable Windows NTP Client
, чтобы настройте политику:
- Включите политику.
- Щелкните
ОК
, чтобы сохранить настройки.
- Закройте редактор управления групповой политикой
- Закройте консоль управления групповой политикой
Примечания:
- Тип NT5DS по умолчанию игнорирует параметр NtpServer и синхронизируется с контроллером домена.
- Если ntpd на вашем DC не настроен для mssntp с ntpsigndsocket, используйте тип NTP.
- Если клиент не сможет подключиться к DC в течение длительного времени (например, портативный компьютер), используйте Type AllSync и установите NtpServer на «время».windows.com, 0x9 ". Это заставит клиента попробовать как NT5DS для вашего контроллера домена, так и NTP для NtpServer.
.
Как синхронизировать часы Windows с сервером времени в Интернете
Часы Windows, как вы знаете, находятся в правом нижнем углу рабочего стола и отображают информацию о времени и дате, когда вы щелкаете по ним правой кнопкой мыши.
Если ваш компьютер подключен к Интернету, он автоматически синхронизирует время на локальном компьютере со службой времени Windows. Однако иногда системные часы не показывают точное время и возникают проблемы при синхронизации с сетевым протоколом времени или серверами NTP.
Затем вы можете изменить время вручную, нажав изменить дату и время . Однако имейте в виду, что для изменения настроек вам потребуется доступ администратора.
Cool Info : Согласно официальному заявлению Microsoft, служба W32Time не была разработана для удовлетворения потребностей чувствительных ко времени приложений до Windows Server 2016. После обновлений, внедренных в Windows Server 2016, теперь можно найти решение для Погрешность в 1 микросекунду в определенной области.
Помимо службы времени Windows (time.windows.com), вы также можете использовать любой из серверов времени, поддерживаемых NIST, для получения точного времени и даты. Чтобы изменить настройку сервера времени, нажмите кнопку Start , введите change time zon e в поле поиска и нажмите result .
Появится окно Дата и время . Затем вы можете увидеть текущий часовой пояс. Часовой пояс по умолчанию основан на местоположении вашего IP-адреса.Если вы часто путешествуете из одной страны в другую, рекомендуется либо использовать дополнительную настройку часов Windows, либо изменить часовой пояс в зависимости от местоположения.
Перейдите на вкладку Internet tim e. Здесь вы увидите настройки синхронизации времени. Он отображает информацию о последней синхронизации и о том, когда произойдет следующая повторная синхронизация.
Примечание : Если настройка времени настроена на автоматическую синхронизацию по расписанию (например,г. 1:00 УТРА. каждое воскресенье), он не будет отображать эту информацию.
Чтобы изменить текущий сервер времени, нажмите кнопку Изменить настройки . (На снимке экрана ниже компьютер настроен на автоматическую синхронизацию с time.nist.gov. Я применил этот параметр перед написанием статьи. На вашем компьютере текущий сервер времени должен быть time.windows.com ).
Здесь вы можете выбрать сервер. Щелкните раскрывающийся список, и появится список серверов.Сервер time.windows.com является сервером по умолчанию и поддерживается самой Microsoft. Остальные четыре сервера обслуживаются Национальным институтом стандартов и технологий (NIST) в США.
Выберите любой из указанных серверов времени. Всем одинаково рекомендуется. Щелкните Обновить сейчас , а затем ОК .
Вот и все. Ваши часы Windows синхронизируются с сервером NIST. Он по-прежнему выполняет синхронизацию один раз в неделю, как это делал ранее сервер по умолчанию Windows.
Другие способы
Вы также можете запустить инструмент службы времени Windows или W32tm.exe, чтобы настроить параметры службы времени Windows.
Откройте командную строку и введите W32tm /? и нажмите Enter. Вы увидите список всех параметров. Затем запустите инструмент w32tm с аргументом / resync (w32tm / resync). Это вызывает мгновенную синхронизацию времени при условии, что служба времени Windows работает.
Этот метод работает в Windows XP, Windows Vista, Windows 7 и Windows 8.Мы не проверяли, работает ли он в Windows 10.
Вы также можете использовать редактор реестра Windows и перемещаться с помощью ключа реестра - HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet \ Services \ W32Time \ TimeProviders \ NtpClient .
Здесь вы можете изменить запись SpecialPollInterval с интервала опроса по умолчанию, установленного вашей операционной системой, и синхронизировать его каждые 24 часа.
Заключение
Сообщите нам в комментариях, какой из этих методов вам больше всего подошел.Мы хотели бы услышать от вас.
В указанной выше статье могут содержаться партнерские ссылки, помогающие в поддержке Guiding Tech. Однако это не влияет на нашу редакционную честность. Содержание остается объективным и достоверным.
.