Разное

Синхронизировать время с контроллером домена: Как синхронизировать время в домене Active Directory – RDB IT Support

Содержание

Active Directory Настройка синхронизации времени в домене — Погодин Евгений

В этой статье я расскажу о:

  • топологии синхронизации времени среди участников Active Directory
  • оптимальной с моей точки зрения конфигурации сервера времени корневого эмулятора PDC
  • полезных командах для настройки и диагностики синхронизации времени
  • особенностях, которые нужно учитывать для виртуализированных контроллеров домена

Топология синхронизации времени среди участников Active Directory

Среди компьютеров, участвующих в Active Directory работает следующая схема синхронизация времени.

  • Контроллер корневого домена в лесу AD, которому принадлежит FSMО-роль эмулятора PDC (назовем его корневым PDC), является источником времени для всех остальных контроллеров этого домена.
  • Контроллеры дочерних доменов синхронизируют время с вышестоящих по топологии AD контроллеров домена.
  • Рядовые члены домена (сервера и рабочие станции) синхронизируют свое время с ближайшим к ним доступным контроллером домена, соблюдая топологию AD.

Корневой PDC может синхронизировать свое время как со внешним источником, так и с самим собой, последнее задано конфигурацией по умолчанию и является абсурдом, о чем периодически намекают ошибки в системном журнале.

Синхронизация клиентов корневого PDC может осуществятся как с его внутренних часов, так и с внешнего источника. В первом случае сервер времени корневого PDC объявляет себя как «надежный» (reliable).

Далее я приведу оптимальную с моей точки зрения конфигурацию сервера времени корневого PDC, при которой сам корневой PDC периодически синхронизирует свое время от достоверного источника в интернете, а время обращающихся к нему клиентов синхронизирует со своими внутренними часами.

Конфигурация NTP-сервера на корневом PDC

Конфигурирование сервера времени (NTP-сервера) может осуществляться как с помощью утилиты командной строки w32tm, так и через реестр. Где возможно, я приведу оба варианта.

Включение синхронизации внутренних часов с внешним источником

  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters]
  • "Type"="NTP"
  • w32tm /config /syncfromflags:manual

Подробности — в библиотеке TechNet.

Объявление NTP-сервера в качестве надежного

  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config]
  • "AnnounceFlags"=dword:0000000a
  • w32tm /config /reliable:yes

Подробности — в библиотеке TechNet.

Включение NTP-сервера

NTP-сервер по умолчанию включен на всех контроллерах домена, однако его можно включить и на рядовых серверах.

  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer]
  • "Enabled"=dword:00000001

Задание списка внешних источников для синхронизации

  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters]
  • "NtpServer"="time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 ru.pool.ntp.org,0x8"
  • w32tm /config /manualpeerlist:"time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 ru.pool.ntp.org,0x8"

Флаг 0×8 на конце означает, что синхронизация должна происходить в режиме клиента NTP, через предложенные этим сервером интервалы времени. Для того, чтобы задать свой интервал синхронизации, необходимо использовать флаг 0×1. Все остальные флаги описаны в библиотеке TechNet.

Задание интервала синхронизации с внешним источником

Время в секундах между опросами источника синхронизации, по умолчанию 900с = 15мин. Работает только для источников, помеченных флагом 0×1.

  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient]
  • "SpecialPollInterval"=dword:00000384

Установка минимальной положительной и отрицательной коррекции

Максимальная положительная и отрицательная коррекция времени (разница между внутренними часами и источником синхронизации) в секундах, при превышении которой синхронизация не происходит. Рекомендую значение 0xFFFFFFFF, при котором коррекция сможет производиться всегда.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config]
"MaxPosPhaseCorrection"=dword:FFFFFFFF
"MaxNegPhaseCorrection"=dword:FFFFFFFF

Все необходимое одной строкой

w32tm.exe /config /manualpeerlist:"time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 pool.ntp.org,0x8" /syncfromflags:manual /reliable:yes /update

Полезные команды

  • Применение внесенных в конфигурацию службы времени изменений
  • w32tm /config /update
  • Принудительная синхронизация от источника
  • w32tm /resync /rediscover
  • Отображение состояния синхронизации контроллеров домена в домене
  • w32tm /monitor
  • Отображение текущих источников синхронизации и их статуса
  • w32tm /query /peers

Особенности виртуализированных контроллеров домена

Контроллеры домена, работающие в виртуализированной среде, требуют к себе особенного отношения.

  • Средства синхронизации времени виртуальной машины и хостовой ОС должны быть выключены. Во всех адекватных системах виртуализации (Microsoft, vmWare и т. д.) присутствуют компоненты интеграции гостевой ОС с хостовой, которые значительно повышают производительность и управляемость гостевой системой. Среди этих компонентов всегда есть средство синхронизации времени гостевой ОС с хостовой, которое очень полезно для рядовых машин, но противопоказано для контроллеров домена. Потому как в этом случае весьма вероятен цикл, при котором контроллер домена и хостовая ОС будут синхронизировать друг друга. Последствия печальны.
  • Для корневого PDC синхронизация с внешним источником должна быть настроена всегда. В виртуальной среде часы не настолько точны как в физической, потому как виртуальная машина работает с виртуальным процессором и прерываниями, для которых характерно как замедление, так и ускорение относительно «обычной» частоты. Если не настроить синхронизацию виртуализированного корневого PDC с внешним источником, время на всех компьютерах предприятия может убегать/отставать на пару часов в сутки. Не трудно представить неприятности, которые может принести такое поведение.

Итого на всех контроллерах домена запустить:

w32tm.exe /config /manualpeerlist:»ntp.mobatime.ru» /syncfromflags:manual /reliable:yes /update

Источник http://argon.pro/blog/2010/05/ad-time-sync/

W32tm – управление службой времени Windows.







Утилита командной строки w32tm.exe предназначена для удаления или установки службы времени Windows W32Time и управления ею на локальном или удаленном компьютере. Служба времени Windows (W32Time) предназначена для синхронизации даты и времени на компьютерах в локальной или глобальной сети. Если служба времени не установлена или отключена, синхронизация времени невозможна.

Служба W32Time обеспечивает функционирование как клиентской, так и серверной части программного обеспечения системы и один и тот же компьютер может быть одновременно и клиентом и сервером NTP (NTP — Network Time Protocol). Протокол NTP использует порт 123/UDP, что нужно учитывать при настройке брандмауэра системы.

Алгоритм функционирования службы времени немного отличается в зависимости от того, является ли компьютер членом домена, или нет. Компьютеры, не входящие в домен используют синхронизацию часов с внешним источником, а входящие – с внутренним NTP-сервером, которым является контроллер домена с ролью PDC-эмулятора (эмулятора первичного контроллера домена). При этом, сам сервер NTP синхронизируется с внешним источником времени. Схема с контроллером домена реализуется при развертывании домена Active Directory и не требует какого-либо ручного вмешательства, более того, такое вмешательство чревато непредвиденными проблемами с функционированием всей инфраструктуры. Для компьютеров же, не входящих в домен, некоторые изменения настроек очень даже не помешают. В частности, во всех актуальных версиях Windows (Windows 7 и старше), предусмотрено выполнение планировщиком заданий стандартной задачи синхронизации времени с внешним источником SynchronizeTime, которая настроена далеко не самым оптимальным образом. Кроме того, некоторые параметры самой службы времени, установленные по умолчанию, не обеспечивают надежную автоматическую синхронизацию часов системы с внешним сервером в Интернет.


Параметры командной строки для установки (удаления) службы времени:

w32tm [/? | /register | /unregister ]

? — вывод справочной информации по использованию команды.

register — установка службы времени Windows и добавление ее стандартной
конфигурации в реестр.

unregister — удаление службы времени Windows и всех параметров конфигурации из реестра.

Параметры службы времени хранятся в ключе реестра

HKLM\System\CurrentControlSet\Services\w32time

Соответственно, параметры службы времени можно менять не только с помощью команды w32tm, но и правкой реестра. В этом случае, применение измененных параметров обеспечивается командой обновления конфигурации
w32tm /config /update

или перезапуском службы W32Time.


Параметры командной строки для мониторинга службы времени:

w32tm /monitor [/domain:] [/computers:[,[,…]]] [/threads:] [/ipprotocol:] [/nowarn]

domain — указывает наблюдаемый домен. Если имя домена не задано,
или не заданы ни домен, ни компьютеры, используется текущее имя домена по умолчанию. Этот параметр может использоваться несколько раз.

computers — наблюдение за перечисленными в списке компьютерами.
Имена компьютеров разделяются запятыми, без пробелов. Если имя имеет префикс ‘*’, оно считается именем эмулятора первичного контроллера домена в Active Directory (AD PDC). Этот параметр может использоваться несколько раз.

threads — количество одновременно наблюдаемых компьютеров. -32) с начиная с 00 часов 1 января 1900 г. в понятный формат.


Параметры для выполнения принудительной синхронизации даты и времени с внешним источником:

w32tm /resync [/computer:] [/nowait] [/rediscover] [/soft]

Дает компьютеру команду как можно быстрее выполнить повторную синхронизацию своих часов с удалением всей накопившейся статистики ошибок.

computer:компьютер — компьютер, который должен выполнить повторную
синхронизацию. Если параметр не указан, выполняется повторная синхронизация
локального компьютера.

nowait — не ожидать завершения повторной синхронизации,
выполнять возврат немедленно. В противном случае ожидать завершения
повторной синхронизации перед возвратом.

rediscover — повторно определить конфигурацию сети и повторно обнаружить
сетевые источники, а затем повторно синхронизировать.

soft — повторно синхронизировать, используя существующую статистику ошибок.
Данный параметр в современных ОС не используется и предоставлен для обеспечения совместимости.

В справочной информации отсутствует описание параметра /force, который предназначен для выполнения синхронизации времени даже если отклонение показаний аппаратных часов и источника превышает установленное отклонение ( по умолчанию – 15 часов).

w32tm /stripchart /computer:компьютер [/period:обновление] [/dataonly] [/samples:число] [/packetinfo] [/ipprotocol:]

Выводит диаграмму различий между этим и другим компьютером.
computer:компьютер — компьютер, с которым выполняется сравнение.

period:обновление — интервал между измерениями (в секундах). Значение
по умолчанию — 2 с.

dataonly — отображать только данные, без диаграмм.

samples:число — собрать число показаний, затем остановиться.
Если не указано, сбор данных продолжается, пока не будут нажаты
клавиши CTRL+C или CTRL+Break.

packetinfo — напечатать ответное сообщение NTP-пакета.
ipprotocol — задать версию протокола IP, который нужно использовать. По умолчанию
применяется любой доступный протокол.

w32tm /config [/computer:компьютер] [/update] [/manualpeerlist:узлы] /syncfromflags:источник] [/LocalClockDispersion:секунды] [/reliable:(YES|NO)] [/largephaseoffset:миллисекунды]

computer:компьютер — настраивает конфигурацию указанного компьютера. Если параметр не задан, по умолчанию используется локальный компьютер.

update — уведомляет службу времени, что конфигурация изменилась, чтобы изменения вступили в силу.

manualpeerlist:узлы — задает вручную список DNS-имен и (или) IP-адресов, разделенных пробелами. При указании нескольких узлов этот параметр должен быть заключен в кавычки.

syncfromflags:источник — определяет, с какими источниками должен синхронизироваться NTP-клиент. источник должен быть списком из следующих ключевых слов, разделенных запятыми (без учета регистра):

&nbsp MANUAL — синхронизация с узлами из заданного вручную списка.

&nbsp DOMHIER — синхронизация с контроллером домена Active Directory в доменной иерархии.

&nbsp NO — без синхронизации.

&nbsp ALL — синхронизация как с узлами, заданными вручную, так и с узлами домена.

LocalClockDispersion:секунды — настраивает точность внутренних часов, с которой служба w32time будет работать, если не сможет получить время из своих настроенных источников.

reliable:(YES|NO) — определяет, является ли этот компьютер надежным источником времени. Этот параметр имеет значение только для контроллеров домена.

&nbsp YES — этот компьютер является надежной службой времени.

&nbsp NO — этот компьютер не является надежной службой времени.

largephaseoffset:миллисекунды — устанавливает разницу между локальным и сетевым временем, которую служба w32time будет считать максимальной.

w32tm /tz — Отображает текущие параметры часового пояса.

w32tm /dumpreg [/subkey:раздел] [/computer:компьютер] — Отображает значения, связанные с данным разделом реестра.

Раздел по умолчанию: HKLM\System\CurrentControlSet\Services\W32Time (корневой раздел службы времени).

subkey:раздел — отображает значения, связанные с подразделом раздел
раздела по умолчанию.

computer:компьютер — запрашивает параметры реестра для компьютера компьютер.

w32tm /query [/computer:компьютер] {/source | /configuration | /peers | /status} [/verbose] — Отображает сведения о службе времени Windows на компьютере компьютер.

Если параметр не указан, по умолчанию используется локальный компьютер.

source — отобразить источник времени.

configuration — отобразить конфигурацию во время выполнения и происхождение параметра. В режиме подробного протоколирования отобразить также незаданные или неиспользованные параметры.

peers — отобразить список узлов и их состояние.

status — отобразить состояние службы времени Windows.

verbose — установить режим подробного протоколирования для вывода дополнительных сведений.

w32tm /debug {/disable | {/enable /file:имя /size:байт /entries:значение [/truncate]}}
Включает или отключает частный журнал службы времени Windows на
локальном компьютере.

disable — отключить частный журнал.

enable — включить частный журнал.

file:имя — указать абсолютное имя файла.

size:байт — указать максимальный размер для циклического файла журнала.

entries:значение — список флагов, заданных номером и разделенных запятыми, указывающих тип сведений, которые должны заноситься в журнал. Допустимые номера: 0–300. Кроме одиночных номеров, допустимы диапазоны номеров, например 0–100,103,106. Значение 0–300 используется для занесения в журнал всех сведений.

truncate — усечь файл, если он существует.



Примеры использования команды w32tm

Как правило, служба времени Windows устанавливается с типом запуска Вручную и запускается по необходимости. Если служба времени остановлена, то управление ею с помощью команды w32tm невозможно. Для запуска, останова или проверки состояния службы можно использовать команду sc

sc query w32time — отобразить состояние службы времени Windows

sc \\192.168.0.8 query w32time — отобразить состояние службы времени на компьютере с адресом 192.168.0.8

sc start w32time — запустить службу времени Windows.

sc \\192.168.0.8 start w32time — запустить службу времени Windows на компьютере с адресом 192.168.0.8.

sc stop w32time — остановить службу времени Windows.

Кроме утилиты sc.exe можно использовать оснастку Службы (services.msc) панели управления или классические команды net stop и net start

net stop w32time
net start w32time

Для управления службой времени Windows требуются права администратора по отношению к локальной или удаленной системе.

w32tm /? — отобразить подсказку по использованию.

w32tm /query /configuration — отобразить конфигурацию службы времени Windows на локальном компьютере.

w32tm /query /configuration /computer:\\WIN10 — отобразить конфигурацию службы времени на компьютере с именем WIN10

Пример отображаемой информации:


[Настройка]

EventLogFlags: 2 (Локально)

AnnounceFlags: 10 (Локально)

TimeJumpAuditOffset: 28800 (Локально)

MinPollInterval: 10 (Локально)

MaxPollInterval: 15 (Локально)

MaxNegPhaseCorrection: 54000 (Локально)

MaxPosPhaseCorrection: 54000 (Локально)

MaxAllowedPhaseOffset: 1 (Локально)


FrequencyCorrectRate: 4 (Локально)

PollAdjustFactor: 5 (Локально)

LargePhaseOffset: 50000000 (Локально)

SpikeWatchPeriod: 900 (Локально)

LocalClockDispersion: 10 (Локально)

HoldPeriod: 5 (Локально)

PhaseCorrectRate: 1 (Локально
)
UpdateInterval: 360000 (Локально)


FileLogName: C:\User1\w32tmlog. log (Локально)

FileLogEntries: 0-300 (Локально)

FileLogSize: 100000 (Локально)

[TimeProviders]

NtpClient (Локально)

DllName: C:\WINDOWS\SYSTEM32\w32time.DLL (Локально)

Enabled: 1 (Локально)

InputProvider: 1 (Локально)

AllowNonstandardModeCombinations: 1 (Локально)

ResolvePeerBackoffMinutes: 15 (Локально)

ResolvePeerBackoffMaxTimes: 7 (Локально)

CompatibilityFlags: 2147483648 (Локально)

EventLogFlags: 1 (Локально)

LargeSampleSkew: 3 (Локально)

SpecialPollInterval: 604800 (Локально
)
Type: NTP (Локально)

NtpServer: time.windows.com,0x9 (Локально)

VMICTimeProvider (Локально)

DllName: C:\WINDOWS\System32\vmictimeprovider.dll (Локально)

Enabled: 1 (Локально)

InputProvider: 1 (Локально)

NtpServer (Локально)

DllName: C:\WINDOWS\SYSTEM32\w32time.DLL (Локально)

Enabled: 0 (Локально)

InputProvider: 0 (Локально)

В секции Настройка приведены текущие параметры службы времени Windows, в секции TimeProviders — настройки программного обеспечения как клиентской, так и серверной части.

Наиболее важные параметры службы времени:

Type — задает тип синхронизации. Он может принимать следующие значения:

&nbsp NoSync — не использовать синхронизацию с каким либо внешним источником времени.

&nbsp NTP синхронизация с внешними серверами времени, которые указаны в параметре NtpServer

&nbsp NT5DS — синхронизация выполняется согласно доменной иерархии;

&nbsp AllSync — синхронизация с использованием любых доступных источников.

Для компьютера, не входящего в домен, используется тип синхронизации NTP и NTPServer с именем time.windows.com. При необходимости можно добавить еще несколько NTP-серверов, введя их DNS имена или IP адреса через пробел. В конце каждого имени можно добавлять 16-ричное число, или флаг (например —
0x1) который определяет режим синхронизации с сервером времени.

Возможные значения режима:

0x1 – SpecialInterval, использование задаваемого интервала опроса;

0x2 – режим UseAsFallbackOnly – синхронизация только при необходимости;

0x4 – SymmetricActive, симметричный активный режим;

0x8 – Client, отправка запроса в клиентском режиме.

Возможно использование комбинаций режимов:

NtpServer: time.windows.com,0x9 — клиентский запрос (0x8) с использованием заданного интервала (0x1) для синхронизации часов с сервером time.windows.com

SpecialPollInterval — значение в секундах интервала обновления времени. По умолчанию – 604800 секунд, что соответствует 7 суткам. Имеет смысл изменить этот интервал, например, на 1 час (3600) или хотя бы на 1 сутки (86400).

Очень важное значение имеют параметры MaxNegPhaseCorrection и MaxPosPhaseCorrection задающие максимальное отрицательное и положительное отклонение показаний часов, при котором может выполняться синхронизация. Значение по умолчанию — 54000 (в секундах), т.е. 15часов, что приводит к тому, что синхронизация времени не выполняется при расхождении показаний часов на величину, превышающую 15 часов. При попытке ресинхронизации времени командой w32tm /resynс показания часов не изменятся и будет выведено вообщение:


Синхронизация не выполнена, поскольку запрошенное изменение слишком велико.


Поэтому, для надежной синхронизации часов компьютера с сервером времени в Интернет, независимо от их текущих показаний, желательно увеличить абсолютное значение параметров MaxNegPhaseCorrection и MaxPosPhaseCorrection, или вообще задать им максимальное значение для типа DWORD – 0xffffffff или 4294967295.



После изменения параметров MaxNegPhaseCorrection и MaxPosPhaseCorrection в реестре системы, синхронизация времени будет выполняться независимо от текущих показаний часов компьютера.

w32tm /monitor /computers:ru.pool.ntp.org — отобразить разницу во времени данного компьютера и сервера времени ru.pool.ntp.org.

w32tm /monitor /computers:ru.pool.ntp.org,time.windows.com,time.nist.gov — отобразить разницу во времени данного компьютера и нескольких серверов времени.

w32tm /resync – синхронизировать часы локального компьютера с используемым им сервером времени.

w32tm /resync /force – синхронизировать часы локального компьютера с используемым им сервером времени, игнорируя максимальное и минимальное отклонение показаний аппаратных часов и источника.

w32tm /stripchart /computer:pool.ntp.org /samples:3 /dataonly — сравнить показания часов локального компьютера с показаниями сервера времени pool.ntp.org. Будет выполнено 3 запроса и результаты будут представлены в текстовом виде.

Пример отображаемой информации:


Отслеживание pool.ntp.org [77.232.189.6:123].

Сбор образцов 3.

Текущее время — 14.02.2017 17:04:02.

17:04:02 d:+00.0154105s o:+00.0201873s

17:04:04 d:+00.0154035s o:+00.0257523s

17:04:06 d:+00.0154118s o:+00.0147256s


d: — задержка ответа, интервал времени между отправкой запроса и получением ответа от сервера NTP.

o: — смещение локальных часов относительно показаний сервера NTP (если положительное значение – часы отстают, отрицательное – спешат).

w32tm /stripchart /computer:pool.ntp.org — то же, что и в предыдущем примере, но проверка выполняется непрерывно, до тех пор пока не будет нажата комбинация клавиш CTRL+C или CTRL+Break

w32tm /config /syncfromflags:manual /manualpeerlist:ru.pool.ntp.org /update — изменить конфигурацию службы времени, для использования сервера NTP ru.pool.ntp.org и применить сделанные изменения.

w32tm /query /configuration — отобразить текущую конфигурацию службы времени Windows на локальном компьютере.

w32tm /query /configuration /computer:win10 — отобразить текущую конфигурацию службы времени Windows на компьютере WIN10.

w32tm /query /source — отобразить сведения об источнике времени на локальном компьютере.

w32tm /query /source /computer:win10 — отобразить сведения об источнике времени на компьютере win10.

w32tm /unregister — удалить службу времени Windows из системы. Все параметры службы в реестре удаляются. Перед выполнением команды, служба времени должна быть остановлена, в противном случае команда завершится сообщением об ошибке доступа.

w32tm /register – установить службу времени Windows на данном компьютере. При этом все параметры службы в реестре создаются заново. Для изменения параметров заданных по умолчанию, можно использовать импорт из заранее подготовленного reg-файла, например:


Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\w32time\Config]

«MaxNegPhaseCorrection»=dword:ffffffff

«MaxPosPhaseCorrection»=dword:ffffffff






Весь список команд CMD Windows

Управление службой времени Windows (W32tm)

Начиная с Windows XP основной командой по управлению настройками времени и проверкой синхронизации времени является команда W32tm, вместо ранее использовавшейся командой Net time. Команда W32tm имеет достаточно большой набор параметров, которые не всегда очевидны из описания. Ниже описаны варианты ее применения для поиска проблем с синхронизацией времени.
Итак, прежде чем чинить или изменять параметры службы времени Windows необходимо понимать, на какой машине и в какой инфрастурктуре проводятся работы. Например, если у  доменная сеть, то все устройства настраиваются на синхронизацию времени с контроллером домена Active Directory c FSMO ролью PDC, а контроллер домена Active Directory c FSMO ролью PDC настраивается на синхронизацию с локальным аппаратным источником точного времени или через Интернет.

Важно понимать, что если на сетевом оборудовании закрыт протокол NTP (123/UDP) или некорректно работает служба DNS (53/UDP), то в этом случае работа службы синхронизации времени будет нарушена.

Сброс настроек службы времени на значение «по умолчанию»

Если кто-то до вас или Вы сами изменяли какие-то параметры службы времени и хотели бы их откатить на настройки по умолчанию, то для этого необходимо последовательно выполнить 4 команды, в командной строке запущенной от имени администратора:

net stop w32time
w32tm /unregister 
w32tm /register 
net start w32time

Результат выполнения команд будет выглядить примерно как на скриншоте ниже:

Проверка доступности источника времени

Прежде чем настраивать новый источник времени, рекомендуется предварительно проверить его доступность, это можно сделать при помощи команды:

w32tm /stripchart /computer:ru.pool.ntp.org /dataonly /samples:5

Ниже показан пример проверки:
Подобный результат говорит о том, что источник времени доступен, с ним есть усточивый канал связи и время на машине совпадает с источником времени. Если же источник времени не доступен, то прежде всего стоит проверить сетевую связность или корректность указания имени сервера.

Настройка службы времени на новый источник точного времени

Чтобы установить операционной системе новый источник точого времени, достаточно выполнить команду:

w32tm /config /manualpeerlist:ru.pool.ntp.org /syncfromflags:manual /update

 

Типовые наборы параметров команды w32tm

w32tm /query /source — выводит источник времени, на который настроена служба Windows Time
w32tm /query /status — выводит текущий статус работы службы времени
w32tm /query /peers — выводит список серверов с которых выполняется синхронизация времени и их статус
w32tm /query /configuration — выводит текущую конфигурацию службы времени
w32tm /monitor — показывает, насколько отличается время на машине от контроллеров домена и на внешнем источнике времени, на который настроены контроллеры домена
w32tm /tz — выводит текущий часовой пояс
w32tm /config /syncfromflags:manual /manualpeerlist:ru. pool.ntp.org — настройка в качестве источника времени пула ntp-серверов ru.pool.ntp.org
w32tm /config /update — применение новых параметров указанных для службы времени
w32tm /resync — выполнение синхронизации времени
w32tm /unregister — отменяет регистрацию службы и удаляет настройки из реестра
w32tm /register — регистрирует службу и восстанавливает настройки по умолчанию

Все настройки службы Windows Time можно посмотреть в ветке реестра:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\

Как найти сервер времени в домене?

Я предполагаю, что вы ищете сервер, используемый службой W32Time для синхронизации времени на компьютерах, входящих в домен.

В стандартном развертывании Active Directory единственным компьютером, явно настроенным с сервером времени, будет компьютер, выполняющий роль FSMO эмулятора PDC в корневом домене леса. Все контроллеры домена в корневом домене леса синхронизируют время с держателем роли PDM Emulator FSMO. Все обладатели ролей PDM Emulator FSMO в дочерних доменах синхронизируют свое время с контроллерами домена в своем родительском домене (включая, потенциально, держателя роли PDF Emulator FSMO в корневом домене леса). Все компьютеры-члены домена синхронизируют время с компьютерами контроллера домена в соответствующих доменах.

Чтобы определить, настроен ли член домена для синхронизации времени домена, проверьте значение REG_SZ в HKLM \ System \ CurrentControlSet \ Services \ W32Time \ Parameters \ Type. Если установлено значение «Nt5DS», то компьютер синхронизирует время с иерархией времени Active Directory. Если он настроен со значением «NTP», то компьютер синхронизирует время с NTP-сервером, указанным в значении REG_SZ NtpServer в том же разделе реестра.

Сведения о низкоуровневом протоколе синхронизации времени доступны в этой статье: Как работает служба времени Windows

Помните, что не каждый контроллер домена (KDC, как Джеймс указывает вам при поиске через DNS в своем посте) может использовать службу времени. В стандартном развертывании AD каждый контроллер домена будет, но в некоторых развертываниях могут использоваться виртуализированные контроллеры домена, у которых отключена служба W32Time (для облегчения синхронизации времени на основе гипервизора), и, как таковая, вы, вероятно, преуспели бы в реализации функциональности, как описано в статью «Как работает служба времени Windows», если вы разрабатываете программное обеспечение, которое должно синхронизировать время так же, как это делает компьютер, являющийся членом домена.

Синхронизация времени Hyper-V для контроллера домена VM

У нас есть 2 физических сервера Hyper-V, на которых запущено 8 виртуальных машин, каждый физический сервер имеет контроллер домена, работающий в виртуальной машине, и все серверы 2008R2

VM PDC настроен на NTP и синхронизирован с time.microsoft.com, а остальные, включая физические серверы, являются NT5DS. Этот основной виртуальный PDC определенно содержит FSMO и является активным UDP 123

когда я запускаю w32tm / query / status

Я получаю провайдер синхронизации времени ВМ IC на обоих виртуальных машинах, я знаю, что это означает синхронизацию с хостом.

Когда я запускаю w32tm / resync / rediscover

Я получил сообщение «Не выполняется повторная синхронизация, потому что нет данных о времени», и в журнале с идентификатором события 134 есть идеи по этому поводу?

Я также просмотрел журналы и получил событие 144 и 12

Я следил за подробностями MS KB по настройке внешнего источника времени и внес все изменения в реестр, но я думаю, что DNS меня достает?

Но когда я меняю время на одной из физических машин, это время, откуда оно устанавливается. Может быть, если я отменим их регистрацию, зарегистрируюсь, обновлюсь и синхронизируюсь, но я боюсь, что это создаст большую проблему!

Я пытаюсь оставить синхронизацию времени между виртуальной машиной и хостом Hyper-V включенной, так как считаю, что это лучшее из того, что я прочитал.

Спасибо за вашу помощь



Я наконец получил это работает! Цель этого состоит в том, чтобы помочь людям, которые начинают с начала установки времени доменов.

В этом примере все серверы, основной контроллер домена (PDC), другие контроллеры домена (DC) и другие серверы работают под управлением Windows 2008 R2 и виртуализируются с помощью Hyper-V.

Прежде всего, вы прочтете, чтобы отключить «Службу интеграции синхронизации времени» на любой виртуальной машине в Hyper-V, но вместо этого вам следует манипулировать службой времени Windows (служба w32tm) из виртуального контроллера домена, поэтому не следует отключать это, поскольку Перезапуск виртуальной машины это вызовет проблемы, это должно быть сделано с w32tm.
http://blogs.msdn.com/b/virtual_pc_guy/archive/2010/11/19/time-synchronization-in-hyper-v.aspx

Вам нужно будет выяснить, какой сервер является PDC и работает роли FSMO. Запустите: netdom query fsmo Результатом должен быть ваш PDC, и именно здесь вы вносите большинство своих изменений.

Убедитесь, что в брандмауэре есть правило «Outbound» на UDP123, и программа% SystemRoot% \ System32 \ w32tm.exe, просто перейдите в каталог Windows и найдите exe для времени

Это где изменения реестра идут вниз! HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ W32Time

Убедитесь, что PDC в разделе config в указанном выше адресе реестра имеет значение NTP для «типа», а все остальные серверы — NT5DS, это означает, что NTP — это папа! Лучшая практика здесь состоит в том, чтобы PDC выглядел вовремя и все синхронизировалось с ним.

Запустите его на всех контроллерах домена (включая PDC), он частично отключит время Windows, поэтому он не смотрит на хост-компьютер на время, что важно, потому что мы виртуализированы. reg add HKLM \ SYSTEM \ CurrentControlSet \ Services \ W32Time \ TimeProviders \ VMICTimeProvider / v Включено / t reg_dword / d 0

Вы можете перейти на
сайт ntp.org http://support. ntp.org/bin/view/Servers/WebHome, чтобы найти ближайший к вам сервер для синхронизации внешнего времени. Я рекомендую не использовать Microsoft, поскольку они интенсивно используются и могут выскользнуть из-за этого.

Приведенная ниже команда настроит внешний вид PDC, но также проверит параметры реестра, как определено здесь, для внешней синхронизации (необходимо выполнить оба действия)
http://support.microsoft.com/kb/816042

Запустите это на PDC w32tm / config /manualpeerlist: Пользователей 0.pool.ntp.org,0x1 ”/ syncfromflags: РУЧНОЙ / надежный: да w32tm / config / update w32tm / resync w32tm / resync / rediscover

Запустите эти 2 команды в любое время на любом сервере, чтобы увидеть их источник, и при последнем обновлении они будут использоваться в этом упражнении, чтобы убедиться, что ваш PDC и другие серверы получают время из нужного места. W32tm / query / status w32tm / query /источник

Затем запустите это на всех DC, кроме PDC, он заставит их посмотреть на PDC время и повторно синхронизировать с ним w32tm / config / syncfromflags: DOMHIER / update net stop w32time net start w32time w32tm / resync / force

Проблемы: Когда вы запускаете запрос «Состояние» или «Источник», дайте им минуту или две после изменений, вы не должны смотреть на локальные часы CMOS и не должны также использовать провайдера синхронизации времени в качестве источника.

В случае успеха PDC должен прочитать внешний сайт, который вы установили, а другие серверы должны указать PDC в качестве источника

Надеюсь, это поможет людям удачи!

Как настроить время на контроллере домена

Синхронизация системного времени в домене Active Directory имеет значение для корректной работы многих функций на пользовательских рабочих станциях под Windows. Сбившиеся системные часы могут повлиять на способность пользователя войти в систему, нарушить движение почты в Exchange и создать массу других проблем, которые достаточно трудно обнаружить.

В сложных случаях стандартные методы синхронизации времени в сети не являются на сто процентов надежными или даже предсказуемыми. К примеру, если часы физического хоста Hyper-V перестают синхронизироваться, это обычно сказывается на всех виртуальных машинах, иногда катастрофически. К счастью, не требуется много усилий, чтобы исправить ошибки синхронизации времени.

Выбор компьютера в качестве источника времени

Первое, что необходимо сделать перед настройкой синхронизации времени, – выбрать компьютер, который станет основным источником системного времени в вашем домене.

Как правило, в качестве такого источника выбирается компьютер, который в Active Directory обладает ролью эмулятора первичного контроллера домена (PDC). Согласно официальной документации Microsoft, именно он должен являться главным ресурсом, от которого сеть получает данные о времени. Однако на практике это не всегда возможно.

Машина, которую вы выберете, будет регулярно консультироваться с интернет-источниками, поэтому, если вы находитесь на строго охраняемом объекте с высокими требованиями к информационной безопасности, следует задуматься о делегировании этой роли другому компьютеру.

К примеру, можно создать выделенный сервер, который будет получать информацию о времени из Интернета и передавать ее эмулятору PDC. В этом случае у вас будет несколько компьютеров, служащих источниками времени для машин, включенных в сеть.

Настройка брандмауэра

Трафик при синхронизации времени с контроллером домена поступает на UDP-порт 123. На компьютере, служащем источником времени, данный порт необходимо открыть для входящих соединений. На всех машинах в сети порт 123 должен быть открыт для исходящих соединений, по крайней мере с контроллером домена.

Настройка контроллера домена

Для синхронизации времени с контроллером домена на сервере, выполняющем роль эмулятора PDC, с использованием командной строки должны быть выполнены следующие действия:

1. Проверьте, что контроллер домена, на котором вы работаете, является эмулятором PDC, выполнив команду

netdom query fsmo

2. На сервере-эмуляторе PDC запустите следующие команды синхронизации времени в указанном порядке:

net stop w32time

w32tm /configure /syncfromflags:manual /manualpeerlist:»0.us.pool.ntp.org,0x1 1.us.pool.ntp.org, 0x1 2.us.pool.ntp.org, 0x1 3.us.pool. ntp.org, 0x1″

Внешним источником времени по умолчанию для Windows Server является сервер time.windows.com. Наилучшим вариантом является синхронизация с несколькими серверами времени. В приведенной выше команде мы используем серверы времени, поддерживаемые NTP Pool Project.

net start w32time

w32tm /configure /reliable:yes /update

3. Если в Active Directory имеется несколько контроллеров домена, выполните в командной строке следующую команду:

w32tm /config /syncfromflags:domhier /update

4. Проверьте правильность настроек времени на сервере-эмуляторе PDC:

w32tm /query /status:

5. Проверьте правильность настройки времени на всех остальных контроллерах домена:

w32tm /query /status:

Настройка DHCP

Для того чтобы обеспечить синхронизацию времени с контроллером домена на устройствах, отвечающих за DHCP, в настройках DHCP-сервера установите параметры 004 и 042.

Для записей DHCP вы можете использовать только IP-адреса. Вы можете ввести имя сервера и нажать Resolve, чтобы получить IP-адрес сервера.

Если вы используете DHCP с помощью устройства Cisco, в настройках DHCP введите следующие команды:

option 4 ip [IP-адрес]

option 42 ip [IP-адрес]

IP-адрес следует заменить на фактический IP сервера, служащего источником времени.

Теперь все DHCP-устройства получат настройки времени от сервера при следующем обновлении.

Настройка статических устройств и компьютеров под другими ОС

Большинство устройств NAS и SAN имеют возможность ввода информации о сервере-поставщике настроек времени.

Чтобы настроить синхронизацию времени с контроллером домена на устройствах Cisco IOS, в командной строке введите:

ntp server 192.168.25.5

IP-адрес следует заменить на фактический IP сервера, служащего источником времени.

Чтобы настроить синхронизацию времени на компьютере под операционной системой, отличной от Windows, обратитесь к документации операционной системы. Впрочем, для других ОС корректные настройки времени не так важны, как для Windows, поэтому от синхронизации можно даже отказаться.

Настройка гостевых виртуальных машин

Все современные гипервизоры имеют возможность синхронизации системного времени для гостевых машин с помощью встроенных инструментов. Если синхронизация времени в домене включена, гостевые машины будут получать время с физического хоста, на котором они запущены.

В большинстве случаев нужно отключить эту функцию для гостевых машин Windows Server, которые служат в качестве виртуализированных контроллеров домена. Для всех остальных гостей она должна быть включена.

Для настройки синхронизации времени с контроллером домена в гипервизоре Hyper-V откройте диалоговое окно Settings и перейдите на вкладку Integration Services. Снимите или установите флажок Time Synchronization. Для других гипервизоров обратитесь к документации производителя.

Настройка групповых политик

Для того чтобы действительно убедить ваши компьютеры под Windows использовать настройки времени, получаемые от контроллера домена, необходимо настроить групповые политики.

Чтобы установить новую групповую политику, откройте средство управления политиками на контроллере домена или на компьютере, на котором установлены средства администрирования удаленного сервера. Разверните свой домен. Щелкните правой кнопкой мыши по пункту Group Policy Objects и нажмите New. Дайте новой политике имя и нажмите ОК.

Кликните правой кнопкой по новой политике и нажмите Edit. Это запустит окно редактора политики группы.

Перейдите в Computer Configuration > Policies > Administrative Templates > System -> Windows Time Service > Time Providers. На правой панели дважды щелкните Enable Windows NTP Client. Установите опцию в положение Enabled и нажмите ОК.

Затем дважды щелкните Configure Windows NTP Client. Настройте параметры, как на рисунке ниже, добавив 0x1 в поле NtpServer, чтобы получилось yourdc.yourdomain.tld, 0x1.

После сохранения групповой политики закройте редактор. Вы вернетесь в окно консоли управления основной политикой группы.

Если в вашем домене имеется большое количество политик, щелкните правой кнопкой по новой политике и перейдите в GPO Status > User Configuration Settings Disabled. Это ускорит обработку каждой политики.

Теперь нажмите правой кнопкой мыши по объекту Active Directory, к которому вы хотите применить эту политику, и нажмите Link an Existing GPO. Выделите новую политику и нажмите ОК. При необходимости повторите действия для других объектов.

Помните, что вложенные объекты наследуют групповую политику от своего родителя, если наследование не заблокировано или у дочернего объекта нет собственной связанной групповой политики с конфликтующими настройками.

Настройка других контроллеров домена

Если вы выполните описанные выше шаги для обеспечения синхронизации времени в домене, то почти гарантированно настроите получение корректного времени всеми компьютерами в сети. Поэтому другие контроллеры домена (если у вас их несколько) можно не трогать.

Однако если вы хотите быть уверенными, что они используют правильное время, вы можете отредактировать локальную групповую политику. Перейдите в меню Пуск > Выполнить и введите gpedit.msc. Нажмите ОК.

Затем используйте те же настройки, что приведены в предыдущем разделе. Если контроллер домена, на котором вы хотите работать, управляется Windows Server Core, вы можете сделать это удаленно, при условии, что такая возможность разрешена сетевым экраном. Просто запустите mmc.exe на компьютере с графическим интерфейсом, откройте пункт меню File > Add/Remove Snap-In, дважды щелкните Group Policy Object Editor и перейдите на компьютер, на котором вы хотите отредактировать групповую политику.

Проверка результата

Запустите на любом Windows-компьютере в сети командную строку с правами администратора и введите:

w32tm / query / source

В результате выполнения команды на контроллере домена будет возвращен адрес одного из серверов NTP, которые были заданы в качестве внешних источников времени из Интернета.

На пользовательской рабочей станции команда вернет адрес контроллера домена.

На виртуальной машине Hyper-V с включенной синхронизацией времени вы должны увидеть сообщение: VM IC Time Synchronization Provider.

Если команда сигнализирует, что время определяется по локальным CMOS-часам, синхронизация времени в домене не работает.

Как настроить NTP сервер и синхронизацию времени в домене Active Directory

Как настроить NTP сервер и синхронизацию времени в домене Active Directory

Добрый день уважаемые читатели и гости блога pyatilistnik.org, как много люди говорят о времени, что оно быстро или медленно бежит, и все понимают, что оно бесценно и важно. Так и в инфраструктуре Active Directory, она является одним из важнейших факторов, правильного функционирования домена. В домене все друг другу доверяют, и один раз авторизовавшись и получив все тикеты от Kerberos, пользователь ходит куда угодно, ограничиваясь лишь своими доступными правами. Так вот если у вас не будет точного времени на ваших рабочих станциях к контроллеру домена, то можете считать, что у вас начинаются серьезные проблемы, о которых мы поговорим ниже и рассмотрим как их устранить с помощью настройки NTP сервера в Windows.

Синхронизация времени в Active Directory

Среди компьютеров, участвующих в Active Directory работает следующая схема синхронизация времени.

  • Контроллер корневого домена в лесу AD, которому принадлежит FSMО-роль эмулятора PDC (назовем его корневым PDC), является источником времени для всех остальных контроллеров этого домена.
  • Контроллеры дочерних доменов синхронизируют время с вышестоящих по топологии AD контроллеров домена.
  • Рядовые члены домена (сервера и рабочие станции) синхронизируют свое время с ближайшим к ним доступным контроллером домена, соблюдая топологию AD.

Корневой PDC может синхронизировать свое время как со внешним источником, так и с самим собой, последнее задано конфигурацией по умолчанию и является абсурдом, о чем периодически намекают ошибки в системном журнале.

Синхронизация клиентов корневого PDC может осуществятся как с его внутренних часов, так и с внешнего источника. В первом случае сервер времени корневого PDC объявляет себя как «надежный» (reliable).

Далее я приведу оптимальную с моей точки зрения конфигурацию сервера времени корневого PDC, при которой сам корневой PDC периодически синхронизирует свое время от достоверного источника в интернете, а время обращающихся к нему клиентов синхронизирует со своими внутренними часами.

Вводим netdom query fsmo. В моем примере, роль PDC и NTP сервера, принадлежит контроллеру dc7

Конфигурация NTP-сервера на корневом PDC

Конфигурирование сервера времени в Windows (NTP-сервера) может осуществляться как с помощью утилиты командной строки w32tm, так и через реестр. Где возможно, я приведу оба варианта. Но в начале посмотрите полностью ваши настройки на компьютере, делается это командой:

EventLogFlags: 2 (Локально)
AnnounceFlags: 10 (Локально)
TimeJumpAuditOffset: 28800 (Локально)
MinPollInterval: 6 (Локально)
MaxPollInterval: 10 (Локально)
MaxNegPhaseCorrection: 172800 (Локально)
MaxPosPhaseCorrection: 172800 (Локально)
MaxAllowedPhaseOffset: 300 (Локально)

FrequencyCorrectRate: 4 (Локально)
PollAdjustFactor: 5 (Локально)
LargePhaseOffset: 50000000 (Локально)
SpikeWatchPeriod: 900 (Локально)
LocalClockDispersion: 10 (Локально)
HoldPeriod: 5 (Локально)
PhaseCorrectRate: 7 (Локально)
UpdateInterval: 100 (Локально)

NtpClient (Локально)
DllName: C:Windowssystem32w32time. dll (Локально)
Enabled: 1 (Локально)
InputProvider: 1 (Локально)
CrossSiteSyncFlags: 2 (Локально)
AllowNonstandardModeCombinations: 1 (Локально)
ResolvePeerBackoffMinutes: 15 (Локально)
ResolvePeerBackoffMaxTimes: 7 (Локально)
CompatibilityFlags: 2147483648 (Локально)
EventLogFlags: 1 (Локально)
LargeSampleSkew: 3 (Локально)
SpecialPollInterval: 3600 (Локально)
Type: NT5DS (Локально)

NtpServer (Локально)
DllName: C:Windowssystem32w32time.dll (Локально)
Enabled: 1 (Локально)
InputProvider: 0 (Локально)
AllowNonstandardModeCombinations: 1 (Локально)

VMICTimeProvider (Локально)
DllName: C:WindowsSystem32vmictimeprovider.dll (Локально)
Enabled: 1 (Локально)
InputProvider: 1 (Локально)

Включение синхронизации внутренних часов с внешним источником

  • [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParameters]
    «Type»=»NTP»
  • w32tm /config /syncfromflags:manual

Объявление NTP-сервера в качестве надежного

  • [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeConfig]
    «AnnounceFlags»=dword:0000000a
  • w32tm /config /reliable:yes

NTP-сервер по умолчанию включен на всех контроллерах домена, однако его можно включить и на рядовых серверах.

  • [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProvidersNtpServer]
    «Enabled»=dword:00000001

Задание списка внешних источников для синхронизации

  • [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParameters]
    «NtpServer»=»time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 ru.pool.ntp.org,0x8»
  • w32tm /config /manualpeerlist:»time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 ru.pool.ntp.org,0x8″

Флаг 0×8 на конце означает, что синхронизация должна происходить в режиме клиента NTP, через предложенные этим сервером интервалы времени. Для того, чтобы задать свой интервал синхронизации, необходимо использовать флаг 0×1.

Задание интервала синхронизации с внешним источником

Время в секундах между опросами источника синхронизации, по умолчанию 900с = 15мин. Работает только для источников, помеченных флагом 0×1.

  • [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProvidersNtpClient]
    «SpecialPollInterval»=dword:00000384

Установка минимальной положительной и отрицательной коррекции

Максимальная положительная и отрицательная коррекция времени (разница между внутренними часами и источником синхронизации) в секундах, при превышении которой синхронизация не происходит. Рекомендую значение 0xFFFFFFFF, при котором коррекция сможет производиться всегда.

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeConfig]
«MaxPosPhaseCorrection»=dword:FFFFFFFF
«MaxNegPhaseCorrection»=dword:FFFFFFFF

Все необходимое одной строкой

w32tm.exe /config /manualpeerlist:»time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 pool.ntp.org,0x8″ /syncfromflags:manual /reliable:yes /update

Полезные команды

  • Применение внесенных в конфигурацию службы времени изменений
    w32tm /config /update
  • Принудительная синхронизация от источника
    w32tm /resync /rediscover
  • Отображение состояния синхронизации контроллеров домена в домене
    w32tm /monitor
  • Отображение текущих источников синхронизации и их статуса
    w32tm /query /peers

Настройка NTP сервера и клиента групповой политикой

Раз уж у нас с вами домен Active Directory, то глупо не использовать групповые политики, для массовой настройки серверов и рабочих станций, я покажу как настроить ваш NTP сервер в windows и клиента. Открываем оснастку «Редактор групповых политик». Перед тем как настроить наш NTP сервер в Windows, нам необходимо создать WMI фильтр, который будет применять политику, только к серверу мастера PDC.

Вводим имя запроса, пространство имен, будет иметь значение «rootCIMv2» и запрос «Select * from Win32_ComputerSystem where DomainRole = 5». Сохраняем его.

Затем вы создаете политику на контейнере Domain Controllers.

В самом низу политики применяете ваш созданный WMI фильтр.

Переходим в ветку: Конфигурация компьютера > Политики > Административные шаблоны > Система > Служба времени Windows > Поставщики времени.

Тут открываем политику «Настроить NTP-клиент Windows». Задаем параметры

  • NtpServer: 0.ru.pool.ntp.org,0x1 1.ru.pool.ntp.org,0x1 2.ru.pool.ntp.org,0x1 3.ru.pool.ntp.org,0x1
  • Type: NTP
  • CrossSiteSyncFlags: 2. Двойка означает, если этот параметр равен 2 (Все), можно использовать любого участника синхронизации. Это значение игнорируется, если не задано значение NT5DS. Значение по умолчанию: 2 (десятичное) (0x02 (шестнадцатеричное))
  • ResolvePeerBackoffMinutes: 15. Это значение, выраженное в минутах, определяет интервал ожидания службы W32time перед попыткой разрешения DNS-имени в случае неудачи. Значение по умолчанию: 15 минут
  • Resolve Peer BAckoffMaxTimes: 7. Это значение определяет число попыток разрешения DNS-имени, предпринимаемых службой W32time перед перезапуском процесса обнаружения. При каждом неудачном разрешении DNS-имени интервал ожидания перед следующей попыткой удваивается. Значение по умолчанию: семь попыток.
  • SpecilalPoolInterval: 3600. Это значение параметра NTP-клиента, выраженное в секундах, определяет частоту опроса настроенного вручную источника времени, который использует особый интервал опроса. Если для параметра NTPServer установлен флаг SpecialInterval, клиент использует значение, заданное как SpecialPollInterval, вместо значений MinPollInterval и MaxPollInterval, чтобы определить частоту опроса источника времени. Значение по умолчанию: 3600 секунд (1 час).
  • EventLogFlags: 0

Делаем отдельную групповую политику для клиентских рабочих машин, вот с такими параметрами.

  • NtpServer: Адрес вашего контроллера домена с ролью PDC.
  • Type: NT5DS
  • CrossSiteSyncFlags: 2
  • ResolvePeerBackoffMinutes: 15
  • Resolve Peer BAckoffMaxTimes: 7
  • SpecilalPoolInterval: 3600
  • EventLogFlags: 0

Далее идем на клиента и обновляем групповые политики gpupdate /force и вводим команду w32tm /query /status

Особенности виртуализированных контроллеров домена

Контроллеры домена, работающие в виртуализированной среде, требуют к себе особенного отношения.

  • Средства синхронизации времени виртуальной машины и хостовой ОС должны быть выключены. Во всех адекватных системах виртуализации (Microsoft, vmWare и т. д.) присутствуют компоненты интеграции гостевой ОС с хостовой, которые значительно повышают производительность и управляемость гостевой системой. Среди этих компонентов всегда есть средство синхронизации времени гостевой ОС с хостовой, которое очень полезно для рядовых машин, но противопоказано для контроллеров домена. Потому как в этом случае весьма вероятен цикл, при котором контроллер домена и хостовая ОС будут синхронизировать друг друга. Последствия печальны.
  • Для корневого PDC синхронизация с внешним источником должна быть настроена всегда. В виртуальной среде часы не настолько точны как в физической, потому как виртуальная машина работает с виртуальным процессором и прерываниями, для которых характерно как замедление, так и ускорение относительно «обычной» частоты. Если не настроить синхронизацию виртуализированного корневого PDC с внешним источником, время на всех компьютерах предприятия может убегать/отставать на пару часов в сутки. Не трудно представить неприятности, которые может принести такое поведение.

Служба времени Windows, несмотря на кажущуюся простоту, является одной из основ, необходимых для нормального функционирования домена Active Directory. В правильно настроенной среде AD служба времени работает следующим образом: компьютеры пользователей получают точное время от ближайшего контроллера домена, на котором они зарегистрировались. Все контроллеры домена в свою очередь получают точное время от DC с FSMO ролью «Эмулятор PDC», а контролер PDC синхронизирует свое время с неким внешним источником времени. В качестве внешнего источника времени может выступать один или несколько NTP серверов, например time.windows.com или NTP сервер вашего Интернет-провайдера. Также нужно отметить, что по умолчанию клиенты в домене синхронизируют время с помощью службы времени Windows (Windows Time), а не с помощью протокола NTP.

Если вы столкнулись с ситуацией, когда время на клиентах и контроллерах домена различается, возможно, в вашем домене есть проблемы с синхронизацией времени и эта статья будет вам полезна.

В первую очередь выберите подходящий NTP сервер, который вы могли бы использовать. Список общедоступных NTP серверов доступен на сайте http://ntp.org . В нашем примере мы будем использовать NTP сервера из пула ru.pool.ntp.org:

Настройка синхронизации времени в домене с помощью групповых политик состоит из двух шагов:

1) Создание GPO для контроллера домена с ролью PDC
2) Создание GPO для клиентов (опционально)

Настройка политики синхронизации NTP на контролере домена PDC

Этот шаг предполагает настройку контроллера домена с ролью эмулятора PDC на синхронизацию времени с внешним NTP сервером. Т.к. теоретически роль эмулятора PDC может перемещаться между контроллерами домена, нам нужно сделать политику, которая применялась бы только к текущему владельцу роли PDC. Для этого в консоли управления Group Policy Management Console (GPMC.msc), создадим новый WMI фильтр групповых политик. Для этого в разделе WMI Filters создадим фильтр и именем PDC Emulator и WMI запросом: Select * from Win32_ComputerSystem where DomainRole = 5

Затем создайте новую GPO и назначьте ее на контейнер Domain Controllers.

Перейдите в режим редактирования политики и разверните следующий раздел политик: Computer Configuration->Administrative Templates->System->Windows Time Service->Time Providers

Нас интересуют три политики:

  • Configure Windows NTP Client: Enabled (настройки политики описаны ниже)
  • Enable Windows NTP Client: Enabled
  • Enable Windows NTP Server: Enabled

В настройках политики Configure Windows NTP Client укажите следующие параметры:

  • NtpServer: 0.ru.pool.ntp.org,0x1 1.ru.pool.ntp.org,0x1 2.ru.pool.ntp.org,0x1 3.ru.pool.ntp.org,0x1
  • Type: NTP
  • CrossSiteSyncFlags: 2
  • ResolvePeerBackoffMinutes: 15
  • Resolve Peer BAckoffMaxTimes: 7
  • SpecilalPoolInterval: 3600
  • EventLogFlags: 0

Примените созданный ранее фильтр PDC Emulator к данной политике.

Осталось обновить политики на контроллере PDC:
gpupdate /force

Вручную запустите синхронизацию времени:
w32tm /resync

Проверьте текущие настройки NTP:
w32tm /query /status

Настройка синхронизации времени на клиентах домена

В среде Active Directory по умолчанию клиенты домена синхронизируют свое время с контролерами домена (опция Nt5DS – синхронизировать время согласно иерархии домена). Как правило, эта схема работает и не требует перенастройки. Однако при наличии проблем с синхронизацией времени на клиентах домена, можно попробовать принудительно назначить сервер времени для клиентов с помощью GPO.

Для этого создайте новую GPO и назначьте ее на контейнеры (OU) с компьютерами. В редакторе GPO перейдите в раздел Computer Configuration -> Administrative Templates -> System -> Windows Time Service -> Time Providers и включите политику Configure Windows NTP Client.

В качестве сервера NTP укажите имя или ip адрес PDC, например msk-dc1.winitpro.ru,0x9, а в качестве типа синхронизации — NT5DS

Обновите настройки групповых политик на клиентах и проверьте, что клиенты успешно синхронизировали свое время с PDC.

Настройка времени на виртуализированных контроллерах домена AD


Сегодня мы поговорим о некоторых особенностях настройки службы времени на виртуализированных контроллерах домена. Как правило, схема синхронизации времени в домене Active Directory выглядит следующим образом:

  • Контроллер домена с FSMO ролью эмулятора PDC является основным источником времени в домене AD и синхронизируется с внешним поставщиком точного времени.
  • Все остальные контроллеры домена синхронизированы с контроллером, содержащим роль эмулятора PDC
  • Все рядовые сервера домена и рабочие станции синхронизируют время с ближайшим контроллером домена.

Например, так выглядят настройки времени на моем виртуализированном DC с ролью PDC. Как вы видите, он синхронизирует время с pool.ntp.org.

Однако, если попытаться вывести текущего поставщика времени , неожиданно можно увидеть странный источник времени с именем VM IC Time Synchronization Provider.

w32tm / query / source

Дело в том, что по умолчанию виртуальные машины Hyper-V / VMWare синхронизируют свое время с хостовым гипервизором, в не зависимости от настроек службы времени внутри ВМ. В результате этого может оказаться довольно странная ситуация, когда хост Hyper-V является членом домена AD и синхронизирует время с контроллером домена, который, в свою очередь, является виртуальной машиной и синхронизирован с хостом (рекурсия?!).
Чтобы этого избежать, для контроллеров виртуальных доменов вы должны отключить синхронизацию времени с хостом. Есть два способа сделать это.

Первый способ — отключить синхронизацию времени в свойствах ВМ. Для этого откройте свойства виртуальной машины в оснастке Hyper-V Manager, перейдите в раздел Integration Services и снимите флажок Time synchronization.

То же самое на сервере Hyper-V можно сделать с помощью консоли PowerShell. Например, с помощью этой команды можно получить статус службы синхронизации времени для виртуальной машины:

Get-VMIntegrationService -VMName dc1 -Name ‘Time synchronization’

А следующей командой можно отключить синхронизацию:

Get-VMIntegrationService -VMName dc1 -Name ‘Time synchronization’ | Disable-VMIntegrationService

Если в качестве хоста \виртуализации вы используете VMWare ESXi, вы можете отключить синхронизацию времени с хостом в настройках виртуальной машины.

ВМ->Edit Settings -> вкладка VM Options -> Снимите галку “Synchronize guest time with host

Второй способ отключения синхронизации времени — редактирование реестра внутри гостевой виртуальной машины с ролью контроллера домена (ADDS). Чтобы отключить синхронизацию, запустите Regedit.exe, перейдите в раздел HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider и измените значение параметра Enabled на 0.

Либо то же самое действие, но из командной строки:

reg add HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider /v Enabled /t reg_dword /d 0

Кроме того, рекомендуется выполнить следующие настройки

  1. Изменить период опроса сервера NTPreg add HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient /v SpecialPollInterval /t reg_dword /d 900
  2. Настроить правильный ответ службы времени на нестандартное изменение времени более чем на 52 часаreg add HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Config /v MaxNegPhaseCorrection /t reg_dword 0xFFFFFFFF

    reg add HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Config /v MaxPosPhaseCorrection /t reg_dword /d 0xFFFFFFFF

После отключения синхронизации с помощью любого из описанных выше методов необходимо перезапустить службу времени w32time, чтобы она перенастроилась на новый источник времени и запустить синхронизацию:

net stop w32time
net start w32time
w32tm /resync /force

На всех остальных DC в AD вы должны дополнительно выполнить команду:

w32tm/config /syncfromflags:DOMHIER /update

Это заставит службу времени выбрать PDC-эмулятор в качестве источника в соответствии с иерархией домена. Таким образом, мы настроим правильную схему синхронизации времени в домене при использовании виртуальных DC.

Hyper-V Time Sync для контроллера домена виртуальной машины

У нас есть 2 физических сервера Hyper-V с 8 виртуальными машинами между ними, на каждом физическом сервере есть контроллер домена, работающий на виртуальной машине, и все серверы 2008R2

PDC виртуальной машины настроен на NTP и синхронизируется с time.microsoft.com, а остальные, включая физические серверы, — NT5DS. Этот основной PDC виртуальной машины определенно содержит FSMO и активен UDP 123

при запуске w32tm / query / status

Я получаю поставщика синхронизации времени IC VM на обоих контроллерах домена виртуальных машин, я знаю, что это означает синхронизацию с хостом.

Когда я запускаю w32tm / resync / rediscover

Я получил сообщение «не выполнялась повторная синхронизация, потому что данные о времени не были доступны» и идентификатор события 134 в журналах. Какие-нибудь идеи по этому поводу?

Я также просмотрел логи и получил события 144 и 12

Я следил за подробностями MS KB по настройке внешнего источника времени и внес все изменения в реестр, но я думаю, что DNS меня понимает?

Но когда я меняю время на одной из физических машин, отсюда и устанавливается время.Может быть, если я отменю их регистрацию, зарегистрирую, обновлю и синхронизирую, но боюсь, что это создаст большую проблему!

Я пытаюсь оставить синхронизацию времени между виртуальной машиной и хостом Hyper-V включенной, поскольку я считаю, что это лучшая практика из прочитанного.

Спасибо за помощь



Наконец-то все заработало!
Цель этого состоит в том, чтобы помочь людям, которые начинают с самого начала устанавливать время доменов.

В этом примере все серверы, основной контроллер домена (PDC), другие контроллеры домена (DC) и другие серверы работают под управлением Windows 2008 R2 и виртуализированы с помощью Hyper-V.

Прежде всего вы прочитаете, чтобы отключить службу интеграции синхронизации времени на любой виртуальной машине в Hyper-V, но вместо этого вы должны управлять службой времени Windows (служба w32tm) из виртуального контроллера домена, вы не должны отключать это, потому что, когда перезапуск виртуальной машины вызовет проблемы, это следует делать с помощью w32tm.
http://blogs.msdn.com/b/virtual_pc_guy/archive/2010/11/19/time-synchronization-in-hyper-v.aspx

Вам нужно будет выяснить, какой сервер является PDC и выполняет роли FSMO.Запустите это:
netdom запрос fsmo
Результатом должен быть ваш PDC, и именно здесь вы вносите большинство изменений.

Убедитесь, что в брандмауэре есть правило «Исходящий» для UDP123 и программа% SystemRoot% \ System32 \ w32tm.exe, просто перейдите в каталог Windows и найдите exe на время

Вот где происходят изменения в реестре!
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ services \ W32Time

Убедитесь, что PDC в конфигурации в указанном выше адресе реестра установлен на NTP для «типа», а все остальные серверы — NT5DS, это означает, что NTP — это папа!
Лучшая практика здесь — заставить PDC искать время извне и все синхронизировать с ним.

Запустите это на всех контроллерах домена (включая PDC), он частично отключит время Windows, поэтому он не смотрит на хост-машину в течение времени, что важно, потому что мы виртуализированы.
reg add HKLM \ SYSTEM \ CurrentControlSet \ Services \ W32Time \ TimeProviders \ VMICTimeProvider / v Включено / t reg_dword / d 0

Вы можете перейти на ntp.org http://support.ntp.org/bin/view/Servers/WebHome
site, чтобы найти ближайший к вам сервер для синхронизации вашего внешнего времени. Я рекомендую не использовать Microsoft, так как они часто используются и могут выскользнуть из-за этого.

Команда ниже установит внешний вид основного контроллера домена, но также проверит параметры реестра, как определено здесь, для внешней синхронизации (вам необходимо сделать и то, и другое)
http://support.microsoft.com/kb/816042

Запустите это на PDC
w32tm / config /manualpeerlist: «0.pool.ntp.org,0x1 »/ syncfromflags: РУЧНОЙ / надежный: да
w32tm / config / update
w32tm / повторная синхронизация
w32tm / повторная синхронизация / заново открыть

Выполните эти 2 команды в любое время на любом сервере, чтобы увидеть их источник, и когда они в последний раз обновлялись, они будут использоваться в этом упражнении, чтобы убедиться, что ваш PDC и другие серверы получают время из нужного места.
w32tm / запрос / статус
w32tm / запрос / источник

Затем запустите это на всех DC, кроме PDC, это заставит их посмотреть на PDC на время и повторно синхронизировать с ним
w32tm / config / syncfromflags: DOMHIER / обновление
чистая остановка w32time
чистый старт w32time
w32tm / resync / force

выпусков:
Когда вы запускаете запрос состояния или источника, дайте им минуту или две после изменений, вы не должны смотреть на локальные часы CMOS, и вы также не должны использовать поставщика синхронизации времени vm ic в качестве источника.

В случае успеха PDC должен прочитать внешний сайт, который вы установили, а другие серверы должны указать PDC как источник

Надеюсь, это поможет людям удачи!

Почему время не совпадает на двух контроллерах домена Windows, несмотря на повторную синхронизацию?

В моем домене есть два контроллера домена, между их временами есть промежуток в 3 минуты, и я могу найти эту разницу между многими клиентами (это зависит от их DC).

Если я запустил эту команду:

  w32tm / монитор
  

Я вижу, что контроллеры домена могут видеть время друг друга.Но если я запустил эту команду:

  w32tm / повторная синхронизация
  

Ничего не меняется, подскажите почему?

ИЗМЕНИТЬ

Это мой тестовый вывод вторичного постоянного тока:

  PS C: \ Users \ administrator.MYDOMAIN> w32tm / config / syncfromflags: DOMHIER / update
Команда успешно выполнена.
PS C: \ Users \ administrator.MYDOMAIN> w32tm / resync / nowait / rediscover
Отправка команды повторной синхронизации на локальный компьютер
Команда успешно выполнена.PS C: \ Users \ administrator.MYDOMAIN> w32tm / monitor
SRVDC1.MYDOMAIN.locale *** PDC *** [10.0.0.10:123]:
    ICMP: задержка 0 мс
    NTP: + 0,0000000 с смещения от SRVDC1.MYDOMAIN.locale
        RefID: ntp.ngi.it [88.149.128.123]
        Уровень: 3
SRVDC2.MYDOMAIN.locale [[fe80 :: c5ec: 8a39: e860: e2e7% 13]: 123]:
    ICMP: задержка 0 мс
    NTP: -146.4122820 смещение от SRVDC1.MYDOMAIN.locale
        RefID: 80.84.77.86.rev.sfr.net [86.77.84.80]
        Уровень: 2

Предупреждение:
Обратное разрешение имен - лучшее средство.А может и не быть
правильно, так как поле RefID во времени пакетов различается между
Реализации NTP и могут не использовать IP-адреса.
PS C: \ Users \ administrator.MYDOMAIN>
  

По прошествии 15 минут разрыв во времени все еще сохраняется.

Это выходные данные команды состояния запроса (кажется, что синхронизация работает):

  PS C: \ Users \ administrator.MYDOMAIN> w32tm / запрос / статус / подробный
Индикатор прыжка: 0 (без предупреждения)
Stratum: 2 (вторичная ссылка - синхронизируется (S) NTP)
Точность: -6 (15.625 мс за тик)
Задержка корня: 0,0000000 с
Корневая дисперсия: 0,0100000 с
ReferenceId: 0x564D5450 (исходный IP-адрес: 86.77.84.80)
Время последней успешной синхронизации: 28.08.2014, 08.52.00
Источник: поставщик синхронизации времени VM IC
Интервал опроса: 6 (64 с)

Смещение фазы: 0,0051939 с
ClockRate: 0,0156215 с
Конечный автомат: 2 (синхронизация)
Флаги источника времени: 3 (аутентифицированное оборудование)
Роль сервера: 64 (служба времени)
Последняя ошибка синхронизации: 0 (Команда успешно завершена.)
Время с момента последней хорошей синхронизации: 3,3291425 с
  

Не знаю, важно ли это, но DC1 и DC2 — это виртуальные машины на двух разных серверах.

Рекомендация

— Настройте корневой PDC с авторитетным источником времени и избегайте широко распространенного перекоса времени

  • Читать 3 минуты

В этой статье

Почему стоит задуматься об этом?

Ваш корневой эмулятор PDC не настроен на использование сервера протокола сетевого времени (NTP). Многие Windows и сетевые функции полагаются на надежную синхронизацию времени по сети.Сбои синхронизации времени могут вызвать множество проблем, в первую очередь сбои входа в систему. Проверка подлинности Kerberos и единый вход на основе утверждений могут завершиться ошибкой из-за разницы во времени.

Посмотреть, как инженер по работе с клиентами объясняет проблему

Контекст и передовой опыт

По умолчанию все компьютеры и устройства в домене синхронизируют системное время с помощью доменной иерархии. Члены домена синхронизируют время с контроллерами домена, которые, в свою очередь, синхронизируют время с контроллером домена, выполняющим роль эмулятора PDC.Эмулятор основного контроллера домена корневого домена леса находится на вершине иерархии доменов, поэтому настройка этого контроллера домена на синхронизацию времени с иерархией домена недопустима. Служба времени Windows предупреждает вас об этом условии, записывая идентификатор события 12 в журнал событий Windows из источника событий W32Time.

В некоторых сценариях эмулятор PDC получает время по часам BIOS. Однако у этого подхода есть недостатки. Если время и дата не установлены точно в BIOS эмулятора PDC, настройки времени и даты будут неправильными во всем домене.Кроме того, если эмулятор PDC перейдет в автономный режим, члены домена не смогут синхронизировать время. Лучшим подходом является настройка эмулятора PDC для синхронизации времени напрямую с внешним источником времени. В качестве альтернативы вы можете настроить другое устройство в своем домене для синхронизации времени с внешней службой времени, а затем настроить эмулятор PDC для использования вашего внутреннего сервера времени в качестве авторитетного источника времени.

Авторитетные внешние источники времени — это службы с выходом в Интернет, обычно поддерживаемые правительственными, научными или образовательными учреждениями, которые позволяют синхронизировать системное время с помощью протокола сетевого времени (NTP).Например, NIST предоставляет серверы времени в различных местах в Соединенных Штатах.

Предлагаемые действия

Вы можете настроить контроллер домена, выполняющий роль PDCE, для использования NTP-сервера для синхронизации времени, существует несколько подходов:

Чтобы настроить синхронизацию времени через командную строку, на эмуляторе PDC откройте административную командную строку и используйте следующие команды:

w32tm.exe / config / syncfromflags: руководство / manualpeerlist: 131.107.13.100,0×8 / надежный: есть / обновить

w32tm.exe / config / update

** Примечание. ** IP-адрес в примере — это сервер времени Национального института стандартов и технологий (NIST) в Microsoft в Редмонде, штат Вашингтон. Замените этот IP-адрес службой времени по вашему выбору.

Чтобы настроить синхронизацию времени с помощью редактирования реестра на эмуляторе PDC, выполните следующие действия:

  1. Откройте редактор реестра ( regedit.exe )
  2. Перейдите к следующему разделу реестра: HKLM \ System \ CurrentControlSet \ Services \ W32Time \ Parameters
  3. Чтобы использовать конкретный источник NTP, измените значение Type на NTP
  4. Измените значение NtpServer , чтобы оно содержало NTP-сервер для синхронизации времени, за которым следует 0x8, например 131.107.13.100,0×8 . Несколько серверов NTP должны быть разделены пробелами, например 131.107.13.100,0×8 24.56.178.140,0×8
  5. Откройте административную командную строку и выполните следующую команду: w32tm / config / update

Для настройки синхронизации времени через групповую политику

  1. Открыть консоль управления групповой политикой
  2. Создать новый GPO
  3. Откройте GPO и перейдите к Computer Settings -> Administrative Templates -> System -> Windows Time Service -> Time Providers
  4. Дважды щелкните Настроить клиент Windows NTP.
  5. Установить состояние Включено
  6. Настройте Тип на NTP
  7. Настройте NTPServer так, чтобы он указывал на IP-адрес сервера времени, за которым следует , 0x8 , например: 131.107.13.100,0×8
  8. Закройте редактор групповой политики
  9. На панели Фильтрация безопасности консоли управления групповой политикой удалите Прошедших аутентификацию пользователей для вновь созданной политики и добавьте компьютер, который имеет роль
  10. эмулятора PDC Emulator

  11. Свяжите GPO с контроллерами домена OU

Устранение неполадок

Чтобы просмотреть текущую конфигурацию службы времени Windows, используйте следующую команду в командной строке с повышенными привилегиями:

w32tm / запрос / конфигурация

, чтобы увидеть текущий источник для синхронизации времени, используйте следующую команду:

w32tm / запрос / источник

Узнать больше

Дополнительные сведения о синхронизации контроллеров домена с внешним источником времени см. В разделе «Синхронизация сервера времени для контроллера домена с внешним источником » по адресу https: // technet.microsoft.com/library/cc784553.aspx.

Для получения дополнительной информации об Интернет-службе времени NIST см. Интернет-служба времени NIST (ITS) по адресу https://www.nist.gov/pml/div688/grp40/its.cfm.

Дополнительные сведения о службе времени Windows см. В разделе Как работает служба времени Windows по адресу https://docs.microsoft.com/windows-server/networking/windows-time-service/how-the-windows-time-service -работа

Чтобы получить общий отзыв о Центре ресурсов или контенте, отправьте свой ответ в UserVoice.По конкретным запросам и обновлениям контента, касающимся Центра услуг, свяжитесь с нашей группой поддержки, чтобы отправить запрос.

Настроить авторитетное время — Windows Server

  • 6 минут на чтение

В этой статье

В этой статье описывается, как настроить службу времени Windows и устранить неполадки, когда служба времени Windows работает некорректно.

Исходная версия продукта: Windows Server 2012 Standard, Windows Server 2012 Essentials
Исходный номер базы знаний: 816042

Чтобы настроить внутренний сервер времени для синхронизации с внешним источником времени, используйте следующий метод:

Чтобы настроить основной контроллер домена в корне леса Active Directory для синхронизации с внешним источником времени, выполните следующие действия:

  1. Измените тип сервера на NTP. Для этого выполните следующие действия:

    1. Выберите Start > Run , введите regedit , а затем выберите OK .

    2. Найдите и выберите следующий подраздел реестра:
      HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ W32Time \ Parameters \ Type

    3. На панели справа щелкните правой кнопкой мыши Тип , а затем выберите Изменить .

    4. В Edit Value введите NTP в поле Value data , а затем выберите OK .

  2. Установить AnnounceFlags на 5.Для этого выполните следующие действия:

    1. Найдите и выберите следующий подраздел реестра:
      HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ W32Time \ Config \ AnnounceFlags

    2. На панели справа щелкните правой кнопкой мыши AnnounceFlags , а затем выберите Изменить .

    3. В Edit DWORD Value введите 5 в поле Value data , а затем выберите OK .

    Примечание

    • Если полномочный сервер времени, настроенный на использование значения AnnounceFlag 0x5 , не синхронизируется с вышестоящим сервером времени, клиентский сервер может неправильно синхронизироваться с авторитетным сервером времени при синхронизации времени между авторитетным временем сервер и восходящий сервер времени возобновляют работу.Поэтому, если у вас плохое сетевое соединение или другие проблемы, которые могут вызвать сбой синхронизации времени полномочного сервера с вышестоящим сервером, установите значение AnnounceFlag на 0xA вместо 0x5 .
    • Если полномочный сервер времени настроен на использование значения AnnounceFlag 0x5 и синхронизацию с вышестоящим сервером времени через фиксированный интервал, указанный в SpecialPollInterval , клиентский сервер может некорректно синхронизироваться с авторитетным сервером времени. сервер времени после перезапуска полномочного сервера времени.Поэтому, если вы настраиваете свой полномочный сервер времени для синхронизации с вышестоящим сервером NTP с фиксированным интервалом, который указан в SpecialPollInterval , установите значение AnnounceFlag на 0xA вместо 0x5 .
  3. Включите NTPServer. Для этого выполните следующие действия:

    1. Найдите и выберите следующий подраздел реестра:
      HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ W32Time \ TimeProviders \ NtpServer

    2. На панели справа щелкните правой кнопкой мыши Включено , а затем выберите Изменить .

    3. В Edit DWORD Value введите 1 в поле Value data , а затем выберите OK .

    4. Укажите источники времени. Для этого выполните следующие действия:

      1. Найдите и щелкните следующий подраздел реестра:
        HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ W32Time \ Parameters

      2. На панели справа щелкните правой кнопкой мыши NtpServer , а затем выберите Изменить .

      3. В Edit Value введите Peers в поле Value data , а затем выберите OK .

        Примечание

        Peers — это заполнитель для разделенного пробелами списка одноранговых узлов, от которых ваш компьютер получает отметки времени. Каждое указанное DNS-имя должно быть уникальным. Вы должны добавить , 0x1 в конец каждого DNS-имени. Если вы не добавите , 0x1 в конце каждого имени DNS, изменения, внесенные на шаге 5, не вступят в силу.

  4. Настройте параметры коррекции времени. Для этого выполните следующие действия:

    1. Найдите и щелкните следующий подраздел реестра:
      HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ W32Time \ Config \ MaxPosPhaseCorrection

    2. На панели справа щелкните правой кнопкой мыши MaxPosPhaseCorrection , а затем выберите Изменить .

    3. В Edit DWORD Value щелкните, чтобы выбрать Decimal в поле Base .

    4. В Edit DWORD Value введите TimeInSeconds в поле Value data , а затем выберите OK .

      Примечание

      TimeInSeconds — это подходящее значение-заполнитель, например 1 час (3600) или 30 минут (1800). Выбранное значение будет зависеть от интервала опроса, состояния сети и внешнего источника времени.
      Значение по умолчанию MaxPosPhaseCorrection составляет 48 часов в Windows Server 2008 R2 или более поздней версии.

    5. Найдите и щелкните следующий подраздел реестра:
      HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ W32Time \ Config \ MaxNegPhaseCorrection

    6. На панели справа щелкните правой кнопкой мыши MaxNegPhaseCorrection , а затем выберите Изменить .

    7. В Edit DWORD Value щелкните, чтобы выбрать Decimal в поле Base .

    8. В Edit DWORD Value введите TimeInSeconds в поле Value data , а затем выберите OK .

      Примечание

      TimeInSeconds — это подходящее значение-заполнитель, например 1 час (3600) или 30 минут (1800). Выбранное значение будет зависеть от интервала опроса, состояния сети и внешнего источника времени.
      Значение по умолчанию MaxNegPhaseCorrection составляет 48 часов в Windows Server 2008 R2 или более поздней версии.

  5. Закройте редактор реестра.

  6. В командной строке введите следующую команду для перезапуска службы времени Windows и нажмите Enter:

      чистая остановка w32time && чистый старт w32time
      

Устранение неисправностей

Для правильной работы службы времени Windows должна правильно работать сетевая инфраструктура.К наиболее распространенным проблемам, влияющим на службу времени Windows, относятся следующие:

  • Проблема с подключением TCP / IP, например неработающий шлюз.
  • Служба разрешения имен работает неправильно.
  • В сети наблюдаются большие задержки в объеме, особенно когда синхронизация происходит по каналам глобальной сети (WAN) с высокой задержкой.
  • Служба времени Windows пытается синхронизироваться с неточными источниками времени.

Мы рекомендуем использовать Netdiag.Утилита exe для устранения проблем, связанных с сетью. Netdiag.exe является частью пакета средств поддержки Windows Server 2003. См. Раздел «Справка по инструментам» для получения полного списка параметров командной строки, которые можно использовать с Netdiag.exe. Если проблема все еще не решена, можно включить журнал отладки службы времени Windows. Поскольку журнал отладки может содержать очень подробную информацию, мы рекомендуем вам обратиться в службу поддержки клиентов Microsoft при включении журнала отладки службы времени Windows.

Примечание

В особых случаях расходы, которые обычно взимаются за обращение в службу поддержки, могут быть отменены, если специалист службы поддержки Майкрософт определит, что конкретное обновление решит вашу проблему.Затраты на обычную поддержку будут применяться к дополнительным вопросам поддержки и проблемам, которые не соответствуют требованиям для конкретного рассматриваемого обновления.

Дополнительная информация

Windows Server включает W32Time, инструмент службы времени, который требуется для протокола проверки подлинности Kerberos. Служба времени Windows гарантирует, что все компьютеры в организации, работающие под управлением операционной системы Microsoft Windows 2000 Server или более поздних версий, используют общее время.

Чтобы гарантировать правильное общее использование времени, служба времени Windows использует иерархические отношения, которые контролируют полномочия, а служба времени Windows не допускает циклов.По умолчанию компьютеры под управлением Windows используют следующую иерархию:

  • Все клиентские настольные компьютеры назначают аутентифицирующий контроллер домена своим входящим партнером по времени.
  • Все рядовые серверы следуют тому же процессу, что и клиентские настольные компьютеры.
  • Все контроллеры домена в домене назначают хозяина операций основного контроллера домена (PDC) своим входящим партнером по времени.
  • Все операторы PDC следуют иерархии доменов при выборе своего входящего партнера по времени.

В этой иерархии хозяин операций PDC в корне леса становится полномочным для организации. Мы настоятельно рекомендуем вам настроить полномочный сервер времени для получения времени от источника оборудования. Когда вы настраиваете полномочный сервер времени для синхронизации с источником времени в Интернете, аутентификация не выполняется. Мы также рекомендуем вам сократить время корректировки настроек для ваших серверов и автономных клиентов. Эти рекомендации обеспечивают большую точность и безопасность вашего домена.

Список литературы

Дополнительные сведения о службе времени Windows см .:

Дополнительные сведения о службе времени Windows см. В разделе Служба времени Windows (W32Time).

[решено] Настроить на рабочих станциях синхронизацию времени — Active Directory и GPO

На самом деле … пытаясь не уводить эту дискуссию слишком далеко от темы NTP … но включение пользователей домена в локальную группу «Пользователи» или «Опытные пользователи» является правильным методом предоставления всем пользователям равного доступа , в зависимости от политики вашей компании в отношении того, насколько вы хотите ограничить их доступ.Опытные пользователи также не имеют доступа к папкам других пользователей на локальном ПК, но они могут изменять время.

Вернемся к сетевому времени, Пиман прав. Когда вы добавляете клиент Windows XP / 2000 в домен, клиент автоматически делает записи в своем реестре, чтобы искать ближайший к нему контроллер домена в сети. Это также верно для любых рядовых серверов (не контроллеров домена).

Все контроллеры домена автоматически обращаются к контроллеру домена, которому назначена роль эмулятора основного контроллера домена.Если у вас есть только один контроллер домена, то, очевидно, этот сервер является эмулятором PDC, и все ваши клиенты будут автоматически проверять время после добавления в домен.

Эмулятор PDC на данный момент считается сервером Stratum 2. Затем вы указываете этот эмулятор PDC на источник времени Stratum 1, который может быть частью оборудования, которое вы покупаете и размещаете в своей сети, или вы можете указать его на внешний источник времени в Интернете. Отличное место для указания вашего ntp-сервера — это соответствующий пул-сервер с www.pool.ntp.org. Вы также не используете команду «Net Time» в среде домена, чтобы установить это время на PDC E. На самом деле вам нужно использовать команду «w32tm», которая устанавливает это время в реестре.

Я читал о NTP в течение последнего месяца, так как у нас были некоторые проблемы в нашей сети. Вот несколько полезных ссылок:

http://www.windowsnetworking.com/articles_tutorials/Configuring-Windows-Time-Service.html

http://technet.microsoft.com/en-us/library/cc773263(WS.10).aspx

http: // technet.microsoft.com/en-us/library/bb4

.aspx

Надеюсь, это поможет.

Синхронизация времени с виртуальными контроллерами домена — ITProMentor

В виртуализации Hyper-V гостевая виртуальная машина имеет нечто, называемое «Службы интеграции». По умолчанию все эти службы в значительной степени включены, включая синхронизацию времени. Однако это может вызвать большие проблемы , если у вас есть виртуальные контроллеры домена, и ваши физические хост-серверы не получают свое время из общего надежного источника, такого как внешний сервер NTP, например 0.us.pool.ntp.org, 1.us.pool.ntp.org и т. д.

В частности, если на виртуальном хосте работает гостевой контроллер домена, то при запуске контроллер домена будет получать время по часам физического сервера Hyper-V. Когда это время не синхронизируется с другими DC и виртуальными хостами (например, отключение электроэнергии, проект миграции и т. Д.), Все быстро становится напуганным, поскольку компьютеры постоянно борются друг с другом и не понимают, кому доверять в отношении полномочий по времени. По мере того, как проблемы со временем распространяются по вашей сети, половина ваших пользователей внезапно сообщает, что они не могут войти в систему или что-либо из .

Сохранять только одноразовые права доступа

Следовательно, вам необходимо решить, кто будет центральным органом управления временем в сети, а все остальное спроектировать так, чтобы обращаться к этому источнику. Почему?

Потому что должен быть только один авторитет времени в сети, который, в свою очередь, должен быть синхронизирован с надежным сервером NTP. Настройте свои виртуальные хосты и / или основной контроллер домена для синхронизации с внешним сервером NTP, а затем настройте любой другой контроллер домена так, чтобы он ссылался только на основной контроллер домена.

Чтобы узнать, что использует ваш сервер, используйте полномочия по времени:

w32tm / запрос / источник

Если на ваших виртуальных машинах включены службы интеграции, будет возвращено следующее значение: VM IC Time Synchronization Provider. Отключение служб интеграции времени по крайней мере для виртуальных контроллеров домена кажется хорошей идеей, и, возможно, вам следует сделать это для всех виртуальных машин, если вы хотите, чтобы контроллеры домена отвечали за сетевое время, не задействуя базовые хост-системы.Другой вариант — синхронизировать аппаратные часы хостов Hyper-V с полномочиями NTP.

Вариант 1. Отключить синхронизацию времени для виртуальных машин

Чтобы отключить синхронизацию времени на виртуальных машинах, используйте PowerShell в качестве администратора с хост-серверов Hyper-V:

Get-VM | Disable-VMIntegrationService -Name «Синхронизация времени»

Или в графическом интерфейсе: Hyper-V Manager> Virtual Machine> Settings> Integration Services :

Установить синхронизацию времени для контроллеров домена

Затем на контроллерах домена сбросьте настройки времени.Microsoft предлагает исправление, которое помогает вам установить внешний источник времени, такой как «0.us.pool.ntp.org» (прокрутите страницу вниз — пропустите исправление для синхронизации с внутренними аппаратными часами).

Вы также можете вручную настроить партнера по синхронизации на контроллере домена, чтобы исправить проблемы с синхронизацией времени с помощью этого (в качестве администратора):

w32tm / config / syncfromflags: manual /manualpeerlist: scheme0.us.pool.ntp.org 1.us.pool.ntp.org ”/ надежный: yes / update
Net stop w32time
Net start w32time
w32tm / resync / сила

После этого сетевое время должно начать совпадать, но вы также можете запустить w32tm / resync / force с любого клиентского компьютера для принудительной синхронизации (или просто перезагрузки).

Вам по-прежнему следует использовать исправление Microsoft с этим решением для установки внешних прав доступа в реестре. Если вы пойдете по этому пути, то в качестве двойной дополнительной меры предосторожности на ваших виртуальных контроллерах домена вы также можете «нейтрализовать» службы интеграции синхронизации времени из самой гостевой виртуальной машины с помощью этого раздела реестра (из командной строки с повышенными привилегиями):

reg add HKLM \ SYSTEM \ CurrentControlSet \ Services \ W32Time \ TimeProviders \ VMICTimeProvider / v Включено / t reg_dword / d 0

Это отключит VMICTimeProvider после загрузки Windows, чтобы виртуальный сервер мог по умолчанию вернуться к установленному вами внешнему авторитету времени.Использование этой меры предосторожности в виртуальной машине является хорошей страховкой на случай, если функции временной интеграции случайно будут повторно включены в будущем на хосте (например, после миграции, экспорта / импорта, процедуры резервного копирования / восстановления и т. Д.).

Вариант 2: Альтернативный дизайн с аппаратным NTP

Если вы предпочитаете управлять полномочиями по времени на аппаратном уровне и оставлять службы интеграции включенными, это тоже вариант. У некоторых поставщиков оборудования есть настройки микропрограмм, например, для настройки NTP (см. Документацию вашего поставщика).Убедитесь, что все физические / хост-серверы имеют одинаковые полномочия по времени, и убедитесь, что хост Hyper-V настроен на обращение к аппаратным часам на сервере с помощью исправления Microsoft.

Вы должны быть осторожны с этим во время миграции, в частности — убедитесь, что вы синхронизируете существующие / физические контроллеры домена с внешним источником времени, и любые новые серверы , которые вы добавляете, должны быть настроены на синхронизацию по очереди (помните: время не может отключиться более чем на 5 минут, иначе возникнут проблемы).

Нравится:

Нравится Загрузка …

Связанные

Синхронизация машинного времени

Синхронизация машинного времени

Синхронизация времени очень важна для связи OPC UA. Вы можете столкнуться с проблемами, когда два компьютера захотят обмениваться данными через OPC UA, и каждый компьютер имеет разное время / дату. В этом случае связь не может быть установлена, и нам нужно как-то синхронизировать время между этими компьютерами.

Существуют разные способы синхронизации времени, и способ сделать это зависит от некоторых из следующих факторов:

Компьютеры в одном домене

Если компьютеры присоединены к одному домену, вы можете выполнить следующие действия, чтобы убедиться, что время на каждой машине синхронизировано.

  1. Перейдите в Пуск -> Все программы -> Стандартные и щелкните Командная строка.

  2. Введите w32tm / resync и нажмите ENTER (это синхронизирует время с вашим контроллером домена).

  3. Вы должны увидеть сообщение «Отправка команды повторной синхронизации на локальный компьютер», а через несколько секунд должно появиться другое сообщение «Команда успешно выполнена». Когда вы получаете это сообщение, это означает, что местное время успешно синхронизировано с контроллером домена.

  4. Если вы хотите синхронизировать другой компьютер в домене с локального компьютера, введите в командной строке w32tm / resync / computer: , где DNSNameOrIP — это имя компьютера или IP-адрес, который вы хотите использовать. использовать для синхронизации времени.

  5. Если вы хотите проверить синхронизацию (и разницу во времени) с другим узлом, введите w32tm / monitor / computers: .

  6. Если вы хотите проверить контроллер домена на предмет синхронизации времени (например, сервера NTP или разницы во времени между вашим компьютером и контроллером домена). Введите w32tm / monitor / domain: <имя домена>.

ПРИМЕЧАНИЕ. Если вы хотите узнать больше об инструменте w32tm, см. Раздел Microsoft Technet «Инструменты и настройки службы времени Windows».

Компьютеры, подключенные к Интернету

Если компьютеры не присоединены к одному домену, но находятся в локальной сети с доступом в Интернет, вы можете использовать сервер времени для синхронизации времени на каждой из машин. Следуйте инструкциям ниже.

  1. Щелкните правой кнопкой мыши часы Windows на панели задач и выберите в меню «Настроить дату / время».

  2. Щелкните вкладку «Время в Интернете» и нажмите кнопку «Изменить настройки».

Рисунок 1 — Данные и время: Интернет-время

  1. Теперь, если вы хотите синхронизировать время с помощью определенного сервера (по умолчанию «time.windows.com»), нажмите кнопку «Обновить сейчас». Должно появиться сообщение о том, была ли синхронизация успешной или нет.

  2. Чтобы изменить сервер времени по умолчанию, вы можете развернуть раскрывающийся список серверов и выбрать другой сервер (time.nist.gov) или вручную укажите желаемый сервер времени в Интернете (ns.arc.nasa.gov).

Рисунок 2 — Настройки времени в Интернете

ПРИМЕЧАНИЕ. Дополнительные серверы времени в Интернете можно найти на http://tf.nist.gov/service/time-servers.html.

  1. Включите интернет-синхронизацию, установив флажок «Синхронизировать с интернет-сервером времени», если он еще не установлен.

  2. Период автоматической синхронизации по умолчанию составляет одну неделю.Этот период нельзя изменить прямо из диалогового окна, но вы можете изменить его в реестре.

ПРИМЕЧАНИЕ. Прежде чем вносить какие-либо изменения в реестр, сделайте его резервную копию. Случайные изменения в реестре могут привести к прекращению работы компьютера.

  1. Откройте regedit.exe через окно поиска меню «Пуск» и перейдите к HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ w32time \ TimeProviders \ NtpClient.

  2. Дважды щелкните SpecialPollInterval и измените значение на Decimal.Число в секундах. Если вы хотите изменить это значение на ежедневное обновление, используйте 86400 (60 секунд * 60 минут * 24 часа).

ПРИМЕЧАНИЕ. Все пользователи должны убедиться, что их программное обеспечение НИКОГДА не запрашивает сервер времени чаще, чем каждые 4 секунды.

Компьютеры, подключенные к локальной сети

Если компьютеры не входят в домен или не подключены к Интернету и являются частью локальной сети (LAN), вы должны использовать сторонние инструменты для синхронизации времени на этих компьютерах.

Поскольку инструмент синхронизации Windows в настройках времени может использоваться только с серверами времени в Интернете или серверами времени внутри домена, для синхронизации времени необходимо использовать два разных инструмента сторонних производителей. Первый инструмент будет работать как NTP-сервер, а второй будет синхронизировать другие компьютеры с удаленным NTP-сервером. Для синхронизации вы можете использовать, например, NTP-сервер Mainberg в качестве сервера времени и AboutTime в качестве инструмента синхронизации.

ПРИМЕЧАНИЕ: Хотя мы будем описывать, как использовать эти два инструмента в этом документе, ни одно из этих приложений не принадлежит ICONICS.Если у вас есть дополнительные вопросы по этим продуктам, обратитесь к справочной документации по приложению или обратитесь к поставщику.

Рассмотрим ситуацию, когда у вас есть ПК1 и ПК2. ПК1 должен служить сервером времени, а ПК2 должен быть синхронизирован с этим сервером. Два компьютера подключены через локальную сеть в разных зданиях. У них нет доступа к Интернету, и они не являются членами какого-либо домена. Нам нужно синхронизировать время на машинах, чтобы разница во времени не превышала одну секунду.

  1. Сначала вам нужно установить сервер Mainberg NTP на ПК1. Он поддерживает Windows 2000, XP, Server 2003 и 7. Перед установкой проверьте все устанавливаемые компоненты, как показано на рисунке 3.

Рисунок 3 — Установка сервера NTP Mainberg: выберите компоненты

  1. Затем выберите путь, по которому вы хотите разместить установку. Установите флажок «Создать файл начальной конфигурации…» и выберите свою страну.

Рисунок 4 — Установка сервера Mainberg NTP: параметры конфигурации

  1. Выберите вариант «Использовать существующую учетную запись» и отметьте нужные параметры службы (по умолчанию все отмечены).

Рисунок 5 — Установка сервера NTP Mainberg: Настройка службы NTP

  1. Введите правильное имя учетной записи и пароль, чтобы службу можно было запустить после установки.Если вы нажмете «Далее», приложение попытается запустить службу сервера NTP под вашей учетной записью.

  2. Если учетная запись была правильной, сервер времени запущен, и вам не нужно перезагружать ПК1.

  3. Установите AboutTime на ПК2. Установка очень проста.

Рисунок 6 — Время начала работы

  1. Теперь запустите AboutTime и перейдите на вкладку Time Hosts.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *