Синхронизация времени в домене

Настройка синхронизации времени в домене Active Directory

Настройка других контроллеров домена

Если вы выполните описанные выше шаги для обеспечения синхронизации времени в домене, то почти гарантированно настроите получение корректного времени всеми компьютерами в сети. Поэтому другие контроллеры домена (если у вас их несколько) можно не трогать.

Однако если вы хотите быть уверенными, что они используют правильное время, вы можете отредактировать локальную групповую политику. Перейдите в меню Пуск > Выполнить и введите gpedit.msc. Нажмите ОК.

Затем используйте те же настройки, что приведены в предыдущем разделе. Если контроллер домена, на котором вы хотите работать, управляется Windows Server Core, вы можете сделать это удаленно, при условии, что такая возможность разрешена сетевым экраном. Просто запустите mmc.exe на компьютере с графическим интерфейсом, откройте пункт меню File > Add/Remove Snap-In, дважды щелкните Group Policy Object Editor и перейдите на компьютер, на котором вы хотите отредактировать групповую политику.

Настройка NTP сервера и клиента групповой политикой

Раз уж у нас с вами домен Active Directory, то глупо не использовать групповые политики, для массовой настройки серверов и рабочих станций, я покажу как настроить ваш NTP сервер в windows и клиента. Открываем оснастку “Редактор групповых политик”. Перед тем как настроить наш NTP сервер в Windows, нам необходимо создать WMI фильтр, который будет применять политику, только к серверу мастера PDC.

Вводим имя запроса, пространство имен, будет иметь значение “root\CIMv2” и запрос “Select * from Win32_ComputerSystem where DomainRole = 5”. Сохраняем его.

Затем вы создаете политику на контейнере Domain Controllers.

В самом низу политики применяете ваш созданный WMI фильтр.

Переходим в ветку: Конфигурация компьютера > Политики > Административные шаблоны > Система > Служба времени Windows > Поставщики времени.

Тут открываем политику “Настроить NTP-клиент Windows”. Задаем параметры

  • NtpServer: 0.ru.pool.ntp.org,0x1 1.ru.pool.ntp.org,0x1 2.ru.pool.ntp.org,0x1 3.ru.pool.ntp.org,0x1
  • Type: NTP
  • CrossSiteSyncFlags: 2. Двойка означает, если этот параметр равен 2 (Все), можно использовать любого участника синхронизации. Это значение игнорируется, если не задано значение NT5DS. Значение по умолчанию: 2 (десятичное) (0x02 (шестнадцатеричное))
  • ResolvePeerBackoffMinutes: 15. Это значение, выраженное в минутах, определяет интервал ожидания службы W32time перед попыткой разрешения DNS-имени в случае неудачи. Значение по умолчанию: 15 минут
  • Resolve Peer BAckoffMaxTimes: 7. Это значение определяет число попыток разрешения DNS-имени, предпринимаемых службой W32time перед перезапуском процесса обнаружения. При каждом неудачном разрешении DNS-имени интервал ожидания перед следующей попыткой удваивается. Значение по умолчанию: семь попыток.
  • SpecilalPoolInterval: 3600. Это значение параметра NTP-клиента, выраженное в секундах, определяет частоту опроса настроенного вручную источника времени, который использует особый интервал опроса. Если для параметра NTPServer установлен флаг SpecialInterval, клиент использует значение, заданное как SpecialPollInterval, вместо значений MinPollInterval и MaxPollInterval, чтобы определить частоту опроса источника времени. Значение по умолчанию: 3600 секунд (1 час).
  • EventLogFlags: 0

Делаем отдельную групповую политику для клиентских рабочих машин, вот с такими параметрами.

  • NtpServer: Адрес вашего контроллера домена с ролью PDC.
  • Type: NT5DS
  • CrossSiteSyncFlags: 2
  • ResolvePeerBackoffMinutes: 15
  • Resolve Peer BAckoffMaxTimes: 7
  • SpecilalPoolInterval: 3600
  • EventLogFlags: 0

Далее идем на клиента и обновляем групповые политики gpupdate /force и вводим команду w32tm /query /status

Как проверить, работает ли синхронизация времени в домене?

До того, как что-либо “ломать” (и в процессе настройки, чтобы проверять эффективность вносимых изменений) необходимо производить диагностику текущего состояния, а также анализировать текущую конфигурацию службы времени. Этому призваны помочь несколько команд, указанных ниже.

Команда

  1. Может быть выполнена на любом компьютере (или контроллере) домена.
  2. Показывает список всех контроллеров домена (с которыми может выполняться синхронизация времени).
  3. Для каждого контроллера домена в поле “NTP:” отображает разницу во времени с PDC контроллером домена (который является источником для синхронизации времени во всём домене).
  4. Для каждого контроллера домена в поле “RefID:” отображается информация об источнике синхронизации времени для этого контроллера домена. Для всех контроллеров домена (кроме КД с ролью PDC) это должен быть либо другой контроллер домена, либо КД с ролью PDC.

Команда

  1. Может быть выполнена на любом компьютере или контроллере домена.
  2. Показывает источник для синхронизации времени (с каким компьютером синхронизируется время того компьютера, на котором запущена эта команда). Для любых компьютеров/серверов это должен быть один из контроллеров домена, для любого контроллера домена (кроме PDC) это должен быть другой КД (обычно – с ролью PDC), для КД с ролью PDC это должен быть внешний источник синхронизации времени (интернет).
    Если в результатах выполнения команды отобразилось сообщение “VM IC Time Synchronization Provider” – значит, эта виртуальная машина синхронизируется с хостом виртуализации. Если эта виртуальная машина – один из контроллеров домена, такую настройку следует изменить!

Команда

  1. Может быть выполнена на любом компьютере или контроллере домена.
  2. Выводит все настройки службы времени windows для текущего компьютера.
  3. Убедитесь, что в результатах выполнения команды на всех компьютерах и контроллерах домена (кроме PDC) в разделе поле Type имеет значение NT5DS. Если это не так, настройки синхронизации на таких компьютерах надо исправлять (как – см. далее).
  4. Если у Вас Windows 2003, то Вы не можете выполнить эту команду. Вместо этого Вы можете посмотреть параметры конфигурации службы времени в реестре: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters, в частности параметр Type.

Команда

  1. Может быть выполнена на любом компьютере или контроллере домена.
  2. Отображет состояние синхронизации (в т.ч. источник синхронизации, время и статус последней синхронизации) для компьютера, на котором выполняется. Опция “/verbose” дает более подробную информацию.

Команда

Сравнивает время (и отображает разницу во времени) на текущем компьютере с компьютером, указанном в аргументе /computer. Компьютер-источник для сравнения времени может быть как в интернете, так и в локальном домене. Примеры команды:
или

Настройка времени в домене Windows Server 2003 (2008)

1. Определение PDC.

Итак как происходит синхронизация времени. Вкратце: сервер выступающий в роли эмулятора PDC должен синхронизироваться с внешним достоверным источником времени, а рабочие станция входящие в домен политикой по умолчанию синхронизируются с контроллером домена. Как узнать кто является PDC, если у вас несколько контроллеров домена?

– открываем оснастку “Active Directory – пользователи и компьютеры” нажимаем правой кнопкой на значке нашего домена и выбираем “Хозяева операции”  и на вкладке “PDC” по имени смотрим кто является эмулятором PDC.

2.Настройка синхронизации времени на контроллере домена Windows Server 2003 (2008).

Теперь нужно зайти на PDC и с помощью regedit открыть редактор реестра, где собственно и будем производить основную настройку. Здесь для удобства я пишу старые значения реестра (т.е которые будем изменять) и новые на которые будем менять.Т.е было – стало.

Приступим:

– В реестре меняем следующие значения:

1) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type

Было: NT5DS 

Изменям на: NTP

   

2) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags

Было: а

Изменям на: 5

3) Включаем NTP серверHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer параметр Enabled изменяем наБыло:0Изменяем на 1 Если стояла 1 менять не нужно4) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\NtpServerА вот здесь мы видим time.windows.com,0х1. Здесь лучше значение не менять на какой либо другой сервер. Т.к когда я пытался изменять на др. сервер то у меня появились следующие ошибки W32Timw 29, 47, 38. Возможно это глюк относится только к Windows Server 2003 – можете поэкспериментировать.5) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\SpecialPollInterval Было: ffffffff в шестнадцатиричной или 4294967295 в десятичнойИзменяем на: 1800 или 3600 в десятичной – это интервал опроса серверов для синхронизации.6) Зададим интервалы максимальных величин коррекции времени.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxPosPhaseCorrectionБыло: ffffffff в шестнадцатиричной или 4294967295 в десятичнойИзменяем на: 1800 или 3600 в десятичной HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxNegPhaseCorrection Было: ffffffff в шестнадцатиричной или 4294967295 в десятичнойИзменяем на: 1800 или 3600 в десятичной  Затем выполним в командной строке (“Пуск”->”Выполнить”->”cmd”).net stop w32time
&& net start w32time
w32tm /resyncЕсли после этого в журнале появились записи об успешной синхронизации то все готово. Если нет смотри след. абзац.

“Конфигурация компьютера”-> “Административные шаблоны”->”System”->”Windows Time Service”->”Time Providers” чтобы все опции стояли “Не заданно”.

Затем в разделе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\NtpServer проверить чтобы значение было time.windows.comДалее в командной сторке выполнить :

w32tm /config
/manualpeerlist:time.windows.com,0x1 /syncfromflags:MANUAL
net stop
w32time
net start
w32time
w32tm /resync

Настройка синхронизации времени в домене Active Directory

Много теории и немного практики о:

  • топологии синхронизации времени среди участников Active Directory
  • оптимальной с моей точки зрения конфигурации сервера времени корневого эмулятора PDC
  • полезных командах для настройки и диагностики синхронизации времени
  • особенностях, которые нужно учитывать для виртуализированных контроллеров домена

Топология синхронизации времени среди участников Active Directory

Среди компьютеров, участвующих в Active Directory работает следующая схема синхронизация времени.

Контроллер корневого домена в лесу AD, которому принадлежит FSMО-роль эмулятора PDC (назовем его корневым PDC), является источником времени для всех остальных контроллеров этого домена. Контроллеры дочерних доменов синхронизируют время с вышестоящих по топологии AD контроллеров домена. Рядовые члены домена (сервера и рабочие станции) синхронизируют свое время с ближайшим к ним доступным контроллером домена, соблюдая топологию AD.

Корневой PDC может синхронизировать свое время как со внешним источником, так и с самим собой, последнее задано конфигурацией по умолчанию и является абсурдом, о чем периодически намекают ошибки в системном журнале.

Синхронизация клиентов корневого PDC может осуществятся как с его внутренних часов, так и с внешнего источника. В первом случае сервер времени корневого PDC объявляет себя как «надежный» (reliable).

Далее я приведу оптимальную с моей точки зрения конфигурацию сервера времени корневого PDC, при которой сам корневой PDC периодически синхронизирует свое время от достоверного источника в интернете, а время обращающихся к нему клиентов синхронизирует со своими внутренними часами.

Особенности виртуализированных контроллеров домена

Контроллеры домена, работающие в виртуализированной среде, требуют к себе особенного отношения.

  • Средства синхронизации времени виртуальной машины и хостовой ОС должны быть выключены
    . Во всех адекватных системах виртуализации (Microsoft, vmWare и т. д.) присутствуют компоненты интеграции гостевой ОС с хостовой, которые значительно повышают производительность и управляемость гостевой системой. Среди этих компонентов всегда есть средство синхронизации времени гостевой ОС с хостовой, которое очень полезно для рядовых машин, но противопоказано для контроллеров домена. Потому как в этом случае весьма вероятен цикл, при котором контроллер домена и хостовая ОС будут синхронизировать друг друга. Последствия печальны.
  • Для корневого PDC синхронизация с внешним источником должна быть настроена всегда
    . В виртуальной среде часы не настолько точны как в физической, потому как виртуальная машина работает с виртуальным процессором и прерываниями, для которых характерно как замедление, так и ускорение относительно «обычной» частоты. Если не настроить синхронизацию виртуализированного корневого PDC с внешним источником, время на всех компьютерах предприятия может убегать/отставать на пару часов в сутки. Не трудно представить неприятности, которые может принести такое поведение.

Служба времени Windows, несмотря на кажущуюся простоту, является одной из основ, необходимых для нормального функционирования домена Active Directory. В правильно настроенной среде AD служба времени работает следующим образом: компьютеры пользователей получают точное время от ближайшего контроллера домена, на котором они зарегистрировались. Все контроллеры домена в свою очередь получают точное время от DC с «Эмулятор PDC
», а контролер PDC синхронизирует свое время с неким . В качестве внешнего источника времени может выступать один или несколько NTP серверов, например time.windows.com или NTP сервер вашего Интернет-провайдера. Также нужно отметить, что по умолчанию клиенты в домене синхронизируют время с помощью службы времени Windows (Windows Time), а не с помощью протокола NTP.

Если вы столкнулись с ситуацией, когда время на клиентах и контроллерах домена различается, возможно, в вашем домене есть проблемы с синхронизацией времени и эта статья будет вам полезна.

В первую очередь выберите подходящий NTP сервер, который вы могли бы использовать. Список общедоступных NTP серверов доступен на сайте http://ntp.org
. В нашем примере мы будем использовать NTP сервера из пула ru.pool.ntp.org:

  • 0.ru.pool.ntp.org
  • 1.ru.pool.ntp.org
  • 2.ru.pool.ntp.org
  • 3.ru.pool.ntp.org

Настройка синхронизации времени в домене с помощью групповых политик состоит из двух шагов:

1) Создание GPO для контроллера домена с ролью PDC
2) Создание GPO для клиентов (опционально)

Немного теории

Синхронизация времени в домене может (теоретически) работать сама, безо всяких настроек. Выглядит это обычно так:

  1. Компьютеры домена и серверы синхронизируют свое время с контроллерами домена (с ближайшими к ним).
  2. Контроллеры домена синхронизируют свое время с контроллером домена, которому назначена FSMO роль PDC (в терминах windows 2000 – “первичный контроллер домена”).
  3. Контроллер домена (КД) с ролью PDC синхронизирует время с внешним источником.

А дальше – начинаются ньюансы:

  • Если контроллер домена виртуальный, в настройках виртуальной машины должна быть выключена синхронизация времени . Иначе (если, к примеру, хост с виртуальными машинами – в домене): виртуальный контроллер домена будет (автоматически) синхронизировать время с хостом, а хост – с ближайшим контроллером домена, т.е. со своей виртуалкой.
  • Если синхронизация времени уже настроена (вручную или через групповые политики) то задаваемые Вами новые настройки могуть не примениться (несмотря на сообщение successful во всех командах) и тогда потребуется полный сброс настроек синхронизации времени на проблемных компьютерах или контроллерах домена.

Что такое служба времени Windows?What is the Windows Time Service?

Служба времени Windows (W32Time) обеспечивает синхронизацию сетевых часов для компьютеров без необходимости в расширенной конфигурации.The Windows Time service (W32Time) provides network clock synchronization for computers without the need for extensive configuration.

Служба времени Windows является важнейшей для успешной работы проверки подлинности Kerberos версии 5 и, следовательно, для проверки подлинности на основе AD DS.The Windows Time service is essential to the successful operation of Kerberos version 5 authentication and, therefore, to AD DS-based authentication. Любое приложение, поддерживающее Kerberos, включая большинство служб безопасности, зависит от синхронизации времени между компьютерами, участвующими в запросе проверки подлинности.Any Kerberos-aware application, including most security services, relies on time synchronization between the computers that are participating in the authentication request. AD DS контроллеры домена также должны иметь синхронизированные часы, чтобы обеспечить точную репликацию данных.AD DS domain controllers must also have synchronized clocks to help to ensure accurate data replication.

Служба времени Windows реализована в библиотеке динамической компоновки с именем W32Time. dll.The Windows Time service is implemented in a dynamic link library called W32Time.dll. Служба W32Time. dll устанавливается по умолчанию в папку %systemroot%\System32 во время установки и установки операционной системы.W32Time.dll is installed by default in the %Systemroot%\System32 folder during operating system setup and installation.

Служба W32Time. dll изначально разрабатывалась для Windows 2000 Server для поддержки спецификации протоколом проверки подлинности Kerberos V5, требующего синхронизации в сети.W32Time.dll was originally developed for Windows 2000 Server to support a specification by the Kerberos V5 authentication protocol that required clocks on a network to be synchronized. Начиная с Windows Server 2003, Служба W32Time. dll обеспечивает повышенную точность синхронизации сетевых часов в серверной операционной системе Windows 2000, а также поддерживает различные аппаратные устройства и протоколы сетевого времени за счет времени поставщик.Starting with Windows Server 2003, W32Time.dll provided increased accuracy in network clock synchronization over the Windows 2000 Server operating system and, in addition, supported a variety of hardware devices and network time protocols by means of time providers. Несмотря на то, что изначально было создано для синхронизации часов для проверки подлинности Kerberos, многие текущие приложения используют метки времени для обеспечения согласованности транзакций, записи времени важных событий и других критически важных для бизнеса, с учетом времени об.Although originally designed to provide clock synchronization for Kerberos authentication, many current applications use timestamps to ensure transactional consistency, to record the time of important events, and other business-critical, time-sensitive information. Эти приложения получают преимущества от синхронизации времени между компьютерами, предоставляемыми службой времени Windows.These applications benefit from time synchronization between computers that is provided by the Windows Time service.

Локальная сеть

Если дома или в офисе установлено несколько компьютеров, подключенных по локальной сети, можно использовать один как сервер точного времени. Синхронизация с временем ПК, входящего в локальную сеть, производится так же, как и с серверами в интернете. Но сначала придется запустить сервер NTP на компьютере, время которого будут использовать остальные участники сети.

Для этого откройте реестр и отредактируйте раздел HKLM\System\CurrentControlSet\services\W32Time\TimeProviders\NtpServer. В нем ключу Enabled нужно присвоить значение 1, затем перезапустить службу Windows time из командной строки, напечатав net stop w32time, а после выполнения – net start w32time.

Помните, что теперь ПК эксплуатируется другими пользователями сети в качестве ориентира, не забывайте проверять его работоспособность время от времени. Включен ли сервер, можно проверить командой w32tm /query /configuration. Значение Enabled, равное 1, показывает, что с сервером всё в порядке.

Не забывайте синхронизировать время на компьютере с интернетом, ведь теперь, если часы убегут вперед или слишком отстанут на нем, это отразится на всех пользователях.

На самом деле синхронизировать время в Виндоус 7 очень просто. Сейчас вы сами в этом убедитесь.

Первое, что вам понадобится – это доступ к интернету. Если вы вы уже в онлайне, то дальше просто выполните несколько действий.

Кликните мышкой на часы, расположенные в системной трее.

Появится окно «Дата и время»
с тремя вкладками. Вам надо перейти на вкладку «Время по Интернету».
(Кстати слово «интернет» пишется с маленькой буквы).

Настройка политики синхронизации NTP на контролере домена PDC

Этот шаг предполагает настройку контроллера домена с ролью эмулятора PDC на синхронизацию времени с внешним NTP сервером. Т.к. теоретически роль эмулятора PDC может перемещаться между контроллерами домена, нам нужно сделать политику, которая применялась бы только к текущему владельцу роли PDC. Для этого в консоли управления Group Policy Management Console
(GPMC.msc), создадим новый . Для этого в разделе WMI Filters
создадим фильтр и именем PDC Emulator
и WMI запросом: Select * from Win32_ComputerSystem where DomainRole = 5

Графическая поддержка конфигурации отсутствует, поэтому есть две документальные возможности. Для принудительной синхронизации вы можете ввести следующую команду. Естественно, нет необходимости вручную запускать синхронизацию вручную, но служба времени делает это с фиксированным интервалом. На рисунке 187 можно видеть, что временный опрос действительно имеет место на регулярной основе. Однако интервал опроса несколько меняется.

Рисунок 187 Время этого контроллера домена периодически синхронизируется. Рисунок 188. Состояние времени на клиенте. Вызов из «нетто-времени» должен показывать время сервера. В небольшой среде с доменом и одним или двумя контроллерами домена вам не нужно беспокоиться о структуре временной синхронизации. Однако в более сложной среде это довольно захватывающая тема. На рисунке 189 показана последовательность в общей структуре с двумя доменами.

Затем создайте новую GPO и назначьте ее на контейнер Domain Controllers.

Перейдите в режим редактирования политики и разверните следующий раздел политик: Computer Configuration->Administrative Templates->System->Windows Time Service->Time Providers

Нас интересуют три политики:

  • Configure Windows NTP Client
    : Enabled (настройки политики описаны ниже)
  • Enable Windows NTP Client
    : Enabled
  • Enable Windows NTP Server
    : Enabled


В настройках политики Configure Windows NTP Client
укажите следующие параметры:

Объявление NTP-сервера в качестве надежного

Рисунок 189 Структура регулировки времени в более крупной среде. Выбор, с которым контроллер домена время окончательно синхронизируется, кстати не случайный. Система выполняет некоторые запросы и строит список рейтингов, в котором значение присваивается возможным партнерам по временной синхронизации в соответствии с таблицей 4.

Синхронизация по умолчанию

Мы всегда с нетерпением ждем вашей дружеской и критической обратной связи. Регулярные члены, будь то клиенты или серверы, синхронизируют свое время с одним из контроллеров домена. Их также можно запустить непосредственно с рабочего стола. В следующем руководстве мы покажем вам, как это работает. Многие слухи официально подтверждены. Первые макеты уже доступны для просмотра в Интернете.

  • NtpServer
    : 0.ru.pool.ntp.org.0x1, 1.ru.pool.ntp.org.0x1, 2.ru.pool.ntp.org.0x1, 3.ru.pool.ntp.org.0x1
  • Type
    : NTP
  • CrossSiteSyncFlags
    : 2
  • ResolvePeerBackoffMinutes
    : 15
  • Resolve Peer BAckoffMaxTimes
    : 7
  • SpecilalPoolInterval
    : 3600
  • EventLogFlags
    : 0

Совет
. Не забудьте настроить межсетевой экран таким образом, чтобы сервер PDC мог получить доступ к внешним NTP серверам по протоколу NTP (UDP порт 123).

Виртуализация и синхронизация времени

Вы уже видите очень конкретный обзор пользовательского интерфейса и диапазона функций. Виртуализация компьютеров тикает часы немного по-другому. Это утверждение может быть принято буквально и уже показывает фундаментальную проблему. Виртуализируя компьютеры, вы должны убедиться, что эти виртуальные машины или гости регулярно проверяют свое системное время и при необходимости корректируют. Если системное время виртуальной машины не соответствует остальной части сети, могут возникнуть проблемы связи.

Примените созданный ранее фильтр PDC Emulator
к данной политике.

Совет
. Найти имя сервера с ролью PDC можно с помощью команды: netdom query fsmo

Осталось обновить политики на контроллере PDC:
gpupdate /force

Вручную запустите синхронизацию времени:
w32tm /resync

Проверьте текущие настройки NTP:
w32tm /query /status

Совет
. В том случае, если время не синхронизировалось, перезапустите службу времени Windows и сбросьте текущие настройки:
net stop w32time
w32tm.exe /unregister
w32tm.exe /register
net stop w32tim

Как исправить настройки синхронизации времени

Настройка синхронизации времени на компьютерах и контроллерах домена
(кроме КД с ролью PDC)

  1. Найдите все групповые политики, изменяющие настройки синхронизации времени, и отключите такие политики. Через групповые политики служба времени настраивается здесь: gpedit.msc => “Computer Configuration” => “Administrative Templates” => “System” => “Windows Time Service” => “Time Providers”. Проверьте, что политики синхронизации времени не применяются, для этого можно выполнить команду:
  2. Проверьте, что на всех виртуальных машинах – контроллерах домена отключена синхронизация времени с хостами виртуализации. Для этого (в Hyper-V) можно зайти в свойства виртуальной машины, раздел средств интеграции и отключить синхронизацию времени. После чего конфигурацию службы времени (на виртуальном контроллере домена) нужно обновить.
  3. Обновите конфигурацию на всех проблемных компьютерах / контроллерах домена (кроме КД с ролью PDC):
  4. Выполните принудительную синхронизацию времени, дав команду заново найти источники синхронизации времени:
  5. Если вышеуказанные действия не помогают, перезагрузите службу времени (на проблемных компьютерах)
    и заново выполните пункты 3 и 4.
  6. Если вышеуказанные действия не помогли решить проблему с синхронизацией времени, необходима перерегистрация службы времени на проблемных компьютерах (и повторная настройка параметров).

Настройка синхронизации времени на контроллере домена с ролью PDC

Настройки времени на КД с ролью PDC принципиально отличаются от настроек на всех остальных компьютерах в домене (включая остальные контроллеры домена). PDC является источником времени во всём домене, именно его время будет использовано (прямо или косвенно – через другие контроллеры домена) всеми остальными компьютерами.

  1. Если контроллер домена с ролью PDC – виртуальная машина, убедитесь, в настройках этой виртуальной машины отключена синхронизациия времени с хостом, на котором она находится!
  2. Убедитесь, что групповые политики синхронизации времени во всем домене (если они у Вас есть) не применяются к КД с ролью PDC! У этого компьютера источник времени – в интернете, и тип синхронизации времени (в отличие от всего остального домена) не NT5DS, а NTP!
  3. Если есть сомнения в том, что синхронизация времени на КД с ролью PDC выполняется правильно, проще всего выполнить перерегистрацию и повторную настройку службы времени.

Настройка синхронизации времени на контроллере домена с ролью PDC

Наш КД с ролью PDC необходимо настроить на синхронизацию с внешним источником (в интернете). Для этой цели не подходит тип синхронизации NT5DS и синхронизации в соответствии с иерархией домена (DOMHIER). Поэтому на нашем КД с ролью PDC мы используем тип синхронизации NTP и синхронизация будет настроена вручную (MANUAL). Источники синхронизации (peers) указываются в кавычках, а если таких источников несколько, то они перечисляются через запятую. Кроме того, мы даем указание считать данный источник синхронизации (КД с ролью PDC) надежным источником времени (reliable):

Теперь можно ускорить применение параметров и синхронизацию времени, перезагрузив службу времени и форсировав синхронизацию:

или

После выполнения этих команд (сделав паузу в несколько минут на применение параметров и выполнение синхронизации) сравните время на контроллере домена с временем в интернете:

Не забудьте проверить, что на всех контроллерах домена время синхронизировалось с PDC. Для этого наберите команду:

Всё должно заработать!

P.S.: Обратите внимание, что применение параметров команды w32tm требует времени. Поэтому после каждого обновления конфигурации рекомендуем делать паузу в 1-5 минут, а потом уже проверять, обновилась ли конфигурация службы времени, и как всё работает

Источники информации для данной статьи:

  1. w32tm Настройка синхронизации времени через cmd
  2. Windows Standart 2012 R2 синхронизация времени с интернетом не работает
  3. Особенности настройки времени для виртуальных контроллеров домена
  4. OsZone.net: Домен – Синхронизация времени
  5. Настройка синхронизации времени в домене Active Directory
  6. Синхронизация времени с внешним NTP сервером в Windows Server 2008 R2
  7. Настройка синхронизации времени по NTP с помощью групповых политик

 

Рейтинг
( Пока оценок нет )
Понравилась статья? Поделиться с друзьями:
Добавить комментарий