Настройка синхронизации времени windows 10 в домене

Windows computers must have their time synchronized with the domain in order to function properly in Active Directory. If the time on a client computer is out of sync with the domain, this can cause a number of problems. The most critical are related to the failure of Kerberos authentication and access to the resource if the time on a client computer is more than 5 minutes off from the domain controller.

In this post we’ll cover how to sync time on a client device with the AD domain and how to troubleshoot when things go wrong.

Understanding the Time Hierarchy in the Active Directory Domain

By default, all domain-joined computers automatically sync their time with the domain controller according to the strict Active Directory domain hierarchy.

1. Workstations and member-servers use their authenticating Domain Controller (LogonServer) as the time source (in accordance with AD sites and subnets configuration);
2. All domain controllers sync their time DC holding the PDC Emulator FSMO role;
3. The PDC synchronizes the time with an external reliable time source (NTP server). The domain controller with the PDC role is the main source of time in the domain.
4. In a multi-domain AD forest, the PDC emulator in each domain sync its time with the PDC in the forest root domain.

Hint. Learn more about time syncing in an Active Directory domain using the GPO.

Sync Time with DC on the Domain-Joined Machine

By default, Windows computer should automatically synchronize its time with the nearest domain controller when it joins a domain. In most cases, no additional manual action is required to sync the time with domain.

On a Windows 10/11 computer, check the current time source and sync status. Go to Settings > Time and Language > Date & time > Additional settings and make sure your DC is used as the last time sync source.

Картинка с сайта: theitbros.com

There is no graphical interface for managing the Windows Time service (W32Time), so it can be configured from the command line (w32tm command), from the registry (HKLM\System\CurrentControlSet\Services\W32Time\Parameters), or via Group Policy.

To check and configure the time sync settings from the command prompt, use the w32tm command. Get the current time source on a computer:

w32tm /query /source

This command should return the name of one of the AD domain controllers on a domain-joined machine:

View the detailed time setting and last sync time:

w32tm /query /status

Картинка с сайта: theitbros.com

Force a time sync with DC:

w32tm /resync /rediscover

If the time synchronization is successful, Event ID 37 should appear in the Event Viewer with the Time-Service source:

The time provider NtpClient is currently receiving valid time data from dc01.theitpro.loc (ntp.d|0.0.0.0:123->192.168.8.10:123).

Картинка с сайта: theitbros.com

Make sure that the computer is configured to automatically synchronize its time according to the domain hierarchy:

w32tm /query /configuration

Scroll down to the [TimeProviders] sections and ensure that the Type is set to NTDS5. If not, this may be the cause of time sync problems on a computer.

This value can also be found in the Type parameter under the registry key HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Parameters. The NtpServer value is ignored when NTDS5 is used.

Картинка с сайта: theitbros.com

To re-enable time synchronization with a DC for computers in an Active Directory domain

w32tm /config /syncfromflags:domhier /update

net stop w32time && net start w32time

This will reset the time sync settings back to NT5DS. This means that the machine should find a time server in the Active Directory hierarchy.

If the Windows client fails to synchronize time with the AD domain controller, you must to reset the Windows Time service configuration.

Unregister w32time service and remove settings:

w32tm /unregister

Register the w32tm service and restore the default settings:

w32tm /register

Enable time sync with AD:

w32tm /config /syncfromflags:domhier /update

Restart the service:

net stop w32time && net start w32time

Update settings:

w32tm /config /update

Synchronize the time:

w32tm /resync

Check the new time sync settings:

w32tm /query /status

Картинка с сайта: theitbros.com

Time Sync Issues on Windows Domain Joined Computers

The Windows Time Service (W32Time) is responsible for time synchronization. Check that this service is running on a client with Get-Service:

Get-Service W32Time | Select-Object name,status

Картинка с сайта: theitbros.com

UDP port 123 is used for time synchronization on Windows. If the port is closed, the w32tm /resync command will return an error:

Sending resync command to local computer
The computer did not resync because no time data was available.

Картинка с сайта: theitbros.com

In this case, the following entry appears in the Event Viewer log:

EventID: 129

Source: Time-Service

NtpClient was unable to set a domain peer to use as a time source because of discovery error. NtpClient will try again in 15 minutes and double the reattempt interval thereafter. The error was: The entry is not found. (0x800706E1)

Картинка с сайта: theitbros.com

Check that the w32time service is running on the DC and listening on UDP port 123:

netstat -an | find "UDP" | find ":123"

Картинка с сайта: theitbros.com

Then check that the UDP inbound rule named Active Directory Domain Controller – W32Time (NTP-UDP-In) is enabled in Windows Defender Firewall (Control Panel > Windows Firewall > Advanced settings > Inbound rules).

Картинка с сайта: theitbros.com

Or check Windows Defender Firewall rule status with PowerShell:

Get-NetFirewallrule -DisplayName 'Active Directory Domain Controller - W32Time (NTP-UDP-In)'|select Enabled

Картинка с сайта: theitbros.com

If the rule is disabled, you must enable it:

Get-NetFirewallrule -DisplayName 'Active Directory Domain Controller - W32Time (NTP-UDP-In)'|Enable-NetFirewallrule

It is also possible to force a client to manually synchronize its time with another domain controller.

net time \\ny-dc01 /set /y

Картинка с сайта: theitbros.com

Configuring the NTP Client Time Sync on Windows Using GPO

In most cases, time sync with a domain on Windows client doesn’t require administrator intervention. However, if you find that time synchronization is not working properly on client workstations in domain, it is possible to centrally configure client time sync settings using Group Policy.

1. Use the gpedit.msc console to change Group Policy settings on a single computer (this is the best solution if you need to solve synchronization problems on a single computer or test new time sync settings). To set up a GPO for multiple domain computers, use the Group Policy Management Console (gpmc.msc);
2. Expand the following node in GPO editor: Computer Configuration > Administrative Templates > System > Windows Time Service;
3. Enable the Enable Windows NTP Client policy;
   

   Картинка с сайта: theitbros.com

4. Then enable the Configure NTP Client policy and set the following settings in the Options panel:
   NTPServer: your domain name (preferred) or FQDN name of the domain controller with the PDC Emulator role (you can find it with the command: netdom.exe query fsmo)
   Type: NT5DS
   CrossSiteSyncFlags: 2
   ResolvePeerBackoffMinutes: 15
   ResolvePeerBackoffMaxTimes: 7
   SpecialPollInterval: 64
   EventLogFlags: 0
   

   Картинка с сайта: theitbros.com

5. Restart your computer to apply the new GPO client time settings.

Синхронизация времени в домене Active Directory критически важна для корректного функционирования сервисов и механизмов безопасности. Если в домене не настроена четкач схема синхронизации времени, это может вызвать проблемы с аутентификацией, работой криптографических протоколов, сертификатов при взаимодействии со внутренними и внешними системами. Так, например, Kerberos аутентификация требует, чтобы время между клиентом и сервером не отличалась более чем на пять минут. В этой статье, мы рассмотрим, как должна работать синхронизация времени в домене AD, и как настроить синхронизацию контроллера домена с внешним источником точного времени (NTP).

Как работает синхронизация времени в домене AD?

Схема синхронизации времени в домене Active Directory имеет строгую иерархию:

• Главным источником времени в домене является контроллер домена с FSMO ролью эмулятора PDC.
• С PDC синхронизируют время все остальные контроллеры домена.
• Рядовые сервера и рабочие станции синхронизируют свое время с ближайшими DC согласно топологии AD (по умолчанию компьютеры Windows синхронизируют время внешним
  time.windows.com
  , но после добавления в домен синхронизация выполняется согласно иерархии домена)

Картинка с сайта: winitpro.ru

Источник

Для обеспечения точного времени на всех компьютерах домена, нужно настроить синхронизацию PDC с неким внешним источником точного времени по протоколу NTP.

Чтобы определить имя контроллера домена, на котором запущена FSMO роль эмулятора PDC, выполните PowerShell команду:

Get-ADDomain | Select-Object PDCEmulator

Картинка с сайта: winitpro.ru

Ручная настройка синхронизация времени контроллера домена PDC с внешним NTP источником

По умолчанию PDC синхронизирует время с аппаратными часами материнской платы физического сервера, на котором он запущен. Это можно проверить, выполнив на нем команду:

w32tm /query /source

Local CMOS Clock
указывает, что в качестве источника времени используются локальные часы. При этом в логе Event Viewe на PDC будет регистрироваться событие Event ID 12 от Time-Service:

Time Provider NtpClient: This machine is configured to use the domain hierarchy to determine its time source, but it is the AD PDC emulator for the domain at the root of the forest, so there is no machine above it in the domain hierarchy to use as a time source. It is recommended that you either configure a reliable time service in the root domain, or manually configure the AD PDC to synchronize with an external time source. Otherwise, this machine will function as the authoritative time source in the domain hierarchy. If an external time source is not configured or used for this computer, you may choose to disable the NtpClient.

Картинка с сайта: winitpro.ru

Если DC запущен на виртуальной машине, в настройках которой включена синхронизация времени с хостом (гипервизором), эта команда вернет:

VM IC Time Synchronization Provider

Поэтому для всех DC нужно отключить синхронизацию времени в настройках ВМ, или запретить DC получать время с хоста, создав параметр реестра:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\w32time\TimeProviders\VMICTimeProvider /v Enabled /t REG_DWORD /d 0 /f

Перенастроим настройки Windows Time на PDC так, чтобы он использовал в качестве источника времени внешний NTP сервер. В качестве источника времени можно использовать ближайшие к вам сервера NTP из пула проекта https://www.ntppool.org

Для России это будут сервера 0.ru.pool.ntp.org, 1.ru.pool.ntp.org и 2.ru.pool.ntp.org

Проверьте с PDC эмулятора, что доступ к этим NTP серверам доступен (и порт 123/UDP не блокируется файерволами):

w32tm /stripchart /computer:0.ru.pool.ntp.org

Картинка с сайта: winitpro.ru

Если вы получили ответ от NTP сервера, можно задать эти внешние сервера в качестве источников времени для Primary DC. Выполните команды:

net stop w32time
w32tm /config /syncfromflags:manual /manualpeerlist:"0.ru.pool.ntp.org,0x8 1.ru.pool.ntp.org,0x8 3.ru.pool.ntp.org,0x8 4.ru.pool.ntp.org,0x8"


w32tm /config /reliable:yes
net start w32time
w32tm /config /update

Выполните синхронизацию времени с NTP:

w32tm /resync

Проверьте, что теперь источником времени на PDC является внешние NTP сервера:

w32tm /query /configuration

Картинка с сайта: winitpro.ru

Настройка групповой политики для синхронизации времени PDC с NTP

Так как роль эмулятора PDC может быть передана на другой контроллер домена, можно настроить групповую политику, которая будет автоматически применять настройки синхронизации с внешним NTP источников времени на текущем DC с ролью PDC.

Для этого в консоли управления Group Policy Management Console (
GPMC.msc
), создайте новый WMI фильтр групповых политик. Перейдите разделе WMI Filters, создайте фильтр с именем PDC Emulator и WMI запросом:

Select * from Win32_ComputerSystem where DomainRole = 5

Картинка с сайта: winitpro.ru

Создайте новую GPO, откройте ее и перейдите в раздел Computer Configuration-> Administrative Templates -> System -> Windows Time Service -> Time Providers

Нас интересуют три политики:

• Configure Windows NTP Client: Enabled (настройки политики описаны ниже)
• Enable Windows NTP Client: Enabled
• Enable Windows NTP Server: Enabled

В настройках политики Configure Windows NTP Client укажите следующие параметры:

• NtpServer: 0.ru.pool.ntp.org,0x8 1.ru.pool.ntp.org,0x8 2.ru.pool.ntp.org,0x8 3.ru.pool.ntp.org,0x8
• Type: NTP
• CrossSiteSyncFlags: 2
• ResolvePeerBackoffMinutes: 15
• Resolve Peer BAckoffMaxTimes: 7
• SpecilalPoolInterval: 1024
• EventLogFlags: 0

Картинка с сайта: winitpro.ru

Примените созданный ранее фильтр PDC Emulator к GPO.

Осталось прилинковать новую GPO на контейнер Domain Controllers.

Настройка синхронизации времени на клиентах домена

В домене нужно настраивать время только на контроллере домена с ролью PDC. Он должен синхронизировать время с внешним NTP. Специально какие-то отдельные политики или настройки для синхронизации времени на оставшихся DC или компьютерах делать не нужно (это может быть даже вредно). Синхронизация времени должна отлично работать согласно иерархии AD (NT5DS).

На оставшихся (дополнительных) контроллерах домена и остальных клиентах синхронизация времени должна выполняться согласно иерархии домена. Проверим это:
w32tm /query /configuration

Если все настроено правильно, в качестве типа источника времени в разделе
TimeProviders
должен быть задан NT5DS.

Настройки службы времени хранятся в ветке реестра
HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
.

Если это не так, можно сбросить настройки синхронизации времени на клиенте и принудительно указать, что нужно использовать схему синхронизации по-умолчанию (по доменной иерархии):

net stop w32time
w32tm.exe /unregister
w32tm.exe /register
net start w32time
w32tm /config /syncfromflags:DOMHIER /update
w32tm /resync

Проверьте что теперь в качестве источника времени на клиенте используется ближайший контроллер домена (LogonServer):

w32tm /query /source

Типовые ошибки синхронизации времени на клиентах Windows описаны в статье.

Для правильного функционирования доменной среды Active Directory, является корректная работа службы времени Windows (W32Time).

Схема работы синхронизации времени в доменной среде Active Directory:

• Контроллер корневого домена в лесу AD, которому принадлежит FSMО-роль PDC-эмулятора, синхронизируется с внешними источниками точного времени. Он же является источником времени для всех остальных контроллеров этого домена.
• Контроллеры дочерних доменов в AD, синхронизируют время с вышестоящих контроллеров домена AD.
• Рядовые члены домена (сервера и рабочие станции) синхронизируют свое время с ближайшим к ним доступным контроллером домена, соблюдая топологию AD.

Служба времени в Windows (W32Time) не имеет графического интерфейса и настраивается из командной строки (утилита w32tm), с помощью ветки реестра HKLM\System\CurrentControlSet\Services\W32Time\Parameters и посредством Групповой политики (Group Policy Managment)

Для определения какому контроллеру домена принадлежит FSMО-роль PDC-эмулятора, в командной строке от Администратора, выполним команду:

netdom query FSMO

Включение NTP-сервера

NTP-сервер по-умолчанию включен на всех контроллерах домена.

Но его также можно включить и на рядовых серверах. В ветке рееста — HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer, DWORD запись Enabled со значением 1.

Конфигурация NTP-сервера

Задаем тип синхронизации внутренних часов, на использование внешнего источника. (cli / regedit):

w32tm /config /syncfromflags:manual

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters, string запись Type со значением NTP

Допускаются следующие значения:

Задание списка внешних источников для синхронизации, с которым будет синхронизироваться данный сервер.

По-умолчанию в этом параметре прописан NTP-сервер Microsoft (time.windows.com, 0×1). (cli / regedit):

w32tm /config /manualpeerlist:"0.ru.pool.ntp.org,0x1 1.ru.pool.ntp.org,0x1 2.ru.pool.ntp.org,0x1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters, string запись NtpServer со значением 0.ru.pool.ntp.org,0x1 1.ru.pool.ntp.org,0x1 2.ru.pool.ntp.org,0x1

Допускаются следующие значения:

Задание интервала синхронизации с внешним источником (для источников помеченных флагом 0×1).

По-умолчанию время опроса задано — 3600 сек. (1 час). (regedit):

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient, DWORD запись SpecialPollInterval (Decimal) со значением 3600

Объявление NTP-сервера в качестве надежного. (cli / regedit):

w32tm /config /reliable:yes

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config, DWORD запись AnnounceFlags (Decimal) со значением 10

После настройки необходимо обновить конфигурацию сервиса. (cli):

w32tm /config /update

Конфигурация NTP-клиента групповой политикой (GPO)

Для централизованной настройки службы времени Windows, на серверах и рабочих станциях в доменной среде Active Directory, воспользуемся групповой политикой. На примере, выполним настройку для рабочих станций.

Переходим в ветку: Конфигурация компьютера (Computer Configuration) — Политики (Policies) — Административные шаблоны (Administrative Templates) — Система (System) — Служба времени Windows (Windows Time Service) — Поставщики времени (Time Providers).

Открываем параметр Настроить NTP-клиент Windows (Configure Windows NTP Client) и задаем параметры:

Полезные команды w32tm

Принудительная синхронизация времени от источника:

w32tm /resync /rediscover

Отобразить текущую конфигурацию службы времени:

w32tm /query /configuration

Получения информации о текущем сервере времени:

w32tm /query /source

Отображение текущих источников синхронизации и их статуса:

w32tm /query /peers

Отображение состояния синхронизации контроллеров домена с компьютерами в домене:

w32tm /monitor /computers:192.168.1.2

Отобразить разницу во времени между текущим и удаленным компьютером:

w32tm /stripchart /computer:192.168.1.2 /samples:5 /dataonly

Удалить службу времени с компьютера:

w32tm /unregister

Регистрация службы времени на компьютере (создается заново вся ветка параметров в реестре):

w32tm /register

Остановка \ запуск службы времени:

net stop w32time
net start w32time

Настройка синхронизации времени в домене

Как настроить синхронизацию времени во всём домене сразу? И так, чтобы работало дальше само? А когда контроллер домена с ролью PDC изменится, что делать? А если уже синхронизация времени в домене настроена, но работает плохо, как починить?
Обо всём этом читайте в этой статье.

Немного теории

Синхронизация времени в домене может (теоретически) работать сама, безо всяких настроек. Выглядит это обычно так:

Как проверить, работает ли синхронизация времени в домене?

До того, как что-либо «ломать» (и в процессе настройки, чтобы проверять эффективность вносимых изменений) необходимо производить диагностику текущего состояния, а также анализировать текущую конфигурацию службы времени. Этому призваны помочь несколько команд, указанных ниже.

Команда
w32tm /monitor

Команда
w32tm /query /Source
или
w32tm /query /peers

Команда
w32tm /query /Configuration /verbose

Команда
w32tm /query /status /verbose

Команда
w32tm /stripchart /computer:» » /samples:3 /dataonly

Сравнивает время (и отображает разницу во времени) на текущем компьютере с компьютером, указанном в аргументе /computer. Компьютер-источник для сравнения времени может быть как в интернете, так и в локальном домене. Примеры команды:
w32tm /stripchart /computer:»ntp.org» /samples:3 /dataonly
или
w32tm /stripchart /computer:»dc1.domain.local» /samples:3 /dataonly

Как исправить настройки синхронизации времени

Настройка синхронизации времени на компьютерах и контроллерах домена
(кроме КД с ролью PDC)

Настройка синхронизации времени на контроллере домена с ролью PDC

Перерегистрация службы времени на контроллере домена с ролью PDC

Для отмены регистрации и повторной регистрации службы времени выполните следующие команды:

net stop w32time
w32tm /unregister
w32tm /register
net start w32time

Настройка синхронизации времени на контроллере домена с ролью PDC

Наш КД с ролью PDC необходимо настроить на синхронизацию с внешним источником (в интернете). Для этой цели не подходит тип синхронизации NT5DS и синхронизации в соответствии с иерархией домена (DOMHIER). Поэтому на нашем КД с ролью PDC мы используем тип синхронизации NTP и синхронизация будет настроена вручную (MANUAL). Источники синхронизации (peers) указываются в кавычках, а если таких источников несколько, то они перечисляются через запятую. Кроме того, мы даем указание считать данный источник синхронизации (КД с ролью PDC) надежным источником времени (reliable):

w32tm /config /syncfromflags:manual /manualpeerlist:»0.pool.ntp.org, 1.pool.ntp.org, 2.pool.ntp.org» /reliable:yes /update

Теперь можно ускорить применение параметров и синхронизацию времени, перезагрузив службу времени и форсировав синхронизацию:

net stop w32time
net start w32time
w32tm /resync /force или w32tm /resync /rediscover

После выполнения этих команд (сделав паузу в несколько минут на применение параметров и выполнение синхронизации) сравните время на контроллере домена с временем в интернете:

w32tm /stripchart /computer:»0.ru.pool.ntp.org» /samples:3 /dataonly

Не забудьте проверить, что на всех контроллерах домена время синхронизировалось с PDC. Для этого наберите команду:

Всё должно заработать!

P.S.: Обратите внимание, что применение параметров команды w32tm требует времени. Поэтому после каждого обновления конфигурации рекомендуем делать паузу в 1-5 минут, а потом уже проверять, обновилась ли конфигурация службы времени, и как всё работает.

Источники информации для данной статьи:

Статья опубликована: 20.08.2017, обновлена 31.01.2020

Источник

Настройка времени windows 10 в домене

Добрый день уважаемые читатели и гости блога pyatilistnik.org, как много люди говорят о времени, что оно быстро или медленно бежит, и все понимают, что оно бесценно и важно. Так и в инфраструктуре Active Directory, она является одним из важнейших факторов, правильного функционирования домена. В домене все друг другу доверяют, и один раз авторизовавшись и получив все тикеты от Kerberos, пользователь ходит куда угодно, ограничиваясь лишь своими доступными правами. Так вот если у вас не будет точного времени на ваших рабочих станциях к контроллеру домена, то можете считать, что у вас начинаются серьезные проблемы, о которых мы поговорим ниже и рассмотрим как их устранить с помощью настройки NTP сервера в Windows.

Синхронизация времени в Active Directory

Среди компьютеров, участвующих в Active Directory работает следующая схема синхронизация времени.

Корневой PDC может синхронизировать свое время как со внешним источником, так и с самим собой, последнее задано конфигурацией по умолчанию и является абсурдом, о чем периодически намекают ошибки в системном журнале.

Синхронизация клиентов корневого PDC может осуществятся как с его внутренних часов, так и с внешнего источника. В первом случае сервер времени корневого PDC объявляет себя как «надежный» (reliable).

Далее я приведу оптимальную с моей точки зрения конфигурацию сервера времени корневого PDC, при которой сам корневой PDC периодически синхронизирует свое время от достоверного источника в интернете, а время обращающихся к нему клиентов синхронизирует со своими внутренними часами.

Вводим netdom query fsmo. В моем примере, роль PDC и NTP сервера, принадлежит контроллеру dc7

Картинка с сайта: hand.post-ap.ru

Конфигурация NTP-сервера на корневом PDC

Конфигурирование сервера времени в Windows (NTP-сервера) может осуществляться как с помощью утилиты командной строки w32tm, так и через реестр. Где возможно, я приведу оба варианта. Но в начале посмотрите полностью ваши настройки на компьютере, делается это командой:

EventLogFlags: 2 (Локально)
AnnounceFlags: 10 (Локально)
TimeJumpAuditOffset: 28800 (Локально)
MinPollInterval: 6 (Локально)
MaxPollInterval: 10 (Локально)
MaxNegPhaseCorrection: 172800 (Локально)
MaxPosPhaseCorrection: 172800 (Локально)
MaxAllowedPhaseOffset: 300 (Локально)

FrequencyCorrectRate: 4 (Локально)
PollAdjustFactor: 5 (Локально)
LargePhaseOffset: 50000000 (Локально)
SpikeWatchPeriod: 900 (Локально)
LocalClockDispersion: 10 (Локально)
HoldPeriod: 5 (Локально)
PhaseCorrectRate: 7 (Локально)
UpdateInterval: 100 (Локально)

NtpClient (Локально)
DllName: C:\Windows\system32\w32time.dll (Локально)
Enabled: 1 (Локально)
InputProvider: 1 (Локально)
CrossSiteSyncFlags: 2 (Локально)
AllowNonstandardModeCombinations: 1 (Локально)
ResolvePeerBackoffMinutes: 15 (Локально)
ResolvePeerBackoffMaxTimes: 7 (Локально)
CompatibilityFlags: 2147483648 (Локально)
EventLogFlags: 1 (Локально)
LargeSampleSkew: 3 (Локально)
SpecialPollInterval: 3600 (Локально)
Type: NT5DS (Локально)

NtpServer (Локально)
DllName: C:\Windows\system32\w32time.dll (Локально)
Enabled: 1 (Локально)
InputProvider: 0 (Локально)
AllowNonstandardModeCombinations: 1 (Локально)

VMICTimeProvider (Локально)
DllName: C:\Windows\System32\vmictimeprovider.dll (Локально)
Enabled: 1 (Локально)
InputProvider: 1 (Локально)

Картинка с сайта: hand.post-ap.ru

Включение синхронизации внутренних часов с внешним источником

Объявление NTP-сервера в качестве надежного

NTP-сервер по умолчанию включен на всех контроллерах домена, однако его можно включить и на рядовых серверах.

Задание списка внешних источников для синхронизации

Флаг 0×8 на конце означает, что синхронизация должна происходить в режиме клиента NTP, через предложенные этим сервером интервалы времени. Для того, чтобы задать свой интервал синхронизации, необходимо использовать флаг 0×1.

Задание интервала синхронизации с внешним источником

Время в секундах между опросами источника синхронизации, по умолчанию 900с = 15мин. Работает только для источников, помеченных флагом 0×1.

Установка минимальной положительной и отрицательной коррекции

Максимальная положительная и отрицательная коррекция времени (разница между внутренними часами и источником синхронизации) в секундах, при превышении которой синхронизация не происходит. Рекомендую значение 0xFFFFFFFF, при котором коррекция сможет производиться всегда.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config]
«MaxPosPhaseCorrection»=dword:FFFFFFFF
«MaxNegPhaseCorrection»=dword:FFFFFFFF

Все необходимое одной строкой

w32tm.exe /config /manualpeerlist:»time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 pool.ntp.org,0x8″ /syncfromflags:manual /reliable:yes /update

Полезные команды

Настройка NTP сервера и клиента групповой политикой

Раз уж у нас с вами домен Active Directory, то глупо не использовать групповые политики, для массовой настройки серверов и рабочих станций, я покажу как настроить ваш NTP сервер в windows и клиента. Открываем оснастку «Редактор групповых политик». Перед тем как настроить наш NTP сервер в Windows, нам необходимо создать WMI фильтр, который будет применять политику, только к серверу мастера PDC.

Вводим имя запроса, пространство имен, будет иметь значение «root\CIMv2» и запрос «Select * from Win32_ComputerSystem where DomainRole = 5». Сохраняем его.

Картинка с сайта: hand.post-ap.ru

Затем вы создаете политику на контейнере Domain Controllers.

Картинка с сайта: hand.post-ap.ru

В самом низу политики применяете ваш созданный WMI фильтр.

Картинка с сайта: hand.post-ap.ru

Переходим в ветку: Конфигурация компьютера > Политики > Административные шаблоны > Система > Служба времени Windows > Поставщики времени.

Картинка с сайта: hand.post-ap.ru

Тут открываем политику «Настроить NTP-клиент Windows». Задаем параметры

Картинка с сайта: hand.post-ap.ru

Делаем отдельную групповую политику для клиентских рабочих машин, вот с такими параметрами.

Картинка с сайта: hand.post-ap.ru

Далее идем на клиента и обновляем групповые политики gpupdate /force и вводим команду w32tm /query /status

Картинка с сайта: hand.post-ap.ru

Особенности виртуализированных контроллеров домена

Контроллеры домена, работающие в виртуализированной среде, требуют к себе особенного отношения.

Источник

Как выполняется синхронизация времени в Windows 10

Синхронизация времени Windows 10 позволяет автоматически сверять время с показателями на сервере. Происходит она раз в неделю посредством сетевого протокола времени (NTP). Если оно установлено неверно, лицензии на некоторые программы могут слететь, а часть сайтов перестанет загружаться.

NTP учитывает тайминг между отправкой запроса и получением ответа, отчего гарантирует высокую точность (до 10 миллисекунд). Рассмотрим, как включить и отключить синхронизацию времени, решать связанные с ним проблемы и выбирать серверы времени.

Параметры

Настройка синхронизации данным способом, относительно недавняя, и может использоваться только на Виндовс 10, так-как «Параметры системы» в том виде в котором они представлены есть только на десятке.

2. В первой вкладке активируйте опцию «Установить время автоматически».

3. Про скрольте вниз, до надписи: «Сопутствующие параметры», и перейдите по ссылке «Формат даты, времени и региона».

4. Чтобы указать сервер для синхронизации, опуститесь немного ниже и кликните по ссылке «Дополнительные параметры даты и…».

5. Перейдите в указанный на скриншоте раздел.

6. Активируйте последнюю вкладку и нажмите «Изменить параметры…».

7. Отметьте флажком пункт «Синхронизировать с сервером…» и выберите сервер из выпадающего списка.

8. Для немедленной синхронизации кликните «Обновить сейчас».

9. Закройте окошко кнопкой «OK» и примените новые настройки.

Панель управления

1. Откройте Панель управления.

2. Посетите ее раздел под названием «Часы, язык и регион».

3. Перейдите в подраздел «Дата и время».

4. Активируйте «Время по интернету» и переходите к 7-му шагу предыдущей инструкции.

Командная строка

Рассмотрим, как синхронизировать время на компьютере с интернетом при помощи командной строки.

2. Выполните команду « w32tm /resync » для немедленной синхронизации с выбранным сервером.

Если компьютер расположен в домене, команда будет следующей: « net time /domain ».

Службы

Синхронизация через интернет может не работать, если отключен сервис «Служба времени Windows». Для проверки и запуска службы выполните следующие шаги.

1. Откройте окно управления сервисами операционной системы. Для этого зажмите клавиши Win + R и выполните команду « services.msc » в открывшемся окне.

2. Откройте свойства записи «Служба времени Windows» через контекстное меню, двойным кликом или сочетанием клавиш Alt + Enter.

3. В выпадающем списке «Тип запуска» выберите «Вручную».

Можно указать и «Автоматически», но тогда сервис будет запускаться при каждой загрузке операционной системы, а при варианте «Вручную» — только когда Windows 10 обратится к нему.

4. Кликните «Запустить» и жмите «OK».

PowerShell

Запускается сервис и через PowerShell.

2. Выполните в открывшемся окне команду Get-Service W32Time | Select-Object * для получения статуса сервиса.

3. Ищите сроку «Status»: если её значение «Stopped», выполните « Start-Service W32Time » для запуска службы.

4. В ином случае выполните « Restart-Service W32Time » для перезапуска службы.

Никаких уведомлений по окончании выполнения операций в случае их успешного завершения не будет.

6. Для запуска синхронизации введите « w32tm /config /reliable:yes » и жмите «Enter».

Добавление новых серверов

В Windows 10 предусмотрена смена NTP-серверов и добавление сторонних, отсутствующих в списке. Делается это двумя способами.

Настройка времени по Интернету

1. Чтобы не повторяться, перейдите к первому разделу «Параметры» и выполните из него 6 первых шагов.

2. Убедитесь, что опция «Синхронизировать с сервером…» активирована.

3. Кликните по форме с выпадающим списком ниже.

5. Сохраните настройки кнопкой «OK».

Для немедленной проверки жмите «Обновить сейчас».

После настройки и проверки появится оповещение об успешном завершении синхронизации часов со ссылкой на NTP-сервер.

Редактор реестра

1. Для запуска утилиты «Выполнить» воспользуйтесь комбинацией клавиш Win + R.

2. Введите в текстовую строку « regedit » и жмите «OK» либо «Enter».

Команду можете выполнить и через поиск Windows 10.

3. Разверните ветку HKLM.

4. Перейдите вниз по пути: SOFTWARE\Microsoft\Windows\CurrentVersion\DateTime\.

5. В подразделе Servers создайте новый строковый параметр через его контекстное меню либо правый клик по свободной области в левой части окна.

6. В качестве параметра укажите число, следующее за последней записью в списке (скорее всего, будет 3), в поле «Значение» вставьте ссылку на нужный сервер и кликните «OK».

Для сверки реального времени с сервером необходимо выполнить 6 шагов из раздела «Параметры» и щелкнуть «Обновить сейчас».

Решение проблем

Ранее было сказано, что чаще всего синхронизация не работает по причине остановки отвечающего за это системного сервиса. Как его перезапустить и добавить в автозагрузку, рассмотрели в подразделе «Службы». Здесь ознакомимся с ускоренным способом выхода из ситуации.

Рассмотрим, как исправить через командную строку, в случае когда не синхронизируется время по интернету:

Отключение синхронизации

Чтобы операционная система периодически не сверяла время с тем, что установлено на выбранном сервере, выполните такие шаги.

1. Откройте «Настройки даты и времени», кликнув правой кнопкой мыши по часам внизу дисплея.

2. Перенесите первый переключатель в положение «Откл.» и закройте окно.

В данное окно можете попасть через Параметры Windows 10 (см. 1-й раздел статьи) или Панель управления (см. 2-й раздел).

Второй способ: остановите и отключите автоматический запуск сервиса «Служба времени Windows», о чем рассказано в 3-м разделе.

Не забудьте проверить правильность указанного часового пояса.

Источник

Настройка синхронизации времени по NTP с помощью групповых политик

Служба времени Windows, несмотря на кажущуюся простоту, является одной из основ, необходимых для нормального функционирования домена Active Directory. В правильно настроенной среде AD служба времени работает следующим образом: компьютеры пользователей получают точное время от ближайшего контроллера домена, на котором они зарегистрировались. Все контроллеры домена в свою очередь получают точное время от DC с FSMO ролью «Эмулятор PDC», а контролер PDC синхронизирует свое время с неким внешним источником времени. В качестве внешнего источника времени может выступать один или несколько NTP серверов, например time.windows.com или NTP сервер вашего Интернет-провайдера. Также нужно отметить, что по умолчанию клиенты в домене синхронизируют время с помощью службы времени Windows (Windows Time), а не с помощью протокола NTP.

Если вы столкнулись с ситуацией, когда время на клиентах и контроллерах домена различается, возможно, в вашем домене есть проблемы с синхронизацией времени и эта статья будет вам полезна.

Настройка синхронизации времени в домене с помощью групповых политик состоит из двух шагов:

1) Создание GPO для контроллера домена с ролью PDC
2) Создание GPO для клиентов (опционально)

Настройка политики синхронизации NTP на контролере домена PDC

Этот шаг предполагает настройку контроллера домена с ролью эмулятора PDC на синхронизацию времени с внешним NTP сервером. Т.к. теоретически роль эмулятора PDC может перемещаться между контроллерами домена, нам нужно сделать политику, которая применялась бы только к текущему владельцу роли PDC. Для этого в консоли управления Group Policy Management Console (GPMC.msc), создадим новый WMI фильтр групповых политик. Для этого в разделе WMI Filters создадим фильтр и именем PDC Emulator и WMI запросом: Select * from Win32_ComputerSystem where DomainRole = 5

Картинка с сайта: hand.post-ap.ru

Затем создайте новую GPO и назначьте ее на контейнер Domain Controllers.

Перейдите в режим редактирования политики и разверните следующий раздел политик: Computer Configuration->Administrative Templates->System->Windows Time Service->Time Providers

Нас интересуют три политики:

Картинка с сайта: hand.post-ap.ru

В настройках политики Configure Windows NTP Client укажите следующие параметры:

Картинка с сайта: hand.post-ap.ru

Примените созданный ранее фильтр PDC Emulator к данной политике.

Осталось обновить политики на контроллере PDC:
gpupdate /force

Вручную запустите синхронизацию времени:
w32tm /resync

Проверьте текущие настройки NTP:
w32tm /query /status

Настройка синхронизации времени на клиентах домена

В среде Active Directory по умолчанию клиенты домена синхронизируют свое время с контролерами домена (опция Nt5DS – синхронизировать время согласно иерархии домена). Как правило, эта схема работает и не требует перенастройки. Однако при наличии проблем с синхронизацией времени на клиентах домена, можно попробовать принудительно назначить сервер времени для клиентов с помощью GPO.

В качестве сервера NTP укажите имя или ip адрес PDC, например msk-dc1.winitpro.ru,0x9, а в качестве типа синхронизации — NT5DS

Картинка с сайта: hand.post-ap.ru

Обновите настройки групповых политик на клиентах и проверьте, что клиенты успешно синхронизировали свое время с PDC.

Источник

The benefits of your Windows computer clock transcend way beyond just telling the time. It needs to be accurate at all times else some apps and programs might not work properly. To ensure that your computer’s clock is always accurate, Windows has a dedicated ‘Time Service’ that syncs your PC’s time to Microsoft’s internet server. Although this synchronization process happens automatically, we’ll show you how to get it done manually and fix issues with syncing system time.

Картинка с сайта: www.guidingtech.com

If your computer’s time is incorrect, it most likely isn’t synced with the Windows or Microsoft Time server. In this post, we will show you how to synchronize your Windows PC time with the Microsoft server. Also, how to fix some time synchronization issues. Let’s go.

From Windows Settings

One of the easiest ways to sync Windows PC’s time with the Microsoft server is syncing it manually from the Windows Settings menu. Follow the steps below to get it done.

Step 1: Tap the Windows key + I button simultaneously on the keyboard to launch the Windows Settings menu.

Step 2: Select ‘Time & Language’.

Картинка с сайта: www.guidingtech.com

Step 3: In the ‘Date & Time’ section, navigate to scroll down to the ‘Synchronize your clock’ sub-section and tap the ‘Sync now’ button.

Картинка с сайта: www.guidingtech.com

That will immediately sync your computer’s clock with the Microsoft time server (usually takes 2 – 5 seconds).

Note: According to Microsoft, it is impossible to guarantee time accuracy on computers that have intermittent or no network connections. Therefore, you should have an active internet connection to effectively sync your computer’s time to the Microsoft Time Server.

It is also important to state that Windows automatically synchronizes your PC’s time with the Microsoft server daily. In the case where you need to manually sync the time, perhaps because your computer’s time configuration is incorrect, you can use the Sync now button in Step 3 above.

Restart the Windows Time Service

Restarting the Windows Time Service from the Windows Services Manager is an another effective way to sync your PC’s clock with the Windows server. For context, the Windows Time Server helps Windows users to maintain the most accurate time on their devices by syncronizing date and time information with the Microsoft Time server actively.

If your computer faces issues with incorrect timing or is always going out of sync with the official Microsoft server, then there might be a problem with the Windows Time service and restarting it could help. Here’s how to get it done.

Step 1: Tap the Windows key + R key simultaneously on your keyboard to launch the Run command dialog box.

Step 2: Type services.msc into the provided box and tap the OK button.

That will launch the Windows Services Manager in a new window. Scroll to the bottom of the page and locate Windows Time services on the page are arranged alphabetically so you shouldn’t have a problem locating it.

Картинка с сайта: www.guidingtech.com

Next, enable this service or confirm that it is enabled and functioning properly. Because as Windows warns, date and time synchronization will be unavailable if the Windows Time service is stopped or disabled.

Step 3: Right-click on the Windows Time service and select Start.

Картинка с сайта: www.guidingtech.com

If the Windows Time service was enabled and functioning but your PC’s time is still incorrect or not synced to the Microsoft time server, then you should restart the service. Right-click on Windows Time and select Restart.

Картинка с сайта: www.guidingtech.com

Step 4: Restart your computer.

Upon restart, you want to also ensure your device is connected to an active internet (Wi-Fi or Ethernet cable) connection.

Re-Register Windows Time DLL file

Some apps and services on Windows make use of Dynamic Link Library (DLL) files to effectively execute their functions and activities. The DLL file responsible for the Windows Time service (W32Time) is the w32time.dll file. If this file goes missing, gets deleted, or corrupted, you might have issues synchronizing your computer’s time with the Windows server.

Re-registering the w32time.dll would help ensure your PC is regularly synced. Here’s how to register it on your PC.

Step 1: Tap the Windows key + X button simultaneously on your keyboard to launch the Windows Quick Access menu.

Step 2: Select ‘Command Prompt (Admin)’.

Картинка с сайта: www.guidingtech.com

Step 3: Type in the command below into the Command Prompt console and hit the Enter button.

regsvr32 w32time.dll

Картинка с сайта: www.guidingtech.com

In less than a minute, you should see a notification that the w32time.dll was successfully registered on your PC.

Картинка с сайта: www.guidingtech.com

Step 4: Restart your computer and check to see if your PC’s time is now accurate and syncs correctly with the Microsoft server.

Note: Make sure your computer is connected to an active internet connection.

Replace CMOS battery

If you are sure everything is good with your computer’s Windows Time services and syncing configuration but the time and date remain inaccurate or often go out of sync particularly after a system reboot, there’s a high chance that your PC’s CMOS (Complementary Metal Oxide Semiconductor) battery is faulty.

Картинка с сайта: www.guidingtech.com

The CMOS chip is located on the motherboard. It keeps your PC’s time and date, as well as other configurations, up-to-date every time you turn off your computer. For that, the CMOS chip has its dedicated battery. If that battery is faulty or damaged, your PC’s time and date will always be messed up, so will its syncing with the Microsoft server.

Replacing the CMOS battery requires some technical know-how and expertise. Thatis why we recommend taking your PC to a skilled technician or the manufacturer’s official repair center.

Stay in Sync

Having incorrect system time on your PC could result in network and connectivity issues, file management problems, and difficulties using some apps and programs. The Microsoft time server is always accurate hence you should ensure that your PC is synced with it.

Next up: Can’t keep up with the time differences between several countries? Adding multiple clocks to your Windows PC could help. Check out two ways to get it done in the article below.