В крупных конторах просто необходимо, чтоб на всех компьютерах в сети время шло точно. И когда у нас есть Active Directory, то настроить синхронизацию времени очень просто.
Заходим на контроллер домена. Потом: Пуск → Все программы → Администрирование → Управление групповой политикой. Откроется вот такое окно:
Находим в нём политику под названием Default Domain Policy. Сразу оговорюсь, что обычно, рекомендуется создавать новую групповую политику и вносить изменения уже в неё, а умолчательную не трогать. Но я буду вносить изменения в умолчательную политику, чтобы статья была чуток покороче 
Итак, жмём правой клавишей на Default Domain Policy и выбираем «изменить». Откроется оснастка редактора доменной групповой политики. В ней идём: Конфигурация компьютера → Политики → Административные шаблоны → Система → Служба времени Windows → Поставщики времени.
И в этой папке настраиваем политики вот таким образом: политику «Включить NTP-клиент Windows» ставим в состояние «включить». А политику «Настроить NTP-клиент Windows» настраиваем вот так:
где 172.16.0.107 – адрес контроллера, на котором сейчас и проводим эти настройки.
Всё, теперь закрываем эту оснастку (с политикой Default Domain Policy) и снова переходим в «Управление групповой политикой».
Сейчас нам нужна уже политика не домена, а политика самого контроллера домена Default Domain Controllers Policy. Вот она где находится:
На ней также жмём правой клавишей и выбираем «изменить». Откроется оснастка. В ней также перейдём на Конфигурация компьютера → Политики → Административные шаблоны → Система → Служба времени Windows → Поставщики времени. И здесь уже отредактируем все три существующие политики:
Политику «Включить NTP-клиент Windows» ставим в состояние «включить».
Политику «Включить NTP-сервер Windows» также ставим в состояние «включить».
А политику «Настроить NTP-клиент Windows» настраиваем вот так:
На этом всё, закрываем редактор групповых политик. После всех этих манипуляций, система будет работать следующим образом: контроллер домена синхронизирует время с NTP-сервером Microsoft и, в тоже время, сам является NTP-сервером для клиентских машин. Т.о., в сети на всех машинах всегда будет идти точное время.
Кстати, чтобы пользователи не могли отключить службу времени у себя, нужно это всё дополнить ещё кое-чем. Снова открываем для редактирования политику Default Domain Policy. И переходим на: Конфигурация компьютера → Политики → Конфигурация Windows → Параметры безопасности → Системные службы. И в списке этих самых системных служб находим службу времени windows:
Настраиваем её вот так:
А также, жмём кнопку «Изменить параметры» и там выбираем, чтоб только доменные администраторы могли эту службу запускать и останавливать:
Да, и ещё чуть не забыл: чтоб контроллер домена мог достучаться до NTP-сервера Microsoft, ему на шлюзе нужно во внеху открыть порт 123. По этому порту работает NTP. Ну, и если на самом контроллере домена тоже стоит какой-нибудь фаервол, то он тоже должен разрешать выходить во внеху по порту 123, а также должен разрешать и из внехи (из локальной сети в данном случае) подключения к контроллеру домена по порту 123, чтоб рабочие станции синхронизировали с ним время.
Донаты принимаются на кошельки:
Yoomoney:
4100118091867315
Карта Т-Банк (бывший Тиньков):
2200 7017 2612 2077
Карта Альфа-Банк:
2200 1539 1357 2013
…в среде Active Directory разница в часах более 5 минут приводит к проблемам аутентификации Kerberos…
В данной заметке речь пойдет о настройке синхронизации времени в доменной среде Windows 2008 – 2012 R2.
Основой нормального функционирования доменной среды AD является корректная работа службы времени Windows (W32Time).
Как работает синхронизация времени в доменной среде?
1. пользователи получают точное время от ближайшего контроллера домена, на котором они зарегистрировались;
2. все доменные контроллеры запрашивают об этом DC с ролью PDC-эмулятор (одна из ролей FSMO);
3. PDC-эмулятор, в свою очередь, должен синхронизироваться с более авторитетным источником времени;
На практике PDC-эмулятор обычно синхронизируется с выделенным NTP-сервером организации, либо с NTP-сервером провайдера, или же с внешним источником точного времени, такие как: 0.ru.pool.ntp.org, 1.ru.pool.ntp.org, 2.ru.pool.ntp.org
Пример настройки контроллера домена с ролью PDC-эмулятора.
Для настройки нам потребуется консоль PowerShell запущенная от имени администратора.
1. Определим имя PDC-эмулятора – самый простой способ выполнить команду:
netdom query FSMO
Когда мы подключили к DC с ролью PDC можно начинать настраивать.
2. Конфигурируем внешние источники синхронизации – указываем с какими источниками PDC будет синхронизироваться.
w32tm /config /syncfromflags:manual /manualpeerlist:”0.ru.pool.ntp.org 1.ru.pool.ntp.org 2.ru.pool.ntp.org”
где, параметры:
/syncfromflags:manual — синхронизация с узлами из заданного вручную списка.
manualpeerlist:<узлы> — список (адреса DNS или IP) источников времени
Важно! Имя каждого источника времени (если их несколько) должно быть разделено пробелом. А на брандмауэре должно быть разрешено прохождение трафика UDP на порт 123 в обе стороны.
3. Объявляем PDC-Emulator надежным источником времени для клиентов:
w32tm /config /reliable:yes
4. После внесения изменений перезапускаем службу времени:
Restrat-Service W32Time
Или обновляем конфигурацию командой: w32tm /config /update
Если вы перенесли роль PDC-эмулятор на другой контроллер домена, то старый DC все еще продолжает считает считать себя авторитетным сервером времени для всего домена, что может стать причиной ошибок в системных логах. Исправить эту ситуацию можно командой:
w32tm /config /syncfromflags:domhier /reliable:no /update
Несколько, на мой взгляд, полезных команд:
# Настройки для PDC эммулатора: w32tm /config /syncfromflags:manual /manualpeerlist:”0.ru.pool.ntp.org 1.ru.pool.ntp.org 2.ru.pool.ntp.org” w32tm /config /reliable:yes Restart-Service W32Time Get-Service W32Time w32tm /monitor # Настройки для остальных DC в домене: icm -ComputerName DC02 -ScriptBlock {w32tm /config /syncfromflags:domhier /reliable:no /update} icm -ComputerName DC02 -ScriptBlock {Restart-Service W32Time} icm -ComputerName DC02 -ScriptBlock {w32tm /resync /rediscover} # Принудительная синхронизация времени w32tm /resync # Просмотр конфигураций: w32tm /monitor w32tm /query /configurationw32tm /query /configuration — посмотреть текущие настройки службы времени;
Где:
SpecialPollInterval: 3600 — интервал синхронизации в секундах, 3600 – сутки. Синхронизиция будет проводиться раз в сутки.
NtpServer — указывает сервреры, с которым может синхроинизировать время компьютер.
Type: NTP – вид синхронизации времени.
Параметр Type может иметь следующие параметры:
NoSync — служба времени вообще не синхронизируется ни с чем.
NTP — служба времени синхронизируется с серверами, указанными в параметре NtpServer.
NT5DS — служба времени синхронизируется, используя доменную иерархию (характерно для членов домена Active Directory).
AllSync — служба времени использует все возможные механизмы для синхронизации.w32tm /monitor — отобразит текущую иерархию синхронизации времени по домену;
w32tm /stripchart /computer:0.ru.pool.ntp.org /samples:5 /dataonly — произвести 5 попыток сравнения времени с авторитетным источником времени 0.ru.pool.ntp.org (полезно при проверке доступности источника времени);
w32tm /resync – заставить компьютер синхронизироваться с используемым им сервером времени;
w32tm /unregister — удаляет службу времени с компьютера;
w32tm /register – регистрирует службу времени на компьютере;
Если кому интересно настраивать NTP-сервер через реестр, то милости просим в эту ветку: HKLM\System\CurrentControlSet\services\W32Time\Концепция ярусов STRATA или STRATUM
Где:
Stratum 0 – эталонные или авторитетные источники точного времени, такие как: путники GPS, цезиевые атомные часы, радио волны WWVB. Авторитетны они потому, что имеют способ поддержания высокоточного хронометража – когда секунда не потеряется за 300 000 лет.
Stratum 1 – компьютеры, которые напрямую берут время у Stratum 0, т.е. Stratum 1 используют аппаратное (проводом) подключение к Stratum 0!
Stratum 2 – уровень компьютеров, берущие время по сети у Stratum 1.
Как уже, наверное, понятно из схемы, Stratum 3 будет брать время у Stratum 2, а Stratum 4 у Stratum 3 и т.д. Самым нижним ярусов является Stratum 16 и время в нем считается не синхронизированным.
Опять же, на практике, самыми распространенными внешними источниками времени являются Stratum 2, Stratum 3, ибо синхронизироваться с Stratum 1 простым пользователям не разрешается, да и это не к чему.
NTP (англ. Network Time Protocol — протокол сетевого времени) — сетевой протокол для синхронизации внутренних часов компьютера с использованием сетей с переменной латентностью. Протокол был разработан Дэвидом Л. Миллсом, профессором Делавэрского университета, в 1985 году.
Настройка синхронизация времени
Для начало надо убедится, что наш контроллер домена имеет роль PDC. Запускаем командную строку и вводим
1 |
C:\Users\Администратор> netdom /query fsmo |
Следующим этапом необходимо остановить службу времени
1 |
C:\Users\Администратор> net stop w32time |
Задаем внешние источники времени
1 |
C:\Users\Администратор> w32tm /config /syncfromflags:manual "/manualpeerlist:0.pool.ntp.org, 1.pool.ntp.org, 2.pool.ntp.org" |
Делаем PDC сервер надежным источником времени для клиентов
1 |
C:\Users\Администратор> w32tm /config /reliable:yes |
И запускаем службу времени
1 |
C:\Users\Администратор> net start w32time |
На всякий случай проверяем конфигурацию, в ней должны прописаться источники
1 |
C:\Users\Администратор> w32tm /query /configuration |
Авторский пост защищен лицензией CC BY 4.0 .
- IT
- Cancel
http://cloud-linux.ru/windows-server/nastrojka-vremeni-v-domene-windows-server-2003r2-server-2008r2-windows-server-2012/
Настройка времени в домене Windows server 2003R2 server 2008R2 Windows server 2012
Настройка времени в домене Windows server 2003R2 windows server 2008R2 Windows server 2012
в домене рабочие станции и сервера синхронизируют свое время с PDC и если на PDC будут отставать или наоборот спешить часы, то соотвественно таже самая ситуация будет происходить на всех остальных машинах в сети,
чтобы этого избежать можно настроить синхронихацию часов в нешними тайм серверами.
настройка Windows 2003 и windows 2008 server 2012 несколько отличаются но принцип тотже
Проверка синхронизации с внешним источником
Сверяем текущее время и время внешнего источника:
w32tm /stripchart /computer:www.belgim.by /samples:3 /dataonly
Настройка на внешний источник:
w32tm /config /manualpeerlist:"www.belgim.by, 0.by.pool.ntp.org, 3.europe.pool.ntp.org, 0.europe.pool.ntp.org, time.windows.com" /syncfromflags:manual /reliable:yes /update
w32tm.exe /config /manualpeerlist:"time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 pool.ntp.org,0x8" /syncfromflags:manual /reliable:yes /update
Флаг 0×8 на конце означает, что синхронизация должна происходить в режиме клиента NTP, через предложенные этим сервером интервалы времени. Для того, чтобы задать свой интервал синхронизации, необходимо использовать флаг 0×1. Все остальные флаги описаны в библиотеке TechNet.
http://technet.microsoft.com/en-us/library/cc779560%28WS.10%29.aspx
Обновляем:
Перезапуск службы времени:
net stop w32time && net start w32time
Проверить можно командой:
w32tm /monitor /domain:domain.local
на каждом контроллере проверяем откуда он синхронизируется
настраиваем все контроллеры на наш PDC
net time /setsntp:dc-2.domain.local
Посмотреть текущий внешний NTP сервер Windows SERVER 2008R2 можно при помощи команды:
C:\>w32tm /query /configuration
w32tm /query /source Выводит источник времени, на который настроена служба Windows Time
на клиентах в домене или задать политикой
net time /setsntp:dc-2.domain.local
Настройки службы Windows Time хранятся в реестре в ветке
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\
Примечание
При использовании виртуализированного контроллера домена, необходимо обязательно отключать средство синхронизации времени гостевой ОС с хостовой — контроллеры домена используют свой собственный механизм синхронизации времени, использование вместе ним синхронизации времени с хостовой машиной может привести вплоть до проблем с репликацией.
Полезные команды
– Применение внесенных в конфигурацию службы времени изменений
w32tm /config /update
– Принудительная синхронизация от источника
w32tm /resync /rediscover
– Отображение состояния синхронизации контроллеров домена в домене
w32tm /monitor
– Отображение текущих источников синхронизации и их статуса
w32tm /query /peers
w32tm /config /reliable:yes — задаем параметр, что данная машина является надёжным источником времени и может обслуживать клиентов
w32tm /config /update — информируем службу времени, что были внесены изменения (можно перезапустить службу)
w32tm /query /configuration — проверяем внесенные изменения в параметры службы
w32tm /resync — выполняем синхронизацию (можно поиграться, менять время и проверять, будет ли выполнена синхронизация)
net stop w32time и net start w32time — по личным убеждениям я выполняю перезапуск службы w32time
w32tm /query /source
Для получения информации о текущем сервере времени:
net time /querysntp
w32tm /query /source Выводит источник времени, на который настроена служба Windows Time
Узнать время на контроллере домена можно так:
net time /domain:имя_домена
А синхронизировать время с контроллером домена вот так:
net time /domain:имя_домена /set
w32tm /resync – при помощи этой команды можно заставить локальный или удаленный компьютер синхронизировать показания своих системных часов с используемым им сервером времени.
показывает разницу во времени между текущим и удаленным компьютером.
w32tm /stripchart /computer:имя_компьютера
w32tm /stripchart /computer:»time.windows.com» /samples:3 /dataonly
w32tm /stripchart /computer:»time.windows.com» /period:120
Для правильного функционирования доменной среды Active Directory, является корректная работа службы времени Windows (W32Time).
Схема работы синхронизации времени в доменной среде Active Directory:
- Контроллер корневого домена в лесу AD, которому принадлежит FSMО-роль PDC-эмулятора, синхронизируется с внешними источниками точного времени. Он же является источником времени для всех остальных контроллеров этого домена.
- Контроллеры дочерних доменов в AD, синхронизируют время с вышестоящих контроллеров домена AD.
- Рядовые члены домена (сервера и рабочие станции) синхронизируют свое время с ближайшим к ним доступным контроллером домена, соблюдая топологию AD.
Служба времени в Windows (W32Time) не имеет графического интерфейса и настраивается из командной строки (утилита w32tm), с помощью ветки реестра HKLM\System\CurrentControlSet\Services\W32Time\Parameters и посредством Групповой политики (Group Policy Managment)
Для определения какому контроллеру домена принадлежит FSMО-роль PDC-эмулятора, в командной строке от Администратора, выполним команду:
netdom query FSMO
Включение NTP-сервера
NTP-сервер по-умолчанию включен на всех контроллерах домена.
Но его также можно включить и на рядовых серверах. В ветке рееста — HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer, DWORD запись Enabled со значением 1.
Конфигурация NTP-сервера
Задаем тип синхронизации внутренних часов, на использование внешнего источника. (cli / regedit):
w32tm /config /syncfromflags:manual
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters, string запись Type со значением NTP
Допускаются следующие значения:
NoSync |
NTP-сервер не синхронизируется с каким либо внешним источником времени. Используются системные часы, встроенные в микросхему CMOS самого сервера. |
NTP |
NTP-сервер синхронизируется с внешними серверами времени, которые указаны в параметре реестра NtpServer. |
NT5DS |
NTP-сервер производит синхронизацию согласно доменной иерархии. |
AllSync |
NTP-сервер использует для синхронизации все доступные источники. |
Задание списка внешних источников для синхронизации, с которым будет синхронизироваться данный сервер.
По-умолчанию в этом параметре прописан NTP-сервер Microsoft (time.windows.com, 0×1). (cli / regedit):
w32tm /config /manualpeerlist:"0.ru.pool.ntp.org,0x1 1.ru.pool.ntp.org,0x1 2.ru.pool.ntp.org,0x1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters, string запись NtpServer со значением 0.ru.pool.ntp.org,0x1 1.ru.pool.ntp.org,0x1 2.ru.pool.ntp.org,0x1
Допускаются следующие значения:
0×1 |
SpecialInterval, использование временного интервала опроса. |
0×2 |
Режим UseAsFallbackOnly. |
0×4 |
SymmetricActive, симметричный активный режим. |
0×8 |
Client, отправка запроса в клиентском режиме. |
Задание интервала синхронизации с внешним источником (для источников помеченных флагом 0×1).
По-умолчанию время опроса задано — 3600 сек. (1 час). (regedit):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient, DWORD запись SpecialPollInterval (Decimal) со значением 3600
Объявление NTP-сервера в качестве надежного. (cli / regedit):
w32tm /config /reliable:yes
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config, DWORD запись AnnounceFlags (Decimal) со значением 10
После настройки необходимо обновить конфигурацию сервиса. (cli):
w32tm /config /update
Конфигурация NTP-клиента групповой политикой (GPO)
Для централизованной настройки службы времени Windows, на серверах и рабочих станциях в доменной среде Active Directory, воспользуемся групповой политикой. На примере, выполним настройку для рабочих станций.
Переходим в ветку: Конфигурация компьютера (Computer Configuration) — Политики (Policies) — Административные шаблоны (Administrative Templates) — Система (System) — Служба времени Windows (Windows Time Service) — Поставщики времени (Time Providers).
Открываем параметр Настроить NTP-клиент Windows (Configure Windows NTP Client) и задаем параметры:
NtpServer |
192.168.1.2 (адрес NTP-сервера) |
Type |
NT5DS |
CrossSiteSyncFlags |
2 |
ResolvePeerBackoffMinutes |
15 |
Resolve Peer BackoffMaxTimes |
7 |
SpecilalPoolInterval |
3600 |
EventLogFlags |
0 |
Полезные команды w32tm
Принудительная синхронизация времени от источника:
w32tm /resync /rediscover
Отобразить текущую конфигурацию службы времени:
w32tm /query /configuration
Получения информации о текущем сервере времени:
w32tm /query /source
Отображение текущих источников синхронизации и их статуса:
w32tm /query /peers
Отображение состояния синхронизации контроллеров домена с компьютерами в домене:
w32tm /monitor /computers:192.168.1.2
Отобразить разницу во времени между текущим и удаленным компьютером:
w32tm /stripchart /computer:192.168.1.2 /samples:5 /dataonly
Удалить службу времени с компьютера:
w32tm /unregister
Регистрация службы времени на компьютере (создается заново вся ветка параметров в реестре):
w32tm /register
Остановка \ запуск службы времени:
net stop w32time net start w32time
ПОНРАВИЛАСЬ ИЛИ ОКАЗАЛАСЬ ПОЛЕЗНОЙ СТАТЬЯ, ПОДДЕРЖИ АВТОРА ДОНАТОМ