Для нормального функционирования службы времени Windows необходима работающая сетевая инфраструктура. В большинстве случаев ошибки в работе службы времени Windows вызваны следующими причинами.
- При обмене данными по протоколу TCP/IP возникают сбои (например из-за неработающего шлюза).
- Неправильно работает служба разрешения имен.
- При прохождении пакетов по сети возникают значительные задержки (особенно если для синхронизации используются медленные каналы глобальной сети).
- Служба времени Windows пытается выполнить синхронизацию с источниками, сообщающими неправильные данные.
Для устранения неполадок, вызванных сбоями в работе сети, корпорация Майкрософт рекомендует использовать средство Netdiag.exe, входящее в набор Windows Server 2003 Support Tools. За сведениями о параметрах командной строки, поддерживаемых приложением Netdiag.exe, обратитесь к справке по набору средств поддержки. Если решить проблему не удается, включите журнал отладки службы времени Windows. Поскольку журнал отладки может содержать большой объем служебной информации, при использовании журнала отладки рекомендуется обращаться в службу поддержки продуктов Майкрософт. Полный список телефонов служб поддержки, а также сведения об условиях обслуживания см. на веб-узле корпорации Майкрософт по адресу:
- Все клиентские компьютеры используют в качестве источника времени контроллер домена, проверяющий их подлинность.
- То же самое происходит на рядовых серверах.
- Все контроллеры домена используют в качестве источника времени хозяина операций основного контроллера домена (PDC).
- При выборе источника времени хозяева операций основного контроллера домена следуют иерархии доменов.
В данной иерархии хозяин операций PDC, расположенный в корневом домене леса, становится основным сервером времени для всей организации. Корпорация Майкрософт рекомендует, чтобы основной сервер времени получал значения времени от внутреннего источника. Если основной сервер времени получает эти данные от источника времени в Интернете, проверка подлинности не выполняется. Кроме того, корпорация Майкрософт рекомендует уменьшить значения параметров, определяющих максимальную величину коррекции времени для серверов и рядовых компьютеров. Это позволит более точно устанавливать время на компьютерах в домене и повысит уровень их безопасности.
- Нажмите кнопку Пуск, выберите пункт Выполнить, введите команду regedit и нажмите кнопку ОК.
- Найдите и выделите следующий раздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags - На правой панели щелкните правой кнопкой мыши параметр AnnounceFlags и выберите команду Изменить.
- В появившемся окне Изменение параметра DWORD в поле Значение введите символ A и нажмите кнопку ОК.
- Закройте редактор реестра.
- Перезапустите службу времени. Для этого введите в командной строке следующую команду и нажмите клавишу ВВОД:
net stop w32time && net start w32time
Примечание. Служба времени хозяина PDC не должна быть настроена на синхронизацию с самим хозяином PDC. Если служба времени хозяина PDC настроена на синхронизацию с самим хозяином PDC, то в журнале событий приложений будут регистрироваться следующие события.
- Измените тип сервера на NTP. Для этого выполните следующие действия.
- Нажмите кнопку Пуск, выберите пункт Выполнить, введите команду regedit и нажмите кнопку ОК.
- Найдите и выделите следующий раздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type - На правой панели щелкните правой кнопкой мыши параметр Type и выберите команду Изменить.
- В появившемся окне Изменение строкового параметра в поле Значение введите NTP и нажмите кнопку ОК.
- Присвойте параметру AnnounceFlags значение 5. Для этого выполните следующие действия.
- a. Найдите и выделите следующий раздел реестра:
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags
- b. На правой панели щелкните правой кнопкой мыши параметр AnnounceFlags и выберите команду Изменить.
- c. В появившемся окне Изменение параметра DWORD в поле Значение введите 5 и нажмите кнопку ОК.
3. Включите сервер NTP. Для этого выполните следующие действия.
a. Найдите и выделите следующий раздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer\Enabled
b. На правой панели щелкните правой кнопкой мыши параметр Enabled и выберите команду Изменить.
c. В появившемся окне Изменение параметра DWORD в поле Значение введите 1 и нажмите кнопку ОК.
4. Укажите источник времени. Для этого выполните следующие действия.
a.
Найдите и выделите следующий раздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\NtpServer
b. На правой панели щелкните правой кнопкой мыши параметр NtpServer и выберите команду Изменить.
c. В появившемся окне Изменение строкового параметра укажите Перечень_источников_времени в поле Значение и нажмите кнопку ОК.
Примечание. Перечень_источников_времени представляет собой перечень узлов, предоставляющих данные о текущем времени. Для разделения имен узлов в списке используются пробелы. Все имена DNS в данном списке должны быть уникальными. В конце каждого имени DNS необходимо добавлять символы ,0x1. Если данные символы не были добавлены, то изменения, вносимые на шаге 5, не вступят в силу.
5. Задайте интервал опроса. Для этого выполните следующие действия.
a. Найдите и выделите следующий раздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\SpecialPollInterval
b. На правой панели щелкните правой кнопкой мыши параметр SpecialPollInterval и выберите команду Изменить.
c. В появившемся окне Изменение параметра DWORD укажите Интервал_в_секундах в поле Значение и нажмите кнопку ОК.
Примечание. Интервал_в_секундах представляет собой интервал времени (в секундах) между двумя опросами. Рекомендуется указать для него значение 900. При этом опрос будет выполняться каждые 15 минут.
6. Задайте параметры, определяющие максимальную величину коррекции времени. Для этого выполните следующие действия.
a. Найдите и выделите следующий раздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxPosPhaseCorrection
b. На правой панели щелкните правой кнопкой мыши параметр MaxPosPhaseCorrection и выберите команду Изменить.
c. В диалоговом окне Изменение параметра DWORD в разделе Система исчисления выберите значение Десятичная.
d. В появившемся окне Изменение параметра DWORD укажите Интервал_в_секундах в поле Значение и нажмите кнопку ОК.
Примечание. Интервал_в_секундах может являться любым значением в разумных пределах (например, 1 час (3600) или 30 минут (1800)). Данное значение выбирается исходя из величины интервала опроса, состояния сети и типа внешнего источника времени.
e. Найдите и выделите следующий раздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxNegPhaseCorrection
f. На правой панели щелкните правой кнопкой мыши параметр MaxNegPhaseCorrection и выберите команду Изменить.
g. В диалоговом окне Изменение параметра DWORD в разделе Система исчисления выберите значение Десятичная.
h. В появившемся окне Изменение параметра DWORD укажите Интервал_в_секундах в поле Значение и нажмите кнопку ОК.
Примечание. Интервал_в_секундах может являться любым значением в разумных пределах (например, 1 час (3600) или 30 минут (1800)). Данное значение выбирается исходя из величины интервала опроса, состояния сети и типа внешнего источника времени.
7. Закройте редактор реестра.
8. Перезапустите службу времени. Для этого введите в командной строке следующую команду и нажмите клавишу ВВОД:
net stop w32time && net start w32time
Скорее не статья а маленькая напоминалка для самого себя 🙂
Служба времени Windows, несмотря на кажущуюся простоту является основой нормального функционирования AD. Поэтому негоже забывать про её настройку да и выполнить её по большому счету приходится раз-два.Итак, в нормально настроенной среде служба времени функционирует так: пользователи получают точное время от ближайшего контроллера домена, на котором они зарегистрировались, все доменные контроллеры запрашивают об этом DC с ролью FSMO «Эмулятор PDC», а тот, в свою очередь, синхронизируется с внешним источником времени. Внешним источником как правило выступает один или несколько NTP-сервера институтов времени, например time.windows.com или NTP-сервер вашего провайдера
Для настройки вашего доменного контроллера с ролью «Эмулятора PDC» на синхронизацию с внешним источником, необходимо сначала выполнить команду
w32tm /stripchart /computer:time.windows.com /samples:5 /dataonly
которая произведет 5 сравнений с источником, а затем
w32tm /config /manualpeerlist:time.windows.com /syncfromflags:manual /reliable:yes /update
которая непосредственно выполнит настройку. Можно указать сразу несколько серверов, в этом случае необходимо раздели имена серверов пробелом и всех их заключит в ковычки: /manualpeerlist:"time.windows.com clock0.macomnet.ru" Обращаю внимание, что связь с источником осуществляется по протоколу NTP — 123 порт UDP.
Если Вы перенесли роль PDC Emulator на другой сервер, необходимо дополнительно выполнить настройку старого сервера командой
w32tm /config /syncfromflags:domhier /reliable:no /update
и перезапустить службу времени —
net stop w32time
net start w32time
Приведу несколько самых известных источников времени:
- ntp2.usno.navy.mil
- pool.ntp.org
- clock0.macomnet.ru
Более подробно ознакомить со службой можно на сайте Microsoft — Administering the Windows Time Service
Time synchronization is an important aspect for all servers in a Data Center of an organization. An organization should have a master NTP server which should be synced with an external reliable source, for example, the NTP server should be synced with the NPL Time in India for Indian Standard Time (IST). All servers and computers of that organization should be synced with the master NTP server.
If you have an NTP server and want to sync your windows servers with this NTP server then follow the steps given below:
- Open a command prompt (Windows Key + R)
- In the Command Prompt window, type the following line, where peers is a comma-separated list of IP addresses of the appropriate time sources and press ENTER:
w32tm /config /manualpeerlist: peers /syncfromflags:MANUAL
In this case where you have an NTP server type the ip address of the NTP server as given below:
w32tm /config /manualpeerlist:xx.xx.xx.xx /syncfromflags:MANUAL
Press ENTER. You should get a message that the command was completed successfully.
- Type w32tm /config /update
- Press ENTER. You should get a message that the command was completed successfully.
- To immediately synchronize with the external time server, type w32tm /resync and press ENTER. You should get a message that the command was completed successfully.
- Type Exit and press ENTER.
Note: UDP Port 123 should be open on the firewall if a firewall exists between these servers.
Настройка времени в домене Windows Server 2003 (2008)
Итак в этой статье я расскажу как настроить сервер времени в домене отталкиваясь от своего опыта, и расскажу о допущеннных ошибках. Это статья касается Windows Server 2003 (2008). Итак:
1. Определение PDC.
Итак как происходит синхронизация времени. Вкратце: сервер выступающий в роли эмулятора PDC должен синхронизироваться с внешним достоверным источником времени, а рабочие станция входящие в домен политикой по умолчанию синхронизируются с контроллером домена. Как узнать кто является PDC, если у вас несколько контроллеров домена?
— открываем оснастку «Active Directory — пользователи и компьютеры» нажимаем правой кнопкой на значке нашего домена и выбираем «Хозяева операции» и на вкладке «PDC» по имени смотрим кто является эмулятором PDC.
2.Настройка синхронизации времени на контроллере домена Windows Server 2003 (2008).
Теперь нужно зайти на PDC и с помощью regedit открыть редактор реестра, где собственно и будем производить основную настройку. Здесь для удобства я пишу старые значения реестра (т.е которые будем изменять) и новые на которые будем менять.Т.е было — стало.
Приступим:
— В реестре меняем следующие значения:
1) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type
Было: NT5DS
Изменям на: NTP
2) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags
Было: а
Изменям на: 5
3) Включаем NTP сервер
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer параметр Enabled изменяем на:
Было:0
Изменяем на: 1
Если стояла 1 менять не нужно
4) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\NtpServer
А вот здесь мы видим time.windows.com,0х1. Здесь лучше значение не менять на какой либо другой сервер. Т.к когда я пытался изменять на др. сервер то у меня появились следующие ошибки W32Timw 29, 47, 38. Возможно это глюк относится только к Windows Server 2003 — можете поэкспериментировать.
5) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\SpecialPollInterval
Было: ffffffff в шестнадцатиричной или 4294967295 в десятичной
Изменяем на: 1800 или 3600 в десятичной — это интервал опроса серверов для синхронизации.
6) Зададим интервалы максимальных величин коррекции времени.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxPosPhaseCorrection
Было: ffffffff в шестнадцатиричной или 4294967295 в десятичной
Изменяем на: 1800 или 3600 в десятичной
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxNegPhaseCorrection
Было: ffffffff в шестнадцатиричной или 4294967295 в десятичной
Изменяем на: 1800 или 3600 в десятичной
Затем выполним в командной строке («Пуск»->»Выполнить»->«cmd«).
net stop w32time
&& net start w32time
w32tm /resync
Если после этого в журнале появились записи об успешной синхронизации то все готово. Если нет смотри след. абзац.
Ошибки W32Time 29, W32Time47, W32Time38
Если после этого начинают появляться эти ошибки первое что следует сделать это посмтотреть в DefaultPolicy дефолтной поитике домена а также в gpedit.msc — локальной политике контроллера домена следующие параметры:
«Конфигурация компьютера»-> «Административные шаблоны»—>»System»—>«Windows Time Service«—>«Time Providers» чтобы все опции стояли «Не заданно».
Затем в разделе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\NtpServer проверить чтобы значение было time.windows.com
Далее в командной сторке выполнить :
|
• |
w32tm /config |
|
• |
net stop |
|
• |
net start |
|
• |
w32tm /resync |
By donmc, 1 March, 2012
Synching to an External Time Source
Setting the Primary DC
— Windows Server 2003 to sync with an external time server:
Open the Registry Editor (regedt32.exe) make the following
changes:
HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type
This registry entry determines which peers W32Time will accept
synchronization from.
Change this REG_SZ value from NT5DS
to NTP
This configures the PDC Emulator to synchronize from the list of
reliable time servers specified in the NtpServer registry entry
described below.
HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags
This registry entry controls whether the local computer is marked as
a reliable time server (which is only possible if the previous
registry entry is set to NTP as described above).
Change this REG_DWORD value from 10
to 5 here.
HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\NtpServer
This registry entry specifies a space-delimited
list of NTP servers to synchronize with. The list may consist of one
or more DNS names or IP addresses (if DNS names are used then append
,0x1 to the end of each DNS name). For example, to synchronize the
PDC Emulator in your forest root domain with tock.usno.navy.mil, an
open-access SNTP time server run by the United States Naval
Observatory, change the value of the NtpServer registry entry from
time.windows.com,0x1 to tock.usno.navy.mil,0x1 here. Alternatively,
you can specify the IP address of this time server, which is
192.5.41.209 instead.
See this link for a list of NIST time servers to choose from: http://tf.nist.gov/tf-cgi/servers.cgi
Now stop and restart the Windows Time service using the
following commands:
net stop w32time
net start w32time
It may take an hour or so for the
PDC Emulator to fully synchronize with the external time server
because of the nature of the polling method W32Time uses.
Depending on the latency of your Internet connection, the accuracy
of the CMOS clock on your forest root PDC Emulator should be
within a second or two of UTC.
Alternatively, if you don’t want to wait for time convergence to
occur between your server and the external NTP server, you can run
this command on your PDC:
w32tm /resync /rediscover