Синхронизация времени в домене на windows server 2008 r2

Содержание:

Sync Time Using Settings App

As an alternative, you can also sync the time using the Settings app. In fact, compared to the command prompt or the control panel, the new options in the Settings app are far easier to access and use.

1. First, press «Windows Key + I» to open the Settings app.

2. Go to the «Time & Language → Date & Time» page. On the right-panel, click on the «Sync» button under the Synchronize your clock section.

As soon as you click the button, the PC will sync the time with the default Windows time server.

The settings app won’t allow you to change the default time server. If you use a custom time server then you have to follow the Command Prompt method shown above.

Настройка синхронизации времени на клиентах домена

В среде Active Directory по умолчанию клиенты домена синхронизируют свое время с контролерами домена (опция Nt5DS – синхронизировать время согласно иерархии домена). Как правило, эта схема работает и не требует перенастройки. Однако при наличии проблем с синхронизацией времени на клиентах домена, можно попробовать принудительно назначить сервер времени для клиентов с помощью GPO.

Для этого создайте новую GPO и назначьте ее на контейнеры (OU) с компьютерами. В редакторе GPO перейдите в раздел Computer Configuration -> Administrative Templates -> System -> Windows Time Service -> Time Providers и включите политику Configure Windows NTP Client.

В качестве сервера NTP укажите имя или ip адрес PDC, например msk-dc1.winitpro.ru,0x9, а в качестве типа синхронизации — NT5DS

Обновите настройки групповых политик на клиентах и проверьте, что клиенты успешно синхронизировали свое время с PDC.

Совет. Указанная схема применима только к небольшим доменам. Для больших распределенных доменов с большим количеством DC и сайтов придется создать отдельную политику для каждого сайта, чтобы клиенты синхронизировали свое время с DC в сайте.

Настройка политики синхронизации NTP на контролере домена PDC

Этот шаг предполагает настройку контроллера домена с ролью эмулятора PDC на синхронизацию времени с внешним NTP сервером. Т.к. теоретически роль эмулятора PDC может перемещаться между контроллерами домена, нам нужно сделать политику, которая применялась бы только к текущему владельцу роли PDC. Для этого в консоли управления Group Policy Management Console (GPMC.msc), создадим новый WMI фильтр групповых политик. Для этого в разделе WMI Filters создадим фильтр и именем PDC Emulator и WMI запросом: Select * from Win32_ComputerSystem where DomainRole = 5

Затем создайте новую GPO и назначьте ее на контейнер Domain Controllers.

Перейдите в режим редактирования политики и разверните следующий раздел политик: Computer Configuration->Administrative Templates->System->Windows Time Service->Time Providers

Нас интересуют три политики:

  • Configure Windows NTP Client: Enabled (настройки политики описаны ниже)
  • Enable Windows NTP Client: Enabled
  • Enable Windows NTP Server: Enabled

В настройках политики Configure Windows NTP Client укажите следующие параметры:

NtpServer: 0.ru.pool.ntp.org,0x1 1.ru.pool.ntp.org,0x1 2.ru.pool.ntp.org,0x1 3.ru.pool.ntp.org,0x1

  • Type: NTP
  • CrossSiteSyncFlags: 2
  • ResolvePeerBackoffMinutes: 15
  • Resolve Peer BAckoffMaxTimes: 7
  • SpecilalPoolInterval: 3600
  • EventLogFlags: 0

Совет. Не забудьте настроить межсетевой экран таким образом, чтобы сервер PDC мог получить доступ к внешним NTP серверам по протоколу NTP (UDP порт 123).

Примечание

Обратите внимание на синтаксис в поле NtpServer. Формат указания нескольких NTP серверов такой:ntsrv1.org,0x1 ntpsrv2.org,0x1 (разделитель пробел)

На скриншоте указаны ошибочные данные!

Примените созданный ранее фильтр PDC Emulator к данной политике.

Совет. Найти имя сервера с ролью PDC можно с помощью команды: netdom query fsmo

Осталось обновить политики на контроллере PDC:gpupdate /force

Вручную запустите синхронизацию времени:w32tm /resync

Проверьте текущие настройки NTP:w32tm /query /status

Совет. В том случае, если время не синхронизировалось, перезапустите службу времени Windows и сбросьте текущие настройки:net stop w32timew32tm.exe /unregisterw32tm.exe /registernet stop w32tim

Настройка политики синхронизации NTP на контролере домена PDC

Этот шаг предполагает настройку контроллера домена с ролью эмулятора PDC на синхронизацию времени с внешним NTP сервером. Т.к. теоретически роль эмулятора PDC может перемещаться между контроллерами домена, нам нужно сделать политику, которая применялась бы только к текущему владельцу роли PDC. Для этого в консоли управления Group Policy Management Console
(GPMC.msc), создадим новый . Для этого в разделе WMI Filters
создадим фильтр и именем PDC Emulator
и WMI запросом: Select * from Win32_ComputerSystem where DomainRole = 5

Затем создайте новую GPO и назначьте ее на контейнер Domain Controllers.

Перейдите в режим редактирования политики и разверните следующий раздел политик: Computer Configuration->Administrative Templates->System->Windows Time Service->Time Providers

Нас интересуют три политики:

  • Configure Windows NTP Client
    : Enabled (настройки политики описаны ниже)
  • Enable Windows NTP Client
    : Enabled
  • Enable Windows NTP Server
    : Enabled


В настройках политики Configure Windows NTP Client
укажите следующие параметры:

  • NtpServer
    : 0.ru.pool.ntp.org.0x1, 1.ru.pool.ntp.org.0x1, 2.ru.pool.ntp.org.0x1, 3.ru.pool.ntp.org.0x1
  • Type
    : NTP
  • CrossSiteSyncFlags
    : 2
  • ResolvePeerBackoffMinutes
    : 15
  • Resolve Peer BAckoffMaxTimes
    : 7
  • SpecilalPoolInterval
    : 3600
  • EventLogFlags
    : 0

Совет
. Не забудьте настроить межсетевой экран таким образом, чтобы сервер PDC мог получить доступ к внешним NTP серверам по протоколу NTP (UDP порт 123).

Примените созданный ранее фильтр PDC Emulator
к данной политике.

Совет
. Найти имя сервера с ролью PDC можно с помощью команды: netdom query fsmo

Осталось обновить политики на контроллере PDC:
gpupdate /force

Вручную запустите синхронизацию времени:
w32tm /resync

Проверьте текущие настройки NTP:
w32tm /query /status

Совет
. В том случае, если время не синхронизировалось, перезапустите службу времени Windows и сбросьте текущие настройки:
net stop w32time
w32tm.exe /unregister
w32tm.exe /register
net stop w32tim

Запуск NTP сервера

Служба времени в Windows Server не имеет графического интерфейса
и настраивается либо из командной строки, либо путем прямой правки системного реестра. Рассмотрим второй способ:

Необходимо запустить сервер NTP. Открываем ветку реестра:

HKLM\System\CurrentControlSet\services\W32Time\TimeProviders\NtpServer
.

Для включения сервера NTP параметру Enabled
надо установить значение 1. Затем перезапускаем службу времени командой net stop w32time && net start w32time.

После перезапуска службы NTP, сервер уже активен и может обслуживать клиентов. Убедиться в этом можно с помощью команды w32tm /query /configuration
. Эта команда выводит полный список параметров службы. Если раздел NtpServer содержит строку Enabled:1
, то все в порядке, сервер времени работает.

Для того, чтобы NTP-сервер мог обслуживать клиентов, в брандмауэре необходимо открыть UDP порт 123 для входящего и исходящего трафика.

Настройка синхронизации времени на клиентах домена

В среде Active Directory по умолчанию клиенты домена синхронизируют свое время с контролерами домена (опция Nt5DS – синхронизировать время согласно иерархии домена). Как правило, эта схема работает и не требует перенастройки. Однако при наличии проблем с синхронизацией времени на клиентах домена, можно попробовать принудительно назначить сервер времени для клиентов с помощью GPO.

Для этого создайте новую GPO и назначьте ее на контейнеры (OU) с компьютерами. В редакторе GPO перейдите в раздел Computer Configuration -> Administrative Templates -> System -> Windows Time Service -> Time Providers и включите политику Configure Windows NTP Client.

В качестве сервера NTP укажите имя или ip адрес PDC, например msk-dc1.winitpro.ru,0x9, а в качестве типа синхронизации — NT5DS

Обновите настройки групповых политик на клиентах и проверьте, что клиенты успешно синхронизировали свое время с PDC.

Совет. Указанная схема применима только к небольшим доменам. Для больших распределенных доменов с большим количеством DC и сайтов придется создать отдельную политику для каждого сайта, чтобы клиенты синхронизировали свое время с DC в сайте.

4 ответа

25

Я предполагаю, что вы ищете сервер, используемый службой W32Time, для выполнения синхронизации времени на компьютерах с доменными именами.

В дистрибутиве Active Directory единственным компьютером, настроенным с временным сервером, явным образом будет компьютер, содержащий роль FSMO эмулятора PDC в корневом домене леса. Все контроллеры домена в корневом домене леса синхронизируют время с держателем роли FSMO эмулятора PDC. Все держатели роликов FSMO-эмулятора PDC в дочерних доменах синхронизируют свое время с контроллерами домена в своем родительском домене (в том числе потенциально обладателя роли FSMO для эмулятора PDF в корневом домене леса). Все компьютеры-члены домена синхронизируют время с компьютерами контроллера домена в своих соответствующих доменах.

Чтобы определить, настроен ли член домена для синхронизации времени домена, проверьте значение REG_SZ в HKLM \ System \ CurrentControlSet \ Services \ W32Time \ Parameters \ Type. Если установлено значение «Nt5DS», компьютер синхронизирует время с иерархией времени Active Directory. Если он настроен со значением «NTP», то comptuer синхронизирует время с сервером NTP, указанным в значении REG_SZ NtpServer в том же ключе реестра.

Информация о низкоуровневом протоколе синхронизации времени доступна в этой статье: Как работает служба времени Windows

Помните, что не каждый контроллер домена (KDC, так как Джеймс направляет вас на поиск через DNS в своем сообщении) может работать служба времени. В развертывании AD AD каждый контроллер домена будет, но некоторые развертывания могут использовать виртуализированные контроллеры домена, для которых отключена служба W32Time (для облегчения синхронизации по времени на основе гипервизора), и, как таковой, вам, вероятно, следовало бы реализовать функции, описанные в статья «Как работает служба времени Windows», если вы разрабатываете часть программного обеспечения, которая должна синхронизировать время таким же образом, что и компьютер члена домена.

23

Некоторые полезные команды

См. настройки:

Затем посмотрите на Type:

  • NoSync
    Клиент не синхронизирует время.

  • NTP
    Клиент синхронизирует время с внешним источником времени. Просмотрите значения в строке NtpServer на выходе, чтобы увидеть имя сервера или серверов, которые клиент использует для синхронизации времени.

  • NT5DS
    Клиент настроен на использование иерархии домена для временной синхронизации.

  • AllSync
    Клиент синхронизирует время с любым доступным источником времени, включая иерархию доменов и внешние источники времени.

Настройки реестра, найденные здесь:

15

Владельцем домена обычно является эмулятор PDC , в свою очередь, другие DC будут синхронизироваться с ним.

Чтобы определить, кто в настоящее время держит роль эмулятора PDC в вашем домене, используйте:

Другие способы определения держателей роли FSMO см. в статье Определение держателей роли FSMO .

Подробнее об этом читайте в статье TechNet Как Работа службы времени Windows .

1

В правильно настроенном домене Windows DC, в котором хранится роль эмулятора PDC (в AD нет «PDC»), будет сервером времени для домена. Никакая другая машина в домене , включая другие контроллеры домена, не должна иметь установленный сервер времени. Вообще. После этого синхронизация времени будет управляться на основе иерархии домена, и у вас будет среда «установить один раз и забыть» — по крайней мере, до тех пор, пока время не будет достигнуто, и пока вы не перейдете роль эмулятора PDC на другой сервер.

Если вам нужно выполнить какое-либо регулярное или текущее обслуживание вашей настройки сервера времени, то что-то не так.

Настройка синхронизации времени на клиентах домена

В среде Active Directory по умолчанию клиенты домена синхронизируют свое время с контролерами домена (опция Nt5DS – синхронизировать время согласно иерархии домена). Как правило, эта схема работает и не требует перенастройки. Однако при наличии проблем с синхронизацией времени на клиентах домена, можно попробовать принудительно назначить сервер времени для клиентов с помощью GPO.

Для этого создайте новую GPO и назначьте ее на контейнеры (OU) с компьютерами. В редакторе GPO перейдите в раздел Computer Configuration -> Administrative Templates -> System -> Windows Time Service -> Time Providers и включите политику Configure Windows NTP Client.

В качестве сервера NTP укажите имя или ip адрес PDC, например msk-dc1.winitpro.ru,0x9, а в качестве типа синхронизации — NT5DS

Обновите настройки групповых политик на клиентах и проверьте, что клиенты успешно синхронизировали свое время с PDC.

Совет. Указанная схема применима только к небольшим доменам. Для больших распределенных доменов с большим количеством DC и сайтов придется создать отдельную политику для каждого сайта, чтобы клиенты синхронизировали свое время с DC в сайте.

Справочные материалыReference

Этот параметр политики определяет, какие пользователи могут настраивать время на внутреннем часах устройства.This policy setting determines which users can adjust the time on the device’s internal clock. Это право позволяет пользователю компьютера изменить дату и время, связанные с записями в журналах событий, транзакциями базы данных и файловой системой.This right allows the computer user to change the date and time associated with records in the event logs, database transactions, and the file system. Это право также требуется процесс, который выполняет синхронизацию времени.This right is also required by the process that performs time synchronization. Этот параметр не влияет на возможность пользователя изменять часовой пояс и другие характеристики системного времени.This setting does not impact the user’s ability to change the time zone or other display characteristics of the system time. Сведения о назначении права на смену часового пояса можно найти в статье Изменение часового пояса.For info about assigning the right to change the time zone, see Change the time zone.

Константа: SeSystemtimePrivilegeConstant: SeSystemtimePrivilege

РекомендацииBest practices

Ограничьте смену пользовательского права на использование системного времени для пользователей с легальным изменением системного времени.Restrict the Change the system time user right to users with a legitimate need to change the system time.

LocationLocation

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights AssignmentComputer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment

Значения по умолчаниюDefault values

По умолчанию все пользователи и группы локальных служб обладают этим правом на рабочих станциях и серверах.By default, members of the Administrators and Local Service groups have this right on workstations and servers. Пользователи, операторы сервера и локальные группы служб обладают этим правом на контроллерах домена.Members of the Administrators, Server Operators, and Local Service groups have this right on domain controllers.

В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики.The following table lists the actual and effective default policy values. Значения по умолчанию также можно найти на странице свойств политики.Default values are also listed on the policy’s property page.

Тип сервера или объект групповой политикиServer type or GPO Значение по умолчаниюDefault value
Default Domain PolicyDefault Domain Policy Не определеноNot Defined
Политика контроллера домена по умолчаниюDefault Domain Controller Policy АдминистраторыAdministrators Операторы сервераServer Operators Локальная службаLocal Service
Параметры по умолчанию для автономного сервераStand-Alone Server Default Settings АдминистраторыAdministrators Локальная службаLocal Service
Параметры по умолчанию, действующие на контроллере доменаDC Effective Default Settings АдминистраторыAdministrators Операторы сервераServer Operators Локальная службаLocal Service
Действующие параметры по умолчанию для рядового сервераMember Server Effective Default Settings АдминистраторыAdministrators Локальная службаLocal Service
Действующие параметры по умолчанию для клиентского компьютераClient Computer Effective Default Settings АдминистраторыAdministrators Локальная службаLocal Service

Конфигурация NTP-сервера на корневом PDC

Конфигурирование сервера времени (NTP-сервера) может осуществляться как с помощью утилиты командной строки w32tm, так и через реестр. Где возможно, я приведу оба варианта.

Включение синхронизации внутренних часов с внешним источником

  • «Type»=»NTP»

  • w32tm /config /syncfromflags:manual

Объявление NTP-сервера в качестве надежного

  • «AnnounceFlags»=dword:0000000a

  • w32tm /config /reliable:yes

Включение NTP-сервера

NTP-сервер по умолчанию включен на всех контроллерах домена, однако его можно включить и на рядовых серверах.

«Enabled»=dword:00000001

Задание списка внешних источников для синхронизации

  • «NtpServer»=»time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 ru.pool.ntp.org,0x8»

  • w32tm /config /manualpeerlist:»time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 ru.pool.ntp.org,0x8″

Флаг 0×8 на конце означает, что синхронизация должна происходить в режиме клиента NTP, через предложенные этим сервером интервалы времени. Для того, чтобы задать свой интервал синхронизации, необходимо использовать флаг 0×1.

Задание интервала синхронизации с внешним источником

Время в секундах между опросами источника синхронизации, по умолчанию 900с = 15мин. Работает только для источников, помеченных флагом 0×1.

«SpecialPollInterval»=dword:00000384

Установка минимальной положительной и отрицательной коррекции

Максимальная положительная и отрицательная коррекция времени (разница между внутренними часами и источником синхронизации) в секундах, при превышении которой синхронизация не происходит. Рекомендую значение 0xFFFFFFFF, при котором коррекция сможет производиться всегда.

«MaxPosPhaseCorrection»=dword:FFFFFFFF
«MaxNegPhaseCorrection»=dword:FFFFFFFF

Все необходимое одной строкой

w32tm.exe /config /manualpeerlist:»time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 pool.ntp.org,0x8″ /syncfromflags:manual /reliable:yes /update

Полезные команды

  • Применение внесенных в конфигурацию службы времени изменений
    w32tm /config /update
  • Принудительная синхронизация от источника
    w32tm /resync /rediscover
  • Отображение состояния синхронизации контроллеров домена в домене
    w32tm /monitor
  • Отображение текущих источников синхронизации и их статуса
    w32tm /query /peers

Автоматический переход на другое время

Исправить данную ситуацию можно установив последние обновления для ОС windows. Если нет возможности установить обновленные данные, можно рассмотреть другие способы.

  1. Изменить часовой пояс. Если ранее установлен UTC+03.00, можно попробовать изменить его на UTC+02.00.
  2. Изменение настроек.
  • открыть меню «Настройка даты и времени»;
  • перейти во вкладку «Время по интернету»;
  • выбрать «Изменить параметры»;
  • найти пункт «Синхронизировать с сервером времени в интернете» и снять галочку.

Компьютерные вирусы

Чтобы исправить ситуацию нужно проверить ПК антивирусником.

Для полной проверки рекомендуется использовать дополнительные антивирусные программы, помимо установленной на устройство.

Найденные вирусы следует сразу удалить, если программа не найдет шпионов, а проблема остается, можно полностью переустановить операционную систему.

Дефекты материнской платы

Ошибки могут появиться после долгой эксплуатации или наоборот сразу после покупки ПК. Неправильная работа комплектующих или скопление пыли нередко приводит к появлению статических разрядов, которые впоследствии являются причиной сброса CMOS. Устранить причину поможет обращение в сервис по гарантии или замена материнской платы.

Иногда проблему может решить обновление или повторная установка БИОС материнской платы. Однако,следует знать, что подобная процедура является потенциально опасной, поэтому проводить можно, только при полной уверенности в ее необходимости.

В редких случаях часы сбиваются из-за утилит активаторов. Такие программы сбрасывают тестовый срок для платных приложений и меняют время, чтобы впоследствии можно было воспользоваться ими бесплатно. Опытные пользователи не рекомендуют использовать подобные ПО, т.к. они обеспечивают хорошую работоспособность одной программы, при этом сбивает работу других, более важных.

Иногда сбой данных наблюдается время от времени и носит непостоянный характер. Например показатели БИОС могут меняться при выключении ПК, а при последующем включении оставаться неизменной. Такие проблемы называют «плавающими» и они не менее коварны, чем постоянные.

Для устранения причин появления плавающих проблем подходят те же правила, которые используются для постоянных:

  1. Отключение ПО, самостоятельно регулирующее время на компьютере.
  2. Замена батарейки BIOS.
  3. Постоянная проверка ПК на вирусы с помощью нескольких антивирусных программ.
  4. Если предыдущие методы не способны решить проблему сбоя даты и времени в ПК, рекомендуется переустановка операционной системы.

Настройка политики синхронизации NTP на контролере домена PDC

Этот шаг предполагает настройку контроллера домена с ролью эмулятора PDC на синхронизацию времени с внешним NTP сервером. Т.к. теоретически роль эмулятора PDC может перемещаться между контроллерами домена, нам нужно сделать политику, которая применялась бы только к текущему владельцу роли PDC. Для этого в консоли управления Group Policy Management Console (GPMC.msc), создадим новый WMI фильтр групповых политик. Для этого в разделе WMI Filters создадим фильтр и именем PDC Emulator и WMI запросом: Select * from Win32_ComputerSystem where DomainRole = 5

Затем создайте новую GPO и назначьте ее на контейнер Domain Controllers.

Перейдите в режим редактирования политики и разверните следующий раздел политик: Computer Configuration->Administrative Templates->System->Windows Time Service->Time Providers

Нас интересуют три политики:

  • Configure Windows NTP Client: Enabled (настройки политики описаны ниже)
  • Enable Windows NTP Client: Enabled
  • Enable Windows NTP Server: Enabled

В настройках политики Configure Windows NTP Client укажите следующие параметры:

NtpServer: 0.ru.pool.ntp.org,0x1 1.ru.pool.ntp.org,0x1 2.ru.pool.ntp.org,0x1 3.ru.pool.ntp.org,0x1

  • Type: NTP
  • CrossSiteSyncFlags: 2
  • ResolvePeerBackoffMinutes: 15
  • Resolve Peer BAckoffMaxTimes: 7
  • SpecilalPoolInterval: 3600
  • EventLogFlags: 0

Совет. Не забудьте настроить межсетевой экран таким образом, чтобы сервер PDC мог получить доступ к внешним NTP серверам по протоколу NTP (UDP порт 123).

Примечание

Обратите внимание на синтаксис в поле NtpServer. Формат указания нескольких NTP серверов такой:ntsrv1.org,0x1 ntpsrv2.org,0x1 (разделитель пробел)

На скриншоте указаны ошибочные данные!

Примените созданный ранее фильтр PDC Emulator к данной политике.

Совет. Найти имя сервера с ролью PDC можно с помощью команды: netdom query fsmo

Осталось обновить политики на контроллере PDC:gpupdate /force

Вручную запустите синхронизацию времени:w32tm /resync

Проверьте текущие настройки NTP:w32tm /query /status

Совет. В том случае, если время не синхронизировалось, перезапустите службу времени Windows и сбросьте текущие настройки:net stop w32timew32tm.exe /unregisterw32tm.exe /registernet stop w32tim

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *