Служба времени Windows, несмотря на кажущуюся простоту, является одной из основ, необходимых для нормального функционирования домена Active Directory. В правильно настроенной среде AD служба времени работает следующим образом: компьютеры пользователей получают точное время от ближайшего контроллера домена, на котором они зарегистрировались. Все контроллеры домена в свою очередь получают точное время от DC с FSMO ролью «Эмулятор PDC», а контролер PDC синхронизирует свое время с неким внешним источником времени. В качестве внешнего источника времени может выступать один или несколько NTP серверов, например time.windows.com или NTP сервер вашего Интернет-провайдера. Также нужно отметить, что по умолчанию клиенты в домене синхронизируют время с помощью службы времени Windows (Windows Time), а не с помощью протокола NTP.
Если вы столкнулись с ситуацией, когда время на клиентах и контроллерах домена различается, возможно, в вашем домене есть проблемы с синхронизацией времени и эта статья будет вам полезна.
В первую очередь выберите подходящий NTP сервер, который вы могли бы использовать. Список общедоступных NTP серверов доступен на сайте http://ntp.org. В нашем примере мы будем использовать NTP сервера из пула ru.pool.ntp.org:
- 0.ru.pool.ntp.org
- 1.ru.pool.ntp.org
- 2.ru.pool.ntp.org
- 3.ru.pool.ntp.org
Настройка синхронизации времени в домене с помощью групповых политик состоит из двух шагов:
1) Создание GPO для контроллера домена с ролью PDC
2) Создание GPO для клиентов (опционально)
Настройка политики синхронизации NTP на контролере домена PDC
Этот шаг предполагает настройку контроллера домена с ролью эмулятора PDC на синхронизацию времени с внешним NTP сервером. Т.к. теоретически роль эмулятора PDC может перемещаться между контроллерами домена, нам нужно сделать политику, которая применялась бы только к текущему владельцу роли PDC. Для этого в консоли управления Group Policy Management Console (GPMC.msc), создадим новый WMI фильтр групповых политик. Для этого в разделе WMI Filters создадим фильтр и именем PDC Emulator и WMI запросом:
Select * from Win32_ComputerSystem where DomainRole = 5
Затем создайте новую GPO и назначьте ее на контейнер Domain Controllers.
Перейдите в режим редактирования политики и разверните следующий раздел политик: Computer Configuration->Administrative Templates->System->Windows Time Service->Time Providers
Нас интересуют три политики:
- Configure Windows NTP Client: Enabled (настройки политики описаны ниже)
- Enable Windows NTP Client: Enabled
- Enable Windows NTP Server: Enabled
В настройках политики Configure Windows NTP Client укажите следующие параметры:
- NtpServer: 0.ru.pool.ntp.org,0x1 1.ru.pool.ntp.org,0x1 2.ru.pool.ntp.org,0x1 3.ru.pool.ntp.org,0x1
- Type: NTP
- CrossSiteSyncFlags: 2
- ResolvePeerBackoffMinutes: 15
- Resolve Peer BAckoffMaxTimes: 7
- SpecilalPoolInterval: 3600
- EventLogFlags: 0
Совет. Не забудьте настроить межсетевой экран таким образом, чтобы сервер PDC мог получить доступ к внешним NTP серверам по протоколу NTP (UDP порт 123).
Примечание. Обратите внимание на синтаксис в поле NtpServer. Формат указания нескольких NTP серверов такой:ntsrv1.org,0x1 ntpsrv2.org,0x1 (разделитель пробел). На скриншоте указаны ошибочные данные!
Примените созданный ранее фильтр PDC Emulator к данной политике.
Совет. Найти имя сервера с ролью PDC можно с помощью команды:
netdom query fsmo
Осталось обновить политики на контроллере PDC:
gpupdate /force
Вручную запустите синхронизацию времени:
w32tm /resync
Проверьте текущие настройки NTP:
w32tm /query /status
Совет. В том случае, если время не синхронизировалось, перезапустите службу времени Windows и сбросьте текущие настройки:
net stop w32time
w32tm.exe /unregister
w32tm.exe /register
net start w32time
Настройка синхронизации времени на клиентах домена
В среде Active Directory по умолчанию клиенты домена синхронизируют свое время с контролерами домена (опция Nt5DS – синхронизировать время согласно иерархии домена). Как правило, эта схема работает и не требует перенастройки. Однако при наличии проблем с синхронизацией времени на клиентах домена, можно попробовать принудительно назначить сервер времени для клиентов с помощью GPO.
Для этого создайте новую GPO и назначьте ее на контейнеры (OU) с компьютерами. В редакторе GPO перейдите в раздел Computer Configuration -> Administrative Templates -> System -> Windows Time Service -> Time Providers и включите политику Configure Windows NTP Client.
В качестве сервера NTP укажите имя или ip адрес PDC, например msk-dc1.winitpro.ru,0x9, а в качестве типа синхронизации — NT5DS
Обновите настройки групповых политик на клиентах и проверьте, что клиенты успешно синхронизировали свое время с PDC.
Совет. Указанная схема применима только к небольшим доменам. Для больших распределенных доменов с большим количеством DC и сайтов придется создать отдельную политику для каждого сайта, чтобы клиенты синхронизировали свое время с DC в сайте.
Прочитано:
29 562
Задача: разобрать действия по организации сервиса времени для всей локальной сети дабы рабочие станции, сервера получали точное время и оно везде было одинаковым. Сервис времени организовывается на домен контроллере под управлением операционной системы Windows Server 2012 R2, также действия ниже аналогичны и для Server 2008 R2
Схема: интернет — Mikrotik — DC — Workstations
Открываю на srv-dc консоль командной строки с правами администратора:
Win + X — Command Prompt (Admin)
Определяю какой домен контроллер (Windows Server 2012 R2 Std) имеет роль PDC если домен контроллеров несколько в домене:
|
C:\Windows\system32>netdom query fsmo Schema master srv—dc.polygon.local Domain naming master srv—dc.polygon.local PDC srv—dc.polygon.local RID pool manager srv—dc.polygon.local Infrastructure master srv—dc.polygon.local The command completed successfully. |
Как видно из вывода, это контроллер домена srv-dc.polygon.local, подключаюсь теперь к нему по RDP или VNC соединению для выполнения следующих команд:
|
C:\Windows\system32>net stop w32time |
Настраиваем внешний источник времени:
|
C:\Windows\system32>w32tm /config /syncfromflags:manual /manualpeerlist:«0.pool.ntp.org» |
Cделать ваш контроллер домена PDC доступным для клиентов:
|
C:\Windows\system32>w32tm /config /reliable:yes |
Запускаю службу времени:
|
C:\Windows\system32>net start w32time |
Также можно изменения вносить и через реестр в ключе: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
Чтобы после принудительно запросить получение точного времени проделываем:
|
C:\Windows\system32>W32tm /config /reliable:yes The command completed successfully. C:\Windows\system32>W32tm /config /update The command completed successfully. C:\Windows\system32>W32tm /resync Sending resync command to local computer The command completed successfully. |
Вот и все, служба времени Windows начинает синхронизацию времени с внешним источником, посмотреть этот процесс можно так:
C:\Windows\system32>w32tm /query /configuration
После нужно добавить параметр в DHCP оснастку, что сервер времени это наш домен контроллер:
Win + X — Control Panel — Administrative Tools — запускаю оснастку DHCP: DHCP → srv-dc.polygon.local → IPv4 → Scope [10.10.10.0] local → и через правый клик мышью по Scope Options вызываю меню Configure Options… где добавляю опцию для всего домена: 042 NTP Servers
Теперь доменные Windows станции будут знать, что сервер времени это домен контроллер, а для моих Ubuntu системы после установке sudo apt-get install ntp -y в файле /etc/ntp.conf нужно будет в параметре server указать IP адрес этого домен контроллера и перезапустить службу времени sudo service ntp restart.
Если же у Вас DHCP сервис развернут не на Windows, то донести до всех где брать точное время можно через групповые политики GPO. Создаем GPO_NTP и предопределяем, что ориентирована она будет на текущий домен и все рабочие станции посредством WMI-фильтра.
Открываю оснастку на srv-dc управления групповыми политиками домена:
Win + X — Control Panel — Administrative Tools — Group Policy Management, открываю на редактирование: Group Policy Management → Forest: polygon.local → Domains → polygon.local → и через правый клик мышью по WMI Filters вызываю меню New…
- Name: W7
- Decription: Windows 7 x86/x64
- Queries: → Add
- Namespace: root\CIMv2
- Query: Select
* from WIN32_OperatingSystem where ((Version > "6") and
(ProductType = 1))
и
нажимаю OK, OK, Save
После перехожу к редактированию групповой политики для рабочих станции домена, через правый клик мышью по GPO_NTP вызываю меню Edit.
Computer Configuration → Policies → Administrative Tools → System → Windows Time Service → Time Providers → Configure Windows NTP Client, включаю ее Enabled и определяю настройки:
NtpServer: srv-dc.polygon.local,0x9
все остальное оставляю по умолчанию.
После нажимаю Apply & OK.
И не забываем к политике добавить WMI фильтр. В конечном итоге политика должна выглядеть так:
После когда политика применится к системам согласно WMI-фильтру можно будет проверить куда смотрит рабочая станции если ей нужно точное время:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 |
C:\Users\alektest>w32tm /query /status Индикатор помех: 0(предупреждений нет) Страта: 4 (вторичная ссылка — синхронизирована с помощью (S)NTP) Точность: —6 (15.625ms за такт времени) Задержка корня: 0.0876923s Дисперсия корня: 7.8503892s Идентификатор опорного времени: 0x0A0A0A02 (IP—адрес источника: 10.10.10.2) Время последней успешной синхронизации: 30.04.2017 16:46:38 Источник: srv—dc.polygon.local Интервал опроса: 10 (1024s) C:\Users\alektest>w32tm /monitor srv—dc.polygon.local *** PDC ***[10.10.10.2:123]: ICMP: 0ms задержка NTP: +0.0000000s смещение относительно srv—dc.polygon.local RefID: ground.corbina.net [85.21.78.91] Страта: 3 |
Работает.
На замету: Если же в локальной сети появятся рабочие станции под управлением Windows 8 и выше, то нужно будет модифицировать WMI фильтр.
Но как известно, в случае чего с домен контроллером его роли можно забирать, так может произойти в случае различных проблем. Вот забрали роль PDC и время поехало во всем домене, чтобы этого не произошло нужно создать групповую политику ориентированную только на домен контроллер с ролью PDC: GPO_PDC и WMI фильтр с именем PDC следующего содержания:
Select * from Win32_ComputerSystem where DomainRole = 5
Computer Configuration → Policies → Administrative Tools → System → Windows Time Service → Time Providers → Configure Windows NTP Client, включаю ее Enabled и определяю настройки:
NtpServer: 0.pool.ntp.org,0x9
все
остальное оставляю по умолчанию.
После нажимаю Apply & OK.
и Computer Configuration → Policies → Administrative Tools → System → Windows Time Service → Time Providers -> Enable Windows NTP Client включить Enable.
Также параметр Type вместо NT5DS можно использовать и NTP
И не забываем к политике добавить WMI фильтр ← PDC. Теперь не важно кто является домен контроллером, точное время на нем будет.
А раз так, что рабочие станции не обязательно привязывать/создавать к политике назначения точного времени, ведь по умолчанию рабочие станции домена, итак, забирают точное время с контроллера домена по умолчанию.
Подведу итог:
- Настраиваю GPO и привязываю ее через WMI фильтр к серверу у которого есть роль PDC
- В оснастке DHCP указываю параметр кто в домене является сервером у которого клиентским рабочим станциям запрашивать точное время.
- Если DHCP не на базе Windows, то можно настроить GPO и сделать нацеливание на определенную ось.
На заметку: Если домен контроллер развернут на виртуальной системе, то следует проверить, что время берется не с гипервизора, а через настройку этой заметки.
На заметку: если роль PDC была переназначена на другой сервер, то я советую перезагрузить домен контроллер и все остальные также.
На этом у меня все. Задача выполнена и задокументирована, с уважением автор блога Олло Александр aka ekzorchik.
If you want to know how to properly configure your Active Directory environment, including Domain Controllers and domain computers, to have a reliable time service working correctly and synchronizing with an external time server, this post shows how to do that in a very easy way.
Why?
Active Directory can’t work correctly if the clock is not synchronized around domain controllers and member machines.
Some of the services that rely on the correct time configuration is Kerberos, which by default, computers that are more than 5 minutes out of sync will not authenticate to domain. Another example is replication, Active Directory uses time stamps to resolve replication conflicts, etc.
How Does it Work?
-
In Active Directory, we use the Windows Time service for clock synchronization: W32Time;
-
All member machines synchronizes with any domain controller;
-
In a domain, all domain controllers synchronize from the PDC Emulator of that domain;
-
The PDC Emulator of a domain should synchronize with any domain controller of the parent domain: using NTP;
-
The PDC Emulator of the root domain in a forest should synchronize with an external time server, which could be a router, another standalone server, an internet time server, etc.
You can have a better idea about this flow in the following picture:
time-configuration-AD
Said that, let’s set up the time service.
Configuration
From your PDC, open the prompt as administrator and type:
w32tm /config /manualpeerlist:yourNTPserver,0x8 /syncfromflags:manual /reliable:yes /update
w32tm /resync /rediscover
net stop w32time && net start w32time
Where «yourNTPserver» should be the address of the external NTP source you want set up, it could be a pool in the Internet or your internal NTP server.
Note the «,0x8» is part of the command and it will set the PDC to force sending client requests to the specified NTP server, and not other different type of requests like symmetric, which could cause PDC to do not receive correct NTP answers.
Also, should you wish to add more than one NTP server in the command above you should put them within quotes and separated by a space, like that:
w32tm /config /manualpeerlist:"yourNTPserver1,0x8 yourNTPserver2,0x8" /syncfromflags:manual /reliable:yes /update
Confirm if your server is properly configured:
w32tm /query /status
The output from command above should show the peers you configured, if not something is wrong, double check firewall and other settings, more troubleshooting details below.
Once the PDC was correctly configured, force all other DCs to rediscover the new time server by configuring it to Domain Hierarchy with the commands below:
w32tm /config /syncfromflags:DOMHIER /update
w32tm /resync /nowait
net stop w32time && net start w32time
Check settings after a minute, it should show your PDC/Time Server:
w32tm /query /status
Once the commands above were executed in all DCs, check the NTP settings for them with the command below:
w32tm /monitor
The correct and expected output should be the PDC/NTP with Stratum = 3 and all other DCs with Stratum = 4
Firewall
Set your internal firewall and your perimeter firewall to allow outgoing and incoming NTP traffic from/to your server on 123 UDP port.
Virtual Server?
Don’t forget, if your PDC is a virtual machine hosted on a Hyper-V server, you have to disable the time synchronization in your VM settings. To do that follow the instruction below:
1 — Open Hyper-V Manager.
2 — Select the Virtual Guest DC
3 — Click Settings.
4 — Click Integration services.
5 — Clear the Time Synchronization option.
6 — Exit Hyper-V Manager.
7 — Restart the server.
Screwed up configuration, what now?
Don’t worry, you can restore time service to its default value:
net stop w32time
w32tm /unregister
w32tm /register
Errors?
If you are facing Event ID errors 47, or if your configuration has the source configuration set as «Local CMOS Clock«, try:
1 — Do the above procedures again and be sure to set «,0x8» immediate after the NTP address without any spaces.
2 — Make sure you can reach your external NTP server through port UDP 123.
3 — Restart your server and try again.
4 — Make sure you don’t have any other NTP setting being applied on your domain through GPO.
5 — Make sure your current time is not as far as 1000 seconds from the real time.
6 — Make sure your server is set at the right zone time.
7 — You can also check for time advertisement on the PDC by running this command w32tm.exe /resync /rediscover /no_wait, then check for Event ID 139
8 — You can check the registry entries if the domain controller is using NTP (should be on PDC) or NT5DS (on non-PDC):Find the value of Type under:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
References:
https://blogs.technet.microsoft.com/nepapfe/2013/03/01/its-simple-time-configuration-in-active-directory/
https://kb.meinbergglobal.com/kb/time_sync/timekeeping_on_windows/configuring_w32time_as_ntp_client
For any doubts or suggestions, please leave a comment below.
Обычно, в окружении Active Directory синхронизация времени выполняется в соответствии со строгой иерархией: доменные компьютеры и серверы синхронизируются с ближайшим контроллером домена, на котором они аутентифицируются, а все контроллеры домены синхронизируют свое время с единственным контроллером, который держит роль PDC Emulator FSMO.
PDC Emulator (Primary Domain Controller) синхронизирует свое время с внешним источником. Внешний источник это обычно внешний сервер точного времени. Заметьте, что по умолчанию время синхронизируется с помощью Службы времени Windows (Windows Time service).
Как работает Служба времени Windows в домене?
Все версии Windows имеют службу W32Time. Она используется для синхронизации времени в домене. Компьютер может одновременно выступать и как клиент и как сервер NTP.
По умолчанию Служба времени Windows настроена следующим образом:
После чистой установки Windows, NTP клиент запускается на компьютере и синхронизирует время с внешними источниками настроенными по умолчанию.
Если компьютер вводится в домен, то шаблон синхронизации меняется. Все доменные компьютеры и доменные серверы используют контроллер домена для синхронизации времени.
Когда рядовой сервер повышается до контроллера домена, на нем запускается NTP сервер, который использует DC с ролью PDC Emulator как источник точного времени.
PDC Emulator является источником времени для всего домена. Одновременно, он сам синхронизируется с внешним источником времени или с временем из CMOS компьютера (хотя это не рекомендуется)
Если у вас возникают проблемы с синхронизацией времени в домене, скорее всего у вас неверно настроена синхронизация и статья вам поможет.
Для начала нужно определиться со списком внешних серверов точного времени, с которых вы будете синхронизировать свои компьютеры. Список серверов вы можете найти на сайте https://www.ntppool.org/zone/ru. Для России мы будем использовать:
0.ru.pool.ntp.org
1.ru.pool.ntp.org
2.ru.pool.ntp.org
3.ru.pool.ntp.org
Настройка времени в домене Windows состоит из двух этапов:
- Создать GPO на контроллере домена с ролью PDC
- Создать GPO для клиентов Windows в домене
Настройка NTP сервера на PDC
Прежде всего нужно настроить PDC.
Проверим текущий источник времени:
w32tm /query /source
Вывод команды:
“Local CMOS Clock” – означает, что время синхронизируется с материнской платой
“VM IC Time Synchronization Provider” – означает, что ваш контроллер домена виртуальный и синхронизирует время со своим гипервизором.
Чтобы отключить синхронизацию с гипервизором измените параметр реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider
или измените настройки виртуальной машины, для Hyper-V:
PDC Emulator должен синхронизировать время только с внешним источником, локальная синхронизация должна быть отключена.
Убедитесь, что на контроллере домена включена служба NTP сервера, для этого проверьте: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer параметр Enable должен быть равен 1.
Конфигурация настроек NTP на PDC с помощью GPO
На этом шаге вам нужно настроить ваш контроллер домена с ролью PDC Emulator на синхронизацию с внешним источником. Роль PDC эмулятора может мигрировать между контроллерами домена, поэтому нам потребуется настроить GPO так, чтобы она применялась только к текущему держателю роли. Для этого откройте секцию WMI Filters в оснастке управления групповыми политиками и создайте новый фильтр Filter PDC Emulator со следующими параметрами:
root\CIMv2
Select * from Win32_ComputerSystem where DomainRole = 5root\CIMv2
Создайте новую GPO и распространите ее на OU Domain Controllers.
Правой кнопкой по новой политике, далее редактируем:
Computer Configuration > Administrative Templates > System > Windows Time Service > Time Providers
Включите следующие параметры:
- Configure Windows NTP Client: Enabled
- Enable Windows NTP Client: Enabled
- Enable Windows NTP Server: Enabled
Укажите следующие параметры во “Включить NTP-сервер Windows”:
- NtpServer: 0.ru.pool.ntp.org,0x9 2.ru.pool.ntp.org,0x9 3.ru.pool.ntp.org,0x9 4.ru.pool.ntp.org,0x9;
- Type: NTP;
- CrossSiteSyncFlags: 2;
- ResolvePeerBackoffMinutes: 15;
- Resolve Peer BAckoffMaxTimes: 7;
- SpecilalPoolInterval: 3600;
- EventLogFlags: 0.
Не забудьте настроить файрвол и открыть порт UDP порт 123 для доступа к внешним NTP серверам
Примените фильр WMI Filter PDC Emulator к политике.
Определить текущий PDC сервер можно командой:
netdom query fsmo
Обновим групповые политики на PDC:
gpupdate /force
Синхронизируем время вручную с выбранными источниками:
w32tm /resync
Проверим текущие настройки времени:
w32tm /query /status
Также запустите команду:
w32tm /monitor
Эта команда покажет насколько время отличается на контроллере домена и на выбранных источниках.
Если что то не сработает, попробуйте перезапустить службу времени:
net stop w32time w32tm.exe /unregister w32tm.exe /register net stop w32time
Также, можно настроить внешние источники синхронизации времени с помощью команды w32tm:
w32tm.exe /config /manualpeerlist:"0.ru.pool.ntp.org,0x9 2.ru.pool.ntp.org,0x9 3.ru.pool.ntp.org,0x9 4.ru.pool.ntp.org,0x9" /syncfromflags:manual /update
После установки времени таким образом надо применить изменения командой:
w32tm /config /update
Ссылки
https://theitbros.com/configure-ntp-time-sync-group-policy/
Для правильного функционирования доменной среды Windows Server 2008 R2/2012 R2, является корректная работа службы времени Windows (W32Time).
Схема работы синхронизации времени в доменной среде Active Directory:
- Контроллер корневого домена в лесу AD, которому принадлежит FSMО-роль PDC-эмулятора, синхронизируется с внешними источниками точного времени. Он же является источником времени для всех остальных контроллеров этого домена.
- Контроллеры дочерних доменов в AD, синхронизируют время с вышестоящих контроллеров домена AD.
- Рядовые члены домена (сервера и рабочие станции) синхронизируют свое время с ближайшим к ним доступным контроллером домена, соблюдая топологию AD.
Служба времени в Windows (W32Time) не имеет графического интерфейса и настраивается из командной строки (утилита w32tm), с помощью реестра (HKLM\System\CurrentControlSet\Services\W32Time\Parameters) и посредством Групповой политики (Group Policy Managment)
Для определения какому контроллеру домена принадлежит FSMО-роль PDC-эмулятора, в командной строке, выполним команду: netdom query FSMO
Включение NTP-сервера
NTP-сервер по-умолчанию включен на всех контроллерах домена, но его можно включить и на рядовых серверах:
- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer] — «Enabled»=1
Конфигурация NTP-сервера
Задаем тип синхронизации внутренних часов, на использование внешнего источника. (Командная строка/Реестр):
- w32tm /config /syncfromflags:manual
- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters] — «Type»=NTP
Допускаются следующие значения:
NoSync — NTP-сервер не синхронизируется с каким либо внешним источником времени. Используются системные часы, встроенные в микросхему CMOS самого сервера.
NTP — NTP-сервер синхронизируется с внешними серверами времени, которые указаны в параметре реестра NtpServer.
NT5DS — NTP-сервер производит синхронизацию согласно доменной иерархии.
AllSync — NTP-сервер использует для синхронизации все доступные источники.
Задание списка внешних источников для синхронизации, с которыми будет синхронизировать время данный сервер. По-умолчанию в этом параметре прописан NTP-сервер Microsoft (time.windows.com, 0×1). (Командная строка/Реестр):
- w32tm /config /manualpeerlist:»0.ru.pool.ntp.org,0x1 1.ru.pool.ntp.org,0x1 2.ru.pool.ntp.org,0x1″
- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters] — «NtpServer»=0.ru.pool.ntp.org,0x1 1.ru.pool.ntp.org,0x1 2.ru.pool.ntp.org,0x1
Допускаются следующие значения:
0×1 – SpecialInterval, использование временного интервала опроса.
0×2 – режим UseAsFallbackOnly.
0×4 – SymmetricActive, симметричный активный режим.
0×8 – Client, отправка запроса в клиентском режиме.
Задание интервала синхронизации с внешним источником (для источников помеченных флагом 0×1). По-умолчанию время опроса задано — 3600 сек. (1 час). (Командная строка/Реестр):
- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient] — «SpecialPollInterval»=3600
Объявление NTP-сервера в качестве надежного. (Командная строка/Реестр):
- w32tm /config /reliable:yes
- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config] — «AnnounceFlags»=0000000a
После настройки необходимо обновить конфигурацию сервиса. Выполняем команду:
- w32tm /config /update
Принудительная синхронизация времени от источника:
- w32tm /resync /rediscover
Отобразить текущую конфигурацию службы времени:
- w32tm /query /configuration
Получения информации о текущем сервере времени:
- w32tm /query /source
Отображение текущих источников синхронизации и их статуса:
- w32tm /query /peers
Отображение состояния синхронизации контроллеров домена с компьютерами в домене:
- w32tm /monitor /computers:192.168.1.2
Отобразить разницу во времени между текущим и удаленным компьютером:
- w32tm /stripchart /computer:192.168.1.2 /samples:5 /dataonly
Удалить службу времени с компьютера:
- w32tm /unregister
Регистрация службы времени на компьютере. Создается заново вся ветка параметров в реестре:
- w32tm /register
Остановка службы времени:
- net stop w32time
Запуск службы времени:
- net start w32time
Конфигурация NTP-сервера/клиента групповой политикой
Для централизованной настройки службы времени Windows, на серверах и рабочих станциях в доменной среде Active Directory, воспользуемся групповой политикой. На примере, выполним настройку для рабочих станций.
Переходим в ветку: Конфигурация компьютера (Computer Configuration) — Политики (Policies) — Административные шаблоны (Administrative Templates) — Система (System) — Служба времени Windows (Windows Time Service) — Поставщики времени (Time Providers).
Открываем параметр: Настроить NTP-клиент Windows (Configure Windows NTP Client)
- NtpServer — 192.168.1.2 (Адрес контроллера домена с ролью PDC)
- Type — NT5DS
- CrossSiteSyncFlags — 2
- ResolvePeerBackoffMinutes —15
- Resolve Peer BackoffMaxTimes — 7
- SpecilalPoolInterval — 3600
- EventLogFlags — 0
Понравилась или оказалась полезной статья, поблагодари автора
ПОНРАВИЛАСЬ ИЛИ ОКАЗАЛАСЬ ПОЛЕЗНОЙ СТАТЬЯ, ПОБЛАГОДАРИ АВТОРА
Загрузка…