SCROLL
Среднее время на прочтение: 2 мин.

Настройка синхронизации времени в домене Active Directory на Windows.

Для правильного функционирования доменной среды Active Directory, является корректная работа службы времени Windows (W32Time).

 

Схема работы синхронизации времени в доменной среде Active Directory:

  • Контроллер корневого домена в лесу AD, которому принадлежит FSMО-роль PDC-эмулятора, синхронизируется с внешними источниками точного времени. Он же является источником времени для всех остальных контроллеров этого домена.
  • Контроллеры дочерних доменов в AD, синхронизируют время с вышестоящих контроллеров домена AD.
  • Рядовые члены домена (сервера и рабочие станции) синхронизируют свое время с ближайшим к ним доступным контроллером домена, соблюдая топологию AD.

 

Служба времени в Windows (W32Time) не имеет графического интерфейса и настраивается из командной строки (утилита w32tm), с помощью ветки реестра HKLM\System\CurrentControlSet\Services\W32Time\Parameters и посредством Групповой политики (Group Policy Managment)

 

Для определения какому контроллеру домена принадлежит FSMО-роль PDC-эмулятора, в командной строке от Администратора, выполним команду:

netdom query FSMO

 

Включение NTP-сервера

NTP-сервер по-умолчанию включен на всех контроллерах домена.

 

Но его также можно включить и на рядовых серверах. В ветке рееста — HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer, DWORD запись Enabled со значением 1.

 

Конфигурация NTP-сервера

Задаем тип синхронизации внутренних часов, на использование внешнего источника. (cli / regedit):

w32tm /config /syncfromflags:manual

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters, string запись Type со значением NTP

 

Допускаются следующие значения:

NoSync NTP-сервер не синхронизируется с каким либо внешним источником времени. Используются системные часы, встроенные в микросхему CMOS самого сервера.
NTP NTP-сервер синхронизируется с внешними серверами времени, которые указаны в параметре реестра NtpServer.
NT5DS NTP-сервер производит синхронизацию согласно доменной иерархии.
AllSync NTP-сервер использует для синхронизации все доступные источники.

 


Задание списка внешних источников для синхронизации, с которым будет синхронизироваться данный сервер.

 

По-умолчанию в этом параметре прописан NTP-сервер Microsoft (time.windows.com, 0×1). (cli / regedit):

w32tm /config /manualpeerlist:"0.ru.pool.ntp.org,0x1 1.ru.pool.ntp.org,0x1 2.ru.pool.ntp.org,0x1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters, string запись NtpServer со значением 0.ru.pool.ntp.org,0x1 1.ru.pool.ntp.org,0x1 2.ru.pool.ntp.org,0x1

 

Допускаются следующие значения:

0×1 SpecialInterval, использование временного интервала опроса.
0×2 Режим UseAsFallbackOnly.
0×4 SymmetricActive, симметричный активный режим.
0×8 Client, отправка запроса в клиентском режиме.

 


Задание интервала синхронизации с внешним источником (для источников помеченных флагом 0×1).

 

По-умолчанию время опроса задано — 3600 сек. (1 час). (regedit):

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient, DWORD запись SpecialPollInterval (Decimal) со значением 3600

 


Объявление NTP-сервера в качестве надежного. (cli / regedit):

w32tm /config /reliable:yes

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config, DWORD запись AnnounceFlags (Decimal) со значением 10

 


После настройки необходимо обновить конфигурацию сервиса. (cli):

w32tm /config /update

 

Конфигурация NTP-клиента групповой политикой (GPO)

Для централизованной настройки службы времени Windows, на серверах и рабочих станциях в доменной среде Active Directory, воспользуемся групповой политикой. На примере, выполним настройку для рабочих станций.

 

Переходим в ветку: Конфигурация компьютера (Computer Configuration) — Политики (Policies) — Административные шаблоны (Administrative Templates) — Система (System) — Служба времени Windows (Windows Time Service) — Поставщики времени (Time Providers).

 

Открываем параметр Настроить NTP-клиент Windows (Configure Windows NTP Client) и задаем параметры:

NtpServer 192.168.1.2 (адрес NTP-сервера)
Type NT5DS
CrossSiteSyncFlags 2
ResolvePeerBackoffMinutes 15
Resolve Peer BackoffMaxTimes 7
SpecilalPoolInterval 3600
EventLogFlags 0

 

Полезные команды w32tm

Принудительная синхронизация времени от источника:

w32tm /resync /rediscover

 

Отобразить текущую конфигурацию службы времени:

w32tm /query /configuration

 

Получения информации о текущем сервере времени:

w32tm /query /source

 

Отображение текущих источников синхронизации и их статуса:

w32tm /query /peers

 

Отображение состояния синхронизации контроллеров домена с компьютерами в домене:

w32tm /monitor /computers:192.168.1.2

 

Отобразить разницу во времени между текущим и удаленным компьютером:

w32tm /stripchart /computer:192.168.1.2 /samples:5 /dataonly

 

Удалить службу времени с компьютера:

w32tm /unregister

 

Регистрация службы времени на компьютере (создается заново вся ветка параметров в реестре):

w32tm /register

 

Остановка \ запуск службы времени:

net stop w32time
net start w32time

Обсуждение

1 комментариев
  • Ошибка в тексте, кавычки не верные. w32tm /config /manualpeerlist:»0. должно быть w32tm /config /manualpeerlist:»0. и далее по тексту.