Настройка синхронизации времени в домене Active Directory на Windows.
Для правильного функционирования доменной среды Active Directory, является корректная работа службы времени Windows (W32Time).
Схема работы синхронизации времени в доменной среде Active Directory:
- Контроллер корневого домена в лесу AD, которому принадлежит FSMО-роль PDC-эмулятора, синхронизируется с внешними источниками точного времени. Он же является источником времени для всех остальных контроллеров этого домена.
- Контроллеры дочерних доменов в AD, синхронизируют время с вышестоящих контроллеров домена AD.
- Рядовые члены домена (сервера и рабочие станции) синхронизируют свое время с ближайшим к ним доступным контроллером домена, соблюдая топологию AD.
Служба времени в Windows (W32Time) не имеет графического интерфейса и настраивается из командной строки (утилита w32tm), с помощью ветки реестра HKLM\System\CurrentControlSet\Services\W32Time\Parameters и посредством Групповой политики (Group Policy Managment)
Для определения какому контроллеру домена принадлежит FSMО-роль PDC-эмулятора, в командной строке от Администратора, выполним команду:
netdom query FSMO
Включение NTP-сервера
NTP-сервер по-умолчанию включен на всех контроллерах домена.
Но его также можно включить и на рядовых серверах. В ветке рееста — HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer, DWORD запись Enabled со значением 1.
Конфигурация NTP-сервера
Задаем тип синхронизации внутренних часов, на использование внешнего источника. (cli / regedit):
w32tm /config /syncfromflags:manual
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters, string запись Type со значением NTP
Допускаются следующие значения:
NoSync |
NTP-сервер не синхронизируется с каким либо внешним источником времени. Используются системные часы, встроенные в микросхему CMOS самого сервера. |
NTP |
NTP-сервер синхронизируется с внешними серверами времени, которые указаны в параметре реестра NtpServer. |
NT5DS |
NTP-сервер производит синхронизацию согласно доменной иерархии. |
AllSync |
NTP-сервер использует для синхронизации все доступные источники. |
Задание списка внешних источников для синхронизации, с которым будет синхронизироваться данный сервер.
По-умолчанию в этом параметре прописан NTP-сервер Microsoft (time.windows.com, 0×1). (cli / regedit):
w32tm /config /manualpeerlist:"0.ru.pool.ntp.org,0x1 1.ru.pool.ntp.org,0x1 2.ru.pool.ntp.org,0x1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters, string запись NtpServer со значением 0.ru.pool.ntp.org,0x1 1.ru.pool.ntp.org,0x1 2.ru.pool.ntp.org,0x1
Допускаются следующие значения:
0×1 |
SpecialInterval, использование временного интервала опроса. |
0×2 |
Режим UseAsFallbackOnly. |
0×4 |
SymmetricActive, симметричный активный режим. |
0×8 |
Client, отправка запроса в клиентском режиме. |
Задание интервала синхронизации с внешним источником (для источников помеченных флагом 0×1).
По-умолчанию время опроса задано — 3600 сек. (1 час). (regedit):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient, DWORD запись SpecialPollInterval (Decimal) со значением 3600
Объявление NTP-сервера в качестве надежного. (cli / regedit):
w32tm /config /reliable:yes
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config, DWORD запись AnnounceFlags (Decimal) со значением 10
После настройки необходимо обновить конфигурацию сервиса. (cli):
w32tm /config /update
Конфигурация NTP-клиента групповой политикой (GPO)
Для централизованной настройки службы времени Windows, на серверах и рабочих станциях в доменной среде Active Directory, воспользуемся групповой политикой. На примере, выполним настройку для рабочих станций.
Переходим в ветку: Конфигурация компьютера (Computer Configuration) — Политики (Policies) — Административные шаблоны (Administrative Templates) — Система (System) — Служба времени Windows (Windows Time Service) — Поставщики времени (Time Providers).
Открываем параметр Настроить NTP-клиент Windows (Configure Windows NTP Client) и задаем параметры:
NtpServer |
192.168.1.2 (адрес NTP-сервера) |
Type |
NT5DS |
CrossSiteSyncFlags |
2 |
ResolvePeerBackoffMinutes |
15 |
Resolve Peer BackoffMaxTimes |
7 |
SpecilalPoolInterval |
3600 |
EventLogFlags |
0 |
Полезные команды w32tm
Принудительная синхронизация времени от источника:
w32tm /resync /rediscover
Отобразить текущую конфигурацию службы времени:
w32tm /query /configuration
Получения информации о текущем сервере времени:
w32tm /query /source
Отображение текущих источников синхронизации и их статуса:
w32tm /query /peers
Отображение состояния синхронизации контроллеров домена с компьютерами в домене:
w32tm /monitor /computers:192.168.1.2
Отобразить разницу во времени между текущим и удаленным компьютером:
w32tm /stripchart /computer:192.168.1.2 /samples:5 /dataonly
Удалить службу времени с компьютера:
w32tm /unregister
Регистрация службы времени на компьютере (создается заново вся ветка параметров в реестре):
w32tm /register
Остановка \ запуск службы времени:
net stop w32time net start w32time
Ошибка в тексте, кавычки не верные. w32tm /config /manualpeerlist:»0. должно быть w32tm /config /manualpeerlist:»0. и далее по тексту.