Personalcam.ru

Авто Аксессуары
27 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Синхронизация времени в домене Windows 2008 R2

» Синхронизация времени в домене Windows 2008 R2

У меня домен с одним контроллером под Windows 2008 R2 ru.
Не удается настроить синхронизацию времени с внешним источником.
Делал так http://support.microsoft.com/kb/816042
Делал так http://technet.microsoft.com/ru-ru/library/cc731191(WS.10).aspx
Машины с контроллером синхронизируются а сам контроллер с инетом нет.

Ошибки:
Проблема:
1) Хозяин эмулятора основного контроллера домена в этом лесу не настроен для правильного распознавания времени от допустимого источника времени.

2) C:\Windows\system32>w32tm /monitor
DCSERV.virage.local *** PDC ***[[::1]:123]:
ICMP: 0ms задержка
NTP: +0.0000000s смещение относительно DCSERV.virage.local
RefID: 'LOCL' [0x4C434F4C]
Страта: 1

Предупреждение:
Рекомендуется использовать обратное разрешение имен. Возможно, оно выполнено
неверно, поскольку поле RefID в пакетах времени различается в
разных реализациях NTP и может не использовать IP-адреса.

3) C:\Windows\system32>w32tm /resync /rediscover
Отправка команды синхронизации на локальный компьютер
Синхронизация не выполнена, поскольку нет доступных данных о времени.

При этом:
1) C:\Windows\system32>w32tm /stripchart /computer:pool.ntp.org /samples:5 /dataonl
y
Отслеживание pool.ntp.org [83.229.210.18:123].
Сбор образцов 5.
Текущее время — 16.11.2010 18:15:10.
18:15:10, +06.2506920s
18:15:12, +06.2511232s
18:15:14, +06.2734272s
18:15:16, +06.2502508s
18:15:18, +06.2598301s

2) C:\Windows\system32>nslookup pool.ntp.org
╤хЁтхЁ: localhost
Address: 127.0.0.1

Не заслуживающий доверия ответ:
╚ь : pool.ntp.org
Addresses: 193.125.143.173
193.169.32.220
188.128.19.66

C:\Windows\system32>nslookup 193.169.32.220
╤хЁтхЁ: localhost
Address: 127.0.0.1

╚ь : mx.ll-h.ru
Address: 193.169.32.220

C:\Windows\system32>nslookup 193.125.143.173
╤хЁтхЁ: localhost
Address: 127.0.0.1

╚ь : ns.mipt.ru
Address: 193.125.143.173

C:\Windows\system32>nslookup 188.128.19.66
╤хЁтхЁ: localhost
Address: 127.0.0.1

╚ь : kent.naviteh.ru
Address: 188.128.19.66

Выполнение команды DCdiag на контроллере:

Диагностика сервера каталогов

Выполнение начальной настройки:
Выполняется попытка поиска основного сервера.
Основной сервер = DCServ
* Идентифицирован лес AD.
Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

Сервер проверки: Default-First-Site-Name\DCSERV
Запуск проверки: Connectivity
. DCSERV — пройдена проверка Connectivity

Выполнение основных проверок

Сервер проверки: Default-First-Site-Name\DCSERV
Запуск проверки: Advertising
. DCSERV — пройдена проверка Advertising
Запуск проверки: FrsEvent
. DCSERV — пройдена проверка FrsEvent
Запуск проверки: DFSREvent
. DCSERV — пройдена проверка DFSREvent
Запуск проверки: SysVolCheck
. DCSERV — пройдена проверка SysVolCheck
Запуск проверки: KccEvent
. DCSERV — пройдена проверка KccEvent
Запуск проверки: KnowsOfRoleHolders
. DCSERV — пройдена проверка
KnowsOfRoleHolders
Запуск проверки: MachineAccount
. DCSERV — пройдена проверка MachineAccount
Запуск проверки: NCSecDesc
Ошибка — NT AUTHORITY\КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ не имеет
Replicating Directory Changes In Filtered Set
прав доступа для контекста именования:
DC=ForestDnsZones,DC=virage,DC=local
Ошибка — NT AUTHORITY\КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ не имеет
Replicating Directory Changes In Filtered Set
прав доступа для контекста именования:
DC=DomainDnsZones,DC=virage,DC=local
. DCSERV — не пройдена проверка NCSecDesc
Запуск проверки: NetLogons
. DCSERV — пройдена проверка NetLogons
Запуск проверки: ObjectsReplicated
. DCSERV — пройдена проверка ObjectsReplicated
Запуск проверки: Replications
. DCSERV — пройдена проверка Replications
Запуск проверки: RidManager
. DCSERV — пройдена проверка RidManager
Запуск проверки: Services
. DCSERV — пройдена проверка Services
Запуск проверки: SystemLog
Возникло предупреждение. Код события (EventID): 0x8000001D
Время создания: 11/17/2010 12:11:10
Строка события:
Центр распространения ключей (KDC) не может найти подходящий сертифи
кат для использования при регистрации смарт-карт или KDC-сертификат не может быт
ь проверен. Регистрация смарт-карт не может работать правильно, если данная проб
лема не разрешена. Для исправления неполадки либо проверьте существующий сертифи
кат KDC при помощи certutil.exe, либо запросите новый KDC-сертификат.
. DCSERV — пройдена проверка SystemLog
Запуск проверки: VerifyReferences
. DCSERV — пройдена проверка VerifyReferences

Читайте так же:
Ару автоматическая регулировка усиления для микрофона

Выполнение проверок разделов на: ForestDnsZones
Запуск проверки: CheckSDRefDom
. ForestDnsZones — пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
. ForestDnsZones — пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: DomainDnsZones
Запуск проверки: CheckSDRefDom
. DomainDnsZones — пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
. DomainDnsZones — пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: Schema
Запуск проверки: CheckSDRefDom
. Schema — пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. Schema — пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: Configuration
Запуск проверки: CheckSDRefDom
. Configuration — пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
. Configuration — пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: virage
Запуск проверки: CheckSDRefDom
. virage — пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
. virage — пройдена проверка
CrossRefValidation

Выполнение проверок предприятия на: virage.local
Запуск проверки: LocatorCheck
. virage.local — пройдена проверка
LocatorCheck
Запуск проверки: Intersite
. virage.local — пройдена проверка Intersite

Добавлено:
Вычитал что: "Данная ошибка появляется, если вы не выполняли подготовку для read-only domain controllers с помощью adprep /rodcprep. Соответственно если вы не планируете использовать RODC данную ошибку можно проигнорировать."©Yaroslav Turbin.
http://technet.microsoft.com/en-us/library/cc754463.aspx

Выполнил, все ошибки при выполнении DCdiag пропали. Но время все равно не синхронизируется.

Добавлено:
Восстановил ветку реестра w32time. Перевел службу времени в ручной режим и отключил ее.
Выполнил следующие команды:
net time \\DCserv.virage.local /set /y
sc config w32time start= auto
sc start w32time
w32tm /config /syncfromflags:manual /manualpeerlist:pool.ntp.org
w32tm /config /update

после этого:
C:\Windows\system32>w32tm /stripchart /computer:pool.ntp.org /samples:2 /dataonly
Отслеживание pool.ntp.org [91.206.16.3:123].
Сбор образцов 2.
Текущее время — 17.11.2010 14:34:22.
14:34:22, +69.3494807s
14:34:24, +69.3483289s

C:\Windows\system32>w32tm /monitor
DCSERV.virage.local *** PDC ***[[::1]:123]:
ICMP: 0ms задержка
NTP: ошибка ERROR_TIMEOUT — нет ответа от сервера в течение 1000мс

C:\Windows\system32>w32tm /resync /rediscover
Отправка команды синхронизации на локальный компьютер
Синхронизация не выполнена, поскольку нет доступных данных о времени.

Что еще можно сделать!?

123 порт до pool.ntp.org открыт? Причем и tcp, и udp.

Код: # nmap -F -sU 195.2.64.5

Starting Nmap 5.35DC1 ( http://nmap.org ) at 2010-11-17 17:23 MSK
Stats: 0:00:00 elapsed; 0 hosts completed (0 up), 1 undergoing Ping Scan
Ping Scan Timing: About 100.00% done; ETC: 17:23 (0:00:00 remaining)
Nmap scan report for ntp0.zenon.net (195.2.64.5)
Host is up (0.010s latency).
Not shown: 99 open|filtered ports
PORT STATE SERVICE
123/udp open ntp

Читайте так же:
Что нужно для регулировки клапанов на скутере

Походу закрыт порт 123 .
Я пытаюсь его открыть, сделал правила на встроенном брандмауэре, правело для порта 123, для TCP и UDP, на вход и выход. Но результат тот же.

Код: nmap -sU -F 192.168.0.222

Starting Nmap 5.21 ( http://nmap.org ) at 2010-11-22 10:05 Московское время (зима)
Nmap scan report for dcserv.virage.local (192.168.0.222)
Host is up (0.00s latency).
Not shown: 97 open|filtered ports
PORT STATE SERVICE
137/udp open netbios-ns
138/udp closed netbios-dgm
1900/udp closed upnp
MAC Address: 1C:C1:DE:F4:B7:50 (Unknown)
Nmap done: 1 IP address (1 host up) scanned in 1.89 seconds

Как это понять? Устанавливаю внешний источник времени, а он все равно локальный!?

Код: C:\Windows\system32>W32TM /query /status
Индикатор помех: 0(предупреждений нет)
Страта: 1 (основная ссылка — синхронизирована по радиочасам)
Точность: -6 (15.625ms за такт времени)
Задержка корня: 0.0000000s
Дисперсия корня: 10.0000000s
Идентификатор опорного времени: 0x4C4F434C (имя источника: "LOCL")
Время последней успешной синхронизации: 22.11.2010 9:36:57
Источник: Local CMOS Clock
Интервал опроса: 10 (1024s)

C:\Windows\system32>w32tm /config /manualpeerlist:pool.ntp.org /reliable:yes /update
Команда выполнена успешно.

C:\Windows\system32>W32TM /query /status
Индикатор помех: 0(предупреждений нет)
Страта: 1 (основная ссылка — синхронизирована по радиочасам)
Точность: -6 (15.625ms за такт времени)
Задержка корня: 0.0000000s
Дисперсия корня: 10.0000000s
Идентификатор опорного времени: 0x4C4F434C (имя источника: "LOCL")
Время последней успешной синхронизации: 22.11.2010 22:29:24
Источник: Local CMOS Clock
Интервал опроса: 6 (64s)

villord Командную строку запускал Run As admin?
вот так попробуй:
w32tm /config /manualpeerlist:"pool.ntp.org,0x8" /syncfromflags:manual /reliable:yes /update

net stop w32time && net start w32time

Allianceknight Если станция введена в домен, то она автоматом будет брать время с доменконтроллера (DC). Но время на станции не должно сильно отличаться от времени на DC. Если у вас там вообще год или месяц другой, то синхронизация не пройдет. Выставьте на станции дату и время приблизительно как на DC, пусть на 3-5 минут будет отличаться. перегрузите станцию или выдайте в командной строке:
w32tm /resync
и проверьте время.
возможно эту команду или командную строку нужно запускать с правами админа.

Как включить синхронизацию времени windows 2008

Управление временем — один из ключевых аспектов системного администрирования. Как правило, все клиентские серверы и рабочие станции синхронизируют время с доменом Active Directory, однако откуда берется точное время в AD? Это зависит от разных факторов. В стандартной конфигурации время синхронизируется с серверами Microsoft, а виртуальные машины обычно получают данные от хост-сервера.

Читайте так же:
Как отрегулировать сцепление на вольво внл

Лучше всего задать единый источник данных о точном времени для всех компьютеров в корпоративной сети — сервер (или несколько серверов), с которым будут синхронизироваться все системы. Это может быть ресурс или пул ресурсов в Интернете, либо локальный сервер. Так или иначе, с источником точного времени стоит определиться заранее.

За синхронизацию компьютеров и серверов Windows отвечает сетвой протокол Network Time Protocol (NTP). NTP использует для своей работы протокол UDP порт по умолчанию 123. Что бы в дальнейшем можно было настроить работу этого сетевого протокола, необходимо проверить, не блокирует ли этот порт фаерволл.

Способы указания NTP Сервера.

1) Команда w32tm позволяет задать список пиров, предоставляющих информацию о точном времени для домена. Чтобы получить дополнительные сведения о команде w32tm, введите в командной строке указанную команду w32tm /?
Первым, что необходимо сделать, это выяснить в каком состоянии находятся контролеры домена в домене. Для этого запускаем в командной строке команду (если у вас права доменного администратора, то можете запустить командную строку на своей рабочей станции)
w32tm /monitor — команда позволяет посмотреть с каким сервером (серверами)/сервисом происходит синхронизация и какая разница во времени с эталонным севером.
w32tm /config /manualpeerlist:time.windows.com /syncfromflags:manual /reliable:yes /update — этой командой мы указываем с каким сервисом/сервером будет происходить синхронизация ( в данном примере с time.windows.com).
Эта команда выполняется на контроллере домена однократно и записывает указанные адреса в реестр ( по пути HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeConfigParametrs в параметре NTPServer должно быть прописано time.windows.com). Можно указать сразу несколько серверов, разделенных пробелами.

2) Еще один способ указать контролеру домена сервер с кем он будет синхронизироваться по времени, это локальные или групповые политики. Запускаем реестр- Нажмите кнопку Пуск, выберите команду Выполнить, введите в командную строку gpedit.msc и нажмите кнопку ОК. Заходим «Конфигурация компьютера- Политики- Административные шаблоны- Система- Служба времени Windows- Поставщики времени» и настраиваем политику. В данном примере в значении NTPServer прописываем time.windows.com, в значении Тип указываем NTP. Тип- указывает узлы одноранговой сети, принимающие синхронизацию следующих типов:

NoSync— Служба времени не синхронизируется с другими источниками.
NTP- Служба времени выполняет синхронизацию с серверами, указанными в записи реестра NtpServer.
NT5DS- Служба времени выполняет синхронизацию на основе иерархии домена.
AllSync- Служба времени использует все доступные механизмы синхронизации.

Значение CrossSiteSyncFlags выбираем 2.

CrossSiteSyncFlags. Определяет возможность выбора службой партнеров по синхронизации за пределами домена компьютера.
Нет 0
PdcOnly 1
Все 2

В значении ResolvePeerBackoffMinutes прописываем 15

ResolvePeerBackoffMinutes- указывает первоначальный интервал ожидания (в минутах) перед тем, как начать поиск узла одноранговой сети для синхронизации. Если службе времени Windows не удается успешно синхронизироваться с источником времени, будут выполняться повторные попытки с использованием указанных значений параметров ResolvePeerBackoffMinutes и ResolvePeerBackoffMaxTimes.

В значении ResolvePeerBackoffMaxTimes прописываем 7

Читайте так же:
Кресло с регулировкой высоты и наклона на колесах
ResolvePeerBackoffMaxTimes- указывает максимальное число раз удвоения интервала ожидания в случае, если повторяющиеся попытки поиска узла одноранговой сети для синхронизации не дали результата. Нулевое значение предполагает, что интервал ожидания всегда равен первоначальному, указанному в параметре ResolvePeerBackoffMinutes.

В значении SpecialPollInterval прописываем 3600

SpecialPollInterval- указывает интервал специального опроса (в секундах) для узлов одноранговой сети, настроенных вручную. Если специальный опрос включен, то служба времени Windows будет использовать его интервал вместо динамического значения, определяемого с помощью алгоритмов синхронизации, встроенных в службу времени Windows.

Если вы создали политику, то ее нужно применить на все контролеры домены.

sysrtfm

Блог, инструкция системного администратора, форум, советы, помощь

Синхронизация времени на виртуальных машинах Hyper-V 2008 R2 SP1 хоста

синхронизация времениПривет, столкнулся на работе с проблемкой. На виртуальных машинах рассинхронизировалось время, могло уехать на несколько часов за сутки. Причем виртуалки находятся на кластере Hyper-V Server, и кластер в собственном домене. Было принято решение настроить синхронизацию времени домена с внешнего источника времени.

В моем случае существует 2 контроллера домена кластера, один из них на самом кластере, другой на отдельной ноде Hyper-V кластера на выделенном сервере. Нам потребуется настроить оба контроллера домена (далее DC). Требуются права администратора домена.

Заходим на первый DC, открываем редактор реестра, заходим в раздел:

Присваиваем AnnounceFlags значение 5 как на скриншоте:

Далее в разделе Parameters меняем значение ключа NtpServer на:

И Type на NTP

Далее идем в управление серверомслужбы находим там «Служба синхронизации времени Hyper-V» останавливаем ее и ставим тип запуска «Вручную»

Служба синхронизации времени Hyper-V

Затем перезапускаем «Служба времени Windows»

Служба времени Windows

Запускаем CMD от имени администратора

Запуск CMD от имени администратора

Для проверки корректности настроек вводим:

Если все корректно настроено то время синхронизируется. Далее вводим

Для определения от куда синхронизируется время. Последняя команда нужна для отображения разницы во времени с источником времени

w32tm настройка синхронизации времени

Данные действия необходимо повторить на всех DC. Если на виртуальных серверах в этом домене будут проблемы со временем то нужно будет на них отключить «Служба синхронизации времени Hyper-V«. Через некоторое время (около 15 минут) проверяем синхронизацию времени на серверах.

Если у вас все работает корректно, то советую все равно проверить каким образом у Вас проходит синхронизация для того чтобы убедится что все так как должно быть.

Настройка NTP в ms server 2008.

Настройка времени в домене Windows server 2003R2 server 2008R2 Windows server 2012

Настройка времени в домене Windows server 2003R2 windows server 2008R2 Windows server 2012

Читайте так же:
Регулировка развала схождения ларгус

в домене рабочие станции и сервера синхронизируют свое время с PDC и если на PDC будут отставать или наоборот спешить часы, то соотвественно таже самая ситуация будет происходить на всех остальных машинах в сети,
чтобы этого избежать можно настроить синхронихацию часов в нешними тайм серверами.
настройка Windows 2003 и windows 2008 server 2012 несколько отличаются но принцип тотже

Проверка синхронизации с внешним источником
Сверяем текущее время и время внешнего источника:

Настройка на внешний источник:

Флаг 0×8 на конце означает, что синхронизация должна происходить в режиме клиента NTP, через предложенные этим сервером интервалы времени. Для того, чтобы задать свой интервал синхронизации, необходимо использовать флаг 0×1. Все остальные флаги описаны в библиотеке TechNet.

Перезапуск службы времени:

Проверить можно командой:

на каждом контроллере проверяем откуда он синхронизируется

настраиваем все контроллеры на наш PDC

Посмотреть текущий внешний NTP сервер Windows SERVER 2008R2 можно при помощи команды:

w32tm /query /source Выводит источник времени, на который настроена служба Windows Time

на клиентах в домене или задать политикой

Настройки службы Windows Time хранятся в реестре в ветке

Примечание
При использовании виртуализированного контроллера домена, необходимо обязательно отключать средство синхронизации времени гостевой ОС с хостовой — контроллеры домена используют свой собственный механизм синхронизации времени, использование вместе ним синхронизации времени с хостовой машиной может привести вплоть до проблем с репликацией.

Полезные команды
– Применение внесенных в конфигурацию службы времени изменений
w32tm /config /update
– Принудительная синхронизация от источника
w32tm /resync /rediscover
– Отображение состояния синхронизации контроллеров домена в домене
w32tm /monitor
– Отображение текущих источников синхронизации и их статуса
w32tm /query /peers
w32tm /config /reliable:yes — задаем параметр, что данная машина является надёжным источником времени и может обслуживать клиентов
w32tm /config /update — информируем службу времени, что были внесены изменения (можно перезапустить службу)
w32tm /query /configuration — проверяем внесенные изменения в параметры службы
w32tm /resync — выполняем синхронизацию (можно поиграться, менять время и проверять, будет ли выполнена синхронизация)
net stop w32time и net start w32time — по личным убеждениям я выполняю перезапуск службы w32time
w32tm /query /source

Для получения информации о текущем сервере времени:

net time /querysntp
w32tm /query /source Выводит источник времени, на который настроена служба Windows Time

голоса
Рейтинг статьи
Ссылка на основную публикацию
Adblock
detector