Как настроить время на контроллере домена

Как настроить время на контроллере домена

Как настроить синхронизацию времени во всём домене сразу? И так, чтобы работало дальше само? А когда контроллер домена с ролью PDC изменится, что делать? А если уже синхронизация времени в домене настроена, но работает плохо, как починить?
Обо всём этом читайте в этой статье.

Немного теории

Синхронизация времени в домене может (теоретически) работать сама, безо всяких настроек. Выглядит это обычно так:

1. Компьютеры домена и серверы синхронизируют свое время с контроллерами домена (с ближайшими к ним).
2. Контроллеры домена синхронизируют свое время с контроллером домена, которому назначена FSMO роль PDC (в терминах windows 2000 — «первичный контроллер домена»).
3. Контроллер домена (КД) с ролью PDC синхронизирует время с внешним источником.

Настройка времени для виртуальных … Настройка синхронизации времени по NTP … Установка доменных служб active … Как указать сервер точного времени для …

А дальше — начинаются ньюансы:

• Если контроллер домена виртуальный, в настройках виртуальной машины должна быть выключена синхронизация времени [с хостом]. Иначе (если, к примеру, хост с виртуальными машинами — в домене): виртуальный контроллер домена будет (автоматически) синхронизировать время с хостом, а хост — с ближайшим контроллером домена, т.е. со своей виртуалкой.
• Если синхронизация времени уже настроена (вручную или через групповые политики) то задаваемые Вами новые настройки могуть не примениться (несмотря на сообщение successful во всех командах) и тогда потребуется полный сброс настроек синхронизации времени на проблемных компьютерах или контроллерах домена.

Настройка контроллера домена

Для синхронизации времени с контроллером домена на сервере, выполняющем роль эмулятора PDC, с использованием командной строки должны быть выполнены следующие действия:

1. Проверьте, что контроллер домена, на котором вы работаете, является эмулятором PDC, выполнив команду

netdom query fsmo

2. На сервере-эмуляторе PDC запустите следующие команды синхронизации времени в указанном порядке:

net stop w32time

w32tm /configure /syncfromflags:manual /manualpeerlist:",0×1 , 0×1 , 0×1 , 0×1"

Внешним источником времени по умолчанию для Windows Server является сервер Наилучшим вариантом является синхронизация с несколькими серверами времени. В приведенной выше команде мы используем серверы времени, поддерживаемые NTP Pool Project.

net start w32time

w32tm /configure /reliable:yes /update

3. Если в Active Directory имеется несколько контроллеров домена, выполните в командной строке следующую команду:

w32tm /config /syncfromflags:domhier /update

4. Проверьте правильность настроек времени на сервере-эмуляторе PDC:

w32tm /query /status:

5. Проверьте правильность настройки времени на всех остальных контроллерах домена:

w32tm /query /status:

Синхронизация времени в Active Directory

Среди компьютеров, участвующих в Active Directory работает следующая схема синхронизация времени.

• Контроллер корневого домена в лесу AD, которому принадлежит FSMО-роль эмулятора PDC (назовем его корневым PDC), является источником времени для всех остальных контроллеров этого домена.
• Контроллеры дочерних доменов синхронизируют время с вышестоящих по топологии AD контроллеров домена.
• Рядовые члены домена (сервера и рабочие станции) синхронизируют свое время с ближайшим к ним доступным контроллером домена, соблюдая топологию AD.

Корневой PDC может синхронизировать свое время как со внешним источником, так и с самим собой, последнее задано конфигурацией по умолчанию и является абсурдом, о чем периодически намекают ошибки в системном журнале.

Синхронизация клиентов корневого PDC может осуществятся как с его внутренних часов, так и с внешнего источника. В первом случае сервер времени корневого PDC объявляет себя как «надежный» (reliable).

Далее я приведу оптимальную с моей точки зрения конфигурацию сервера времени корневого PDC, при которой сам корневой PDC периодически синхронизирует свое время от достоверного источника в интернете, а время обращающихся к нему клиентов синхронизирует со своими внутренними часами.

Вводим netdom query fsmo. В моем примере, роль PDC и NTP сервера, принадлежит контроллеру dc7

Настройка групповых политик

Для того чтобы действительно убедить ваши компьютеры под Windows использовать настройки времени, получаемые от контроллера домена, необходимо настроить групповые политики.

Чтобы установить новую групповую политику, откройте средство управления политиками на контроллере домена или на компьютере, на котором установлены средства администрирования удаленного сервера. Разверните свой домен. Щелкните правой кнопкой мыши по пункту Group Policy Objects и нажмите New. Дайте новой политике имя и нажмите ОК.

Кликните правой кнопкой по новой политике и нажмите Edit. Это запустит окно редактора политики группы.

Перейдите в Computer Configuration > Policies > Administrative Templates > System -> Windows Time Service > Time Providers. На правой панели дважды щелкните Enable Windows NTP Client. Установите опцию в положение Enabled и нажмите ОК.

Затем дважды щелкните Configure Windows NTP Client. Настройте параметры, как на рисунке ниже, добавив 0×1 в поле NtpServer, чтобы получилось , 0×1.

После сохранения групповой политики закройте редактор. Вы вернетесь в окно консоли управления основной политикой группы.

Если в вашем домене имеется большое количество политик, щелкните правой кнопкой по новой политике и перейдите в GPO Status > User Configuration Settings Disabled. Это ускорит обработку каждой политики.

Теперь нажмите правой кнопкой мыши по объекту Active Directory, к которому вы хотите применить эту политику, и нажмите Link an Existing GPO. Выделите новую политику и нажмите ОК. При необходимости повторите действия для других объектов.

Помните, что вложенные объекты наследуют групповую политику от своего родителя, если наследование не заблокировано или у дочернего объекта нет собственной связанной групповой политики с конфликтующими настройками.

Настройка синхронизации времени по NTP с помощью групповых политик

Служба времени Windows, несмотря на кажущуюся простоту, является одной из основ, необходимых для нормального функционирования домена Active Directory. В правильно настроенной среде AD служба времени работает следующим образом: компьютеры пользователей получают точное время от ближайшего контроллера домена, на котором они зарегистрировались. Все контроллеры домена в свою очередь получают точное время от DC с FSMO ролью «Эмулятор PDC», а контролер PDC синхронизирует свое время с неким внешним источником времени. В качестве внешнего источника времени может выступать один или несколько NTP серверов, например или NTP сервер вашего Интернет-провайдера. Также нужно отметить, что по умолчанию клиенты в домене синхронизируют время с помощью службы времени Windows (Windows Time), а не с помощью протокола NTP.

Если вы столкнулись с ситуацией, когда время на клиентах и контроллерах домена различается, возможно, в вашем домене есть проблемы с синхронизацией времени и эта статья будет вам полезна.

В первую очередь выберите подходящий NTP сервер, который вы могли бы использовать. Список общедоступных NTP серверов доступен на сайте . В нашем примере мы будем использовать NTP сервера из пула :

Изменить время на доменном компьютере … Как настроить NTP сервер и … Установка Active Directory Domain … PC360 — Настройка контроллера домена на …

Настройка синхронизации времени в домене с помощью групповых политик состоит из двух шагов:

1) Создание GPO для контроллера домена с ролью PDC2) Создание GPO для клиентов (опционально)

Устранение неисправностей службы времени Windows

Сводка: В этой статье содержится информация по устранению неисправностей службы времени Windows в домене Active Directory. Свернуть В этой статье содержится информация по устранению неисправностей службы времени Windows в домене Active Directory.

Возможно, эта статья была переведена автоматически. Если вы хотите поделиться своим мнением о ее качестве, используйте форму обратной связи в нижней части страницы.

Симптомы

Служба времени Windows очень важна для Active Directory. По умолчанию аутентификация Kerberos требует, чтобы часы на всех компьютерах в домене были синхронизированы друг с другом в пределах пяти минут после коррекции разницы часовых поясов и перехода на летнее время. Компьютеры, часы которых выходят за пределы этого диапазона, не смогут пройти аутентификацию и поэтому не будут иметь доступа к ресурсам домена.

Причина

В домене AD контроллер домена (DC) с ролью FSMO «Эмулятор PDC» является основным сервером времени для всего домена. Однако это не означает, что каждый компьютер в домене синхронизирует свои часы непосредственно с эмулятором PDC. Другие контроллеры домена синхронизируются с эмулятором PDC, а рядовые серверы и клиенты могут синхронизироваться с любым контроллером домена. В этой иерархии эмулятор PDC должен быть единственным компьютером, на котором настроена синхронизация с внешним источником времени (например, с общедоступным сервером NTP). Все остальные компоненты домена должны быть настроены на синхронизацию с AD. Любая другая конфигурация может привести к потере синхронизации часов.

Подробные сведения о работе службы времени Windows см. на этом сайте TechNet.

Разрешение

Определите масштаб проблемы

Первым шагом в устранении неполадок службы времени Windows должно быть определение количества затронутых компьютеров. Если только на одном компьютере неправильное время, то действия, необходимые для устранения проблемы, будут отличаться от действий, необходимых для устранения проблемы времени во всем домене.

Если проблема касается только нескольких машин

1. Если затронутый компьютер работает под управлением Windows Vista или более поздней версии, выполните команду w32tm /query /source в командной строке, чтобы определить источник времени затронутого компьютера. Внешний источник времени должен отображаться только в том случае, если эта команда выполняется на эмуляторе PDC; в противном случае команда должна вывести имя контроллера в домене.
2. Команда w32tm /query /status также отображает источник времени компьютера и другую потенциально полезную информацию. Параметр /verbose предоставляет дополнительные сведения. Как и в случае первой команды, эти переключатели доступны только на компьютерах под управлением Windows Vista или более поздней версии.
3. Если указан правильный источник времени, можно использовать команду w32tm /resync для повторной синхронизации часов компьютера с источником времени. При добавлении параметра /rediscover к этой команде компьютер сначала пытается обнаружить сетевые источники времени, а затем выполняет повторную синхронизацию.
4. Для изменения источника времени компьютера можно использовать одну из следующих двух команд:
   w32tm /config /syncfromflags:DOMHIER /update настраивает компьютер на использование иерархии домена (AD) в качестве источника времени.
   w32tm /config /syncfromflags:MANUAL /manualpeerlist:<список> /update настраивает компьютер на использование серверов времени из <списка> в качестве источника времени.

Если проблема касается всего домена

1. Если на всех компьютерах в домене указано неправильное время, скорее всего, причиной проблемы является эмулятор PDC. Выполните команду netdom query fsmo на контроллере домена, чтобы определить, какой контроллер имеет роль эмулятора PDC.
2. Выполните команду w32tm /query /source из командной строки эмулятора PDC, чтобы убедиться, что он настроен на синхронизацию с внешним источником времени. Эмулятор PDC никогда не следует настраивать на синхронизацию с доменом, так как он является основным источником времени домена.
3. Если эмулятор PDC представляет собой виртуальную машину (ВМ), отключите синхронизацию часов гостевого хоста. Эта процедура различается в зависимости от операционной системы, запущенной на хосте виртуализации.
4. Чтобы настроить эмулятор PDC для синхронизации с одним или несколькими внешними серверами времени, используйте следующую команду:
   w32tm /config /syncfromflags:MANUAL /manualpeerlist:<список> /update

Настройки реестра службы времени Windows

Команды «w32tm», указанные в описанных выше процедурах, вносят изменения в значения реестра службы времени Windows, которые находятся в следующем разделе реестра:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32Time

Эти значения можно задавать вручную, а не с помощью команд «w32tm». Если вы решите сделать это, вам могут пригодиться следующие веб-сайты:

(содержит раздел по параметрам реестра)

Групповая политика

Если вы вносите изменения в службу времени Windows с помощью команд «w32tm» или через реестр, но эти изменения не вступают в силу или вступают в силу только на короткое время, а потом происходит возврат к предыдущим значениям, возможно, объект групповой политики (GPO) переопределяет ваши изменения. Параметры групповой политики для службы времени Windows содержат множество одинаковых элементов, которые можно настроить с помощью реестра или команд «w32tm». Эти настройки можно найти в следующем каталоге:

Computer ConfigurationPoliciesAdministrative TemplatesSystemWindows Time Service

Восстановите значения реестра службы времени Windows по умолчанию

Если все другие действия не помогли, эта процедура сбрасывает службу времени Windows до настроек по умолчанию.

1. Откройте консоль «Службы» и остановите службу времени Windows (или выполните команду net stop w32time из командной строки), если она запущена.
2. Откройте командную строку с повышенными правами и выполните команду w32tm /unregister, чтобы удалить службу времени Windows из реестра. Служба больше не будет отображаться в консоли «Службы».
3. Выполните команду w32tm /register, чтобы восстановить службу с настройками реестра по умолчанию.
4. Внесите необходимые изменения в реестр, затем запустите службу времени Windows в консоли «Службы» или с помощью команды net start w32time.

Затронутый продукт

Servers, Microsoft Windows Small Business Server 2008, Microsoft Windows Small Business Server 2011 Essentials, Microsoft Windows 2008 Server R2, Microsoft Windows 2008 Server Service Pack 2, Microsoft Windows 2012 Server Servers, Microsoft Windows Small Business Server 2008, Microsoft Windows Small Business Server 2011 Essentials, Microsoft Windows 2008 Server R2, Microsoft Windows 2008 Server Service Pack 2, Microsoft Windows 2012 Server, Microsoft Windows 2012 Server R2 Развернуть

Настройка синхронизации времени в домене Active Directory (через групповые политики)

Очень удобно, когда все сервера и рабочие станции в AD имеют одинаковое время. Это избавляет от кучи проблем в структуре Active Directory.

Требования для статьи:
Будем считать, что у нас есть отдельные груповые политики для контроллера домена (или другого сервера, который будет выполнять эту роль) и для все остальных серверов и рабочих станций.
Синхронизацию сервера времени настраиваем с внешним сервером. Поэтому для сервера, который является центральным сервером времени, нужно открыть вовне порт 123, а так же для все остальных серверов и ПК должен быть открыт порт 123 во внутренней сети (NTP работает по этому порту).

Для того, чтобы это сделать открываем групповые политики

Поставшики времени

И переходим Конфигурация компьютера->Административные шаблоны->Система->Службы времени Windows->Поставшики времени

Теперь нам нужно настроить 3 параметра.

Включить NTP клиент Windows — включено (для всех политик).

Включить NTP сервер Windows — включено (только в политике для локального сервера времени).

Настроить NTP клиент Windows (сервер времени)

Настроить NTP клиент Windows (все остальные)

Настроить NTP клиент Windows — Включаем и настраиваем параметры:
NtpServer: для локального сервера времени — time.windows.com,0x9 для всех остальных — имя сервера времени в нашей сети.

Type: для локального сервера времени — NTP для всех остальных — NT5DS.

Теперь дожидаемся применения политики, или применяем ее принудительно, командой:

w32tm

w32tm /query /status

проверяем какие сервера используются (параметр Источник)
Для сервера он будет — time.windows.com,0x9
Для всех остальных — имя локального сервера времени.

На этом настройка синхронизации часов в домене завершена.

Заказать создание и поддержку безопасной IT-инфраструктуры любой сложности

Быть уверенным в своей IT-инфраструктуре — это быть уверенным в завтрашнем дне.

Управление временем в домене Windows

Протокол аутентификации и и Kerberos, используемый Active Directory, требует, чтобы все компьютеры в домене были синхронизированы друг с другом. Если какой-то компьютер теряет связь с контроллером домена на период более пяти минут, будет возможность подключиться к сети, но все службы могут работать неправильно до тех пор, пока не будет скорректировано или синхронизировано время.

Ограничение изменений показания времени с помощью групповой политики
Часто администраторы настраивают групповую политику (Group Policy), чтобы пользователи не могли изменять показания времени и непредумышленно изымать свои системы из домена. Настройка System Time Group Policy (Групповая политика системного времени) находится в Computer/PoliciesWindows Settings/Security Settings/Local Policies/User Right Assignment ( Компьютер/Политики/Настройки Windows/Настройки безопасности/Локальные политики/Назначение прав пользователям).

Для проверки и синхронизации времени будет применяться служба времен и Windows (Windows Time Service; w32tm). Служба w32tm запускается и з командной строки.
Представленная ниже команда позволяет сравнить пять выборок текущего времени с данными из сервера времени Microsoft (time. windows.com) и проконтролировать, насколько точными они являются. В выводе будет отражено, опережают ли показания времени на вашем сервере (обозначено с помощью +) или же отстают (обозначено с помощью — ):

w32tm /stripchart /computer:time.windows.com /samples:5 /dataonly

Синхронизировать время на контроллере домена с ролью PDC Operations Master можно с использованием внутреннего источника времени, если он есть, и внешнего источника времени в противном случае. При синхронизации и с внешним сервером NTP посредством службы w32tm удостоверьтесь, что UDР-порт 1 23 открыт в брандмауэре.
С помощью показанной далее команды время в системе можно синхронизировать с внешним сервером времени. Доступно несколько серверов времени, но в данном примере применяется сервер времени M icrosoft (time.windows.com) и сервер времени NIST (time.nist.gov):

W32tm /config «/manualpeerlist:time.windows.com, time.nist.gov» /syncfromflags:manual / reliable:yes /update

Параметр syncfromflags указывает, что сервер будет синхронизироваться с одним из серверов в группе manualpeerlist . Можно задать только один сервер времени (и тогда опустить кавычки) или доставить множество таких серверов, разделенных запятыми, как сделано в примере команды.
Кроме того, имеет смысл перезапустить службу времен и с использованием следующих команд:

Net stop w32time
Net start w32time

После перезапуска службы можно ввести показанную ранее команду w32tm, чтобы проверить точность показания времени. Если вы измените время , то может пройти пять минут, прежде чем служба w32tm снова проведет синхронизацию и установит правильное показание времени .