Serviciul Windows Time, în ciuda simplității sale aparente, este una dintre bazele necesare pentru funcționarea normală a domeniului Active Directory. Într-un mediu AD configurat în mod corespunzător serviciul de timp funcționează după cum urmează: computerele utilizatorilor obține ora exactă de la cel mai apropiat controler de domeniu pe care sunt înregistrate. Toate controlerele de domeniu, la rândul său a obține timpul exact de la DC, cu rol FSMO „PDC Emulator», iar controlerul PDC se sincronizeze cu o sursă externă. Ca o sursă de timp externă poate servi unul sau mai multe servere NTP, cum ar time.windows.com sau NTP serverul furnizorului de servicii Internet. De asemenea, trebuie remarcat faptul că clienții standard din domeniu sincroniza timpul cu serviciul Windows Time (Windows Time), mai degrabă decât folosind protocolul NTP.
Reglează sincronizarea timpului într-un domeniu utilizând politica de grup este format din două etape:
1) Crearea GPO pentru un rol PDC controler de domeniu
2) Crearea unui GPO pentru clienți (opțional)
Configurarea politicii de sincronizare NTP pe controlerul de domeniu PDC
Acest pas presupune stabilirea unui rol PDC emulator de controler de domeniu în sincronizare de timp cu serverul NTP extern. pentru că teoretic rolul emulator PDC poate fi mutat între controlerele de domeniu, trebuie să facem politici care s-ar aplica numai proprietarului actual al rolului PDC. Pentru a face acest lucru în Microsoft Management Console Group Policy Management Console (GPMC.msc), a crea un nou filtru WMI Group Policy. Pentru a face acest lucru, în secțiunea Filtre, creați un filtru WMI și numele PDC Emulator și interogarea WMI: Selectați * de la Win32_ComputerSystem în cazul în care DomainRole = 5
Apoi, creați un nou GPO și atribuiți-l la un container de controlere de domeniu.
Mergeți la secțiunea de editare de politică și să extindă următoarea politică: Computer Configuration-> Templates- administrativ> System-> Windows Time Service-> Furnizori de timp
Suntem interesați trei politici:
- Configurarea pentru Windows NTP Client. Enabled (setările de politică sunt descrise mai jos)
- Activați NTP pentru Windows Client. activat
- Activați NTP pentru Windows Server. activat
În stabilirea politicii configurarea Windows NTP Client, specificați următorii parametri:
Consiliul. Asigurați-vă că pentru a configura firewall-ul, astfel încât serverul de PDC pentru a avea acces la serverele NTP extern pe protocolul NTP (portul UDP 123).
PDC Emulator aplica un filtru la această politică a creat mai devreme.
Consiliul. Găsiți numele serverului cu rolul PDC cu comanda: netdom interogare FSMO
Rămâne să se actualizeze politica pe controlerul PDC:
gpupdate / vigoare
începe manual timpul de sincronizare:
w32tm / Resincronizați
Verificați setările curente NTP:
w32tm / interogare / status
Consiliul. În acest caz, dacă timpul nu este sincronizat, apoi reporniți serviciul Windows Time și resetați setările curente:
w32time net stop
w32tm.exe / unregister
w32tm.exe / registru
w32tim net stop
Setarea timpului de sincronizare client domeniu
În medii Active Directory, clienții domeniul implicit sincroniza timpul lor cu controlerele de domeniu (opțiunea Nt5DS - pentru a sincroniza ora domeniului ierarhie). De regulă, acest sistem funcționează și nu necesită reconfigurare. Cu toate acestea, dacă aveți probleme cu sincronizarea de timp pe clienții de domeniu, puteți încerca să forțeze un server de timp pentru clienți folosind GPO.
Refresh setările de politică de grup pe clienții și să verifice dacă clienții sincroniza cu succes timpul lor cu PDC.
Consiliul. Această schemă se aplică numai domeniilor mici. Pentru domeniile distribuite de mari dimensiuni, cu o mulțime de curent continuu și de site-uri au de a crea o politică separată pentru fiecare site, astfel încât clienții sincroniza timpul lor cu DC în site-ul.
Nu am sincroniza PDC:
152078 19: 54: 06.9999326s - ---------- Log File Deschis -----------------
152078 19: 54: 43.0234540s - W32TmServiceMain: timeout
152078 19: 54: 43.0234540s - Proba preparat la 131396108830234540 pentru 192.168.88.1,0x1 la egal la egal (ntp.m | 0x1 | 0.0.0.0: 123-> 192.168.88.1:123)
.
152078 19: 56: 26.1528179s - Logging de eroare: NtpClient a fost configurat pentru a achiziționa timp de la una sau mai multe surse de timp, cu toate acestea nici una dintre sursele sunt în prezent accesibile și nici o încercare de a contacta o sursă se va face timp de 1 minut. NtpClient NU ARE SURSĂ DE TIMP CORECTE.
.
152078 20: 23: 34.7445948s - Proba preparat la 131396126147445948 pentru 192.168.88.1,0x1 la egal la egal (ntp.m | 0x1 | 0.0.0.0: 123-> 192.168.88.1:123)
152078 20: 23: 34.7445948s - W32TmServiceMain: 64.000s așteptare
152078 20: 23: 51.2628046s - W32TimeHandler numit: SERVICE_CONTROL_INTERROGATE
152078 20: 24: 38.7523962s - W32TmServiceMain: timeout
152078 20: 24: 38.7523962s - Proba preparat la 131396126787523962 pentru 192.168.88.1,0x1 la egal la egal (ntp.m | 0x1 | 0.0.0.0: 123-> 192.168.88.1:123)
152078 20: 24: 38.7523962s - W32TmServiceMain: 64.000s așteptare
Nu este nimic, bineînțeles, aici sunt footcloths mucegai.
Am tăiat jurnal, eroarea de la stânga. Serverul nu poate ajunge la server folosind NTP. Verificați dacă deschis și disponibil pentru serverul pe portul TCP 123 pe timpul sursei
Pentru configurarea NTP prin politica ar trebui să fie lovit foarte tare pe mâini.
1. Într-un mediu de domeniu nu trebuie să facă nimic, să ia controlere de timp cu PDC, clienții de la operator.
2. Precizia a doua oară în al doilea nu se va realiza.
Un subiect dureros pentru mine. Administratorii de sincronizare anterioare nahrenachili aproape 10 politici diferite, încă un pas greșit și cu rogojini eliminate.
Există o problemă cu sincronizarea timpului?
Pe toate controlerele:
1. Kill W32time serviciu
2. trage HKLM registru ramură \ System \ CurrentControlSet \ servicii \ W32Time \
3. Înregistrează serviciul din nou
4. Verificați că parametrul TYPE în HKLM \ System \ CurrentControlSet \ Services \ W32Time \ Parameters NT5DS egale
Pe PDC configurat sincronizarea cu un timp extern
5. Și nimic nu ar fi * nu atingeți! =) După ceva timp să se stabilizeze timp.
Pentru înțelegerea - timpul nu este importat, acesta este verificat și ajustat la valoarea de referință.
Nu uita că diferența în Kerberos 5 minute nu este critică.
HR și deșteptul bezopasnik care doresc snihronit mizerabile ACS lor cu roabă de ferestre și de a trimite lung.
Tot ce am făcut =)