Синхронизация времени в DC Windows Server 2008 R2 ru

Синхронизация времени в DC Windows Server 2008 R2 ru

Управление временем — один из ключевых аспектов системного администрирования. Как правило, все клиентские серверы и рабочие станции синхронизируют время с доменом Active Directory, однако откуда берется точное время в AD? Это зависит от разных факторов. В стандартной конфигурации время синхронизируется с серверами Microsoft, а виртуальные машины обычно получают данные от хост-сервера.

Лучше всего задать единый источник данных о точном времени для всех компьютеров в корпоративной сети — сервер (или несколько серверов), с которым будут синхронизироваться все системы. Это может быть ресурс или пул ресурсов в Интернете, либо локальный сервер. Так или иначе, с источником точного времени стоит определиться заранее.

За синхронизацию компьютеров и серверов Windows отвечает сетвой протокол Network Protocol (NTP). NTP использует для своей работы протокол UDP порт по умолчанию 123. Что бы в дальнейшем можно было настроить работу этого сетевого протокола, необходимо проверить, не блокирует ли этот порт фаерволл.

Способы указания NTP Сервера.

1) Команда w32tm позволяет задать список пиров, предоставляющих информацию о точном времени для домена. Чтобы получить дополнительные сведения о команде w32tm, введите в командной строке указанную команду w32tm /?

Первым, что необходимо сделать, это выяснить в каком состоянии находятся контролеры домена в домене. Для этого запускаем в командной строке команду (если у вас права доменного администратора, то можете запустить командную строку на своей рабочей станции)

w32tm /monitor — команда позволяет посмотреть с каким сервером (серверами)/сервисом происходит синхронизация и какая разница во времени с эталонным севером.

w32tm /config /manualpeerlist:.windows.com /syncfromflags:manual /reliable:yes /up — этой командой мы указываем с каким сервисом/сервером будет происходить синхронизация ( в данном примере с .windows.com).

Эта команда выполняется на контроллере домена однократно и записывает указанные адреса в реестр ( по пути HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32ConfigParametrs в параметре NTPServer должно быть прописано .windows.com). Можно указать сразу несколько серверов, разделенных пробелами.

2) Еще один способ указать контролеру домена сервер с кем он будет синхронизироваться по времени, это локальные или групповые политики. Запускаем реестр- Нажмите кнопку Пуск, выберите команду Выполнить, введите в командную строку gpedit.msc и нажмите кнопку ОК. Заходим «Конфигурация компьютера- Политики- Административные шаблоны- Система- Служба времени Windows- Поставщики времени» и настраиваем политику. В данном примере в значении NTPServer прописываем .windows.com, в значении Тип указываем NTP. Тип- указывает узлы одноранговой сети, принимающие синхронизацию следующих типов:

NoSync- Служба времени не синхронизируется с другими источниками.

NTP- Служба времени выполняет синхронизацию с серверами, указанными в записи реестра NtpServer.

NT5DS- Служба времени выполняет синхронизацию на основе иерархии домена.

AllSync- Служба времени использует все доступные механизмы синхронизации.

Значение CrossSiteSyncFlags выбираем 2.

CrossSiteSyncFlags. Определяет возможность выбора службой партнеров по синхронизации за пределами домена компьютера.

В значении ResolvePeerBackoffMinutes прописываем 15

ResolvePeerBackoffMinutes- указывает первоначальный интервал ожидания (в минутах) перед тем, как начать поиск узла одноранговой сети для синхронизации. Если службе времени Windows не удается успешно синхронизироваться с источником времени, будут выполняться повторные попытки с использованием указанных значений параметров ResolvePeerBackoffMinutes и ResolvePeerBackoffMaxs.

В значении ResolvePeerBackoffMaxs прописываем 7

ResolvePeerBackoffMaxs- указывает максимальное число раз удвоения интервала ожидания в случае, если повторяющиеся попытки поиска узла одноранговой сети для синхронизации не дали результата. Нулевое значение предполагает, что интервал ожидания всегда равен первоначальному, указанному в параметре ResolvePeerBackoffMinutes.

В значении SpecialPollInterval прописываем 3600

SpecialPollInterval- указывает интервал специального опроса (в секундах) для узлов одноранговой сети, настроенных вручную. Если специальный опрос включен, то служба времени Windows будет использовать его интервал вместо динамического значения, определяемого с помощью алгоритмов синхронизации, встроенных в службу времени Windows.

Если вы создали политику, то ее нужно применить на все контролеры домены.

Я очень надеюсь, моя статья помогла Вам! Просьба поделиться ссылкой с друзьями:

Синхронизация времени в DC Windows Server 2008 R2 ru

Доброго времени суток!

У меня возникла проблема с синхронизацией времени на основном контроллере домена. Он новый, так что синхронизация сдесь еще не работала ни разу.

Я установил и перенес на него все роли со старого контроллера под Win2k3. Сейчас у меня в сети один контроллер.

Я настраивал по мануалам базы знаний и с TechNet, например https://technet.microsoft.com/en-us/library/cc786897(WS.10).aspx

Результат был один, внутри домена синхронизация идет, сам контроллер не синхронизируется.

Переделывал так и сяк уже много раз, открыл доступ на брандмауэре для 123-го потра TCP и UDP.

В общем сейчас вот что имею:

C:Windowssystem32>W32TM /query /us Индикатор помех: 0(предупреждений нет) Страта: 1 (основная ссылка — синхронизирована по радиочасам) Точность: -6 (15.625ms за такт времени) Задержка корня: 0.0000000s Дисперсия корня: 10.0000000s Идентификатор опорного времени: 0x4C4F434C (имя источника: «LOCL») Время последней успешной синхронизации: 22.11.2010 9:36:57 Источник: Local CMOS Интервал опроса: 10 (1024s)

Заметив что источник LOCL, проделал…:

C:Windowssystem32>w32tm /config /manualpeerlist:pool.ntp.org /reliable:yes /up Команда выполнена успешно. C:Windowssystem32>W32TM /query /us Индикатор помех: 0(предупреждений нет) Страта: 1 (основная ссылка — синхронизирована по радиочасам) Точность: -6 (15.625ms за такт времени) Задержка корня: 0.0000000s Дисперсия корня: 10.0000000s Идентификатор опорного времени: 0x4C4F434C (имя источника: «LOCL») Время последней успешной синхронизации: 22.11.2010 22:29:24 Источник: Local CMOS Интервал опроса: 6 (64s) C:Windowssystem32>w32tm /monitor DCSERV.virage.local *** PDC ***[[::1]:123]: ICMP: 0ms задержка NTP: +0.0000000s смещение относительно DCSERV.virage.local RefID: ‘LOCL’ [0x4C434F4C] Страта: 1 Предупреждение: Рекомендуется использовать обратное разрешение имен. Возможно, оно выполнено неверно, поскольку поле RefID в пакетах времени различается в разных реализациях NTP и может не использовать IP-адреса. C:Windowssystem32>w32tm /resync Отправка команды синхронизации на локальный компьютер Синхронизация не выполнена, поскольку нет доступных данных о времени.

Вот . Если я все правельно понимаю, то контроллер пытается синхронизироваться с системными часами, не смотря на мои команды.

C:Windowssystem32>W32tm /query /configuration [Настройка] EventLogFlags: 2 (Локально) AnnounceFlags: 5 (Локально) JumpAuditOffset: 28800 (Локально) MinPollInterval: 6 (Локально) MaxPollInterval: 10 (Локально) MaxNegPhaseCorrection: 172800 (Локально) MaxPosPhaseCorrection: 172800 (Локально) MaxAllowedPhaseOffset: 300 (Локально) FrequencyCorrectRate: 4 (Локально) PollAdjustFactor: 5 (Локально) LargePhaseOffset: 50000000 (Локально) SpikeWatchPeriod: 900 (Локально) LocalDispersion: 10 (Локально) HoldPeriod: 5 (Локально) PhaseCorrectRate: 7 (Локально) UpInterval: 100 (Локально) FileLogName: C:WindowsTempw32.log (Локально) FileLogEntries: 0-116 (Локально) FileLogSize: 268435456 (Локально) [Providers] NtpClient (Локально) DllName: C:Windowssystem32w32.dll (Локально) Enabled: 1 (Локально) InputProvider: 1 (Локально) CrossSiteSyncFlags: 2 (Политика) AllowNonstandardModeCombinations: 1 (Локально) ResolvePeerBackoffMinutes: 15 (Политика) ResolvePeerBackoffMaxs: 7 (Политика) CompatibilityFlags: 2147483648 (Локально) EventLogFlags: 0 (Политика) LargeSampleSkew: 3 (Локально) SpecialPollInterval: 3600 (Политика) Type: NT5DS (Политика) NtpServer (Локально) DllName: C:Windowssystem32w32.dll (Локально) Enabled: 1 (Локально) InputProvider: 0 (Локально) AllowNonstandardModeCombinations: 1 (Локально) VMICProvider (Локально) DllName: C:WindowsSystem32vmicprovider.dll (Локально) Enabled: 1 (Локально) InputProvider: 1 (Локально)

Уважаемые, надеюсь на вашу помощь т.к. сам иссяк.

Из настроек Windows

Один из самых простых способов синхронизировать время ПК с Windows и сервером Microsoft — это синхронизировать его вручную из меню настроек Windows. Следуйте инструкциям ниже, чтобы это сделать.

Шаг 1: Нажмите одновременно клавиши Windows + I на клавиатуре, чтобы открыть меню настроек Windows.

Шаг 2: Выберите «Время и язык».

Шаг 3: В разделе «Дата и время» перейдите к подразделу «Синхронизировать часы» и нажмите кнопку «Синхронизировать сейчас».

Это немедленно синхронизирует часы вашего компьютера с сервером времени Microsoft (обычно это занимает 2–5 секунд).

Заметка: По заявлению Microsoft, невозможно гарантировать точность времени на компьютерах, которые имеют прерывистые сетевые подключения или отсутствуют. Поэтому у вас должно быть активное подключение к Интернету, чтобы эффективно синхронизировать время вашего компьютера с Microsoft Time Server.

Также важно отметить, что Windows автоматически синхронизирует время вашего ПК с сервером Microsoft ежедневно. В случае, когда вам необходимо вручную синхронизировать время, возможно, из-за неправильной конфигурации времени вашего компьютера, вы можете использовать кнопку «Синхронизировать сейчас» на шаге 3 выше.

Final take

Now your Windows Server 2019 clock is synchronized with time the NTP server’s pool.ntp.org and works as NTP client. You can achieve full network and accompanying infrastructure time synchronization by synchronizing all network workstations, servers, routers, hubs, and switches.

Since NTP servers operate over the UDP protocol using TCP/IP, these network infrastructures must be working efficiently for effective NTP server operation. In case you want to make time servers on windows server 2019 hosted on a virtual machine, you should disable the virtual machine time synchronization settings and sync their time with the domain Windows Server 2019.

Configuring Windows Time Service with W32tm.exe

When it comes to Windows Server environments like Windows Server 2016 or Windows Server 2019, there is a special Windows service that controls the time synchronization of your Windows hosts. This is the Windows Time Service.

Microsoft provides a command line tool to interact with the Windows Time Service called W32tm.exe. This has been included in Windows operating systems since Windows XP/Windows 2003 and later. It can be used to configure Windows Time service parameters as well as diagnose time service problems. This is generally the tool of choice when it comes to configuring, monitoring, and administering Windows Time.

Using the W32tm.exe utility is fairly straightforward. It can be used from a normal command prompt as well as from a PowerShell prompt. There are several command parameters included that allow not only configuring the NTP servers you want to query, but also parameters that allow viewing the low level registry configuration as well as the synchronization status.

You can read the official Microsoft KB on the Windows Time service and the W32tm.exe utility here:

However, there are a few commands I would like to show you for the purposes of configuring your Domain controller that is to be the reliable time source (PDC Emulator) for your domain.

The first command is the command line entry to specify your NTP servers, which in this case I am using the NTP.org servers to set as the source of my NTP synchronization.

Configuring the time source for your domain with the w32tm utility

If you want to view the status of the NTP synchronization on your server after you have configured the values and restarted the w32time service, you can use the following command:

Querying the NTP synchronization status of your Windows Server 2016 or 2019 domain controller

You can also check the values configured in your registry key hkey local machine system currentcontrolset services w32time config using the commands below. You can drill into the configuration parameters using the /dumpreg /subkey command.

Viewing the NTP registry values that are configured for your Windows Server

Причины появления ошибки

В типичном сеансе RPC клиент связывается с программой сопоставления конечных точек сервера по TCP-порту 135 и для указанной службы требует определённого номера динамического порта. Сервер отвечает, отправив IP-адрес и номер порта, для которого служба зарегистрирована в RPC после её запуска, а затем связывается с клиентом с указанным IP-адресом и номером порта. Возможные причины ошибки «Сервер RPC недоступен» следующие:

1. Остановка службы RPC – когда служба RPC на сервере не запущена.
2. Проблемы с разрешением имён – имя сервера RPC может быть связано с неправильным IP-адресом. Это значит, что клиент связывается с неправильным сервером или пытается связаться с IP-адресом, который в настоящее время не используется. Возможно, имя сервера не распознаётся вообще.
3. Трафик заблокирован брандмауэром – брандмауэр или другое приложение безопасности на сервере или брандмауэр устройства между клиентом и сервером могут препятствовать доступу трафика к TCP-порту сервера 135.
4. Проблемы с подключением – проблема с сетью может быть причиной отсутствия соединения между клиентом и сервером.

How to change the time server on Windows 10

1. Open Control Panel.
2. Click on Clock, Language, and Region.
3. Click on Date and Time.
4. Click on the Internet Time tab.

Click the Change settings button.

Click the Update now button to synchronize the time with the new server.

After completing the steps, Windows 10 will keep the time synchronized over the internet with the server you selected.

Подмена адреса time.windows.com локальным NTP на DNS-сервере

В крупных, постоянно меняющихся и развивающихся сетях установка адреса локального ntp-сервера на всех машинах, не подключенных к Active Directory, может представлять определенную проблему. В данном случае можно воспользоваться возможностями DNS-сервера BIND и подменить выдаваемый по запросу «time.windows.com» ip-адрес на принадлежащий локальному серверу NTP [21] .

На DNS сервере (на примере SLES 10) создадим интересующую нас зону следующего содержания:

/var/lib/named/master/time.windows.com

где 192.0.2.30 — ip-адрес локального ntp-сервера

В конфигурационный файл /etc/named.conf добавляем строки:

где acls — используемые в локальной сети ACL’и

Если все правильно, то в логе /var/log/messages появится подобная строчка:

Проверяем результат на клиентской машине, предварительно сбросив кэш dns (How do I Flush DNS?):