Реклама на портале

Изменить время на доменном компьютере. Настройка синхронизации времени по NTP с помощью групповых политик. Настройка политики синхронизации NTP на контролере домена PDC

Особенности настройки времени для виртуальных контроллеров домена

Сегодня речь пойдет о некоторых особенностях настройки службы времени на виртуальных контроллерах домена. Обычно схема синхронизации времени в домене Active Directory выглядит следующим образом:

Все рядовые сервера и рабочие станции синхронизируют свое время с ближайшим доступным контроллером домена;
Все контроллеры домена синхронизируются с контроллером, которому принадлежит роль PDC-эмулятор;
PDC-эмулятор является главным источником времени в домене и поэтому должен быть настроен на синхронизацию с надежным внешним источником времени.

Выберите компьютер для сервера как авторитетный внутренний источник времени

К счастью, для синхронизации всего не требуется много работы. Первое, что вы хотите сделать, - это решить, на какой машине вы хотите быть авторитетом вовремя в своем домене. Машина, которую вы выберете, будет регулярно консультироваться с интернет-источниками, поэтому, если вы находитесь в режиме повышенной безопасности, вы можете рассмотреть вопрос о переносе этой роли на другой компьютер.

Настройка авторизованного компьютера

У вас может быть несколько машин, служащих авторитетными источниками времени, но больше чем на один сайт, как правило, не нужно. Вашему авторитетному серверу потребуется, чтобы порт открывал входящие. Это покажет вам, что вы делаете и где. Как только вы это сделаете, измененный компьютер будет периодически «объявлять», что он является авторитетным источником времени. На самом деле это «объявление», вероятно, не будет получено большинством компьютеров вашего домена.

Например так выглядят настройки времени на нашем виртуальном контроллере домена. Как видите, на нем с помощью групповых политик настроена синхронизация с внешним источником pool.ntp.org .

Однако если проверить текущий источник времени, то можно довольно сильно удивиться, т.к. в качестве источника выступает непонятная сущность с названием VM IC Time Synchronization Provider .

Определите, как вы хотите обращаться с виртуализованными гостями

Поскольку вам действительно нужен только один источник, проще всего установить это как вариант сервера, хотя вы, безусловно, можете установить его в каждой отдельной области как параметр области. Все современные гипервизоры имеют возможность обеспечить синхронизацию времени с гостевыми машинами с помощью этих инструментов интеграции гипервизора. Если включено, гостевые машины будут тратить время с физического хоста, на котором они запущены. Для всех остальных гостей это решение.


Дело в том, что по умолчанию виртуальные машины Hyper-V синхронизируют свое время с хостом, причем вне зависимости от настроек службы времени внутри машины. В результате может получиться довольно странная ситуация, когда хост является членом домена и синхронизируется с контроллером, который в свою очередь является виртуальной машиной и синхронизируется с хостом.

Однако вы решили справиться с этим, важно убедиться, что вы последовательны. Снимите или установите флажок «Синхронизация времени» по желанию. Для других гипервизоров обратитесь к документации производителя.


Хотя вы найдете ссылки на частичное отключение службы, она больше не эффективна.

Во-первых, если ваш домен еще не настроен на использование специализированных организационных единиц для своих компьютеров, настройте их сейчас. Не существует «правильного пути» для их настройки, поэтому разработайте схему, которая имеет смысл для вашей организации. Нет никакой выгоды быть чрезмерно сложным, поэтому стремиться к простоте. Вы всегда можете реорганизовать и расширить позже, если вы определите, что недостаточно сложны. Для этой должности ваша общая цель состоит в разделении компьютеров, которые должны иметь определенный сервер времени от тех, которые этого не делают.

Для того, чтобы избежать подобной ситуации, для виртуальных контроллерах домена необходимо отключить синхронизацию времени с хостом. Сделать это можно двумя способами.

Способ первый — отключить синхронизацию в свойствах ВМ. Для этого надо в оснастке Hyper-V Manager открыть свойства виртуальной машины, перейти в раздел «Integration Services» и снять галку с пункта «Time synchronization».

Примеры использования команды w32tm

Например, если у вас есть ноутбуки, которые будут использоваться в основном на сайтах, которые не контролируются вами, вы можете вообще не устанавливать для них какие-либо серверы времени, или вы можете захотеть, чтобы они полагались на те же источники Интернета, что и ваша авторитетная система, Возможно, вам придется настроить разные серверы времени для разных физических сайтов и обеспечить, чтобы их локальные компьютеры ссылались на местный источник.

Это вызовет всевозможные проблемы, и не все из них легко устранить.

Настройте параметры, похожие на следующее изображение.





Однако они могут плохо себя вести. Из-за всего этого вы можете просто оставить остальные контроллеры домена. Проверьте свою работу.


Или то же самое с помощью PowerShell. Например такой командой выведем состояние службы для ВМ:

Get-VMIntegrationService -VMName SRV1 -Name ″Time synchronization″

А такой отключим синхронизацию:

Get-VMIntegrationService -VMName SRV1 -Name ″Time synchronization″ | Disable-VMIntegrationService


Начнем с синхронизации времени контроллеров виртуальных доменов. Вместо этого билет керберос подается и проверяется через лес. Однако шифрование и безопасность между клиентом и контроллером домена, выдающим билет, требуют обмена паролями и настройки безопасного канала.

Чтобы пользователи не могли прослушивать сеть и повторно использовать пакеты аутентификации от клиента, все пакеты включают временную метку. Если временная метка, исходящая от клиента, отличается более чем на 5 минут от времени контроллеров домена, она отбрасывает пакет как подделку. Контроллер домена и клиент со временем, которые не являются одинаковыми, могут предварять вход в систему и доступ к сетевым ресурсам. Почему синхронизация времени терпит неудачу, когда контроллеры домена являются виртуальными.

Способ второй — отредактировать реестр внутри виртуальной машины. Для отключения синхронизации надо выставить значение 0 для параметра Enabled , находящегося в разделе HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider.


Эту настройку можно произвести из командной строки, выполнив команду:

Виртуальные машины будут по умолчанию иметь разные ресурсы, часы процессора и т.д. Это приводит к тому, что обычно называют временем дрейфа, часы и «тики», которые он использует для поддержания времени, иногда будут работать быстрее или медленнее. Некоторые системы устанавливаются не более 15 минут, 1 час, 15 часов или даже синхронизируются независимо от разницы во времени.

Это может также предотвратить синхронизацию, потому что время слишком сильно сдвинулось с последней синхронизации. Служба времени в контроллерах домена также функционирует как сервер времени для всех клиентов в домене, поэтому не просто отключите эту услугу, если вам не нужны функции клиента! Это ограничение применяется только к периодической синхронизации часов.

reg add HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider /v Enabled /t reg_dword /d 0


После отключения синхронизации любым из описанных способов необходимо хорошенько пнуть службу времени, чтобы она перестроилась на новый источник. На контроллере домена с ролью PDC-emulator необходимо рестартовать службу и запустить синхронизацию:

Если это произойдет с Вами, самое лучшее действие - немедленно отменить продвинутый контроллер домена, так как этот контроллер домена никогда не будет иметь правильной информации и может также получить изменения, которые он не будет реплицировать на другие контроллеры домена.

Кроме того, любые изменения, внесенные в неисправный контроллер домена, когда он был вверх, будут потеряны. Если он работал в течение длительного времени и имеет важную информацию, рассмотрите возможность экспортировать информацию в здоровые контроллеры домена.

net stop w32time & net start w32time
w32tm /resync /force


На остальных контроллерах дополнительно надо выполнить команду:

w32tm/config /syncfromflags:DOMHIER /update

Это заставит службу времени выбрать в качестве источника PDC-emulator согласно доменной иерархии. Таким образом мы получим правильную схему синхронизации времени в домене.

Приведенная выше информация ясно показывает, почему. Производительность - это проблема, но есть ли что-то особенное для виртуальных контроллеров домена? Запуск на физических машинах даже небольшого аппаратного обеспечения с удовольствием обслуживает множество пользователей и машин с небольшим использованием возможностей машин.

Установка минимальной положительной и отрицательной коррекции

Однако мы должны помнить, что включение контроллеров домена в перегруженные виртуальные среды или слишком мало зарезервированных ресурсов может привести к плохой производительности, задержкам доступа клиентов к ресурсам, входам и т.д. Поэтому рассмотрите, сколько ресурсов вам нужно тщательно и где разместить эти услуги.

Служба времени Windows, несмотря на кажущуюся простоту, является одной из основ, необходимых для нормального функционирования домена Active Directory. В правильно настроенной среде AD служба времени работает следующим образом: компьютеры пользователей получают точное время от ближайшего контроллера домена, на котором они зарегистрировались. Все контроллеры домена в свою очередь получают точное время от DC с «Эмулятор PDC », а контролер PDC синхронизирует свое время с неким . В качестве внешнего источника времени может выступать один или несколько NTP серверов, например time.windows.com или NTP сервер вашего Интернет-провайдера. Также нужно отметить, что по умолчанию клиенты в домене синхронизируют время с помощью службы времени Windows (Windows Time), а не с помощью протокола NTP.

Убедитесь, что виртуальная среда может загружаться и запускаться должным образом, когда все виртуальные машины были отключены. Другие материалы и ресурсы для получения дополнительной информации. Лично у меня есть очень хороший опыт использования виртуальных контроллеров домена, как для производительности, так и для его способности иметь очень высокую доступность.

Одной из общих причин ручной синхронизации времени компьютера является шаг устранения неполадок. Как правило, неудачная синхронизация времени является результатом неспособности компьютера связаться с доменом. контроллер, и вы должны устранить эту проблему напрямую. Чтобы вручную синхронизировать время, откройте окно командной строки и запустите.

Если вы столкнулись с ситуацией, когда время на клиентах и контроллерах домена различается, возможно, в вашем домене есть проблемы с синхронизацией времени и эта статья будет вам полезна.

В первую очередь выберите подходящий NTP сервер, который вы могли бы использовать. Список общедоступных NTP серверов доступен на сайте http://ntp.org . В нашем примере мы будем использовать NTP сервера из пула ru.pool.ntp.org:

Настройка политики синхронизации NTP на контролере домена PDC

Сообщения. Убедительным фактом является то, что в домене нет технических проблем, поскольку разница во времени между системами достаточно низкая. Тем не менее, «абсолютное время» просто неверно. Чтобы контроллер домена считался надежным источником времени, это должно быть указано явно. Нет необходимости в синхронизации времени с внешним сервисом времени. Если встроенные часы сервера достаточно надежны, например, потому что установлены и установлены радиочасы, это время также можно объяснить как «надежное».

  • 0.ru.pool.ntp.org
  • 1.ru.pool.ntp.org
  • 2.ru.pool.ntp.org
  • 3.ru.pool.ntp.org

Настройка синхронизации времени в домене с помощью групповых политик состоит из двух шагов:

1) Создание GPO для контроллера домена с ролью PDC
2) Создание GPO для клиентов (опционально)

Настройка политики синхронизации NTP на контролере домена PDC

Этот шаг предполагает настройку контроллера домена с ролью эмулятора PDC на синхронизацию времени с внешним NTP сервером. Т.к. теоретически роль эмулятора PDC может перемещаться между контроллерами домена, нам нужно сделать политику, которая применялась бы только к текущему владельцу роли PDC. Для этого в консоли управления Group Policy Management Console (GPMC.msc), создадим новый . Для этого в разделе WMI Filters создадим фильтр и именем PDC Emulator и WMI запросом: Select * from Win32_ComputerSystem where DomainRole = 5

Графическая поддержка конфигурации отсутствует, поэтому есть две документальные возможности. Для принудительной синхронизации вы можете ввести следующую команду. Естественно, нет необходимости вручную запускать синхронизацию вручную, но служба времени делает это с фиксированным интервалом. На рисунке 187 можно видеть, что временный опрос действительно имеет место на регулярной основе. Однако интервал опроса несколько меняется.

Рисунок 187 Время этого контроллера домена периодически синхронизируется. Рисунок 188. Состояние времени на клиенте. Вызов из «нетто-времени» должен показывать время сервера. В небольшой среде с доменом и одним или двумя контроллерами домена вам не нужно беспокоиться о структуре временной синхронизации. Однако в более сложной среде это довольно захватывающая тема. На рисунке 189 показана последовательность в общей структуре с двумя доменами.

Затем создайте новую GPO и назначьте ее на контейнер Domain Controllers.

Перейдите в режим редактирования политики и разверните следующий раздел политик: Computer Configuration->Administrative Templates->System->Windows Time Service->Time Providers

Нас интересуют три политики:

  • Configure Windows NTP Client : Enabled (настройки политики описаны ниже)
  • Enable Windows NTP Client : Enabled
  • Enable Windows NTP Server : Enabled



В настройках политики Configure Windows NTP Client укажите следующие параметры:

Объявление NTP-сервера в качестве надежного

Рисунок 189 Структура регулировки времени в более крупной среде. Выбор, с которым контроллер домена время окончательно синхронизируется, кстати не случайный. Система выполняет некоторые запросы и строит список рейтингов, в котором значение присваивается возможным партнерам по временной синхронизации в соответствии с таблицей 4.

Синхронизация по умолчанию

Мы всегда с нетерпением ждем вашей дружеской и критической обратной связи. Регулярные члены, будь то клиенты или серверы, синхронизируют свое время с одним из контроллеров домена. Их также можно запустить непосредственно с рабочего стола. В следующем руководстве мы покажем вам, как это работает. Многие слухи официально подтверждены. Первые макеты уже доступны для просмотра в Интернете.

  • NtpServer : 0.ru.pool.ntp.org.0x1, 1.ru.pool.ntp.org.0x1, 2.ru.pool.ntp.org.0x1, 3.ru.pool.ntp.org.0x1
  • Type : NTP
  • CrossSiteSyncFlags : 2
  • ResolvePeerBackoffMinutes : 15
  • Resolve Peer BAckoffMaxTimes : 7
  • SpecilalPoolInterval : 3600
  • EventLogFlags : 0

Совет . Не забудьте настроить межсетевой экран таким образом, чтобы сервер PDC мог получить доступ к внешним NTP серверам по протоколу NTP (UDP порт 123).

Виртуализация и синхронизация времени

Вы уже видите очень конкретный обзор пользовательского интерфейса и диапазона функций. Виртуализация компьютеров тикает часы немного по-другому. Это утверждение может быть принято буквально и уже показывает фундаментальную проблему. Виртуализируя компьютеры, вы должны убедиться, что эти виртуальные машины или гости регулярно проверяют свое системное время и при необходимости корректируют. Если системное время виртуальной машины не соответствует остальной части сети, могут возникнуть проблемы связи.


Примените созданный ранее фильтр PDC Emulator к данной политике.

Совет . Найти имя сервера с ролью PDC можно с помощью команды: netdom query fsmo

Осталось обновить политики на контроллере PDC:
gpupdate /force

Вручную запустите синхронизацию времени:
w32tm /resync

Проверьте текущие настройки NTP:
w32tm /query /status

Совет . В том случае, если время не синхронизировалось, перезапустите службу времени Windows и сбросьте текущие настройки:
net stop w32time
w32tm.exe /unregister
w32tm.exe /register
net stop w32tim

Настройка синхронизации времени на клиентах домена

В среде Active Directory по умолчанию клиенты домена синхронизируют свое время с контролерами домена (опция Nt5DS – синхронизировать время согласно иерархии домена). Как правило, эта схема работает и не требует перенастройки. Однако при наличии проблем с синхронизацией времени на клиентах домена, можно попробовать принудительно назначить сервер времени для клиентов с помощью GPO.

Для этого создайте новую GPO и назначьте ее на контейнеры (OU) с компьютерами. В редакторе GPO перейдите в раздел Computer Configuration -> Administrative Templates -> System -> Windows Time Service -> Time Providers и включите политику Configure Windows NTP Client .

В качестве сервера NTP укажите имя или ip адрес PDC, например msk-dc1.сайт,0x9, а в качестве типа синхронизации — NT5DS


Обновите настройки групповых политик на клиентах и проверьте, что клиенты успешно синхронизировали свое время с PDC.

Совет . Указанная схема применима только к небольшим доменам. Для больших распределенных доменов с большим количеством DC и сайтов придется создать отдельную политику для каждого сайта, чтобы клиенты синхронизировали свое время с DC в сайте.