Синхронізація часу з контролером домену. Налаштування синхронізації часу

Наша взаимовыгодная связь https://banwar.org/

Синхронізація системного часу в домені Active Directory (ad) - це значення для правильної роботи багатьох функцій на робочих станціях під керуванням Windows. Істоти системних годин може вплинути на здатність користувача увійти в систему, порушити рух електронної пошти в Exchange і створює багато інших проблем, які досить важко виявити.

У складних випадках стандартні методи синхронізації часу в мережі не на сто відсотків надійним, або навіть передбачити. Наприклад, якщо годинник фізичного хоста Hyper-V перестають синхронізуватися, це, як правило, впливає на всі віртуальні машини, іноді катастрофічно. На щастя, він не вимагає багато зусиль, щоб виправити помилки синхронізації часу.

Вибір комп'ютера в якості джерела часу

Перше, що ви повинні зробити перед налаштуванням синхронізації часу - вибрати комп'ютер, який стане основним джерелом часу в домені.

Як правило, в якості такого джерела обраний, комп'ютер, Active Directory є роль емулятора первинного контролера домену (PDC). Згідно офіційній документації Microsoft, саме він повинен бути головним ресурсом мережі отримує дані про час. Однак, на практиці це не завжди можливо.

Машина, яку ви оберете, він буде регулярно переглядати інтернет-джерел, тому, якщо ви перебуваєте на строго охороняється за підвищеними вимогами до інформаційної безпеки, треба думати, делегувати цю роль інший комп'ютер.

Наприклад, ви можете створити виділений сервер, який буде отримувати інформацію про час в Інтернеті і передати його на емуляторі PDC. У цьому випадку, у вас є кілька комп'ютерів, співробітники джерелами часу для машин, включених в мережу. Налаштування брандмауера

Трафік при синхронізації часу з контролером домену надходить на порт UDP 123. На комп'ютері, де джерело часу, цей порт повинен бути відкритий для вхідних з'єднань. На всіх машинах в мережі порт 123 повинен бути відкритий для вихідних з'єднань, по крайней мере, з одним контролером домену. Налаштування контролера домену

Для синхронізації часу з контролером домену на сервері, який виконує роль емулятора PDC, за допомогою командного рядка повинні бути виконані наступні операції:

1. Переконайтеся, що контролер домену, на якому ви працюєте, є емулятор PDC, виконавши команду

netdom query fsmo

2. На сервері емулятор основного контролера домену, виконайте команду синхронізації часу в наступному порядку:

net stop w32time

w32tm / configure / syncfromflags: manual /manualpeerlist:"0.us.pool.ntp.org,0x1 1.us.pool.ntp.org, 0x1 2.us.pool.ntp.org, 0x1, 3.сша.пул . ntp.org, 0x1 "

Зовнішнє джерело часу, за замовчуванням Windows Server-це сервер time.windows.com. Кращий варіант-це синхронізація з декількох серверів часу. У команді вище, ми використовуємо сервери часу, підтримує NTP Pool Project.

net start w32time

w32tm / configure / reliable: yes / update

w32tm / resync

3. Якщо Active Directory, є кілька контролерів домену, виконайте наступну команду:

w32tm / config / syncfromflags: domhier / update

4. Перевірте настройки часу на сервері PDC:

w32tm / query / status:

5. Переконайтеся, що налаштування часу на всі інші контролери домену.

w32tm / query / status:

Налаштування DHCP

Для забезпечення синхронізації часу з контролером домену на пристроях, завантажених DHCP, параметри DHCP-сервер, налаштуйте параметри 004 042.

Для запису DHCP, ви можете використовувати тільки IP-адреси. Ви можете ввести ім'я сервера і натиснути Resolve, щоб отримати IP-адресу сервера.

Якщо ви використовуєте DHCP, за допомогою пристрою Cisco, в настройках DHCP, введіть наступні команди:

варіант 4 ip [IP-адреса]

варіант 42-ip [IP-адреса]

IP-адреса має бути замінений на реальний IP сервера, який служить джерелом часу.

Тепер, все DHCP пристрій отримає настройки часу сервера при наступному оновленні. Налаштування статичних пристроїв і комп'ютерів, під інші ОС

Більшість пристроїв NAS і SAN мають можливість введення інформації на сервері провайдера налаштувань часу.

Щоб налаштувати синхронізацію часу з контролером домену на пристроях Cisco IOS, в командному рядку введіть:

ntp server 192.168.25.5

IP-адреса має бути замінений на реальний IP сервера, який служить джерелом часу.

Щоб налаштувати синхронізацію часу на комп'ютері під операційною системою Windows, зверніться до документації вашої операційної системи. Втім, для інших ОПЕРАЦІЙНИХ систем, налаштування часу, не так важливі, як для Windows, таким чином, синхронізації, ви можете навіть відмовитися. Конфігурація віртуальні машини

Всі сучасні Гіпервізор мають можливість синхронізувати час системи для віртуальних машин за допомогою вбудованих засобів. Якщо синхронізація часу в домені включена, машини будуть отримувати фізичний хост, на якому вони виконуються.

У більшості випадків, ви повинні відключити цю функцію для віртуальних машин з Windows Server, які служать в якості контролерів домену на віртуальних машинах. Для всіх інших гостей, вона повинна бути включена.

Щоб налаштувати синхронізацію часу з контролером домену в гипервизор Hyper-V, відкрийте діалогове вікно Settings і перейдіть на вкладку Integration Services. Установіть прапорець Time Synchronization. Для інших гіпервізора, см. В документації виробника.

Налаштування групової політики

Щоб дійсно переконати ваших комп'ютерів під Windows, використовувати налаштування за часом, з контролера домену, необхідно налаштувати групову політику.

Для визначення нової стратегії групи, відкрийте засіб управління політиками на контролері домену або на комп'ютері, на якому встановлені засоби адміністрування віддаленого сервера. Розгорніть вузол домену. Натисніть правою кнопкою миші на точці, Об'єктів групової Політики і натисніть кнопку New. Дайте нову політичну ім'я і натисніть кнопку ОК.

Клацніть правою кнопкою миші на новій політичній і натисніть кнопку Edit. Це дозволяє запустити вікно редактора групової політики.

Перейдіть в розділ Конфігурація комп'ютера> Політики> Адміністративні Шаблони> Система> Windows Time Service> Time Providers. На правій панелі двічі клацніть Enable Windows NTP-Клієнта. Встановіть параметр в положення Enabled і натисніть кнопку ОК.

А потім двічі клацніть Configure Windows NTP-Клієнта. Налаштуйте параметри, як на малюнку нижче, і додавши 0x1 в поле ntp-сервер, щоб читати yourdc.yourdomain.дву, 0x1.

Після реєстрації групової політики, закрийте редактор. Ви повернетеся в вікно консолі керування груповою політики.

Якщо вашої області є велика кількість стратегій, клацніть правою кнопкою миші по новій політиці і перейдіть в GPO Status> User Configuration Settings Disabled. Це дозволить прискорити обробку кожного політика.

Тепер клацніть правою кнопкою миші на об'єкт Active Directory, до якого ви хочете застосувати цю стратегію, і натисніть на Link an Existing GPO. Виділіть нову стратегію, і натисніть кнопку ОК. Якщо необхідно, повторіть кроки для інших об'єктів.

Пам'ятайте, що об'єкти успадковують групову політику від його батька, якщо спадкування не заблокований або дочірнього об'єкта, не були зв'язані групової політики в конфлікт з настройками. Налаштування на інші контролери домену

Якщо ви будете слідувати вище кроки, щоб забезпечити синхронізацію часу в домені, це практично гарантовано, налаштуйте отримання точний час на всіх комп'ютерах мережі. Таким чином, інші контролери домену (якщо у вас їх декілька) можна не чіпати.

Однак, якщо ви хочете бути впевнені в тому, що вони використовують правильний час, ви можете змінити локальної групової політики. Перейдіть в меню Пуск> Виконати і введіть gpedit.msc. Натисніть "ОК".

Потім використовуйте ті ж параметри, що дані в попередньому розділі. Якщо контролер домену, на якому ви хочете працювати, керований Windows Server Core, ви можете зробити це дистанційно, за умови, що така можливість дозволена мережі страви. Просто запустіть mmc.exe на комп'ютер з графічним інтерфейсом, відкрийте меню File> Add / Remove Snap-In, двічі клацніть Редактор об'єктів групової Політики і натисніть на комп'ютері, на якому ви хочете змінити групову політику. Перевірка результату

Запустити на будь-якому ПК з Windows в мережі, командний рядок від імені адміністратора і введіть:

gpupdate

w32tm / query / source

В результаті виконання команди на контролері домену, буде повернуто на адресу одного з серверів NTP, які були визначені в якості зовнішніх джерел часу з Інтернету.

На робочій станції, команда повертає адресу контролера домену.

На віртуальній машині Hyper-V включений, синхронізація часу, ви повинні побачити повідомлення: VM IC Time Synchronization Provider.

Якщо команда вказує, що час визначається локальної CMOS-час, синхронізація часу в домені не працює.

Категорія: техніка