Avtoprokat-rzn.ru

Автопрокат Эволюшн
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Особенности настройки времени для виртуальных контроллеров домена

Особенности настройки времени для виртуальных контроллеров домена

Сегодня речь пойдет о некоторых особенностях настройки службы времени на виртуальных контроллерах домена. Обычно схема синхронизации времени в домене Active Directory выглядит следующим образом:

• Все рядовые сервера и рабочие станции синхронизируют свое время с ближайшим доступным контроллером домена;
• Все контроллеры домена синхронизируются с контроллером, которому принадлежит роль PDC-эмулятор;
• PDC-эмулятор является главным источником времени в домене и поэтому должен быть настроен на синхронизацию с надежным внешним источником времени.

Например так выглядят настройки времени на нашем виртуальном контроллере домена. Как видите, на нем с помощью групповых политик настроена синхронизация с внешним источником pool.ntp.org.

настройки службы времени

Однако если проверить текущий источник времени, то можно довольно сильно удивиться, т.к. в качестве источника выступает непонятная сущность с названием VM IC Time Synchronization Provider.

вывод текущего источника времени

Дело в том, что по умолчанию виртуальные машины Hyper-V синхронизируют свое время с хостом, причем вне зависимости от настроек службы времени внутри машины. В результате может получиться довольно странная ситуация, когда хост является членом домена и синхронизируется с контроллером, который в свою очередь является виртуальной машиной и синхронизируется с хостом.

Для того, чтобы избежать подобной ситуации, для виртуальных контроллерах домена необходимо отключить синхронизацию времени с хостом. Сделать это можно двумя способами.

Способ первый — отключить синхронизацию в свойствах ВМ. Для этого надо в оснастке Hyper-V Manager открыть свойства виртуальной машины, перейти в раздел «Integration Services» и снять галку с пункта «Time synchronization».

отключение синхронизации с помощью Hyper-V manager

Или то же самое с помощью PowerShell. Например такой командой выведем состояние службы для ВМ:

Get-VMIntegrationService -VMName SRV1 -Name ″Time synchronization″

А такой отключим синхронизацию:

Get-VMIntegrationService -VMName SRV1 -Name ″Time synchronization″ | Disable-VMIntegrationService

отключение синхронизации с помощью powershell

Способ второй — отредактировать реестр внутри виртуальной машины. Для отключения синхронизации надо выставить значение для параметра Enabled, находящегося в разделе HKLMSYSTEMCurrentControlSetServicesW32TimeTimeProvidersVMICTimeProvider.

отключение синхронизации времени с помощью правки реестра

Эту настройку можно произвести из командной строки, выполнив команду:

reg add HKLMSYSTEMCurrentControlSetServicesW32TimeTimeProvidersVMICTimeProvider /v Enabled /t reg_dword /d 0

добавление параметра реестра

После отключения синхронизации любым из описанных способов необходимо хорошенько пнуть службу времени, чтобы она перестроилась на новый источник. На контроллере домена с ролью PDC-emulator необходимо рестартовать службу и запустить синхронизацию:

net stop w32time & net start w32time
w32tm /resync /force

рестарт службы времени

На остальных контроллерах дополнительно надо выполнить команду:

w32tm/config /syncfromflags:DOMHIER /update

Это заставит службу времени выбрать в качестве источника PDC-emulator согласно доменной иерархии. Таким образом мы получим правильную схему синхронизации времени в домене.

Настройка доменного сервера времени NTP в Windows Server 2012R2/2016 через GPO

Windows 95 стала доступна в виде приложения на современных платформах

Для начала определяю какой контроллер домена Windows Server 201x имеет роль PDC (если я этого не знаю )) ), если контроллеров домена несколько, как в моём случае. Для этого на любом компьютере или сервере, входящем в домен! , запускаю командную строку от имени Администратора:

Читайте так же:
Как регулируют сцепление на классике

Настройка доменного сервера времени NTP в Windows Server 2012R2/2016 через GPO

Не будем обсуждать распределение ролей между контролерами, в тестовом домене у меня все роли принадлежат одному контроллеру, и перейдя на сервер ADDC01 (в моём случае) — начнем его настройку.

1. Для начала создадим WMI-фильтр, который будет применять нашу новую политику только к серверу с ролью эмулятора PDC

Настройка доменного сервера времени NTP в Windows Server 2012R2/2016 через GPO

2. Создадим новую групповую политику и применим к ней фильтр WMI, созданный нами выше.
Нас интересует путь: Computer Configuration — Administrative Templates — System — Windows Time Service — Time Providers (Конфигурация компьютера -> Политики -> Административные шаблоны -> Система -> Служба времени Windows -> Поставщики времени)

Здесь нам нужно включить три политики:
Enable Windows NTP Client: Enabled
Enable Windows NTP Server: Enabled
Configure Windows NTP Client: Enabled

Настройка доменного сервера времени NTP в Windows Server 2012R2/2016 через GPO

Пункт Configure Windows NTP client имеет следующие настройки:

Настройка доменного сервера времени NTP в Windows Server 2012R2/2016 через GPO

Я использовал следующий список серверов точного времени:

3. Создав политику не забываем применить к ней фильтр WMI:

Настройка доменного сервера времени NTP в Windows Server 2012R2/2016 через GPO

4. Пришло время обновить политики на сервере времени и синхронизировать время. Запускаем командную строку от имени Администратора.

Как настроить время на контроллере домена

Как настроить синхронизацию времени во всём домене сразу? И так, чтобы работало дальше само? А когда контроллер домена с ролью PDC изменится, что делать? А если уже синхронизация времени в домене настроена, но работает плохо, как починить?
Обо всём этом читайте в этой статье.

Как проверить, работает ли синхронизация времени в домене?

До того, как что-либо «ломать» (и в процессе настройки, чтобы проверять эффективность вносимых изменений) необходимо производить диагностику текущего состояния, а также анализировать текущую конфигурацию службы времени. Этому призваны помочь несколько команд, указанных ниже.

Команда w32tm /monitor

  1. Может быть выполнена на любом компьютере (или контроллере) домена.
  2. Показывает список всех контроллеров домена (с которыми может выполняться синхронизация времени).
  3. Для каждого контроллера домена в поле «NTP:» отображает разницу во времени с PDC контроллером домена (который является источником для синхронизации времени во всём домене).
  4. Для каждого контроллера домена в поле «RefID:» отображается информация об источнике синхронизации времени для этого контроллера домена. Для всех контроллеров домена (кроме КД с ролью PDC) это должен быть либо другой контроллер домена, либо КД с ролью PDC.

Команда w32tm /query /Source или w32tm /query /peers

  1. Может быть выполнена на любом компьютере или контроллере домена.
  2. Показывает источник для синхронизации времени (с каким компьютером синхронизируется время того компьютера, на котором запущена эта команда). Для любых компьютеров/серверов это должен быть один из контроллеров домена, для любого контроллера домена (кроме PDC) это должен быть другой КД (обычно — с ролью PDC), для КД с ролью PDC это должен быть внешний источник синхронизации времени (интернет). Если в результатах выполнения команды отобразилось сообщение «VM IC Time Synchronization Provider» — значит, эта виртуальная машина синхронизируется с хостом виртуализации. Если эта виртуальная машина — один из контроллеров домена, такую настройку следует изменить!
Читайте так же:
Регулировка карбюратора омакс 250

Команда w32tm /query /Configuration /verbose

Настройка времени для виртуальных … Настройка синхронизации времени по NTP … Установка доменных служб active …

  1. Может быть выполнена на любом компьютере или контроллере домена.
  2. Выводит все настройки службы времени windows для текущего компьютера.
  3. Убедитесь, что в результатах выполнения команды на всех компьютерах и контроллерах домена (кроме PDC) в разделе [TimeProviders] поле Type имеет значение NT5DS. Если это не так, настройки синхронизации на таких компьютерах надо исправлять (как — см. далее).
  4. Если у Вас Windows 2003, то Вы не можете выполнить эту команду. Вместо этого Вы можете посмотреть параметры конфигурации службы времени в реестре: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParameters, в частности параметр Type.

Команда w32tm /query /status /verbose

  1. Может быть выполнена на любом компьютере или контроллере домена.
  2. Отображет состояние синхронизации (в т.ч. источник синхронизации, время и статус последней синхронизации) для компьютера, на котором выполняется. Опция «/verbose» дает более подробную информацию.

Команда w32tm /stripchart /computer:» » /samples:3 /dataonly

Сравнивает время (и отображает разницу во времени) на текущем компьютере с компьютером, указанном в аргументе /computer. Компьютер-источник для сравнения времени может быть как в интернете, так и в локальном домене. Примеры команды: w32tm /stripchart /computer:»» /samples:3 /dataonly или w32tm /stripchart /computer:»» /samples:3 /dataonly

Настройка контроллера домена

Для синхронизации времени с контроллером домена на сервере, выполняющем роль эмулятора PDC, с использованием командной строки должны быть выполнены следующие действия:

1. Проверьте, что контроллер домена, на котором вы работаете, является эмулятором PDC, выполнив команду

netdom query fsmo

2. На сервере-эмуляторе PDC запустите следующие команды синхронизации времени в указанном порядке:

net stop w32time

w32tm /configure /syncfromflags:manual /manualpeerlist:»,0×1 , 0×1 , 0×1 , 0×1″

Внешним источником времени по умолчанию для Windows Server является сервер Наилучшим вариантом является синхронизация с несколькими серверами времени. В приведенной выше команде мы используем серверы времени, поддерживаемые NTP Pool Project.

net start w32time

w32tm /configure /reliable:yes /update

3. Если в Active Directory имеется несколько контроллеров домена, выполните в командной строке следующую команду:

w32tm /config /syncfromflags:domhier /update

4. Проверьте правильность настроек времени на сервере-эмуляторе PDC:

w32tm /query /status:

5. Проверьте правильность настройки времени на всех остальных контроллерах домена:

w32tm /query /status:

Читайте так же:
Инструменты для регулировки клапан

Синхронизация времени в Active Directory

Среди компьютеров, участвующих в Active Directory работает следующая схема синхронизация времени.

  • Контроллер корневого домена в лесу AD, которому принадлежит FSMО-роль эмулятора PDC (назовем его корневым PDC), является источником времени для всех остальных контроллеров этого домена.
  • Контроллеры дочерних доменов синхронизируют время с вышестоящих по топологии AD контроллеров домена.
  • Рядовые члены домена (сервера и рабочие станции) синхронизируют свое время с ближайшим к ним доступным контроллером домена, соблюдая топологию AD.

Корневой PDC может синхронизировать свое время как со внешним источником, так и с самим собой, последнее задано конфигурацией по умолчанию и является абсурдом, о чем периодически намекают ошибки в системном журнале.

Синхронизация клиентов корневого PDC может осуществятся как с его внутренних часов, так и с внешнего источника. В первом случае сервер времени корневого PDC объявляет себя как «надежный» (reliable).

Далее я приведу оптимальную с моей точки зрения конфигурацию сервера времени корневого PDC, при которой сам корневой PDC периодически синхронизирует свое время от достоверного источника в интернете, а время обращающихся к нему клиентов синхронизирует со своими внутренними часами.

Вводим netdom query fsmo. В моем примере, роль PDC и NTP сервера, принадлежит контроллеру dc7

Настройка NTP сервера и клиента групповой политикой

Раз уж у нас с вами домен Active Directory, то глупо не использовать групповые политики, для массовой настройки серверов и рабочих станций, я покажу как настроить ваш NTP сервер в windows и клиента. Открываем оснастку «Редактор групповых политик». Перед тем как настроить наш NTP сервер в Windows, нам необходимо создать WMI фильтр, который будет применять политику, только к серверу мастера PDC.

Вводим имя запроса, пространство имен, будет иметь значение «rootCIMv2» и запрос «Select * from Win32_ComputerSystem where DomainRole = 5». Сохраняем его.

Затем вы создаете политику на контейнере Domain Controllers.

В самом низу политики применяете ваш созданный WMI фильтр.

Переходим в ветку: Конфигурация компьютера > Политики > Административные шаблоны > Система > Служба времени Windows > Поставщики времени.

Тут открываем политику «Настроить NTP-клиент Windows». Задаем параметры

  • NtpServer: ,0×1 ,0×1 ,0×1 ,0×1
  • Type: NTP
  • CrossSiteSyncFlags: 2. Двойка означает, если этот параметр равен 2 (Все), можно использовать любого участника синхронизации. Это значение игнорируется, если не задано значение NT5DS. Значение по умолчанию: 2 (десятичное) (0×02 (шестнадцатеричное))
  • ResolvePeerBackoffMinutes: 15. Это значение, выраженное в минутах, определяет интервал ожидания службы W32time перед попыткой разрешения DNS-имени в случае неудачи. Значение по умолчанию: 15 минут
  • Resolve Peer BAckoffMaxTimes: 7. Это значение определяет число попыток разрешения DNS-имени, предпринимаемых службой W32time перед перезапуском процесса обнаружения. При каждом неудачном разрешении DNS-имени интервал ожидания перед следующей попыткой удваивается. Значение по умолчанию: семь попыток.
  • SpecilalPoolInterval: 3600. Это значение параметра NTP-клиента, выраженное в секундах, определяет частоту опроса настроенного вручную источника времени, который использует особый интервал опроса. Если для параметра NTPServer установлен флаг SpecialInterval, клиент использует значение, заданное как SpecialPollInterval, вместо значений MinPollInterval и MaxPollInterval, чтобы определить частоту опроса источника времени. Значение по умолчанию: 3600 секунд (1 час).
  • EventLogFlags: 0
Читайте так же:
Что такое синхронизация форсунок

Делаем отдельную групповую политику для клиентских рабочих машин, вот с такими параметрами.

Настройка NTP сервера и клиента групповой политикой

  • NtpServer: Адрес вашего контроллера домена с ролью PDC.
  • Type: NT5DS
  • CrossSiteSyncFlags: 2
  • ResolvePeerBackoffMinutes: 15
  • Resolve Peer BAckoffMaxTimes: 7
  • SpecilalPoolInterval: 3600
  • EventLogFlags: 0

Далее идем на клиента и обновляем групповые политики gpupdate /force и вводим команду w32tm /query /status

Как настроить NTP сервер и синхронизацию времени в домене Active Directory

Добрый день уважаемые читатели и гости блога , как много люди говорят о времени, что оно быстро или медленно бежит, и все понимают, что оно бесценно и важно. Так и в инфраструктуре Active Directory, она является одним из важнейших факторов, правильного функционирования домена. В домене все друг другу доверяют, и один раз авторизовавшись и получив все тикеты от Kerberos, пользователь ходит куда угодно, ограничиваясь лишь своими доступными правами. Так вот если у вас не будет точного времени на ваших рабочих станциях к контроллеру домена, то можете считать, что у вас начинаются серьезные проблемы, о которых мы поговорим ниже и рассмотрим как их устранить с помощью настройки NTP сервера в Windows.

Как настроить NTP сервер и … PC360 — Настройка контроллера домена на … Как указать сервер точного времени для …

Как найти NTP-сервер в домене для синхронизации всех компьютеров

Сохранить все ПК
синхронизация, обновление времени в Интернете поможет вам справиться с этим. И делать
что вам нужно сначала найти NTP (сетевой протокол времени).

Командная строка Windows доставит вас туда. А также
если вы не знаете, с чего начать, не волнуйтесь.

В этом посте
вы узнаете, что вам нужно, как найти NTP-сервер для домена.

Зарегистрируйтесь и начните

Если вы не
зарегистрированный Windows Time Service пока что, приведенные ниже команды покажут вам, как это сделать
Это. Вам также нужно запустить службу, прежде чем вы сможете синхронизировать время вашего компьютера
с вашим NTP-сервером.

Сначала нужно
Запустите командную строку. Выберите «Запуск от имени администратора».

Затем введите
Следующая команда для регистрации вашей системы: w32tm
/регистр

Как только вы нажмете
введите, вы узнаете, если регистрация прошла успешно.

Теперь начнем
с помощью этой команды: sc start
w32time

W32tm / запрос

Теперь, когда
Служба времени Windows зарегистрирована и работает, вы можете получить информацию от
Это. Вы можете сделать это, набрав следующее: w32tm / query и сопоставив его со следующими параметрами.

Читайте так же:
Устройство синхронизации времени ntp

/положение дел

Это покажет
у вас статус службы времени Windows.

/положение дел
/подробный

Это установит
подробный режим, чтобы показать вам больше информации.

/источник

Это покажет
Вы источник времени.

/ конфигурации

Это покажет
вы конфигурация и настройки во время выполнения.

/ сверстники

Это покажет
список людей, использующих вашу систему.

w32tm
/ ресинхронизации

Вы также можете использовать
Командная строка для повторной синхронизации
часы как можно скорее.

Вот
обсуждение каждого параметра этой команды:

/ Компьютер:

Это позволяет вам
укажите компьютер, который будет синхронизирован. Если вы оставите это поле пустым,
темой будет локальный компьютер.

/Нет, подождите

Это позволяет вам
исключить время ожидания для повторной синхронизации. Это означает, что вы не будете
придется ждать завершения процесса, прежде чем результаты будут возвращены.

/мягкий

Это позволяет вам
повторно синхронизировать часы, используя существующие ошибки. Конечно, это не сделает вас
хорошо. Но вы можете обратиться к информации, которую он предоставляет для совместимости.

w32tm
/ конфигурации

Используйте эту команду
настроить вашу систему.

Давайте посмотрим на его
компоненты:

/ Manualpeerlist:

Это позволяет вам установить
список пэров. Это список IP-адресов.

Вы можете оставить это
пусто и по умолчанию будет установлено значение

/Обновить

Это позволяет вам
уведомить службу о новых изменениях, которые должны вступить в силу.

/ Localclockdispersion:

Это настраивает
Точность внутренних часов.

/ Надежность:

Это позволяет вам
указать, является ли система надежным источником времени.

/ Largephaseoffset:

Это позволяет вам установить
разница во времени с вашим местным и сетевым временем.

w32tm
/ dumpreg

Получить
Информацию о ключе реестра вы также можете перейти в командную строку. Там введите следующее вместе с w32tm / dumpreg

/ Подраздел:

Это показывает вам
значения, связанные с вложенным ключом ключа по умолчанию.

/ Компьютер:

Это показывает вам
параметры реестра запросов для указанного компьютера.

w32tm
/ отладки

Командная строка также там, где вы можете
получить доступ к личному журналу вашего компьютера. Вот краткое обсуждение параметров
в этой категории.

/включить
или / отключить

Это позволяет вам включить или отключить личный журнал. Потому что вы хотите получить доступ к этому журналу,
Разрешение — это путь.

Это позволяет вам
укажите название вашего файла. В приведенном ниже примере, скажем, название нашего
файл «ххх».

/размер:

Это позволяет вам
укажите размер вашего файла. То, что вы должны ввести здесь, это максимальное количество
oftes.в примере, размер нашего файла составляет 100 байт.

/ записи:

Это позволяет вам
перечислить значение для ваших записей. Допустимые числа для этого поля:
от 0 до 300. В данном примере значение равно 10.

голоса
Рейтинг статьи
Ссылка на основную публикацию
Adblock
detector