Avtoprokat-rzn.ru

Автопрокат Эволюшн
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Синхронизация времени с контроллером домена. Настройка синхронизации времени

Синхронизация времени с контроллером домена. Настройка синхронизации времени

Синхронизация системного времени в домене Active Directory имеет значение для корректной работы многих функций на пользовательских рабочих станциях под Windows. Сбившиеся системные часы могут повлиять на способность пользователя войти в систему, нарушить движение почты в Exchange и создать массу других проблем, которые достаточно трудно обнаружить.

В сложных случаях стандартные методы синхронизации времени в сети не являются на сто процентов надежными или даже предсказуемыми. К примеру, если часы физического хоста Hyper-V перестают синхронизироваться, это обычно сказывается на всех виртуальных машинах, иногда катастрофически. К счастью, не требуется много усилий, чтобы исправить ошибки синхронизации времени.

синхронизация времени с контроллером домена

Выбор компьютера в качестве источника времени

Первое, что необходимо сделать перед настройкой синхронизации времени, – выбрать компьютер, который станет основным источником системного времени в вашем домене.

Как правило, в качестве такого источника выбирается компьютер, который в Active Directory обладает ролью эмулятора первичного контроллера домена (PDC). Согласно официальной документации Microsoft, именно он должен являться главным ресурсом, от которого сеть получает данные о времени. Однако на практике это не всегда возможно.

Машина, которую вы выберете, будет регулярно консультироваться с интернет-источниками, поэтому, если вы находитесь на строго охраняемом объекте с высокими требованиями к информационной безопасности, следует задуматься о делегировании этой роли другому компьютеру.

К примеру, можно создать выделенный сервер, который будет получать информацию о времени из Интернета и передавать ее эмулятору PDC. В этом случае у вас будет несколько компьютеров, служащих источниками времени для машин, включенных в сеть.

Настройка брандмауэра

Трафик при синхронизации времени с контроллером домена поступает на UDP-порт 123. На компьютере, служащем источником времени, данный порт необходимо открыть для входящих соединений. На всех машинах в сети порт 123 должен быть открыт для исходящих соединений, по крайней мере с контроллером домена.

Настройка контроллера домена

Для синхронизации времени с контроллером домена на сервере, выполняющем роль эмулятора PDC, с использованием командной строки должны быть выполнены следующие действия:

1. Проверьте, что контроллер домена, на котором вы работаете, является эмулятором PDC, выполнив команду

netdom query fsmo

2. На сервере-эмуляторе PDC запустите следующие команды синхронизации времени в указанном порядке:

net stop w32time

w32tm /configure /syncfromflags:manual /manualpeerlist:»0.us.pool.ntp.org,0x1 1.us.pool.ntp.org, 0x1 2.us.pool.ntp.org, 0x1 3.us.pool. ntp.org, 0x1″

Внешним источником времени по умолчанию для Windows Server является сервер time.windows.com. Наилучшим вариантом является синхронизация с несколькими серверами времени. В приведенной выше команде мы используем серверы времени, поддерживаемые NTP Pool Project.

net start w32time

w32tm /configure /reliable:yes /update

3. Если в Active Directory имеется несколько контроллеров домена, выполните в командной строке следующую команду:

w32tm /config /syncfromflags:domhier /update

4. Проверьте правильность настроек времени на сервере-эмуляторе PDC:

w32tm /query /status:

5. Проверьте правильность настройки времени на всех остальных контроллерах домена:

w32tm /query /status:

cинхронизация времени в домене

Настройка DHCP

Для того чтобы обеспечить синхронизацию времени с контроллером домена на устройствах, отвечающих за DHCP, в настройках DHCP-сервера установите параметры 004 и 042.

настройка синхронизации времени

Для записей DHCP вы можете использовать только IP-адреса. Вы можете ввести имя сервера и нажать Resolve, чтобы получить IP-адрес сервера.

Если вы используете DHCP с помощью устройства Cisco, в настройках DHCP введите следующие команды:

option 4 ip [IP-адрес]

option 42 ip [IP-адрес]

IP-адрес следует заменить на фактический IP сервера, служащего источником времени.

Теперь все DHCP-устройства получат настройки времени от сервера при следующем обновлении.

Настройка статических устройств и компьютеров под другими ОС

Большинство устройств NAS и SAN имеют возможность ввода информации о сервере-поставщике настроек времени.

Чтобы настроить синхронизацию времени с контроллером домена на устройствах Cisco IOS, в командной строке введите:

Читайте так же:
Как отрегулировать уровень топлива в поплавковой камере карбюратора солекс

ntp server 192.168.25.5

IP-адрес следует заменить на фактический IP сервера, служащего источником времени.

Чтобы настроить синхронизацию времени на компьютере под операционной системой, отличной от Windows, обратитесь к документации операционной системы. Впрочем, для других ОС корректные настройки времени не так важны, как для Windows, поэтому от синхронизации можно даже отказаться.

Настройка гостевых виртуальных машин

Все современные гипервизоры имеют возможность синхронизации системного времени для гостевых машин с помощью встроенных инструментов. Если синхронизация времени в домене включена, гостевые машины будут получать время с физического хоста, на котором они запущены.

В большинстве случаев нужно отключить эту функцию для гостевых машин Windows Server, которые служат в качестве виртуализированных контроллеров домена. Для всех остальных гостей она должна быть включена.

Для настройки синхронизации времени с контроллером домена в гипервизоре Hyper-V откройте диалоговое окно Settings и перейдите на вкладку Integration Services. Снимите или установите флажок Time Synchronization. Для других гипервизоров обратитесь к документации производителя.

команда синхронизации времени

Настройка групповых политик

Для того чтобы действительно убедить ваши компьютеры под Windows использовать настройки времени, получаемые от контроллера домена, необходимо настроить групповые политики.

Чтобы установить новую групповую политику, откройте средство управления политиками на контроллере домена или на компьютере, на котором установлены средства администрирования удаленного сервера. Разверните свой домен. Щелкните правой кнопкой мыши по пункту Group Policy Objects и нажмите New. Дайте новой политике имя и нажмите ОК.

синхронизация времени на компьютере

Кликните правой кнопкой по новой политике и нажмите Edit. Это запустит окно редактора политики группы.

Перейдите в Computer Configuration > Policies > Administrative Templates > System -> Windows Time Service > Time Providers. На правой панели дважды щелкните Enable Windows NTP Client. Установите опцию в положение Enabled и нажмите ОК.

Затем дважды щелкните Configure Windows NTP Client. Настройте параметры, как на рисунке ниже, добавив 0x1 в поле NtpServer, чтобы получилось yourdc.yourdomain.tld, 0x1.

ошибка синхронизации времени

После сохранения групповой политики закройте редактор. Вы вернетесь в окно консоли управления основной политикой группы.

Если в вашем домене имеется большое количество политик, щелкните правой кнопкой по новой политике и перейдите в GPO Status > User Configuration Settings Disabled. Это ускорит обработку каждой политики.

Теперь нажмите правой кнопкой мыши по объекту Active Directory, к которому вы хотите применить эту политику, и нажмите Link an Existing GPO. Выделите новую политику и нажмите ОК. При необходимости повторите действия для других объектов.

синхронизация времени в домене

Помните, что вложенные объекты наследуют групповую политику от своего родителя, если наследование не заблокировано или у дочернего объекта нет собственной связанной групповой политики с конфликтующими настройками.

Настройка других контроллеров домена

Если вы выполните описанные выше шаги для обеспечения синхронизации времени в домене, то почти гарантированно настроите получение корректного времени всеми компьютерами в сети. Поэтому другие контроллеры домена (если у вас их несколько) можно не трогать.

Однако если вы хотите быть уверенными, что они используют правильное время, вы можете отредактировать локальную групповую политику. Перейдите в меню Пуск > Выполнить и введите gpedit.msc. Нажмите ОК.

Затем используйте те же настройки, что приведены в предыдущем разделе. Если контроллер домена, на котором вы хотите работать, управляется Windows Server Core, вы можете сделать это удаленно, при условии, что такая возможность разрешена сетевым экраном. Просто запустите mmc.exe на компьютере с графическим интерфейсом, откройте пункт меню File > Add/Remove Snap-In, дважды щелкните Group Policy Object Editor и перейдите на компьютер, на котором вы хотите отредактировать групповую политику.

Проверка результата

Запустите на любом Windows-компьютере в сети командную строку с правами администратора и введите:

w32tm / query / source

В результате выполнения команды на контроллере домена будет возвращен адрес одного из серверов NTP, которые были заданы в качестве внешних источников времени из Интернета.

Читайте так же:
Как отрегулировать фары getz

На пользовательской рабочей станции команда вернет адрес контроллера домена.

На виртуальной машине Hyper-V с включенной синхронизацией времени вы должны увидеть сообщение: VM IC Time Synchronization Provider.

Если команда сигнализирует, что время определяется по локальным CMOS-часам, синхронизация времени в домене не работает.

Синхронизация времени с основным контроллером домена

КАК ПРАВИЛЬНО НАСТРОИТЬ СЛУЖБУ ВРЕМЕНИ НА КОНТРОЛЛЕРЕ ДОМЕНА В СРЕДЕ ВИРТУАЛЬНЫХ МАШИ Н С ИСПОЛЬЗОВАНИЕМ ТЕХНОЛОГИИ HYPER-V.

Использование виртуальной среды Hyper-V операционной системы Windows 2008 Server для развертывания системы управления доменом Windows любого уровня предоставляет администраторам массу преимуществ в сравнении с использованием аппаратного способа.

Основными преимуществами виртуального способа размещения контроллеров домена и различных серверов, обслуживающих домен, являются гибкость в конфигурировании и размещении самих виртуальных машин и высокая надежность резервного копирования важнейшей информации. Можно добавить высокую эффективность такой среды в исследовательских и экспериментальных целей.

Основной проблемой при развертывании контроллеров домена в виртуальной среде является обеспечение правильного функционирования службы времени в домене, поскольку все компьютеры-члены домена синхронизируют собственные часы именно по первому контроллеру домена, а время в виртуальной машине может значительно отличаться от реального за счет особенностей функционирования самой виртуальной среды и зависит от нагрузки на физический хост, на котором размещена виртуальная машина-контроллер домена, от способа синхронизации внутренних часов физического хоста и от способа управления временем на виртуальном хосте-контроллере домена.

Особенности построения виртуальной сети, в которой работают физический хост с виртуальной средой и виртуальные контроллеры домена рассмотрены в данной статье, поэтому здесь будем считать, что виртуальная сеть создана и правильно настроена. Кроме того, будем считать, что контроллеры домена также созданы и правильно настроены, и что сам домен функционирует правильно.

В домене используется следующая схема синхронизации времени:

— Контроллер корневого домена в лесу AD, которому принадлежит роль PDC (назовем его корневым PDC), является источником времени для всех остальных контроллеров этого домена.

— Контроллеры дочерних доменов синхронизируют время с вышестоящих по топологии AD контроллеров домена.

— Рядовые члены домена (сервера и рабочие станции) синхронизируют свое время с ближайшим к ним доступным контроллером домена, соблюдая топологию AD.

Корневой PDC может синхронизировать свое время как со внешним источником, так и с самим собой, последнее задано конфигурацией по умолчанию и является абсурдом, о чем периодически намекают ошибки в системном журнале.

Синхронизация клиентов корневого PDC может осуществятся как с его внутренних часов, так и с внешнего источника. В первом случае сервер времени корневого PDC объявляет себя как «надежный» (reliable).

ВАЖНО: Если физический хост, на котором размещены виртуальные контроллеры домена, НЕ ЯВЛЯЕТСЯ ЧЛЕНОМ ЭТОГО ДОМЕНА, то проблемы синхронизации времени не возникнет, но только при условии, что все контроллеры домена размещены на таких же хостах — не входящих в домен.

Поскольку не всегда возможно обеспечить выполнение этого условия — мастер-хост не является членом домена — то придется менять принятую систему синхронизации времени.

В виртуальной среде управление временем виртуальных машин осуществляется службой синхронизации времени, что очень полезно для рядовых машин, но противопоказано для контроллеров домена потому, что в этом случае весьма вероятен цикл, при котором контроллер домена и хостовая ОС будут синхронизировать друг друга .

А потому служба синхронизации времени виртуальной машины и хостовой ОС должны быть выключены для всех виртуальных контроллеров домена .

Это легко сделать в панели настройки параметров виртуальной машины, открыв ее в Диспетчере сервера и перейдя в раздел Службы интеграции. В предлагаемых для использования службах следует снять чек у параметра Служба времени, как показано на картинке.

ВАЖНО: Это действие необходимо проделать для всех виртуальных машин, которые выполняют функцию контроллеров домена.

Читайте так же:
Нет синхронизации времени пк с сервером точного времени

После отключения параметра Служба времени пакета интеграции необходимо настроить службу времени самого контроллера домена. Для этого требуется ряд несложных действий:

1. Включить синхронизацию внутренних часов с внешним источником пуем правки реестра

2. Объявить NTP -сервер в качестве источника времени путем правки реестра

3. Проверить факт включения NTP -сервера в реестре

4. Задать список снешних источников для синхронизации путем правки реестра

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParameters]
«NtpServer»=»time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 ru.pool.ntp.org,0x8» .

Флаг 0×8 на конце означает, что синхронизация должна происходить в режиме клиента NTP, через предложенные этим сервером интервалы времени. Для того, чтобы задать свой интервал синхронизации, необходимо использовать флаг 0×1.

5. Задать интервал синхронизации с внешним источником путем правки реестра

Время в секундах между опросами источника синхронизации, по умолчанию 900с = 15мин. Работает только для источников, помеченных флагом 0×1.

6. Установить интервал минимальноой и максимальной коррекции — рекомендуемое значение 0xFFFFFFFF, при котором коррекция сможет производиться всегда.

7. Перезапустить контроллер домена. Основные настройки сервера времени показаны на картинке.

ВАЖНО: указанные действия можно проделать только на главном контроллере домена — PDC , однако настоятельно рекомендуется провести аналогичную настройку на всех виртуальных контроллерах в домене, даже если они расположены на одном физическом хосте. Накладные расходы на частую коррекцию времени на резервных контроллерах невелики, однако остановка первичного контроллера на значительное время в этом случае не вызовет существенных проблем.

ВНИМАНИЕ .

Главным недостатком использования виртуальной среды для размещения контроллеров домена с описанной схемой синхронизации времени является некорректная работа домена в случае длительной — сутки и более — неработоспособности физического хоста с виртуальными контроллерами домена, размещенным на нем.

В этом случае рассинхронизация часов физической машины и виртуального компьютера выйдет за допустимые в Windows пределы и работоспособность системы может оказаться под угрозой — контроллер домена не сможет выйти в интернет для синхронизации времени, пользователи не смогут регистрироваться в системе и т.д.. Если предполагается частое отключение системы на длительные сроки, то для исключения такой проблемы надо использовать физический хост, не входящий в домен, или вручную устанавливать часы контроллера домена в более-менее правильное положение с последующей его перезагрузкой.

Синхронизация времени с основным контроллером домена

Есть 2 DC. PDC и резервный контроллер домена(виртуальная машина Hyper-V).

Оговорюсь сразу синхронизация с хостовой машиной отключена.

На PDC настроил синхронизацию с внешним источником.

Клиенты в том числе и резервный контроллер не синхронизируют время с PDC.

Резервный берет хардварные часы как источник и роздает на всю сеть. и даже если отключить виртуальную машину с основным контроллером клиенты не синхронизируют время.

Помогите пжст "оттраблшутить".

Ответы

  • Помечено в качестве ответа Petko Krushev Microsoft contingent staff, Moderator 5 декабря 2016 г. 8:04
  • Помечено в качестве ответа Petko Krushev Microsoft contingent staff, Moderator 5 декабря 2016 г. 8:04

Все ответы

А на эмуляторе pdc служба сервера ntp запущена? настраиваете правкой в реестре или через gpo?

Клиентам лучше настройки времени задать через групповую политику на уровне домена посредством NT5DS, тогда клиентские машины будут брать настройки времени с pdc. на самом pdc настройки службы ntp лучше сделать через групповую политику привязанную к ou в котором размещены контроллеры домена, но через wmi фильтр применить ее только для pdc.

И Вам, добрый вечер!

Правки делаю через w32tm + правка реестра.

Немного не понял, реализацию через груповые политики.(если можно разжевать в картинках).

А что касается настроек, то вроде как бы достаточно сделать(только правильно) как я пытаюсь.

И согласно доменной иерархии все должны сами знать где им брать время.

Если вас не затруднит объясните где неправ.

Правильная схема работы NTP сервера в доменной среде:

PDC берет время с внешнего источника, DC берет время с PDC, как реализовать:

Читайте так же:
Отрегулировать холостой ход карбюратора к126г

w32tm /config /manualpeerlist:ntp1.stratum1.ru /syncfromflags:manual /reliable:yes /update

Net stop w32time && net start w32time

обязательно проверьте w32tm /query /source покажет текущий источник времени

W32tm /config /syncfromflags:manual /manualpeerlist:name of the pdc emulator/reliable:yes

Net stop w32time && net start w32time

Далее настройте через GPO чтобы все клиенты синхронизировались с временем с PDC.

  • Помечено в качестве ответа Petko Krushev Microsoft contingent staff, Moderator 5 декабря 2016 г. 8:04

Господа, доброго времени суток!

PDC — на момент моего вопроса на PDC все было настроено как вы и указали выше.

на втором DC время стояло локальное и как я не пытался настроить брать время с PDC нифига не работало,

т.е добровольно он его никак не хотел брать.

Дважды выполнил эту процедуру и перезапустил службу.

Но второй DC упорно не брал время с PDC.

В реестре ручками указал, что бери друг время с Главного контроллера и. получилось

Теперь схема работает так:

PDC берет время из мира

DC берет время с PDC

сеть клиентов берет время с DC. вроде бы и не плохо но что-то напрягает. Почитаю про GPO попробую сделать через них.

Может вы подскажете вариант чтобы обойтись без GPO.

Хотя теоретически время на домен контроллер по умолчанию отдает через какие-то политики(незнаю, но кажется я брежу)

Обратил внимание вот на что:

C:Windowssystem32>echo %logonserver%
\DC-02

Это имя резервного DC, может ли это быть причиной?

C:Windowssystem32>netdom query fsmo
Хозяин схемы DC-01
Хозяин именования доменов DC-01
PDC DC-01
Диспетчер пула RID DC-01
Хозяин инфраструктуры DC-01
Команда выполнена успешно.

  • Изменено realet 1 декабря 2016 г. 8:50
  • Помечено в качестве ответа Petko Krushev Microsoft contingent staff, Moderator 5 декабря 2016 г. 8:04

Да, пока ждал ответ на свой краний поста как раз вычитал про то, что тазикам пофик кто папа))

Благодарю отписавшихся за оказанную помощь.

Илья, если загляните еще сюда, просьба такого характера.

Я не особо волокно в вопросах админства, но иногда просыпается желание все таки разобраться с разной ерундой. Вы не могли бы сбросить инстукцию плана организации доменной структуры.

1. какие контроллеры разворачивать

2. сервисы какие на них необходимо поднять

3. какие групповые политики на них развернуть(я уже разного начитался, но суть прозрения не приходит, какие вы бы рекомедовали гпо разворачивать)

4. что в АД необходимо а главное как бекапить.

5. и самое главное (ведь собрать можно по массе хавтушек в сети) как эту кухню всю траблшутить.

если что можно и на мыло инструкцию кинуть, а то разрозненых знаний куча а как их в порядок привести а кто ж его знает))) povarsp4()жмель.com

Синхронизировать время с C# приложением через Java

У меня есть приложение Java, работающее на Debian OS, и я общаюсь с серверной программой Windows C#. Мое приложение Java будет подключаться к серверной программе C# через TCP/IP. проблема, с которой я сейчас сталкиваюсь, заключается в том, что мое системное время Debian OS всегда медленнее, чем системное время сервера Windows. Оба приложения в основном работают во внутренней сети, которая не имеет доступа к интернету.

  1. Могу ли я узнать, есть ли какой-нибудь способ синхронизировать время между этими двумя приложениями?
  2. Я читал о NTP, может ли Java использовать NTP для синхронизации времени с программой C#?
  3. Должна ли программа C# работать как NTP-сервер? (Есть ли способ сделать это?)
  4. Если писать просто обмен сообщениями между этими двумя приложениями, возникнут ли какие-либо проблемы?

Буду очень признателен, если кто-нибудь сможет предоставить ссылки для изучения реализаций.

2 ответа

  • Невозможно синхронизировать компьютерное время с Arduino через USB

Я хочу синхронизировать время с моего компьютера на arduino. Я использую их библиотеку времени, но она не работает. Как я могу заставить arduino иметь то же самое время, что и на моем компьютере ? В настоящее время я использую mac. В их документах говорится : В системе unix вы можете установить.

Читайте так же:
Как правильно отрегулировать карбюратор на днепре

Лучше всего было бы запустить свой собственный локальный сервер NTP, а затем синхронизировать оба поля с локальным сервером NTP независимо. Вы даже можете запустить сервер на одном из ящиков. Тогда у вас будет общая временная основа для работы.

С другой стороны, если у вас нет доступа или поддержки для этого, почему бы не отправить время в пакете данных, который передается между системами. Затем у вас будет информация, необходимая для понимания различий между машинами. (Это не учитывает никаких задержек передачи между коробками, но может быть достаточно хорошо, чтобы выполнить работу.)

В вашей сети должна быть одна централизованная служба NTP, с которой все остальные часы в этой сети точно синхронизируются. В идеале, этот NTP-сервер будет синхронизироваться со стандартом времени Интернета, но независимо от того, будет ли это так или нет, он должен быть «the one and only source of Truth» для всей вашей сети.

Старая пословица буквально применима здесь: «человек с одними часами всегда знает, который час; человек с двумя часами никогда не знает.»

Вашему приложению не следует пытаться управлять синхронизацией времени, даже если оно каким-то образом обладает необходимыми для этого привилегиями. (И этого не должно быть ! !) Вместо этого он должен требовать, чтобы часы всех систем всегда были правильно синхронизированы с одним основным источником. Это должно быть его обязательным условием, но не его личной ответственностью.

Похожие вопросы:

Передаю объект java в cpp. Я хочу синхронизировать этот объект java в cpp. (Я также хочу синхронизировать один и тот же объект на стороне java, но с этим нет проблем, так как это может быть легко.

Я пытаюсь написать плагин для приложения Java. Плагин должен быть в состоянии сообщить приложению Java, что новые события были распознаны (шаблон проектирования наблюдателя, опрос . -это не.

Мне интересно, какое решение может быть лучшим для взаимодействия с приложением C++ и его данными через CakePHP в среде Windows. Я думал о создании API, например, с Delphi или Java, который мог бы.

Я хочу синхронизировать время с моего компьютера на arduino. Я использую их библиотеку времени, но она не работает. Как я могу заставить arduino иметь то же самое время, что и на моем компьютере ? В.

Приведенный ниже код генерирует 7 random цифр каждые 30 секунд. public class MainActivity extends Activity < Timer timeoutTimer; final Random myRandom = new Random(); GenerateTask genTask = new.

Я docker файл, как это: FROM anapsix/alpine-java:jre8 ADD service-god-sac-1.0.0-SNAPSHOT.jar app.jar ENTRYPOINT [java, -Xmx64m, -XX:MaxMetaspaceSize=64m, -jar, /app.jar] Когда я компилирую и.

Я использую ContactPicker, чтобы выбрать некоторые контакты и сохранить их в своем приложении через SQLite. 1. Как синхронизировать с моим приложением, когда есть изменение имени или номера телефона.

В моем приложении я хочу показать такую опцию, как синхронизация контактов с приложением . Он должен синхронизировать все контакты с моим приложением (точно так же, как это делает Facebook, когда мы.

Я хочу синхронизировать контакты устройства iOS с приложением, основанным на платформе QT, я ищу API, который может сделать это с помощью qt Я нахожу обходной путь (мост QT-JNI-Java) для android.

Система Windows в домене синхронизирует свое время с контроллером домена. Можно ли синхронизировать его с внешним сервером через NTP? Спасибо

голоса
Рейтинг статьи
Ссылка на основную публикацию
Adblock
detector