Услугата Windows Time, въпреки очевидната си простота, е една от основните за нормалното функциониране на домейна в Active Directory. В правилно конфигурирана AD среда, услугата за време работи по следния начин: потребителските компютри получават точното време от най-близкия контролер на домейн, в който са регистрирани. Всички контролери на домейни от своя страна получават точното време от DC с ролята на FSMO "PDC емулатор"и PDC контролерът синхронизира времето си с определен външен източник на време. Един или няколко NTP сървъра, например time.windows.com или NTP сървърът на вашия интернет доставчик, могат да действат като външен източник на време. Трябва също да се отбележи, че по подразбиране клиентите са времето на домейна се синхронизира с помощта на Windows Time Service (Windows Time), а не с помощта на NTP протокола.
Ако сте изправени пред ситуация, в която времето за клиенти и контролери на домейни се различава, може би вашият домейн има проблеми със синхронизирането на времето и тази статия ще ви бъде полезна.
На първо място, изберете подходящия NTP сървър, който бихте могли да използвате. Списък на публично достъпните NTP сървъри е на разположение на http://ntp.org. В нашия пример ще използваме NTP сървъра от пула ru.pool.ntp.org:
- 0.ru.pool.ntp.org
- 1.ru.pool.ntp.org
- 2.ru.pool.ntp.org
- 3.ru.pool.ntp.org
Настройката на синхронизация на времето в домейн с помощта на групови правила се състои от две стъпки:
1) Създаване на GPO за контролер на домейн с ролята на PDC
2) Създаване на GPO за клиенти (незадължително)
Конфигурирайте политиките за синхронизация на NTP на контролер на домейни на PDC
Тази стъпка включва конфигуриране на домейн контролер с ролята на PDC емулатор за синхронизиране на времето с външен NTP сървър. защото теоретично, ролята на PDC емулатор може да бъде преместена между контролери на домейни, трябва да направим политика, която да се прилага само за текущия собственик на ролята на PDC. За да направите това, в конзолата за управление Конзола за управление на групови политики (GPMC.msc), създайте нов филтър за групови правила на WMI. За това в раздела Wmi филтри създайте филтър и име PDC емулатор и WMI заявка: Изберете * от Win32_ComputerSystem, където DomainRole = 5
След това създайте нов GPO и го присвойте на контейнера на домейн контролери.
Превключете към режим за редактиране на политики и разгънете следния раздел с политики: Конфигурация на компютъра-> Административни шаблони-> Система-> Времева услуга на Windows-> Доставчици на време
Интересуваме се от трима политици:
- Конфигурирайте Windows NTP клиент: Разрешено (настройките на правилата са описани по-долу)
- Активиране на Windows NTP клиент: Активирано
- Активиране на Windows NTP Server: Активирано
В настройките на правилата Конфигурирайте Windows NTP клиент посочете следните параметри:
- NtpServer: 0.ru.pool.ntp.org, 0x1 1.ru.pool.ntp.org, 0x1 2.ru.pool.ntp.org, 0x1 3.ru.pool.ntp.org, 0x1
- тип: NTP
- CrossSiteSyncFlags: 2
- ResolvePeerBackoffMinutes: 15
- Решете Peer BAckoffMaxTimes: 7
- SpecilalPoolInterval: 3600
- EventLogFlags: 0
Приложете филтъра, създаден по-рано PDC емулатор към тази политика.
съвет. За да намерите името на сървъра с ролята на PDC, използвайте командата:netdom заявка fsmo
Остава да актуализираме политиките на PDC:gpupdate / force
Ръчно ръчно синхронизиране:w32tm / resync
Проверете текущите си настройки за NTP:w32tm / заявка / състояние
нетно спиране w32time
w32tm.exe / нерегистрирайте се
w32tm.exe / регистрация
нетен старт w32time
Конфигуриране на синхронизация на времето за клиенти на домейна
В среда на Active Directory по подразбиране клиентите на домейна синхронизират времето си с контролери на домейни (опция) Nt5DS - синхронизирайте времето според йерархията на домейна). Обикновено тази схема работи и не изисква преконфигуриране. Ако обаче има проблеми със синхронизирането във времето на клиенти на домейна, можете да опитате да принудите сървър за време да бъде назначен за клиенти, използващи GPO.
За целта създайте нов GPO и го присвойте на контейнери (OU) с компютри. В редактора на GPO отидете на Конфигурация на компютъра -> Административни шаблони -> Система -> Времева услуга на Windows -> Доставчици на време и активирайте политиката Конфигурирайте Windows NTP клиент.
За NTP сървъра посочете името на PDC или IP адреса, например msk-dc1.winitpro.ru, 0x9 и NT5DS като тип синхронизация
Актуализирайте настройките на груповата си политика за клиентите и проверете дали клиентите успешно са синхронизирали времето си с PDC.
съвет. Тази схема се прилага само за малки домейни. За големи разпределени домейни с голям брой DC и сайтове, ще трябва да създадете отделна политика за всеки сайт, така че клиентите да синхронизират времето си с DC в сайта.