Синхронизация времени с контроллером домена. Время синхронизации


Опубликованно 08.05.2018 04:01

Синхронизация времени с контроллером домена. Время синхронизации

Синхронизация системного времени в домене Active Directory важно для правильной работы многих функций на отдельных рабочих станциях под управлением Windows. Сбившиеся часы могут беспокоить влияние на способность пользователя, войти в систему, движение почты в Exchange создать и множество других проблем, которые довольно трудно распознать.

В сложных случаях распространенных методов синхронизации времени в сети не на сто процентов надежны или даже предсказуемо. Например, если часы физического Hyper-V узла синхронизации, это обычно влияет на все виртуальные машины, иногда катастрофически. К счастью, не требует много усилий, чтобы исправить ошибки синхронизации времени.

Выбор компьютера в качестве источника времени

Первое, что нужно сделать перед настройкой синхронизации времени – выберите компьютер, который является основным источником системного времени в домене.

Обычно в качестве такого источника выбран компьютер, который имеет в Active Directory роль эмулятора основного контроллера домена (PDC). Согласно официальной документации от Microsoft, какой самый главный ресурс, от сети получает данные о времени. Однако на практике это не всегда возможно.

Машина, которую вы выбираете, источники будут проводить регулярные консультации с Интернета, так что, если вы размышляете на строго охраняемом объекте с высокими требованиями к информационной безопасности, то стоит задуматься над тем, делегировать эту роль другой компьютер.

Например: выделенный сервер, который будет получать информацию о времени из Интернета и перенести PDC-эмулятор. В этом случае у вас есть несколько компьютеров, служащие источниками времени для машин, работающих в сети. Конфигурация брандмауэра

Трафик при синхронизации времени с контроллером домена переходит на UDP-порт 123. На компьютере, служащего источником времени, это открыть порт для входящих подключений. На всех машинах в сети порт 123 для исходящих подключений должен открыто, по крайней мере, с одним контроллером домена. Настройка контроллера домена

Для синхронизации времени с контроллером домена на сервере с ролью эмулятора PDC, с командной строки должны быть выполнены до, выполните следующие действия:

1. Проверьте, что контроллер домена, на котором они работают, является PDC-Emulator с помощью команды

netdom query fsmo

2. На эмуляторе PDC выполнить следующую команду синхронизации времени в указанном порядке:

net stop w32time

w32tm /configure /syncfromflags: manual /manualpeerlist:"0.us.pool.ntp.org,0x1 1.us.pool.ntp.org, 0x1 2.us.pool.ntp.org, 0x1 3.США.бассейн. ntp.org, 0х1"

Внешним источником времени по умолчанию для Windows Server сервер time.windows.com. Лучшим вариантом является синхронизация с несколькими серверами времени. В предыдущей команде мы используем серверное время, поддерживаемые NTP Pool Project.

net start w32time

w32tm /configure /reliable: yes /update

w32tm /resync

3. Если в Active Directory есть несколько контроллеров домена, выполните в командной строке следующую команду:

w32tm /config /syncfromflags: domhier /update

4. Проверьте настройки времени на эмуляторе PDC:

w32tm /query /статус:

5. Проверьте обучающая Настройка времени на всех остальных контроллерах домена:

w32tm /query /статус:

Настройка DHCP

Для синхронизации времени с контроллером домена на устройства, которые для DHCP в настройках DHCP-сервера установите параметр 004 042.

Для DHCP-записи можно только IP-адреса. Вы можете ввести имя сервера и нажать Resolve, чтобы IP-адрес сервера.

Если вы укажите с помощью DHCP Cisco-устройств в настройках DHCP следующие команды:

вариант 4 ip [IP-адрес]

вариант 42 ip [IP-адрес]

IP-адрес должен быть заменен на реальный IP сервера, служащего источником времени.

Теперь все DHCP-устройства получают настройки времени с сервера при следующем обновлении. Настройка статических устройствах и компьютерах с другими операционными системами

Большинство NAS-и SAN-устройств имеют возможность ввода информации с сервера поставщика время настройки.

Как настроить синхронизацию времени с контроллером домена на Cisco IOS-устройств, введите в командной строке:

ntp сервер 192.168.25.5

IP-адрес должен быть заменен на реальный IP сервера, служащего источником времени.

Настройка синхронизации времени на компьютере под управлением операционной системы Windows см. в документации операционной системы. Но для других операционных систем правильные настройки времени не так важен, как для Windows, так от синхронизации он также может отказать. Настройка виртуальных компьютеров

Все современные гипервизоры имеют возможность для синхронизации системного времени гостевой компьютер с помощью встроенных инструментов. Если включена синхронизация времени в домене, гостевые машины будут все время с физического хоста, на котором запущена.

В большинстве случаев вы должны отключить эту функцию для гостевых машин Windows Server, которые служат виртуализированных контроллеров домена. Для всех остальных гостей, она должна быть включена.

Для настройки синхронизации времени с контроллером домена гипервизора Hyper-V откройте диалоговое окно параметры и щелкните на вкладке Integration Services. Установите или снимите флажок Time Synchronization. Для других гипервизоров см. в документации производителя.

Настройка групповой политики

Убеждать того, чтобы действительно получить ваш компьютер работает под управлением Windows используйте настройки времени, которые приходят от контроллера домена, необходимо использовать групповые политики.

Новой групповой политики, откройте средство управления политиками на контроллере домена или на компьютере, на котором удаленного администрирования сервера установлена. Разверните Домен. Щелкните правой кнопкой мыши на узле Group Policy Objects , и нажмите кнопку New. Введите новое Policy имя и нажмите кнопку ОК.

Щелкните правой кнопкой мыши на новую политику и нажмите кнопку Edit. Таким образом, запускается редактор групповой политики-окна.

Перейдите к конфигурация компьютера > Политики > Административные шаблоны > система -> Windows Time Service > timeproviders. В правой части окна дважды щелкните Enable Windows NTP-клиента. Включите опцию Enabled , и нажмите кнопку ОК.

Дважды нажмите кнопку Configure Windows NTP-клиента. Установите настройки как на рисунке ниже, нажав 0x1 в поле NtpServer, чтобы yourdc.yourdomain.tld, 0x1.

После сохранения закройте редактор групповой политики. Вы попадете в окно консоли управления основной политикой группы.

Если в домене есть большое количество политики, щелкните правой кнопкой мыши на новую политику и щелкните в GPO Status - > User Configuration Settings Disabled. Это ускоряет обработку каждой политики.

Теперь нажмите правой кнопкой мыши на объект Active Directory, с которой вы хотите применить эту политику, и нажмите кнопку Link an Existing GPO. Отметьте новые политики и нажмите кнопку ОК. При необходимости повторите шаги для других объектов.

Помните, что вложенные объекты наследуют групповую политику от своих родителей, если наследование не заблокирован или дочернего объекта нет собственной групповой политики, связанного с противоположными параметрами. Настройки для других контроллеров домена

Если описанные выше шаги, чтобы времени синхронизации в домене, то почти гарантировано, установки приема правильное время на всех компьютерах сети. Поэтому другие контроллеры домена (если есть несколько), не может коснуться.

Если вы хотите пойти, но не рискуйте, что вы используете правильное время, вы можете редактировать локальной групповой политики. Перейдите в меню Пуск > Выполнить и введите gpedit.msc. Нажмите кнопку ОК.

Затем используйте те же настройки, вы найдете в предыдущем разделе. Если контроллер домена, хотим работать на вас, управляет Windows Server Core, вы можете сделать это дистанционно, при условии, что такая возможность позволит защищен брандмауэром. Просто запустите mmc.exe на компьютере с использованием графического интерфейса, откройте пункт меню File > Add/Remove Snap-In, дважды щелкните Group Policy Object Editor и перейдите к компьютеру, на котором вы редактирование групповой политики. Проверка результата

Запустите на любом Windows-компьютеров в сети командная строка с правами администратора и введите:

gpupdate

w32tm / query / source

Команда на контроллер домена возвращает адрес NTP-серверов, которые были определены как внешние источники времени из Интернета.

На пользовательской рабочей станции команду адрес контроллера домена.

На виртуальной машине Hyper-V с включенной синхронизацией времени вы должны увидеть сообщение: VM IC Time Synchronization поставщика.

Если команда сигнализирует, что время не определяется через местное CMOS-часы, синхронизация времени в домене работает.



Категория: Техника