Настройка синхронизации времени в домене Active Directory

2010-05-20, 00:05 / Argon

В этой статье я расскажу о:

  • топологии синхронизации времени среди участников Active Directory
  • оптимальной с моей точки зрения конфигурации сервера времени корневого эмулятора PDC
  • полезных командах для настройки и диагностики синхронизации времени
  • особенностях, которые нужно учитывать для виртуализированных контроллеров домена

Топология синхронизации времени среди участников Active Directory

Среди компьютеров, участвующих в Active Directory работает следующая схема синхронизация времени.

  • Контроллер корневого домена в лесу AD, которому принадлежит FSMО-роль эмулятора PDC (назовем его корневым PDC), является источником времени для всех остальных контроллеров этого домена.
  • Контроллеры дочерних доменов синхронизируют время с вышестоящих по топологии AD контроллеров домена.
  • Рядовые члены домена (сервера и рабочие станции) синхронизируют свое время с ближайшим к ним доступным контроллером домена, соблюдая топологию AD.

Корневой PDC может синхронизировать свое время как со внешним источником, так и с самим собой, последнее задано конфигурацией по умолчанию и является абсурдом, о чем периодически намекают ошибки в системном журнале.

Синхронизация клиентов корневого PDC может осуществятся как с его внутренних часов, так и с внешнего источника. В первом случае сервер времени корневого PDC объявляет себя как «надежный» (reliable).

Далее я приведу оптимальную с моей точки зрения конфигурацию сервера времени корневого PDC, при которой сам корневой PDC периодически синхронизирует свое время от достоверного источника в интернете, а время обращающихся к нему клиентов синхронизирует со своими внутренними часами.

Конфигурация NTP-сервера на корневом PDC

Конфигурирование сервера времени (NTP-сервера) может осуществляться как с помощью утилиты командной строки w32tm, так и через реестр. Где возможно, я приведу оба варианта.

Включение синхронизации внутренних часов с внешним источником

  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters]
    "Type"="NTP"
  • w32tm /config /syncfromflags:manual

Подробности — в библиотеке TechNet.

Объявление NTP-сервера в качестве надежного

  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config]
    "AnnounceFlags"=dword:0000000a
  • w32tm /config /reliable:yes

Подробности — в библиотеке TechNet.

Включение NTP-сервера

NTP-сервер по умолчанию включен на всех контроллерах домена, однако его можно включить и на рядовых серверах.

  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer]
    "Enabled"=dword:00000001

Задание списка внешних источников для синхронизации

  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters]
    "NtpServer"="time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 ru.pool.ntp.org,0x8"
  • w32tm /config /manualpeerlist:"time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 ru.pool.ntp.org,0x8"

Флаг 0x8 на конце означает, что синхронизация должна происходить в режиме клиента NTP, через предложенные этим сервером интервалы времени. Для того, чтобы задать свой интервал синхронизации, необходимо использовать флаг 0x1. Все остальные флаги описаны в библиотеке TechNet.

Задание интервала синхронизации с внешним источником

Время в секундах между опросами источника синхронизации, по умолчанию 900с = 15мин. Работает только для источников, помеченных флагом 0x1.

  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient]
    "SpecialPollInterval"=dword:00000384

Установка минимальной положительной и отрицательной коррекции

Максимальная положительная и отрицательная коррекция времени (разница между внутренними часами и источником синхронизации) в секундах, при превышении которой синхронизация не происходит. Рекомендую значение 0xFFFFFFFF, при котором коррекция сможет производиться всегда.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config]
"MaxPosPhaseCorrection"=dword:FFFFFFFF
"MaxNegPhaseCorrection"=dword:FFFFFFFF

Все необходимое одной строкой

w32tm.exe /config /manualpeerlist:"time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 pool.ntp.org,0x8" /syncfromflags:manual /reliable:yes /update

Полезные команды

  • Применение внесенных в конфигурацию службы времени изменений
    w32tm /config /update
  • Принудительная синхронизация от источника
    w32tm /resync /rediscover
  • Отображение состояния синхронизации контроллеров домена в домене
    w32tm /monitor
  • Отображение текущих источников синхронизации и их статуса
    w32tm /query /peers

Особенности виртуализированных контроллеров домена

Контроллеры домена, работающие в виртуализированной среде, требуют к себе особенного отношения.

  • Средства синхронизации времени виртуальной машины и хостовой ОС должны быть выключены. Во всех адекватных системах виртуализации (Microsoft, vmWare и т. д.) присутствуют компоненты интеграции гостевой ОС с хостовой, которые значительно повышают производительность и управляемость гостевой системой. Среди этих компонентов всегда есть средство синхронизации времени гостевой ОС с хостовой, которое очень полезно для рядовых машин, но противопоказано для контроллеров домена. Потому как в этом случае весьма вероятен цикл, при котором контроллер домена и хостовая ОС будут синхронизировать друг друга. Последствия печальны.
  • Для корневого PDC синхронизация с внешним источником должна быть настроена всегда. В виртуальной среде часы не настолько точны как в физической, потому как виртуальная машина работает с виртуальным процессором и прерываниями, для которых характерно как замедление, так и ускорение относительно «обычной» частоты. Если не настроить синхронизацию виртуализированного корневого PDC с внешним источником, время на всех компьютерах предприятия может убегать/отставать на пару часов в сутки. Не трудно представить неприятности, которые может принести такое поведение.

Источники вдохновения



43 комментария

Leonid Bespalov
# Комментарий от 2010-10-09, 00:12

Спасибо за толковую статью.
Если не очень далеко от темы, — практический вопрос:
Есть контроллер домена, судя по всему, с внутренней синхронизацией (часы сервера отстают от реального времени на 15 минут).
Есть задача скорректировать время.
Кажется, — простой ответ — изменить время в CMOS котроллера домена.
Однако, 22 января 2009 Артём Синицын, здесь http://sinitsyn.org/2009/01/sinxronizaciya-vremeni-v-domene-active-directory/ написал:
“Пользователи домена проходят процедуру аутентификации на контроллерах домена посредством протокола Kerberos (если быть точнее, его пятой версии). В свою очередь Kerberos использует так называемые сеансовые билеты, неотъемлемой частью которых является штамп текущего времени системы. И если разница во времени сервера, обслуживающего запрашиваемый ресурс, и компьютера, с которого пользователь запрашивает доступ, будет больше 5 минут (значение по умолчанию), в доступе будет отказано.
Продолжая мысль, если системное время компьютеров пользователей будет отличаться от времени на контроллере домена, пользователи не смогут успешно пройти процедуру аутентификации, а значит не смогут получить доступ к ресурсам домена. ”
Вопрос: значит ли это, что после корректировки часов в CMOS на 15 минут и перезагруки сервера — котроллера домена, пользователям в сети будет отказано в доступе?
Или это у меня проблема с синхронизацией осмысления прочитанного?

Argon
# Комментарий от 2010-10-09, 11:03

Все понимаете верно, пока часы на клиентах сильно отличаются от общедоменного времени, они не смогут по керберосу аутентифицироваться на других ресурсах домена. Но при изменении времени на корневом контроллере, клиенты с ним в заданный промежуток времени синхронизируются, и все опять пойдет как надо.

Также можно синхронизировать принудительно командой
w32tm /resync /rediscover

RAID
# Комментарий от 2010-12-01, 15:31

сервер win 2003 standart
команда w32tm /query /peers — command unknown

Ilya_Nsk
# Комментарий от 2010-12-20, 07:48

+1 (для русской версии)
C:\….>w32tm /query /peers
Неизвестная команда /query.

Argon
# Комментарий от 2011-01-09, 03:48

Действительно, в WS2003 этих ключей нет.

oriang
# Комментарий от 2011-02-28, 18:50

w32tm /resync /rediscover
Команда синхронизации отправлена на local computer…
Синхронизация не выполнена, поскольку нет доступных данных о времени.

Argon
# Комментарий от 2011-03-02, 22:27

Быть может, не настроен источник для обновления (сервер интернета, топология AD).

AlexZol
# Комментарий от 2011-05-19, 13:15

Спасибо за статью.

to oriang: была похожая ошибка был виноват Файервол.

Александр
# Комментарий от 2011-09-22, 11:38

Спасибо за толковую статью.

MatZO
# Комментарий от 2011-10-25, 17:33

Спасибо за помощь, очень толково описано

Nicass
# Комментарий от 2011-10-31, 14:47

Бесполезная, Win2003 не работает

Argon
# Комментарий от 2011-10-31, 18:14

Параметры реестра годятся и для WS2003. w32tm — да, работает иначе. Для WS2003 могу рекомендовать использовать net time.

Eugene
# Комментарий от 2011-11-14, 08:35

Argon, спасибо за статью, как раз то что нужно.
Настраиваю синхронизацию в своей сети, PDC находится на виртуальной машине и вот задумался, а что будет если после выключения и через некоторое время включения PDC будет отсутствовать интернет? Сервер не сможет синхронизировать время да еще и распространит неверные данные на остальных членов домена. Может правильным было настроить сервер времени на хостовой машине и всех синхронизировать уже с ней(кстати у меня она не в домене)? Или может подскажете другое решение. И еще вопрос, как распространить настройки синхронизации времени на машины домена?

Eugene
# Комментарий от 2011-11-14, 08:49

Еще пару вопросов. Машины в домене по-умолчанию синхронизируют время с ближайшим по топологии DC или это настраивается списком внешних источников для синхронизации? Как работает список внешних источников для синхронизации: синхронизация происходит спервым по списку, если не доступен то со следуюцим и т.д.; со всеми сразу; случайно с одним из списка?

Argon
# Комментарий от 2011-11-14, 12:47

Может правильным было настроить сервер времени на хостовой машине и всех синхронизировать уже с ней(кстати у меня она не в домене)?

Годный вариант, но синхронизировать с ней только PDC, ни к чему корячить топологию синхронизации в AD. Это можно обозвать как назначение внутренней машины в качестве внутреннего источника времени. Сомнения по поводу убегания времени на виртуальной машине в случае отсутствия доступа к инету оправданы.

И еще вопрос, как распространить настройки синхронизации времени на машины домена?

Ничего не надо настраивать, все само будет, в пределах леса AD. Если хочешь корячить топологию, то unmanaged групповыми политиками (напрямую в реестр).

Машины в домене по-умолчанию синхронизируют время с ближайшим по топологии DC или это настраивается списком внешних источников для синхронизации?

Ближайшим в терминах сайтовой топологии, если не изменять настройки. Второй вариант — руками список источников вбить.

Как работает список внешних источников для синхронизации: синхронизация происходит спервым по списку, если не доступен то со следуюцим и т.д.; со всеми сразу; случайно с одним из списка?

В документах это не описано, но по опыту — по порядку. Также у каждого источника есть так называемый Stratum, чем он ниже, тем больше доверие к источнику. Текущий источник и его параметры можно посмотреть командой w32tm /monitor

Eugene
# Комментарий от 2011-11-14, 17:58

Большое спасибо за развернутый ответ

Villain03
# Комментарий от 2012-02-10, 09:13

А с какими серверами проводить синхронизацию, если Россия не переводит часы весной и осенью. А при синхронизации чарез интернет часы меняются на зимнее/летнее

Argon
# Комментарий от 2012-03-11, 23:31

Все NTP-сервера пересчитывают время в GMT. Поэтому важно только то, чтобы зона на клиенте (в данном случае — контроллер домена) была выставлена верно.

Sanek
# Комментарий от 2012-03-28, 12:03

Добрый день! Руководитель дал задание- для коректной работы некоторой программы синхронизировать определенные ПК (находящиеся в одном домене) с сервером точного времени (находящемся в другом домене) по SNTP. Имеетя в виду настроить каждый из ПК локально, не меняя политик домена. Возможно ли это??

Argon
# Комментарий от 2012-03-28, 12:08

Конечно, возможно…

w32tm.exe /config /manualpeerlist:"pool.ntp.org,0x8"
/syncfromflags:manual /update

Либо аналогичными параметрами в реестре.

Dimon4ik
# Комментарий от 2012-04-05, 17:23

Что билетик просрачится и разница =- 5 минут , это мне понятно.На экзамене по семерке запал в душу вопрос — если на клиенте время неправильное до ввода в домен, что будет(проверка показала, что клиента спокойно пускает в домен) , просто где-то проскакивала в интернетах инфа, что нужно синхронизировать то ли часы, то ли пояс до ввода….
Есть мнение?

Argon
# Комментарий от 2012-04-07, 10:03

До ввода в домен комп является standalone машиной, в этом случае всегда применяется NTLM. После ввода в домен — начинает работать Kerberos, если с часами всё в порядке. В политиках могут быть прописаны максимальные отклонения, в пределах которых разрешается корректировать время, но вот тайм-зону нужно выставлять только руками. Без правильного часового пояса Kerberos-у труба, особенно в свете недавних изменений часовых поясов в России.

Fimin
# Комментарий от 2012-04-16, 12:20

Ребята я с ума схожу от настройки времени. Просто объясните в 2-ух словах, как на сервере 2003 (он же контроллер домена) настроить синхронизацию времени с внешним источником, какими командами пользоваться для проверки, и как машины из домена заставить синхронизовать время с контроллером, третий день бъюсь и ни чего понять не могу.

Argon
# Комментарий от 2012-04-16, 14:07

Как настроить контроллер домена — уже описано в этой статье. Найди DC с FSMO-ролью PDC, cмотри ключи реестра, так как в Win2003 не все команды w32tm работают.

Машины, входящие в домен как-то дополнительно настраивать не нужно, они сами синзронизируются с контроллеров.

Дмитрий Разборнов
# Комментарий от 2012-04-21, 22:03

Да, я согласен с вами.
http://blogs.msdn.com/b/sanket/archive/2006/11/02/synchronizing-machine-time-with-domain-controller.aspx
но машины в домен таки могут не вводится, не сталкивались с таким?
Я- да))

Stanky
# Комментарий от 2012-04-25, 23:59

Прочитал (почти внимательно) всю цепочку ресурсов, ссылки на которые тут расходятся в разные стороны, и комментарии к ним — зацепило :) ! К сожалению, везде я вижу распространённое заблуждение про аутентификацию, расхождение времени и часовые пояса. На самом же деле, во всём этом лишь часть правды.
Как я рассказывал в своём докладе про Kerberos, если у компьютера время «уехало», то при аутентификации на контроллере домена это расхождение будет автоматически устранено. А происходит это просто — контроллер отвечает ошибкой Clock Skew, но кроме самой ошибки в ответе содержится текущее время контроллера домена, благодаря чему компьютер подводит свои часы и не испытывает ни малейших проблем. Причём, всё время в Kerberos’е (и не только в нём) абсолютно толерантно к часовым поясам, ибо сообщается оно в GMT. Если б этого не было, то распределённые сети с филиалами в разных городах, где часовые пояса различны, не могли бы нормально между сабой взаимодействовать ;) . Часовые пояса — самая обыкновенная «фикция», подобная правилам нормализации в Lync’е, показывающая текущее время относительно GMT.
В качестве подтверждения своих слов: отмотайте время, например, на пять лет назад, перезагрузите компьютер и посмотрите на результат… Только выполняйте это, лучше, на реальной машине, так как на Hyper-V время будет подводиться автоматически в соответствии со временем самого хоста виртуализации, даже в том случае, если в настройках виртуальной машины синхронизация времени отключена (ещё одно заблуждение).
Теперь вы знаете почему погибшая батарейка на материнской плате не вызывает проблем с входом в систему ;) .

P. S. Подписки на комментарии в данном блоге очень не хватает ;) .

Argon
# Комментарий от 2012-04-27, 11:55

Stanky, спасибо за комменты!

А происходит это просто — контроллер отвечает ошибкой Clock Skew, но кроме самой ошибки в ответе содержится текущее время контроллера домена, благодаря чему компьютер подводит свои часы и не испытывает ни малейших проблем.

Монитором трафика пока не смотрел, но полагаю, что подводит время клиент все-таки по NTP, так как Kerberos ни разу не предназначен для синхронизации времени.

Причём, всё время в Kerberos’е (и не только в нём) абсолютно толерантно к часовым поясам, ибо сообщается оно в GMT. Если б этого не было…

Кто бы спорил ;) Важность правильно выставленного часового пояса в том, чтобы у клиента после синхронизации отображалось его действительное локальное время, а не время в чужой временной зоне.

В качестве подтверждения своих слов: отмотайте время, например, на пять лет назад, перезагрузите компьютер и посмотрите на результат…

Вот здесь пишут , что начиная с WS2008 значение MaxPosPhaseCorrection равно 48 часам. Не проверял, но эксперимент «про 5 лет» может дать другой результат.

Теперь вы знаете почему погибшая батарейка на материнской плате не вызывает проблем с входом в систему ;) .

А еще есть Failback to NTLM ;)

P. S. Подписки на комментарии в данном блоге очень не хватает ;) .

Есть подписка на комменты по RSS, но не знаю, насколько это юзабельно. Пожелания сделать нормальную подписку уже звучали, все руки мои ленивые не дойдут…

Stanky
# Комментарий от 2012-04-28, 00:01

Мы оба заблуждались, хотя и частично :) …

Монитором трафика пока не смотрел, но полагаю, что подводит время клиент все-таки по NTP

Действительно, про NTP, в этом случае, я как-то не подумал. Я копнул дальше и глубже и обнаружил, что подвод системных часов выполняется именно за счёт него.

так как Kerberos ни разу не предназначен для синхронизации времени

Компьютерные сети тоже ни разу не были предназначены для телефонии и что сейчас происходит ;) ?
В общем, как я и говорил, при первой попытке аутентификации, контроллер вернёт ошибку со своим текущим временем и, видимо, LSAS (или кто там ещё) на столько умный, что вычисляет разницу между текущим системным временем и временем на контроллере домена и все дальнейшие операции со штампами времени происходят с учётом этого смещения!
Я долго и безуспешно пытался найти хоть какое-то подтверждение своим словам в официальных источниках и наконец удача мне улыбнулась:

Although the «0x25 — KRB_AP_ERR_SKEW: Clock skew too great» error might show up in the logs, it will not prevent a user from being authenticated. When this error is returned, the domain controller also supplies the correct time on the domain controller. The Kerberos client uses the correct domain controller time to attempt the authentication request a second time. Presuming that the user’s credentials are valid, the user will be authenticated on the second try.

Таким образом, всё, что связано с Kerberos’ом, работает при любых сдвигах во времени. Но так как кроме Kerberos’а существуют и другие вещи, как проверка сертификатов, вот тут мы уже получим проблему, ибо если время «уедет» за рамки сроков их действия, компьютер не будет им доверять и тот же Lync откажется подключаться.

Кто бы спорил ;)

Не знаю «кто бы спорил», но несколькими комментариями выше вы сами сказали:

Без правильного часового пояса Kerberos-у труба, особенно в свете недавних изменений часовых поясов в России.

Тем самым вводя в заблуждение, что для его работы они жизненно необходимы ;) .

Не проверял, но эксперимент «про 5 лет» может дать другой результат

А я, прежде чем написать, специально проверил. И даже не пять лет — на тридцать назад отматывал ;) . Результаты, что на «Windows XP», что на «Windows 7» положительные.
Да и что вам стоит выполнить такую проверку — займёт, максимум, минут десять ;) …

А еще есть Failback to NTLM ;)

Я так и знал, что вы начнёте «обвинять во всех смертных грехах» этот «несчастный» NTLM :) ! Я специально проводил все свои эксперименты на «Windows 7» с полной его блокировкой ;) .

Есть подписка на комменты по RSS

Лично мне, RSS неудобен более, чем полностью :( .

Argon
# Комментарий от 2012-04-28, 11:27

Stanky, я провел эксперименты и твои выводы подтверждаются. Я успешно получил билеты на актуальное время, хотя время на компьютере было отмотано на пару месяцев назад. Разве что не смог влезть в аутентификатор KRB_TGT_REQ, так как он зашифрован. А расшифровывать я не умею ;(

А вообще, ты серьезно мне шаблон разорвал. Надо поговорить об этом факте с коллегами, среди которых есть даже MCM по Directory.

Stanky
# Комментарий от 2012-04-28, 11:38

К сожалению, я тоже не умею :( .

Картинка не отображается ;) .

Шаблон :) ?

Ну, передавайте Косте привет :) …

Argon
# Комментарий от 2012-04-28, 11:53

К сожалению, я тоже не умею :( .

Я уже задавался целью научиться расшифровывать билеты. На практике от Wireshark пока удалось добиться только того, что он расшифровывает билеты в тех дампах, которые дает скачать в качестве образцов. На реальных дампах нифига не получатся, что только не пробовал. Разве что не собирал идентичную описанной WireShark-ом инфраструктуру на WS2003 без сервиспаков чтобы попробовать экспортировать оттуда keytab-ы.

Картинка не отображается ;) .

На картинке хотел показать, как получил билеты на актуальное время, хотя время на компьютере было отмотано на пару месяцев назад. Картинки не загружаются: либо обновление не блог кривое пришло, либо что-то не то с хостингом стало.

Ну, передавайте Косте привет :) …

Передал.

Stanky
# Комментарий от 2012-04-28, 12:12

А он как-нибудь уже прокомментировал это поведение?

equinox
# Комментарий от 2012-06-18, 09:48

Спасибо огромнейшее за статью, в четверг был форс-мажор, на DC слетело время, пришлось срочно изучать вопрос в плотном режиме. Все настроил замечательно, хоть и не с первой попытки. Еще раз спасибо!

Nick
# Комментарий от 2012-06-21, 10:11

Спасибо. Очень помогла статья.

pivbul
# Комментарий от 2012-06-26, 13:18

Господа, не работает вышеизложенная настройка DC.
Прописал всё в реестре контроллера домена, он обновляется без проблем. Позже заметил, что клиентские машины не синхронизированы.
Пробовал сделать синхронизацию вручную — лог:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Microsoft Windows [Version 6.1.7601]
(c) Корпорация Майкрософт (Microsoft Corp.), 2009. Все права защищены.
C:\Users\vitaliy.PIVBULDOM>w32tm /resync /rediscover
Отправка команды синхронизации на локальный компьютер
Синхронизация не выполнена, поскольку нет доступных данных о времени.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Затем сделал синхронизацию так:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
C:\Users\vitaliy.PIVBULDOM>net time /domain:pivbul.dom /set
Текущее время на \\server.pivbul.dom равно 26.06.2012 13:11:03
Текущие локальные часы 26.06.2012 13:10:57
Установить для локального компьютера время, совпадающее
с временем на \\server.pivbul.dom? (Y-да/N-нет) [Y]: y
Команда выполнена успешно.
C:\Users\vitaliy.PIVBULDOM>
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
И время встало на ура. Файервол прошу не пинать, в нём всё чётко.
Так как же сделать, чтобы без рукоприкладства на клиентах время с сервака синхронизировалось?

Argon
# Комментарий от 2012-06-26, 17:47

pivbul,

Убедись, что на клиентах по умолчанию стоит в реестре:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\W32Time\Parameters]
"Type"="Nt5DS"

и в командах…

w32tm /query /peers
w32tm /monitor

…видны контроллеры домена.

pivbul
# Комментарий от 2012-06-27, 08:23

Microsoft Windows [Version 6.1.7601]
(c) Корпорация Майкрософт (Microsoft Corp.), 2009. Все права защищены.

C:\Users\vitaliy.PIVBULDOM>w32tm /monitor
server.pivbul.dom *** PDC ***[192.168.0.1:123]:
ICMP: 1ms задержка
NTP: +0.0000000s смещение относительно server.pivbul.dom
RefID: wwwco1test13.microsoft.com [65.55.21.21]
Страта: 3

Предупреждение:
Рекомендуется использовать обратное разрешение имен. Возможно, оно выполнено
неверно, поскольку поле RefID в пакетах времени различается в
разных реализациях NTP и может не использовать IP-адреса.
C:\Users\vitaliy.PIVBULDOM>

Argon
# Комментарий от 2012-06-27, 11:56

Если ты выполнял эту команду с клиента, то это говорит о том, что служба времени успешно находит контроллер домена и синхронизируется с ним.

pivbul
# Комментарий от 2012-06-28, 21:26

Да, с клиента. Но если я правильно понял, то клиент через контроллер домена синхронизировался с NTP майкрософта? Да и предупреждение ниже мне не нравится…

Дмитрий
# Комментарий от 2012-08-01, 15:23

Добрый день.

Установил вс, как тут указано…. Однако при перезагруке ГКД на нем время отстает на 15 минут сразу же! Приходится корректировать вручную…

И раз в сутки выдается предупреждение

Event Type: Warning
Event Source: W32Time
Description:
The time service has not synchronized the system time for 86400 seconds because none of the time service providers provided a usable time stamp. The time service is no longer synchronized and cannot provide the time to other clients or update the system clock. Monitor the system events displayed in the Event Viewer to make sure that a more serious problem does not exist.

Да, ГКД установлен на виртуалке. Может тут собака зарыта?

AltnBwoy
# Комментарий от 2012-08-29, 18:28

А если это значение реестра на корневом КД такое[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config]
«AnnounceFlags»=dword:00000005
То он будет считаться надежным? Остальные машины смогут с ним синхронизироваться? Зачем нужен этот параметр, какая разница надежный/ненадежный?
Спасибо!

Argon
# Комментарий от 2012-08-31, 01:55

AltnBwoy, в этой статье в конце описано, в каких случаях нужно конфигурировать севрер как «reliable». Значения 10 от 5 отличаются тем, что 5 — всегда объявлять, 10 — контроллер сам принимает решение. Смотри битовую маску в той же статье.

Дмитрий, в виртуалке обычно собака и зарыта. Читай конец статьи. Отключи в компонентах интеграции синхронизацию времени и пропиши на своем контроллере эти параметры

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config]
"MaxPosPhaseCorrection"=dword:FFFFFFFF
"MaxNegPhaseCorrection"=dword:FFFFFFFF

И убедись, что есть доступ к интернетовским серверам времени.

w32tm /resync /rediscover

в помощь

Илья
# Комментарий от 2012-10-23, 10:45

У меня два равноправных контроллера домена с полной репликацией ролей. Как в таком случае лучше настроить NTP в AD? Сейчас один из контроллеров синхронизируется с внешним источником и раздает всем рабочим станциям время. Другой контроллер во всем этом не участвует. Он просто синхронизирует свои внутренние часы с тем же самым внешним источником, что и первый КД. Подобная схема мне не очень нравится. Хотелось бы, чтобы оба КД были равноправными NTP-серверами и при этом между собой не состязались. Но как это правильно сделать? Подскажите.

Добавить комментарий