Синхронизация времени с контроллером домена. Настройка синхронизации времени


Опубликованно 03.05.2018 10:38

Синхронизация времени с контроллером домена. Настройка синхронизации времени

Синхронизация системного времени в домене Active Directory (ad) - это значение для правильной работы многих функций на рабочих станциях под управлением Windows. Существа системных часов может повлиять на способность пользователя войти в систему, нарушить движение электронной почты в Exchange и создает много других проблем, которые достаточно трудно обнаружить.

В сложных случаях стандартные методы синхронизации времени в сети не на сто процентов надежным, или даже предвидеть. Например, если часы физического хоста Hyper-V перестают синхронизироваться, это, как правило, влияет на все виртуальные машины, иногда катастрофически. К счастью, он не требует много усилий, чтобы исправить ошибки синхронизации времени.

Выбор компьютера в качестве источника времени

Первое, что вы должны сделать перед настройкой синхронизации времени – выбрать компьютер, который станет основным источником времени в домене.

Как правило, в качестве такого источника выбран, компьютер, Active Directory есть роль эмулятора первичного контроллера домена (PDC). Согласно официальной документации Microsoft, именно он должен быть главным ресурсом сети получает данные о времени. Однако, на практике это не всегда возможно.

Машина, которую вы выберите, он будет регулярно просматривать интернет-источников, поэтому, если вы находитесь на строго охраняемом объекте с повышенными требованиями к информационной безопасности, надо думать, делегировать эту роль другой компьютер.

Например, вы можете создать выделенный сервер, который будет получать информацию о времени в Интернете и передать его на эмуляторе PDC. В этом случае, у вас есть несколько компьютеров, сотрудники источниками времени для машин, включенных в сеть. Настройка брандмауэра

Трафик при синхронизации времени с контроллером домена поступает на порт UDP 123. На компьютере, где источник времени, этот порт должен быть открыт для входящих соединений. На всех машинах в сети порт 123 должен быть открыт для исходящих соединений, по крайней мере, с одним контроллером домена. Настройка контроллера домена

Для синхронизации времени с контроллером домена на сервере, который выполняет роль эмулятора PDC, с помощью командной строки должны быть выполнены следующие операции:

1. Убедитесь, что контроллер домена, на котором вы работаете, является эмулятор PDC, выполнив команду

netdom query fsmo

2. На сервере эмулятор основного контроллера домена, выполните команду синхронизации времени в следующем порядке:

net stop w32time

w32tm /configure /syncfromflags: manual /manualpeerlist:"0.us.pool.ntp.org,0x1 1.us.pool.ntp.org, 0x1 2.us.pool.ntp.org, 0x1, 3.сша.пул. ntp.org, 0x1"

Внешний источник времени, по умолчанию Windows Server-это сервер time.windows.com. Лучший вариант-это синхронизация с нескольких серверов времени. В команде выше, мы используем серверы времени, поддерживает NTP Pool Project.

net start w32time

w32tm /configure /reliable: yes /update

w32tm /resync

3. Если Active Directory, есть несколько контроллеров домена, выполните следующую команду:

w32tm /config /syncfromflags: domhier /update

4. Проверьте настройки времени на сервере PDC:

w32tm /query /status:

5. Убедитесь, что настройки времени на все другие контроллеры домена.

w32tm /query /status:

Настройка DHCP

Для обеспечения синхронизации времени с контроллером домена на устройствах, загруженных DHCP, параметры DHCP-сервер, настройте параметры 004 042.

Для записи DHCP, вы можете использовать только IP-адреса. Вы можете ввести имя сервера и нажать Resolve, чтобы получить IP-адрес сервера.

Если вы используете DHCP, с помощью устройства Cisco, в настройках DHCP, введите следующие команды:

вариант 4 ip [IP-адрес]

вариант 42-ip [IP-адрес]

IP-адрес должен быть заменен на реальный IP сервера, который служит источником времени.

Теперь, все DHCP устройство получит настройки времени сервера при следующем обновлении. Настройка статических устройств и компьютеров, под другие ОС

Большинство устройств NAS и SAN имеют возможность ввода информации на сервере провайдера настроек времени.

Для настройки синхронизации времени с контроллером домена на устройствах Cisco IOS, в командной строке введите:

ntp server 192.168.25.5

IP-адрес должен быть заменен на реальный IP сервера, который служит источником времени.

Для настройки синхронизации времени на компьютере под операционной системой Windows, обратитесь к документации вашей операционной системы. Впрочем, для других ОПЕРАЦИОННЫХ систем, настройки времени, не так важны, как для Windows, таким образом, синхронизации, вы можете даже отказаться. Конфигурация виртуальные машины

Все современные гипервизоры имеют возможность синхронизировать время системы для виртуальных машин с помощью встроенных средств. Если синхронизация времени в домене включена, машины будут получать физический хост, на котором они выполняются.

В большинстве случаев, вы должны отключить эту функцию для виртуальных машин с Windows Server, которые служат в качестве контроллеров домена на виртуальных машинах. Для всех других гостей, она должна быть включена.

Для настройки синхронизации времени с контроллером домена в гипервизор Hyper-V, откройте диалоговое окно Settings и перейдите на вкладку Integration Services. Установите или снимите флажок Time Synchronization. Для других гипервизоров, см. в документации производителя.

Настройка групповой политики

Чтобы действительно убедить ваших компьютеров под Windows, использовать настройки по времени, из контроллера домена, необходимо настроить групповую политику.

Для определения новой стратегии группы, откройте средство управления политиками на контроллере домена или на компьютере, на котором установлены средства администрирования удаленного сервера. Разверните узел домена. Нажмите правой кнопкой мыши на точке, Объектов групповой Политики и нажмите кнопку New. Дайте новую политическую имя и нажмите кнопку ОК.

Щелкните правой кнопкой мыши на новой политической и нажмите кнопку Edit. Это позволяет запустить окно редактора групповой политики.

Перейдите в раздел Конфигурация компьютера > Политики > Административные Шаблоны > Система> Windows Time Service > Time Providers. В правой области дважды щелкните Enable Windows NTP-Клиента. Установите параметр в положение Enabled и нажмите кнопку ОК.

А затем дважды щелкните Configure Windows NTP-Клиента. Настройте параметры, как на рисунке ниже, и добавив 0x1 в поле ntp-сервер, чтобы читать yourdc.yourdomain.дву, 0x1.

После регистрации групповой политики, закройте редактор. Вы вернетесь в окно консоли управления групповой политики.

Если вашей области является большое количество стратегий, щелкните правой кнопкой мыши по новой политике и перейдите в GPO Status > User Configuration Settings Disabled. Это позволит ускорить обработку каждого политика.

Теперь щелкните правой кнопкой мыши на объект Active Directory, к которому вы хотите применить эту стратегию, и нажмите на Link an Existing GPO. Выделите новую стратегию, и нажмите кнопку ОК. Если необходимо, повторите шаги для других объектов.

Помните, что объекты наследуют групповую политику от его родителя, если наследование не заблокирован или дочернего объекта, не были связаны групповой политики в конфликт с настройками. Настройка на другие контроллеры домена

Если вы будете следовать выше шаги, чтобы обеспечить синхронизацию времени в домене, это практически гарантировано, настройте получение точное время на всех компьютерах сети. Таким образом, другие контроллеры домена (если у вас их несколько) можно не трогать.

Однако, если вы хотите быть уверены в том, что они используют правильное время, вы можете изменить локальной групповой политики. Перейдите в меню Пуск > Выполнить и введите gpedit.msc. Нажмите "ОК".

Затем используйте те же параметры, что даны в предыдущем разделе. Если контроллер домена, на котором вы хотите работать, управляемый Windows Server Core, вы можете сделать это дистанционно, при условии, что такая возможность разрешена сети блюда. Просто запустите mmc.exe на компьютер с графическим интерфейсом, откройте меню File > Add/Remove Snap-In, дважды щелкните Редактор объектов групповой Политики и нажмите на компьютере, на котором вы хотите изменить групповую политику. Проверка результата

Запустить на любом пк с Windows в сети, командная строка от имени администратора и введите:

gpupdate

w32tm / query / source

В результате выполнения команды на контроллере домена, будет возвращен в адрес одного из серверов NTP, которые были определены в качестве внешних источников времени из Интернета.

На рабочей станции, команда возвращает адрес контроллера домена.

На виртуальной машине Hyper-V включен, синхронизация времени, вы должны увидеть сообщение: VM IC Time Synchronization Provider.

Если команда указывает, что время определяется локальной CMOS-время, синхронизация времени в домене не работает.


banner14

Категория: Техника