Usługa czasu systemu Windows, pomimo swojej pozornej prostoty, jest jednym z podstawowych elementów normalnego funkcjonowania domeny Active Directory. W odpowiednio skonfigurowanym środowisku AD usługa czasu działa w następujący sposób: komputery użytkowników otrzymują dokładny czas od najbliższego kontrolera domeny, w którym są zarejestrowani. Z kolei wszyscy kontrolery domeny otrzymują dokładny czas od kontrolera domeny z rolą FSMO „Emulator PDC”, a kontroler PDC synchronizuje swój czas z określonym zewnętrznym źródłem czasu. Jeden lub kilka serwerów NTP, na przykład time.windows.com lub serwer NTP twojego dostawcy Internetu, może działać jako zewnętrzne źródło czasu. Należy również zauważyć, że domyślnie klienci są czas domeny jest synchronizowany przy użyciu usługi Czas systemu Windows (Czas systemu Windows), a nie przy użyciu protokołu NTP.
Jeśli masz do czynienia z sytuacją, w której czas na klientach i kontrolerach domen różni się, być może Twoja domena ma problemy z synchronizacją czasu i ten artykuł będzie ci przydatny.
Przede wszystkim wybierz odpowiedni serwer NTP, którego możesz użyć. Lista publicznie dostępnych serwerów NTP jest dostępna na stronie http://ntp.org. W naszym przykładzie użyjemy serwera NTP z puli ru.pool.ntp.org:
- 0.ru.pool.ntp.org
- 1.ru.pool.ntp.org
- 2.ru.pool.ntp.org
- 3.ru.pool.ntp.org
Konfigurowanie synchronizacji czasu w domenie przy użyciu zasad grupy składa się z dwóch kroków:
1) Tworzenie obiektu zasad grupy dla kontrolera domeny z rolą PDC
2) Tworzenie obiektu zasad grupy dla klientów (opcjonalnie)
Skonfiguruj zasady synchronizacji NTP na kontrolerze domeny PDC
Ten krok obejmuje skonfigurowanie kontrolera domeny z rolą emulatora PDC w celu synchronizacji czasu z zewnętrznym serwerem NTP. Ponieważ teoretycznie rolę emulatora PDC można przenosić między kontrolerami domeny, musimy stworzyć politykę, która będzie obowiązywała tylko obecnego właściciela roli PDC. Aby to zrobić, w konsoli zarządzania Konsola zarządzania zasadami grupy (GPMC.msc), utwórz nowy filtr zasad grupy WMI. W tym celu w sekcji Filtry WMI utwórz filtr i nazwę Emulator PDC i żądanie WMI: Wybierz * z Win32_ComputerSystem, gdzie DomainRole = 5
Następnie utwórz nowy obiekt zasad grupy i przypisz go do kontenera Kontrolery domeny.
Przejdź do trybu edycji zasad i rozwiń następującą sekcję zasad: Konfiguracja komputera-> Szablony administracyjne-> System-> Usługa czasu systemu Windows-> Dostawcy czasu
Interesuje nas trzech polityków:
- Skonfiguruj klienta Windows NTP: Włączone (ustawienia zasad opisano poniżej)
- Włącz klienta Windows NTP: Włączone
- Włącz serwer Windows NTP: Włączone
W ustawieniach zasad Skonfiguruj klienta Windows NTP określ następujące parametry:
- NtpServer: 0.ru.pool.ntp.org, 0x1 1.ru.pool.ntp.org, 0x1 2.ru.pool.ntp.org, 0x1 3.ru.pool.ntp.org, 0x1
- Rodzaj: NTP
- CrossSiteSyncFlags: 2
- ResolvePeerBackoffMinutes: 15
- Rozwiąż Peer BAckoffMaxTimes: 7
- SpecilalPoolInterval: 3600
- Flagi zdarzeń: 0
Zastosuj wcześniej utworzony filtr Emulator PDC do tej polityki.
Wskazówka. Aby znaleźć nazwę serwera z rolą PDC, użyj polecenia:zapytanie netdom fsmo
Pozostaje zaktualizować zasady na PDC:gpupdate / force
Ręczna synchronizacja czasu:w32tm / resync
Sprawdź swoje bieżące ustawienia NTP:w32tm / query / status
stop netto w32time
w32tm.exe / wyrejestruj
w32tm.exe / register
start netto w32time
Konfigurowanie synchronizacji czasu na klientach domeny
W środowisku Active Directory domyślnie klienci domeny synchronizują swój czas z kontrolerami domeny (opcja NT5DS - synchronizować czas zgodnie z hierarchią domen). Zazwyczaj ten obwód działa i nie wymaga rekonfiguracji. Jeśli jednak występują problemy z synchronizacją czasu na klientach domeny, możesz spróbować wymusić przypisanie serwera czasu do klientów korzystających z GPO.
Aby to zrobić, utwórz nowy obiekt GPO i przypisz go do kontenerów (OU) z komputerami. W edytorze GPO przejdź do Konfiguracja komputera -> Szablony administracyjne -> System -> Usługa czasu systemu Windows -> Dostawcy czasu i włącz zasady Skonfiguruj klienta Windows NTP.
W przypadku serwera NTP podaj nazwę PDC lub adres IP, na przykład msk-dc1.winitpro.ru, 0x9 i NT5DS jako typ synchronizacji
Zaktualizuj ustawienia zasad grupy na klientach i sprawdź, czy klienci pomyślnie zsynchronizowali swój czas z PDC.
Wskazówka. Ten schemat dotyczy tylko małych domen. W przypadku dużych domen rozproszonych z dużą liczbą kontrolerów domeny i witryn będziesz musiał utworzyć osobne zasady dla każdej witryny, aby klienci synchronizowali swój czas z kontrolerem domeny w witrynie.