Синхронизация времени с контроллером домена. Настройка синхронизации времени


Опубликованно 28.02.2018 05:55

Синхронизация времени с контроллером домена. Настройка синхронизации времени

Синхронизация системного времени в домене Active Directory имеет значение для правильной работы многих функций пользовательских рабочих станций под Windows. Если ты будешь системных часов может повлиять на способность пользователя для входа в систему, нарушить движение почты в Exchange и создать много других проблем, которые достаточно трудно обнаружить.

В сложных случаях стандартные методы синхронизации времени в сети не являются на сто процентов надежными, или даже предсказуемы. Например, если часы физического хоста Hyper-V перестают синхронизировать, это то, что, как правило, влияет на все виртуальные машины, иногда выше. К счастью, не требуется много усилий, чтобы исправить ошибки синхронизации времени. Выбор компьютера в качестве источника времени

Первое, что нужно сделать перед настройкой синхронизации времени – выбрать компьютер, который и станет основным источником системного времени в домене.

В целом, этот вид шрифта выбрать компьютер в Active Directory есть роль эмулятора основного контроллера домена (PDC). Согласно официальной документации Microsoft, что это должно быть основной ресурс в сети получает данные о времени. Однако, на практике, это не всегда возможно.

Машина, которую вы выберите, будет регулярно консультироваться с Интернет-источниками, поэтому, если вы строго охраняемом объекте с высокими требованиями к информационной безопасности, следует задуматься о делегировании этой функции другой компьютер.

Например, можно создать выделенный сервер, вы получите информацию о погоде из Интернета и перенести его на эмулятор PDC. В этом случае у вас будет несколько компьютеров, сотрудников, источников времени для машин, включенных в сеть. Параметры брандмауэра

Трафик, синхронизация времени с контроллером домена входит в порт UDP 123. На компьютере, служащий источником времени, необходимо открыть порт для входящих подключений. На всех компьютерах в сети порт 123 должен быть открыт для исходящих соединений, по меньшей мере, с одним контроллером домена. Настроить контроллер домена

Для синхронизации времени с контроллером домена на сервер, выполняющий роль эмулятора PDC, с использованием командной строки, вы должны выполнить следующие действия:

1. Убедитесь, что контроллер домена, на котором вы работаете, это эмулятор основного контроллера домена, выполнив команду

netdom query fsmo

2. В сервер эмулятор основного контроллера домена, выполните следующие команды синхронизации времени в следующем порядке:

net stop w32time

w32tm /configure /syncfromflags: manual /manualpeerlist:"0.us.pool.ntp.org,0x1 1.us.pool.ntp.org, 0x1 2.us.pool.ntp.org 0 x 1 3.us.pool). ntp.org 0 x 1"

Внешний источник времени по умолчанию, в Windows Server-это сервер time.windows.com. Лучший вариант-это синхронизация с серверами времени. В приведенной выше команде мы используем серверы времени, совместимые NTP Pool Project.

net start w32time

w32tm /configure /reliable: yes /update

w32tm /resync

3. Если в Active Directory, есть несколько контроллеров домена, выполните следующую команду:

w32tm /config /syncfromflags: domhier /update

4. Убедитесь, что настройки времени на сервере-эмуляторе PDC:

w32tm /query /status:

5. Проверьте параметры времени для всех остальных контроллеров домена:

w32tm /query /status: Настройки DHCP

Для обеспечения синхронизации времени с контроллером домена, в устройствах, занимающихся DHCP в настройках DHCP-сервер, настройте параметры 004 и 042.

Для записей DHCP может использовать только IP-адрес. Можно ввести имя сервера и нажмите кнопку Resolve, чтобы получить IP-адрес сервера.

Если используется DHCP, с помощью устройства Cisco, в настройках DHCP, введите следующие команды:

вариант 4 ip [IP-адрес]

option 42-ip [IP-адрес]

IP-адрес следует заменить на IP-адрес сервера, который служит в качестве источника времени.

Теперь все DHCP устройства получают настройки по времени сервера в следующем обновлении. Статические параметры устройств и компьютеров с другими операционными системами

Большинство устройств NAS и SAN, имеют возможность ввода информации о сервере провайдера для настройки времени.

Для настройки синхронизации времени с контроллером домена на устройствах Cisco IOS, в командной строке введите:

ntp server 192.168.25.5

IP-адрес следует заменить на IP-адрес сервера, который служит в качестве источника времени.

Для настройки синхронизации времени на компьютере с операционной системой, отличной от Windows, обратитесь к документации операционной системы. Тем не менее, для других операционных систем, Настройка правильного времени не так важны, как для Windows, поэтому синхронизации, вы можете даже отказаться от. Настройки виртуальных машин

Все гипервизоры имеют возможность синхронизации системного времени для гостей с помощью встроенных инструментов. Если синхронизация времени в домене включена, хозяина машины получат время с одного физического сервера, на котором работают.

В большинстве случаев, то необходимо отключить эту функцию для гостевых машин Windows Server, которые служат в качестве виртуализированных контроллеров домена. Для остальных гостей, должен быть включен.

Для настройки синхронизации времени с контроллером домена гипервизора, Hyper-V, откройте диалоговое окно Settings и перейдите на вкладку Integration Services. Установите или снимите флажок синхронизации времени. Для других гипервизоров, обратитесь к документации производителя. Параметры групповой политики

Для того, чтобы убедить своих компьютеров с Windows, использовать настройки по времени получаемых от контроллера домена, необходимо настроить групповую политику.

Для установки новой групповой политики, откройте средство управления политиками на контроллере домена или на компьютере, на котором установлены средства администрирования удаленного сервера. Разверните узел домена. Щелкните правой кнопкой мыши на точке, Group Policy Objects и нажмите кнопку New. Пусть новая политика имя и нажмите кнопку ОК.

Щелкните правой кнопкой мыши по новой политике и нажмите кнопку Edit. Откроется окно редактора групповых политик.

Нажмите кнопку конфигурация компьютера > политики > административные Шаблоны > система -> служба времени Windows > Time Providers. В правой области дважды щелкните включить Windows NTP Client. Установка в Enabled и нажмите кнопку ОК.

А затем дважды щелкните Configure Windows NTP Client. Установите параметры, как показано ниже, добавление 0 x 1 в поле NTP-сервер, для того, yourdc.yourdomain.tld, 0x1.

После сохранения закройте редактор групповой политики. Откроется окно консоли управления групповой политики.

Если домен имеет большое количество политики, щелкните правой кнопкой мыши по новой политике и щелкните объект ГРУППОВОЙ политики Status > User Configuration Settings Disabled. Это ускорит обработку каждой политики.

Теперь щелкните правой кнопкой мыши по объекту Active Directory, к которому требуется применить политику и нажмите кнопку" Link an Existing GPO. Выделите новую политику, и нажмите кнопку ОК. Если необходимо, повторите шаги для других объектов.

Помните, что объекты наследуют групповую политику своего отца, если наследство не заблокирован или филиал не собственной с ними групповой политики с конфликтом настроек. Настройки другие контроллеры домена

Если вы выполните действия, описанные выше, для обеспечения синхронизации времени в домене, он почти уверен, что настраивает на получение правильного времени для всех компьютеров сети. Поэтому другие контроллеры домена (если у вас больше одного), не может коснуться.

Однако, если вы хотите быть уверены, что используемые в текущее время, вы можете редактировать локальной групповой политики. Перейдите в меню Пуск > Выполнить и введите gpedit.msc. Нажмите кнопку ОК.

Затем используйте те же параметры, что указаны в предыдущем разделе. Если контроллер домена, в котором вы хотите работать, управляется Windows Server Core, вы можете сделать это дистанционно, при условии, что данная возможность позволяет сетевым экраном. Просто запустите mmc.exe на компьютере с графическим интерфейсом пользователя, выберите пункт меню File > Add/Remove Snap-In, дважды щелкните Group Policy Object Editor ) и выберите компьютер, на который вы хотите редактировать групповой политики. Проверка результата

Работать на любом ПК с Windows в сети, в командной строке с правами администратора и введите следующую команду:

gpupdate

w32tm / query / source

В результате выполнения команды на контроллере домена, будет возвращен в адрес одного из серверов NTP, которые определяются как внешними источниками времени Интернета.

На рабочей станции пользователя, команда возвращает адрес контроллера домена.

В виртуальной машине Hyper-V включена синхронизация времени, вы должны увидеть сообщение: VM IC Time Synchronization Provider.

Если компьютер говорит, что время определяется локальной CMOS часы, синхронизация времени в домене не работает.



Категория: обо всём