Služba Windows Time Service je napriek svojej zjavnej jednoduchosti jedným zo základných predpokladov normálneho fungovania domény Active Directory. V správne nakonfigurovanom prostredí AD funguje časová služba takto: používateľské počítače dostávajú presný čas od najbližšieho radiča domény, do ktorého sú zaregistrované. Všetky radiče domény zase dostanú presný čas od DC s úlohou FSMO. “Emulátor PDC“a radič PDC synchronizuje svoj čas s určitým externým zdrojom času. Jeden alebo niekoľko serverov NTP, napríklad server time.windows.com alebo server NTP vášho poskytovateľa internetu, môže pôsobiť ako externý zdroj času. Malo by sa tiež poznamenať, že v predvolenom nastavení sú klienti čas domény je synchronizovaný pomocou služby Windows Time (Windows Time) a nie pomocou protokolu NTP.
Ak čelíte situácii, keď sa čas klientov a radičov domén líši, pravdepodobne má vaša doména problémy s časovou synchronizáciou a tento článok bude pre vás užitočný.
Najskôr vyberte príslušný server NTP, ktorý by ste mohli použiť. Zoznam verejne dostupných serverov NTP je k dispozícii na stránke http://ntp.org. V našom príklade použijeme server NTP zo súboru ru.pool.ntp.org:
- 0.ru.pool.ntp.org
- 1.ru.pool.ntp.org
- 2.ru.pool.ntp.org
- 3.ru.pool.ntp.org
Nastavenie synchronizácie času v doméne pomocou skupinových politík pozostáva z dvoch krokov:
1) Vytvorenie GPO pre radič domény s úlohou PDC
2) Vytvorenie GPO pre zákazníkov (voliteľné)
Konfigurácia politík synchronizácie NTP v radiči domény PDC
Tento krok zahŕňa konfiguráciu radiča domény s úlohou emulátora PDC na synchronizáciu času s externým serverom NTP. pretože teoreticky sa úloha emulátora PDC môže pohybovať medzi radičmi domény, musíme vytvoriť politiku, ktorá sa bude vzťahovať iba na aktuálneho vlastníka role PDC. Ak to chcete urobiť, v riadiacej konzole Konzola pre správu skupinovej politiky (GPMC.msc), vytvorte nový filter politiky skupiny WMI. Z tohto dôvodu v časti Filtre Wmi vytvorte filter a názov Emulátor PDC a žiadosť WMI: Vyberte * z Win32_ComputerSystem, kde DomainRole = 5
Potom vytvorte nový objekt GPO a priraďte ho k kontajneru radiče domény.
Prepnite do režimu úprav pravidiel a rozbaľte nasledujúcu časť pravidiel: Konfigurácia počítača-> Šablóny pre správu-> Systém-> Windows Time Service-> Time Providers
Zaujímajú nás traja politici:
- Nakonfigurujte klienta Windows NTP: Povolené (nastavenia pravidiel sú opísané nižšie)
- Povoliť klienta Windows NTP: Povolené
- Povoliť server Windows NTP: Povolené
V nastaveniach politiky Nakonfigurujte klienta Windows NTP špecifikujte nasledujúce parametre:
- NtpServer: 0.ru.pool.ntp.org, 0x1 1.ru.pool.ntp.org, 0x1 2.ru.pool.ntp.org, 0x1 3.ru.pool.ntp.org, 0x1
- typ: NTP
- CrossSiteSyncFlags: 2
- ResolvePeerBackoffMinutes: 15
- Vyriešiť Peer BAckoffMaxTimes: 7
- SpecilalPoolInterval: 3600
- EventLogFlags: 0
Použite filter vytvorený skôr Emulátor PDC tejto politiky.
netdom dotaz fsmoZostáva aktualizovať politiky týkajúce sa PDC:gpupdate / force
Manuálna synchronizácia času:w32tm / resync
Skontrolujte svoje aktuálne nastavenia NTP:w32tm / query / status
čisté zastavenie w32time
w32tm.exe / zrušenie registrácie
w32tm.exe / register
čistý začiatok w32timeKonfigurácia časovej synchronizácie na klientoch domény
V prostredí Active Directory klienti domény predvolene synchronizujú svoj čas s radičmi domény (možnosť Nt5DS - synchronizovať čas podľa hierarchie domén). Tento obvod zvyčajne funguje a nevyžaduje rekonfiguráciu. Ak sa však vyskytnú problémy s časovou synchronizáciou na klientoch domény, môžete skúsiť vynútiť priradenie časového servera klientom pomocou GPO..
Ak to chcete urobiť, vytvorte nový objekt GPO a priraďte ho kontajnerom (OU) k počítačom. V editore GPO prejdite na stránku Konfigurácia počítača -> Šablóny pre správu -> Systém -> Windows Time Service -> Poskytovatelia času a povoliť politiku Nakonfigurujte klienta Windows NTP.
Pre server NTP zadajte ako typ synchronizácie názov PDC alebo ip adresu, napríklad msk-dc1.winitpro.ru, 0x9 a NT5DS.
Aktualizujte nastavenia skupinovej politiky pre klientov a overte, či klienti úspešne synchronizovali svoj čas s PDC.
rada. Táto schéma sa vzťahuje iba na malé domény. Pre veľké distribuované domény s veľkým počtom DC a lokalít budete musieť pre každú lokalitu vytvoriť samostatnú politiku, aby klienti synchronizovali svoj čas s DC v lokalite.
