Синхронизация времени в домене на Windows Server 2008 R2
Синхронизация времени в домене на Windows Server 2008 R2
Настройка и синхронизация времени в домене Windows (Active Directory) на Windows Server 2008 R2.
Настройка, управление временем в домене Active Directory является одной из главных задач системного администратора, небольшое расхождение по времени на контроллерах домена может прибавит головной боли любому сисадмину. Чтобы этого не случилось лучше заранее озаботится теоритическими знаниями в данной области, а может даже по практиковаться на виртуальных машинах..
Вот несколько команд которые помогут настроить синхронизацию времени на контроллере домена и дополнительных контроллерах, на Windows Server 2008 R2, чтобы потом не было мучительно больно. ну и не возникал вопрос — Как настроить синхронизацию времени на контроллере домена Windows?
Первая команда поможет определить кто является Хозяином схемы, Хозяином именования доменов, PDC, Диспетчером пула RID и Хозяином инфраструктуры:
netdom /query fsmo
После того как узнали кто главный, заходим на этот контроллер через RDP и запускаем консоль от имени Администратора. Далее выполняем команду:
net stop w32time
Тем самым останавливаем службу времени Windows.
Далее указываем контроллеру где он будет искать, т.е синхронизироваться с серверами эталонного времени:
w32tm /config /syncfromflags:manual /manualpeerlist:»0.pool.ntp.org, 1.pool.ntp.org, 2.pool.ntp.org»
Здесь мы указываем целый пул серверов.
Снова запустить остановленную службу времени:
net start w32time
После того как контроллер произведет синхронизацию можно делать его доступным для клиентов домена, для этого запускаем в консоли:
w32tm /config /reliable:yes
можно делать его доступным для клиентов домена, для этого запускаем в консоли:
w32tm /config /reliable:yes
Теперь можно посмотреть как происходит синхронизасия на дополнительных контроллерах:
w32tm /monitor
Еще можно посмотреть источник синхронизации и статус:
w32tm /query /peers
Запуск синхронизации в ручном режиме, т.е. если кто-то не захочет сам — поможем:
w32tm /resync /rediscover
Посмотреть ошибки можно в журнале виндовз.
На всякий случай насильственное применение параметров:
w32tm /config /update
Windows 2008R2. Синхронизация времени NTP.
Time synchronization is an important aspect for all computers on the network. By default, the clients computers get their time from a Domain Controller and the Domain Controller gets his time from the domain’s PDC Operation Master. Therefore the PDC must synchronize his time from an external source. I usually use the servers listed at the NTP Pool Project website. Before you begin, don’t forget to open the default UDP 123 port (in- and outbound) on your (corporate) firewall.
- First, locate your PDC Server. Open the command prompt and type: C:\>netdom /query fsmo
- Log in to your PDC Server and open the command prompt.
- Stop the W32Time service: C:\>net stop w32time
- Configure the external time sources, type: C:\> w32tm /config /syncfromflags:manual /manualpeerlist:0.pool.ntp.org,1.pool.ntp.org,2.pool.ntp.org
- Make your PDC a reliable time source for the clients. Type:C:\>w32tm /config /reliable:yes
- Start the w32time service: C:\>net start w32time
- The windows time service should begin synchronizing the time. You can check the external NTP servers in the time configuration by typing: C:\>w32tm /query /configuration
- Check the Event Viewer for any errors.
ЕЩЕ: (в том числе описано, как вернуть настройки NTP доменной машины в дефолт)
| Настройка синхронизации времени в домене Active Directory |
Настройка синхронизации времени на PDC и остальных контроллерах домена AD
Настраивать время в домене нужно как только мы развернули новый лес, или же если мы передали роль PDC другому контроллеру домена в существующем лесу.
Стандартная схема синхронизации времени в домене довольно проста:
- Есть контроллер домена, который держит роль FSMO — PDC (Primary Domain Controller). Его нужно настроить на синхронизацию времени с каким-либо внешним NTP сервером.
- Есть другие контроллеры домена, которые в стандартной схеме синхронизируются с вышестоящим контроллером домена в иерархии Active Directory.
- Контроллеры наивысшего уровня синхронизируются с PDC эмулятором.
- Рядовые серверы AD и клиентские компьютеры синхронизируют время с соответствующим контроллером домена своего сайта.
Настройка Windows Server 2008 R2 в качестве клиента сервера времени (NTP)
По умолчанию служба времени в Windows Server сконфигурирована следующим образом:
- При установке операционной системы Windows запускает клиента NTP, который синхронизируется с внешним источником времени;
- При добавлении компьютера в домен Active Directory тип синхронизации меняется. Все клиентские компьютеры и рядовые сервера в домене используют для синхронизации времени контроллер домена, проверяющий их подлинность;
- При повышении рядового сервера до контроллера домена на нем запускается NTP-сервер, который в качестве источника времени использует контроллер с ролью PDC-эмулятор;
- PDC-эмулятор, расположенный в корневом домене леса, является основным сервером времени для всей организации. При этом сам он также синхронизируется с внешним источником времени.
Иногда возникают ситуации, когда пункт 2 не выполняется или работает некорректно, в следствие чего может возникать ресинхронизация времени и сервер перестанет быть доступным для пользователей домена Active Directory.
Для оперативной настройка сервера в качестве клиента NTP в консоли CMD с правами локального администратора выполняются следующие команды:
На скриншоте выше указан тип NT5DS, что говорит о синхронизации времени с контроллеров домена. Данный механизм по неизвестной причине не работает.
Для того чтобы изменить тип подключения к серверу времени на актуальный, необходимо выполнить команду:
В случае если результат выполнения: Команда выполнена успешно, то выполняется следующая команда:
Если результат выполнения:
Значит сервер времени недоступен.
Если результат выполнения:
Значит все в порядке.
Для проверки необходимо выполнить команду:
Для выявления отклонений от времени на контроллера домена Active Directory необходимо выполнить команду: