Оглавление
Синхронизация времени в домене может (теоретически) работать сама, безо всяких настроек. Выглядит это обычно так:
Компьютеры домена и серверы синхронизируют свое время с контроллерами домена (с ближайшими к ним). Контроллеры домена синхронизируют свое время с контроллером домена, которому назначена FSMO роль PDC (в терминах windows 2000 – “первичный контроллер домена”). Контроллер домена (КД) с ролью PDC синхронизирует время с внешним источником. А дальше – начинаются ньюансы:
Если контроллер домена виртуальный, в настройках виртуальной машины должна быть выключена синхронизация времени [с хостом]. Иначе (если, к примеру, хост с виртуальными машинами – в домене): виртуальный контроллер домена будет (автоматически) синхронизировать время с хостом, а хост – с ближайшим контроллером домена, т.е. со своей виртуалкой. Если синхронизация времени уже настроена (вручную или через групповые политики) то задаваемые Вами новые настройки могуть не примениться (несмотря на сообщение successful во всех командах) и тогда потребуется полный сброс настроек синхронизации времени на проблемных компьютерах или контроллерах домена.
Проверка работоспособности синхронизации времени в домене
Показать список всех контроллеров домена (с которыми может выполняться синхронизация времени).
Может быть выполнена на любом компьютере (или контроллере) домена.
Для каждого контроллера домена в поле “NTP:” отображает разницу во времени с PDC контроллером домена (который является источником для синхронизации времени во всём домене).
Для каждого контроллера домена в поле “RefID:” отображается информация об источнике синхронизации времени для этого контроллера домена.
Для всех контроллеров домена (кроме КД с ролью PDC) это должен быть либо другой контроллер домена, либо КД с ролью PDC.
w32tm /monitorПоказать источник синхронизации времени.
Может быть выполнена на любом компьютере или контроллере домена.
w32tm /query /source
или
w32tm /query /peers
Показывает источник для синхронизации времени (с каким компьютером синхронизируется время того компьютера, на котором запущена эта команда).
Для любых компьютеров/серверов это должен быть один из контроллеров домена, для любого контроллера домена (кроме PDC) это должен быть другой КД (обычно – с ролью PDC), для КД с ролью PDC это должен быть внешний источник синхронизации времени (интернет).
Если в результатах выполнения команды отобразилось сообщение “VM IC Time Synchronization Provider” – значит, эта виртуальная машина синхронизируется с хостом виртуализации. Если эта виртуальная машина – один из контроллеров домена, такую настройку следует изменить!
Выводит все настройки службы времени windows для текущего компьютера.
w32tm /query /Configuration /verboseУбедитесь, что в результатах выполнения команды на всех компьютерах и контроллерах домена (кроме PDC) в разделе [TimeProviders] поле Type имеет значение NT5DS. Если это не так, настройки синхронизации на таких компьютерах надо исправлять (как – см. далее).
Type – Задает тип синхронизации:
Nosync – не использовать синхронизацию с внешним источником времени
NTP – синхронизация с внешними NTP, которые указаны в параметре NTPSERVER
NT5DS – синхронизация выполняется согласно доменной иерархии
AllSync – синхронизация с использованием любым доступных источников
Отображет состояние синхронизации (в т.ч. источник синхронизации, время и статус последней синхронизации) для компьютера, на котором выполняется.
w32tm /query /status /verboseОпция “/verbose” дает более подробную информацию. К примеру может показать ошибки синхронизации у PDC
Last Sync Error: 2 (The computer did not resync because only stale time data was available.)
Time since Last Good Sync Time: 530.6835570sСравнить время (и отобразить разницу во времени) на текущем компьютере с компьютером, указанном в аргументе /computer.
w32tm /stripchart /computer:"S22RUMSKDC1.corp.local" /samples:3 /dataonly
Tracking S22RUMSKDC1.corp.local [172.16.1.220:123].
Collecting 3 samples.
The current time is 10/20/2024 2:08:40 PM.
14:08:40, +58.7654029s
14:08:42, +58.7705417s
14:08:44, +58.7755253s
w32tm /stripchart /computer:"0.pool.ntp.org" /samples:3 /dataonlyКонфигурация NTP-клиента групповой политикой (GPO)
Для централизованной настройки службы времени Windows, на серверах и рабочих станциях в доменной среде Active Directory, воспользуемся групповой политикой. На примере, выполним настройку для рабочих станций.
По умолчанию все клиентские компьютеры и серверы в домене синхронизируют своё время с ближайшим контроллером домена.
Таким образом, в большинстве случаев клиентам не нужно принудительно указывать на PDC для синхронизации времени — они автоматически выбирают правильный источник времени в рамках доменной инфраструктуры.Однако, есть несколько ситуаций, когда настройка через групповую политику может понадобиться:
- Если у вас уже на настроенной инфраструктуре (систематически, то тут, то там) возникают проблемы с синхронизацией времени на клиентских компьютерах (например, рассинхронизация времени).
- Если вы хотите жестко задать определённый источник времени для всех устройств, например, контроллер с ролью PDC, а не ближайший контроллер (что не рекомендуется если компьютеры могут перемещаться между разными AD сайтами).
- Если у вас сложная сеть с разными подсетями, и вы хотите контролировать маршрутизацию времени для устройств, чтобы они всегда синхронизировались только с определённым сервером.
Переходим в ветку: Конфигурация компьютера (Computer Configuration) — Политики (Policies) — Административные шаблоны (Administrative Templates) — Система (System) — Служба времени Windows (Windows Time Service) — Поставщики времени (Time Providers)
Открываем параметр Настроить NTP-клиент Windows (Configure Windows NTP Client) и задаем параметры:
NtpServer | 192.168.1.2 (адрес NTP-сервера) |
Type | NT5DS |
CrossSiteSyncFlags | 2 |
ResolvePeerBackoffMinutes | 15 |
Resolve Peer BackoffMaxTimes | 7 |
SpecilalPoolInterval | 3600 |
EventLogFlags | 0 |
Как исправить настройки синхронизации времени
Настройка синхронизации времени на компьютерах и контроллерах домена (кроме КД с ролью PDC)
- Найдите все групповые политики, изменяющие настройки синхронизации времени, и отключите такие политики. Через групповые политики служба времени настраивается здесь:
gpedit.msc => "Computer Configuration" => "Administrative Templates" => "System" => "Windows Time Service" => "Time Providers".Проверьте, что политики синхронизации времени не применяются, для этого можно выполнить команду:
gpresult /R- Проверьте, что на всех виртуальных машинах – контроллерах домена отключена синхронизация времени с хостами виртуализации.
- Обновите конфигурацию на всех проблемных компьютерах / контроллерах домена (кроме КД с ролью PDC):
w32tm /config /syncfromflags:DOMHIER /update- Выполните принудительную синхронизацию времени, дав команду заново найти источники синхронизации времени:
w32tm /resync /rediscover- Если вышеуказанные действия не помогают, перезагрузите службу времени (на проблемных компьютерах)
net stop w32time
net start w32timeи заново выполните пункты 3 и 4.
- Если вышеуказанные действия не помогли решить проблему с синхронизацией времени, необходима перерегистрация службы времени на проблемных компьютерах (и повторная настройка параметров).
net stop w32time
w32tm /unregister
w32tm /register
net start w32timeНастройка синхронизации времени на контроллере домена с ролью PDC
Настройки времени на КД с ролью PDC принципиально отличаются от настроек на всех остальных компьютерах в домене (включая остальные контроллеры домена). PDC является источником времени во всём домене, именно его время будет использовано (прямо или косвенно – через другие контроллеры домена) всеми остальными компьютерами.
Если контроллер домена с ролью PDC – виртуальная машина, убедитесь, в настройках этой виртуальной машины отключена синхронизациия времени с хостом, на котором она находится! Убедитесь, что групповые политики синхронизации времени во всем домене (если они у Вас есть) не применяются к КД с ролью PDC! У этого компьютера источник времени – в интернете, и тип синхронизации времени (в отличие от всего остального домена) не NT5DS, а NTP! Если есть сомнения в том, что синхронизация времени на КД с ролью PDC выполняется правильно, проще всего выполнить перерегистрацию и повторную настройку службы времени. Перерегистрация службы времени на контроллере домена с ролью PDC Для отмены регистрации и повторной регистрации службы времени выполните следующие команды:
net stop w32time
w32tm /unregister
w32tm /register
net start w32time
Настройка синхронизации времени на контроллере домена с ролью PDC Наш КД с ролью PDC необходимо настроить на синхронизацию с внешним источником (в интернете). Для этой цели не подходит тип синхронизации NT5DS и синхронизации в соответствии с иерархией домена (DOMHIER). Поэтому на нашем КД с ролью PDC мы используем тип синхронизации NTP и синхронизация будет настроена вручную (MANUAL). Источники синхронизации (peers) указываются в кавычках, а если таких источников несколько, то они перечисляются через запятую. Кроме того, мы даем указание считать данный источник синхронизации (КД с ролью PDC) надежным источником времени (reliable):
w32tm /config /syncfromflags:manual /manualpeerlist:"0.pool.ntp.org, 1.pool.ntp.org, 2.pool.ntp.org" /reliable:yes /update
или
w32tm /config /syncfromflags:manual /manualpeerlist:"ntp0.ntp-servers.net, ntp2.ntp-servers.net, ntp5.ntp-servers.net" /reliable:yes /update
Теперь можно ускорить применение параметров и синхронизацию времени, перезагрузив службу времени и форсировав синхронизацию:
net stop w32time
net start w32time
w32tm /resync /force или w32tm /resync /rediscover
После выполнения этих команд (сделав паузу в несколько минут на применение параметров и выполнение синхронизации) сравните время на контроллере домена с временем в интернете:
w32tm /stripchart /computer:"0.ru.pool.ntp.org" /samples:3 /dataonly
Не забудьте проверить, что на всех контроллерах домена время синхронизировалось с PDC. Для этого наберите команду:
w32tm /monitorВсё должно заработать!
P.S.: Обратите внимание, что применение параметров команды w32tm требует времени. Поэтому после каждого обновления конфигурации рекомендуем делать паузу в 1-5 минут, а потом уже проверять, обновилась ли конфигурация службы времени, и как всё работает.
