Налаштування часу в домені ad
Налаштування синхронізації часу на PDC і інших контролерів домену AD
Налаштовувати час в домені потрібно як тільки ми розгорнули новий ліс, або ж якщо ми передали роль PDC іншому контролеру домену в існуючому лісі.
Стандартна схема синхронізації часу в домені досить проста:
Є контролер домену, який тримає роль FSMO - PDC (Primary Domain Controller). Його потрібно налаштувати на синхронізацію часу з будь-яким зовнішнім NTP сервером. Є інші контролери домену, які в стандартній схемі синхронізуються з вищим контролером домену в ієрархії Active Directory.
Контролери найвищого рівня синхронізуються з PDC емулятором. Рядові сервери AD і клієнтські комп'ютери синхронізують час з відповідним контролером домену свого сайту.
Налаштовуємо контролер домену з роллю PDC
PS C: \> w32tm / config /manualpeerlist:192.168.5.10 / syncfromflags: manual / reliable: yes / update
The command completed successfully.
PS C: \> Restart-Service w32time
PS C: \> w32tm / resync
Sending resync command to local computer
The command completed successfully.
Налаштовуємо члена домену, чи не тримає ролі PDC, на роботу в стандартній доменної схемою Хочу зазначити, що дану процедуру потрібно проводити в тому випадку, якщо настройки часу на поточному комп'ютері домену перед цим змінювалися на нестандартні. Таким чином ми повернемо все в дефолтні настройки.
PS C: \> w32tm / config / update / syncfromflags: DOMHIER
The command completed successfully.
PS C: \> w32tm / resync
Sending resync command to local computer
The command completed successfully.
Налаштування синхронізації часу в домені Active Directory
Багато теорії і трохи практики про:
- топології синхронізації часу серед учасників Active Directory
- оптимальної з моєї точки зору конфігурації сервера часу кореневого емулятора PDC
- корисних командах для настройки і діагностики синхронізації часу
- особливості, які потрібно враховувати для віртуалізованих контролерів домену
Топологія синхронізації часу серед учасників Active Directory
Серед комп'ютерів, що беруть участь в Active Directory працює наступна схема синхронізація часу.
Контролер кореневого домена в лісі AD, якому належить FSMО-роль емулятора PDC (назвемо його кореневим PDC), є джерелом часу для всіх інших контролерів цього домену. Контролери дочірніх доменів синхронізують час з вищих по топології AD контролерів домену. Рядові члени домену (сервера і робочі станції) синхронізують свій час з найближчим до них доступним контролером домену, дотримуючись топологію AD.
Кореневої PDC може синхронізувати свій час як зі зовнішнім джерелом, так і з самим собою, останнім задано конфігурацією за умовчанням і є абсурдом, про що періодично натякають помилки в системному журналі.
Синхронізація клієнтів кореневого PDC може здійсняться як з його внутрішнього годинника, так і з зовнішнього джерела. У першому випадку сервер часу кореневого PDC оголошує себе як «надійний» (reliable).
Далі я приведу оптимальну з моєї точки зору конфігурацію сервера часу кореневого PDC, при якій сам кореневої PDC періодично синхронізує свій час від достовірного джерела в інтернеті, а час звертаються до нього клієнтів синхронізує зі своїми внутрішніми годинами.
Конфігурація NTP-сервера на кореневому PDC
Конфігурація сервера часу (NTP-сервера) може здійснюватися як за допомогою утиліти командного рядка w32tm, так і через реєстр. Де можливо, я приведу обидва варіанти.
Включення синхронізації внутрішнього годинника із зовнішнім джерелом [HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ W32Time \ Parameters] "Type" = "NTP" w32tm / config / syncfromflags: manual
[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ W32Time \ Config] "AnnounceFlags" = dword: 0000000a w32tm / config / reliable: yes Подробиці - в бібліотеці TechNet.
NTP-сервер за замовчуванням включений на всіх контролерах домену, однак його можна включити і на рядових серверах.
[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ W32Time \ TimeProviders \ NtpServer] "Enabled" = dword: 00000001 Завдання списку зовнішніх джерел для синхронізації [HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ W32Time \ Parameters] "NtpServer" = "time.nist. gov, 0x8 ntp1.imvp.ru, 0x8 ntp2.imvp.ru, 0x8 time.windows.com, 0x8 ru.pool.ntp.org, 0x8 "w32tm / config /manualpeerlist:"time.nist.gov,0x8 ntp1. imvp.ru, 0x8 ntp2.imvp.ru, 0x8 time.windows.com, 0x8 ru.pool.ntp.org, 0x8 "
Прапор 0x8 на кінці означає, що синхронізація повинна відбуватися в режимі клієнта NTP, через запропоновані цим сервером інтервали часу. Для того, щоб задати своє інтервал синхронізації, необхідно використовувати прапор 0x1. Всі інші прапори описані в бібліотеці TechNet.
Завдання інтервалу синхронізації із зовнішнім джерелом Час в секундах між опитуваннями джерела синхронізації, за умовчанням 900С = 15хв. Працює тільки для джерел, позначених прапором 0x1.
Установка мінімальної позитивної та негативної корекції Максимальна позитивна і негативна корекція часу (різниця між внутрішнім годинником і джерелом синхронізації) в секундах, при перевищенні якої синхронізація не відбувається. Рекомендую значення 0xFFFFFFFF, при якому корекція зможе проводитися завжди.
[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ W32Time \ Config] "MaxPosPhaseCorrection" = dword: FFFFFFFF "MaxNegPhaseCorrection" = dword: FFFFFFFF
Все необхідне одним рядком
w32tm.exe / config /manualpeerlist:"time.nist.gov,0x8 ntp1.imvp.ru, 0x8 ntp2.imvp.ru, 0x8 time.windows.com, 0x8 pool.ntp.org, 0x8 "/ syncfromflags: manual / reliable: yes / update
Застосування внесених в конфігурацію служби часу змін
w32tm / config / update
Примусова синхронізація від джерела
w32tm / resync / rediscover
Відображення стану синхронізації контролерів домену в домені
Відображення поточних джерел синхронізації і їх статусу
w32tm / query / peers
Особливості віртуалізованих контролерів домену
Контролери домену, що працюють в виртуализированной середовищі, вимагають до себе особливого ставлення.
Засоби синхронізації часу віртуальної машини і хостовой ОС повинні бути вимкнені. У всіх адекватних системах віртуалізації (Microsoft, vmWare і т. Д.) Присутні компоненти інтеграції гостьовий ОС з хостовой, які значно підвищують продуктивність і керованість гостьовий системою. Серед цих компонентів завжди є засіб синхронізації часу гостьовий ОС з хостовой, яке дуже корисно для рядових машин, але протипоказано для контролерів домену. Тому як в цьому випадку досить імовірний цикл, при якому контролер домену і хостової ОС будуть синхронізувати один одного. Наслідки сумні.
Для кореневого PDC синхронізація з зовнішнім джерелом повинна бути налаштована завжди. У віртуальному середовищі годинник не настільки точні як у фізичній, тому як віртуальна машина працює з віртуальним процесором і переривань, для яких характерне як уповільнення, так і прискорення щодо «звичайної» частоти. Якщо не налаштувати синхронізацію віртуалізованого кореневого PDC із зовнішнім джерелом, час на всіх комп'ютерах підприємства, що втече / відставати на пару годин на добу. Не важко уявити неприємності, які може принести таку поведінку.