Налаштування синхронізації часу в домені active directory, eugene rasputin
Перш ніж приступити до налаштування синхронізації часу із зовнішнім сервером, не забудьте відкрити на своєму Front-End межсетевом екрані стандартний NTP порт - UDP 123
(Потрібно дозволити як входить, так і вихідні повідомлення).
У домен контролерах це виняток вже є - називається "Active Directory Domain Controller - W32Time (NTP-UDP-In)" (в Inbound Rules)
Топологія синхронізації часу серед учасників Active Directory
Серед комп'ютерів, що беруть участь в Active Directory працює наступна схема синхронізація часу:
- Контролер кореневого домена в лісі AD, якому належить FSMО-роль емулятора PDC. є джерелом часу для всіх інших контролерів цього домену.
- Контролери дочірніх доменів, синхронізують час з вищих по топології AD контролерів домену.
- Рядові члени домену (сервера і робочі станції) синхронізують свій час з найближчим до них доступним контролером домену, дотримуючись топологію AD.
PDC може синхронізувати свій час як зі зовнішнім джерелом, так і з самим собою, останнім задано конфігурацією за умовчанням і є абсурдом, про що періодично натякають помилки в системному журналі.
Синхронізація клієнтів PDC може здійсняться як з його внутрішнього годинника, так і з зовнішнього джерела. У першому випадку сервер часу кореневого PDC оголошує себе як «надійний» (reliable).
Конфігурація NTP-сервера на кореневому PDC
Конфігурація сервера часу (NTP-сервера) може здійснюватися як за допомогою утиліти командного рядка w32tm, так і через реєстр.
Де можливо, я приведу обидва варіанти.
Включення синхронізації внутрішнього годинника із зовнішнім джерелом
- [HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ W32Time \ Parameters] "Type" = "NTP"
- w32tm / config / syncfromflags: manual
- [HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ W32Time \ Config] "AnnounceFlags" = dword: 0000000a
- w32tm / config / reliable: yes
Включення NTP-сервера
NTP-сервер за замовчуванням включений на всіх контролерах домену. проте його можна включити і на рядових серверах.
Завдання списку зовнішніх джерел для синхронізації
- [HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ W32Time \ Parameters] "NtpServer" = "il.pool.ntp.org, 0x8 time.windows.com, 0x8"
- w32tm / config /manualpeerlist:"il.pool.ntp.org,0x8 time.windows.com, 0x8 "
Прапор 0x8 на кінці означає, що синхронізація повинна відбуватися в режимі клієнта NTP, через запропоновані цим сервером інтервали часу.
Для того, щоб задати своє інтервал синхронізації, необхідно використовувати прапор 0x1.
Всі інші прапори описані в бібліотеці TechNet.
Завдання інтервалу синхронізації із зовнішнім джерелом
Час в секундах між опитуваннями джерела синхронізації, за умовчанням 900С = 15хв. Працює тільки для джерел, позначених прапором 0 × 1.
Установка мінімальної позитивної та негативної корекції
Максимальна позитивна і негативна корекція часу (різниця між внутрішнім годинником і джерелом синхронізації) в секундах, при перевищенні якої синхронізація не відбувається.
Рекомендую значення 0xFFFFFFFF, при якому корекція зможе проводитися завжди.
- [HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ W32Time \ Config] "MaxPosPhaseCorrection" = dword: FFFFFFFF "MaxNegPhaseCorrection" = dword: FFFFFFFF
Все необхідне в пару рядків
net stop w32time
w32tm / config / syncfromflags: manual /manualpeerlist:"il.pool.ntp.org,0x8 time.windows.com, 0x8 "
w32tm / config / reliable: yes
net start w32time
Корисні команди
- Застосування внесених в конфігурацію служби часу змін
w32tm / config / update - Примусова синхронізація від джерела
w32tm / resync / rediscover - Відображення стану синхронізації контролерів домену в домені
w32tm / monitor - Відображення поточних джерел синхронізації і їх статусу
w32tm / query / peers - Відображення хто є джерелом часу
w32tm / query / status
w32tm / query / source - Перевірка різниці в часі із зовнішнім джерелом часу:
w32tm / monitor /computers:il.pool.ntp.org - Визначення величини розбіжності локального часу та часу будь-якого комп'ютера в мережі
w32tm / stripchart /computer:dc01.home.local
Особливості віртуалізованих контролерів домену
Контролери домену, що працюють в виртуализированной середовищі, вимагають до себе особливого ставлення.
- Засоби синхронізації часу віртуальної машини і хостовой ОС повинні бути вимкнені.
У всіх адекватних системах віртуалізації (Microsoft, vmWare і т. Д.) Присутні компоненти інтеграції гостьовий ОС з хостовой, які значно підвищують продуктивність і керованість гостьовий системою. Серед цих компонентів завжди є засіб синхронізації часу гостьовий ОС з хостовой, яке дуже корисно для рядових машин, але протипоказано для контролерів домену. Тому як в цьому випадку досить імовірний цикл, при якому контролер домену і хостової ОС будуть синхронізувати один одного. Наслідки сумні. - Для корневогоPDCсінхронізація із зовнішнім джерелом повинна бути налаштована завжди.
У віртуальному середовищі годинник не настільки точні як у фізичній, тому як віртуальна машина працює з віртуальним процесором і переривань, для яких характерне як уповільнення, так і прискорення щодо «звичайної» частоти. Якщо не налаштувати синхронізацію віртуалізованого кореневого PDC із зовнішнім джерелом, час на всіх комп'ютерах підприємства, що втече / відставати на пару годин на добу. Не важко уявити неприємності, які може принести таку поведінку.