Синхронизация времени с контроллером домена. Настройка синхронизации времени


Опубликованно 05.05.2018 22:33

Синхронизация времени с контроллером домена. Настройка синхронизации времени

Синхронизация системного времени в домене Active Directory-это важно для правильной работы многих функций на рабочие станции пользователей под Windows. Запутанная системных часов может повлиять на способность пользователей для входа в систему, нарушить движение почты в Exchange и создают массу других проблем, которые довольно сложно обнаружить.

В сложных случаях стандартные методы синхронизации времени в сети не сто процентов надежным, или даже предсказуем. Например, если часы физической технологии Hyper-V узла больше не синхронизация, это обычно влияет на все виртуальные машины, иногда резко. К счастью, вам не понадобится много усилий, чтобы исправить ошибки синхронизации времени.

Выбор компьютера в качестве источника времени

Первое, что нужно сделать перед настройкой синхронизации времени выбрать компьютер, который будет основным источником системного времени на вашем домене.

Как правило, в качестве такого источника выбран компьютер, который имеет активную роль каталога эмулятором основного контроллера домена (PDC). Согласно официальной документации Microsoft, это должно быть главным ресурсом, из которого сеть получает информацию о времени. Однако на практике это не всегда возможно.

Машина, которую вы выберете, будет регулярное консультирование источников в Интернет, так что если вы находитесь на строго охраняемый объект с повышенными требованиями к информационной безопасности, вы должны думать о делегируя эту роль на другой компьютер.

Например, вы можете создать выделенный сервер, который будет получать информацию из Интернета и сдать его в эмулятор. В этом случае, вы будете иметь несколько компьютеров, которые являются источниками времени для машин, включенных в сеть. Конфигурации брандмауэра

Трафик при синхронизации времени с контроллером домена приходит на udp порт 123. На компьютере, который выступает в качестве источника времени, этот порт должен быть открыт для входящих подключений. На всех машинах в сети порт 123 должен быть открыт для исходящих подключений, по крайней мере с контроллером домена. Настройка контроллера домена

Синхронизировать время с контроллером домена на сервер, выполняющий роль эмулятора PDC, использовать командная строка должна быть следующей:

1. Убедитесь, что контроллер домена, на котором работает эмулятор основного контроллера домена, выполнив команду

программа netdom запроса фсмо

2. На сервере эмулятор выполните следующие команды синхронизации времени в указанном порядке:

чистая остановка службы w32time

команду w32tm /настроить /syncfromflags: руководство /manualpeerlist:"0.us.pool.ntp.org 0х1 1.us.pool.ntp.org 0х1 2.us.pool.ntp.org 0х1 3.нас.бассейн. ntp.org 0х1"

Внешним источником времени по умолчанию для Windows Server-это time.windows.com сервер. Лучший вариант-синхронизировать с несколькими серверами времени. В приведенной выше команде мы используем серверов времени, поддерживающих проект НТП бассейн.

чистый запуск службы w32time

команду w32tm /настроить /надежность: да /обновление

команду w32tm /синхронизации

3. Если Активный Каталог имеет несколько контроллеров домена, выполните в командной строке следующую команду:

команду w32tm /config в /syncfromflags: domhier /обновление

4. Проверьте настройки времени на сервере эмулятор:

команду w32tm статус /запрос/:

5. Проверьте настройки времени на все остальные контроллеры домена:

команду w32tm статус /запрос/:

Настройка DHCP

Для того чтобы обеспечить синхронизацию времени с контроллером домена на соответствующих устройствах DHCP сервер настройка настройка параметров 004 и 042.

Записей на DHCP, вы можете использовать только IP-адреса. Вы можете ввести имя сервера и нажмите кнопку решить , чтобы получить IP-адрес сервера.

Если вы используете DHCP с использованием устройств Cisco, настройки DHCP, введите следующие команды:

вариант 4 ИС [IP-адрес]

вариант 42 с IP [IP-адрес]

IP-адрес должен быть заменен на реальный IP сервера, что является источником времени.

Теперь всех DHCP-устройства получают настройки времени от сервера при очередном обновлении. Настроить статические устройства и компьютеры под управлением других операционных систем

Большинство устройства NAS и San имеете возможность ввести информацию о параметрах поставщика времени сервера.

Чтобы настроить синхронизацию времени с контроллером домена на устройствах с оборудованием Cisco командной строке введите:

NTP-сервер 192.168.25.5

IP-адрес должен быть заменен на реальный IP сервера, что является источником времени.

Для настройки синхронизации времени на компьютере под управлением операционной системы, отличной от Windows, обратитесь к документации вашей операционной системы. Однако, для других ОС корректная время не так важно, как для Windows, так что синхронизация возможна даже отказаться. Настройка виртуальных гостевых машин

Все современные гипервизоры позволяют синхронизировать системное время для виртуальных машин с помощью встроенных инструментов. Если синхронизация времени включена в домен, гостевая машина будет получать время от физический хост, на котором они работают.

В большинстве случаев вы хотите отключить эту функцию для гостевых виртуальных машин Windows, которые служат виртуализированных контроллеров домена. Для всех остальных гостей, он должен быть включен.

Чтобы настроить синхронизацию времени с контроллером домена в Hyper-V, откройте диалоговое окно параметры и щелкните на интеграции услуг. Снимите или установите флажок для синхронизации времени. Для других гипервизоров, обратитесь к документации производителя.

Настройка групповых политик

Чтобы действительно убедить вашего компьютера на Windows, чтобы использовать настройки времени, полученный от контроллера домена, необходимо настроить групповую политику.

Чтобы установить новую групповую политику, управление открытыми политики на контроллере домена или компьютера, где средства администрирования не установлен на удаленном сервере. Расширьте СВОЙ домен. Щелкните правой кнопкой мыши на пункте объектов Групповой политики и нажмите кнопку Новый. Дать новую политику имя и нажмите кнопку ОК.

Щелкните правой кнопкой мыши на новую политику и нажмите кнопку Редактировать. Это приведет к запуску редактора политики группы.

Перейдите в раздел Конфигурация компьютера > политики > административные шаблоны > система> служба времени Windows - > время-провайдеров. В правой области дважды щелкните включить Windows NTP-клиента. Установить статус включено и нажмите кнопку ОК.

Затем дважды щелкните настроить Windows NTP-клиента. Настройте параметры, как показано ниже, при добавлении 0х1 в поле NTP-сервер, чтобы получить yourdc.имя_домена.дву, 0х1.

После сохранения закройте редактор Групповой политики. Вы вернитесь в консоль управления, основные направления деятельности группы.

Если ваш домен имеет большое количество политики, щелкните правой кнопкой мыши новую политику и выберите объект Групповой политики Статус - > Конфигурация пользователя-инвалидов. Это позволит ускорить обработку каждого политика.

Теперь щелкните правой кнопкой мыши на объект, к которому вы хотите применить эту политику, и нажмите кнопку связать существующий объект Групповой политики. Выберите новую политику и нажмите кнопку ОК. При необходимости повторите шаги для других объектов.

Помните, что вложенные объекты наследуют групповую политику от своих родителей, если наследство не блокируется или дочерний объект не имеет собственных групповых политик, связанных с конфликтующими параметрами. Настроить другие контроллеры домена

Если вы будете следовать выше шаги, чтобы обеспечить синхронизацию времени в домене, то практически гарантировано, чтобы установить действительное время всех компьютеров в сети. Поэтому другие контроллеры домена (если у вас их несколько) можно не трогать.

Однако, если вы хотите быть уверены, что они используют правильное время, вы можете редактировать локальной Групповой политики. Перейдите в меню Пуск > Выполнить и введите команду gpedit.мсц. Нажмите кнопку ОК.

Затем используйте те же параметры, что приведены в предыдущем разделе. Если контроллер домена, на котором вы хотите работать, управляемого Windows ядро сервера, вы можете сделать это дистанционно, при условии, что такая возможность допускается брандмауэром. Просто запустите mmc.exe на компьютере с графическим интерфейсом, откройте пункт меню Файл > добавить или удалить оснастку, дважды щелкните редактор объектов Групповой политики и перейдите к компьютеру, на который вы хотите редактировать Групповой политики. Проверить результат

Запустить на любом компьютере Windows в сети командную строку с правами администратора и введите:

команду gpupdate

команду w32tm / запроса / источник

Результат команды на контроллер домена возвращает адрес одного из серверов НТП, которые были указаны в качестве внешнего источника времени из Интернета.

На рабочей станции пользователя, команда возвращает адрес контроллера домена.

На виртуальной машине в Hyper-V с поддержкой синхронизации вы должны увидеть сообщение: ВМ времени IC синхронизации Поставщиком.

Если команда сигнализирует о том, что время определяется местными CMOS часы, синхронизация времени в домене не работает.



Категория: Hi-Tech