Настройка синхронизации времени по NTP с помощью групповых политик
Служба времени Windows, несмотря на кажущуюся простоту, является одной из основ, необходимых для нормального функционирования домена Active Directory. В правильно настроенной среде AD служба времени работает следующим образом: компьютеры пользователей получают точное время от ближайшего контроллера домена, на котором они зарегистрировались. Все контроллеры домена в свою очередь получают точное время от DC с FSMO ролью «Эмулятор PDC», а контролер PDC синхронизирует свое время с неким внешним источником времени. В качестве внешнего источника времени может выступать один или несколько NTP серверов, например time.windows.com или NTP сервер вашего Интернет-провайдера. Также нужно отметить, что по умолчанию клиенты в домене синхронизируют время с помощью службы времени Windows (Windows Time), а не с помощью протокола NTP.
Если вы столкнулись с ситуацией, когда время на клиентах и контроллерах домена различается, возможно, в вашем домене есть проблемы с синхронизацией времени и эта статья будет вам полезна.
В первую очередь выберите подходящий NTP сервер, который вы могли бы использовать. Список общедоступных NTP серверов доступен на сайте http://ntp.org . В нашем примере мы будем использовать NTP сервера из пула ru.pool.ntp.org:
Настройка синхронизации времени в домене с помощью групповых политик состоит из двух шагов:
1) Создание GPO для контроллера домена с ролью PDC
2) Создание GPO для клиентов (опционально)
Настройка политики синхронизации NTP на контролере домена PDC
Этот шаг предполагает настройку контроллера домена с ролью эмулятора PDC на синхронизацию времени с внешним NTP сервером. Т.к. теоретически роль эмулятора PDC может перемещаться между контроллерами домена, нам нужно сделать политику, которая применялась бы только к текущему владельцу роли PDC. Для этого в консоли управления Group Policy Management Console (GPMC.msc), создадим новый WMI фильтр групповых политик. Для этого в разделе WMI Filters создадим фильтр и именем PDC Emulator и WMI запросом: Select * from Win32_ComputerSystem where DomainRole = 5
Затем создайте новую GPO и назначьте ее на контейнер Domain Controllers.
Перейдите в режим редактирования политики и разверните следующий раздел политик: Computer Configuration->Administrative Templates->System->Windows Time Service->Time Providers
Нас интересуют три политики:
- Configure Windows NTP Client: Enabled (настройки политики описаны ниже)
- Enable Windows NTP Client: Enabled
- Enable Windows NTP Server: Enabled
В настройках политики Configure Windows NTP Client укажите следующие параметры:
- NtpServer: 0.ru.pool.ntp.org,0x1 1.ru.pool.ntp.org,0x1 2.ru.pool.ntp.org,0x1 3.ru.pool.ntp.org,0x1
- Type: NTP
- CrossSiteSyncFlags: 2
- ResolvePeerBackoffMinutes: 15
- Resolve Peer BAckoffMaxTimes: 7
- SpecilalPoolInterval: 3600
- EventLogFlags: 0
Примените созданный ранее фильтр PDC Emulator к данной политике.
Осталось обновить политики на контроллере PDC:
gpupdate /force
Вручную запустите синхронизацию времени:
w32tm /resync
Проверьте текущие настройки NTP:
w32tm /query /status
Настройка синхронизации времени на клиентах домена
В среде Active Directory по умолчанию клиенты домена синхронизируют свое время с контролерами домена (опция Nt5DS – синхронизировать время согласно иерархии домена). Как правило, эта схема работает и не требует перенастройки. Однако при наличии проблем с синхронизацией времени на клиентах домена, можно попробовать принудительно назначить сервер времени для клиентов с помощью GPO.
Для этого создайте новую GPO и назначьте ее на контейнеры (OU) с компьютерами. В редакторе GPO перейдите в раздел Computer Configuration -> Administrative Templates -> System -> Windows Time Service -> Time Providers и включите политику Configure Windows NTP Client.
В качестве сервера NTP укажите имя или ip адрес PDC, например msk-dc1.winitpro.ru,0x9, а в качестве типа синхронизации — NT5DS
Обновите настройки групповых политик на клиентах и проверьте, что клиенты успешно синхронизировали свое время с PDC.
Источник
Настройка сервера времени на домен контроллере
Задача: разобрать действия по организации сервиса времени для всей локальной сети дабы рабочие станции, сервера получали точное время и оно везде было одинаковым . Сервис времени организовывается на домен контроллере под управлением операционной системы Windows Server 2012 R2, также действия ниже аналогичны и для Server 2008 R2
Схема: интернет — Mikrotik — DC — Workstations
Открываю на srv-dc консоль командной строки с правами администратора:
Win + X — Command Prompt (Admin)
Определяю какой домен контроллер (Windows Server 2012 R2 Std) имеет роль PDC если домен контроллеров несколько в домене:
C:Windowssystem32>netdom query fsmo
- Schema master srv-dc.polygon.local
- Domain naming master srv-dc.polygon.local
- PDC srv-dc.polygon.local
- RID pool manager srv-dc.polygon.local
- Infrastructure master srv-dc.polygon.local
The command completed successfully.
Как видно из вывода, это контроллер домена srv-dc.polygon.local, подключаюсь теперь к нему по RDP или VNC соединению для выполнения следующих команд:
C:Windowssystem32>net stop w32time
Настраиваем внешний источник времени:
C:Windowssystem32>w32tm /config /syncfromflags:manual /manualpeerlist:»0.pool.ntp.org»
Cделать ваш контроллер домена PDC доступным для клиентов:
C:Windowssystem32>w32tm /config /reliable:yes
Запускаю службу времени:
C:Windowssystem32>net start w32time
Также можно изменения вносить и через реестр в ключе: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParameters
Чтобы после принудительно запросить получение точного времени проделываем:
C:Windowssystem32>W32tm /config /reliable:yes
The command completed successfully.
C:Windowssystem32>W32tm /config /update
The command completed successfully.
C:Windowssystem32>W32tm /resync
Sending resync command to local computer
The command completed successfully.
Вот и все, служба времени Windows начинает синхронизацию времени с внешним источником, посмотреть этот процесс можно так:
C:Windowssystem32>w32tm /query /configuration
После нужно добавить параметр в DHCP оснастку, что сервер времени это наш домен контроллер:
Win + X — Control Panel — Administrative Tools — запускаю оснастку DHCP: DHCP → srv-dc.polygon.local → IPv4 → Scope [10.10.10.0] local → и через правый клик мышью по Scope Options вызываю меню Configure Options… где добавляю опцию для всего домена: 042 NTP Servers
Теперь доменные Windows станции будут знать, что сервер времени это домен контроллер, а для моих Ubuntu системы после установке sudo apt-get install ntp -y в файле /etc/ntp.conf нужно будет в параметре server указать IP адрес этого домен контроллера и перезапустить службу времени sudo service ntp restart.
Если же у Вас DHCP сервис развернут не на Windows, то донести до всех где брать точное время можно через групповые политики GPO. Создаем GPO_NTP и предопределяем, что ориентирована она будет на текущий домен и все рабочие станции посредством WMI-фильтра.
Открываю оснастку на srv-dc управления групповыми политиками домена:
Win + X — Control Panel — Administrative Tools — Group Policy Management, открываю на редактирование: Group Policy Management → Forest: polygon.local → Domains → polygon.local → и через правый клик мышью по WMI Filters вызываю меню New…
- Name: W7
- Decription: Windows 7 x86/x64
- Queries: → Add
- Namespace: rootCIMv2
- Query: Select
* from WIN32_OperatingSystem where ((Version > «6») and
(ProductType = 1))
и
нажимаю OK, OK, Save
После перехожу к редактированию групповой политики для рабочих станции домена , через правый клик мышью по GPO_NTP вызываю меню Edit.
Computer Configuration → Policies → Administrative Tools → System → Windows Time Service → Time Providers → Configure Windows NTP Client, включаю ее Enabled и определяю настройки:
NtpServer: srv-dc.polygon.local,0x9
все остальное оставляю по умолчанию.
После нажимаю Apply & OK.
И не забываем к политике добавить WMI фильтр. В конечном итоге политика должна выглядеть так:
После когда политика применится к системам согласно WMI-фильтру можно будет проверить куда смотрит рабочая станции если ей нужно точное время:
C:Usersalektest>w32tm /query /status
Индикатор помех: 0(предупреждений нет)
Страта: 4 (вторичная ссылка — синхронизирована с помощью (S)NTP)
Точность: -6 (15.625ms за такт времени)
Задержка корня: 0.0876923s
Дисперсия корня: 7.8503892s
Идентификатор опорного времени: 0x0A0A0A02 (IP-адрес источника: 10.10.10.2)
Время последней успешной синхронизации: 30.04.2017 16:46:38
Интервал опроса: 10 (1024s)
C:Usersalektest>w32tm /monitor
srv-dc.polygon.local *** PDC ***[10.10.10.2:123]:
NTP: +0.0000000s смещение относительно srv-dc.polygon.local
RefID: ground.corbina.net [85.21.78.91]
На замету: Если же в локальной сети появятся рабочие станции под управлением Windows 8 и выше, то нужно будет модифицировать WMI фильтр.
Но как известно, в случае чего с домен контроллером его роли можно забирать, так может произойти в случае различных проблем. Вот забрали роль PDC и время поехало во всем домене, чтобы этого не произошло нужно создать групповую политику ориентированную только на домен контроллер с ролью PDC: GPO_PDC и WMI фильтр с именем PDC следующего содержания:
Select * from Win32_ComputerSystem where DomainRole = 5
Computer Configuration → Policies → Administrative Tools → System → Windows Time Service → Time Providers → Configure Windows NTP Client, включаю ее Enabled и определяю настройки:
NtpServer: 0.pool.ntp.org,0x9
все
остальное оставляю по умолчанию.
После нажимаю Apply & OK.
и Computer Configuration → Policies → Administrative Tools → System → Windows Time Service → Time Providers -> Enable Windows NTP Client включить Enable.
Также параметр Type вместо NT5DS можно использовать и NTP
И не забываем к политике добавить WMI фильтр ← PDC. Теперь не важно кто является домен контроллером, точное время на нем будет.
А раз так, что рабочие станции не обязательно привязывать/создавать к политике назначения точного времени, ведь по умолчанию рабочие станции домена, итак, забирают точное время с контроллера домена по умолчанию.
- Настраиваю GPO и привязываю ее через WMI фильтр к серверу у которого есть роль PDC
- В оснастке DHCP указываю параметр кто в домене является сервером у которого клиентским рабочим станциям запрашивать точное время.
- Если DHCP не на базе Windows, то можно настроить GPO и сделать нацеливание на определенную ось.
На заметку: Если домен контроллер развернут на виртуальной системе, то следует проверить, что время берется не с гипервизора, а через настройку этой заметки.
На заметку: если роль PDC б ыла переназначена на другой сервер, то я советую перезагрузить домен контроллер и все остальные также.
На этом у меня все. Задача выполнена и задокументирована, с уважением автор блога Олло Александр aka ekzorchik.
Источник
Настройка синхронизации времени в домене Windows Server 2008 R2/2012 R2
Для правильного функционирования доменной среды Windows Server 2008 R2/2012 R2, является корректная работа службы времени Windows (W32Time).
Схема работы синхронизации времени в доменной среде Active Directory:
- Контроллер корневого домена в лесу AD, которому принадлежит FSMО-роль PDC-эмулятора, синхронизируется с внешними источниками точного времени. Он же является источником времени для всех остальных контроллеров этого домена.
- Контроллеры дочерних доменов в AD, синхронизируют время с вышестоящих контроллеров домена AD.
- Рядовые члены домена (сервера и рабочие станции) синхронизируют свое время с ближайшим к ним доступным контроллером домена, соблюдая топологию AD.
Служба времени в Windows (W32Time) не имеет графического интерфейса и настраивается из командной строки (утилита w32tm), с помощью реестра (HKLMSystemCurrentControlSetServicesW32TimeParameters) и посредством Групповой политики (Group Policy Managment)
Включение NTP-сервера
NTP-сервер по-умолчанию включен на всех контроллерах домена, но его можно включить и на рядовых серверах:
Конфигурация NTP-сервера
Задаем тип синхронизации внутренних часов, на использование внешнего источника. (Командная строка/Реестр):
- w32tm /config /syncfromflags:manual
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParameters] — «Type»=NTP
NoSync — NTP-сервер не синхронизируется с каким либо внешним источником времени. Используются системные часы, встроенные в микросхему CMOS самого сервера.
NTP — NTP-сервер синхронизируется с внешними серверами времени, которые указаны в параметре реестра NtpServer.
NT5DS — NTP-сервер производит синхронизацию согласно доменной иерархии.
AllSync — NTP-сервер использует для синхронизации все доступные источники.
Задание списка внешних источников для синхронизации, с которыми будет синхронизировать время данный сервер. По-умолчанию в этом параметре прописан NTP-сервер Microsoft (time.windows.com, 0×1). (Командная строка/Реестр):
- w32tm /config /manualpeerlist:»0.ru.pool.ntp.org,0x1 1.ru.pool.ntp.org,0x1 2.ru.pool.ntp.org,0x1″
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParameters] — «NtpServer»=0.ru.pool.ntp.org,0x1 1.ru.pool.ntp.org,0x1 2.ru.pool.ntp.org,0x1
0×1 – SpecialInterval, использование временного интервала опроса.
0×2 – режим UseAsFallbackOnly.
0×4 – SymmetricActive, симметричный активный режим.
0×8 – Client, отправка запроса в клиентском режиме.
Задание интервала синхронизации с внешним источником (для источников помеченных флагом 0×1). По-умолчанию время опроса задано — 3600 сек. (1 час). (Командная строка/Реестр):
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProvidersNtpClient] — «SpecialPollInterval»=3600
Объявление NTP-сервера в качестве надежного. (Командная строка/Реестр):
- w32tm /config /reliable:yes
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeConfig] — «AnnounceFlags»=0000000a
После настройки необходимо обновить конфигурацию сервиса. Выполняем команду:
Отобразить текущую конфигурацию службы времени:
- w32tm /query /configuration
Получения информации о текущем сервере времени:
Отображение текущих источников синхронизации и их статуса:
Отображение состояния синхронизации контроллеров домена с компьютерами в домене:
- w32tm /monitor /computers:192.168.1.2
Отобразить разницу во времени между текущим и удаленным компьютером:
- w32tm /stripchart /computer:192.168.1.2 /samples:5 /dataonly
Удалить службу времени с компьютера:
Регистрация службы времени на компьютере. Создается заново вся ветка параметров в реестре:
Остановка службы времени:
Запуск службы времени:
Конфигурация NTP-сервера/клиента групповой политикой
Для централизованной настройки службы времени Windows, на серверах и рабочих станциях в доменной среде Active Directory, воспользуемся групповой политикой. На примере, выполним настройку для рабочих станций.
Переходим в ветку: Конфигурация компьютера (Computer Configuration) — Политики (Policies) — Административные шаблоны (Administrative Templates) — Система (System) — Служба времени Windows (Windows Time Service) — Поставщики времени (Time Providers).
Открываем параметр: Настроить NTP-клиент Windows (Configure Windows NTP Client)
- NtpServer — 192.168.1.2 (Адрес контроллера домена с ролью PDC)
- Type — NT5DS
- CrossSiteSyncFlags — 2
- ResolvePeerBackoffMinutes —15
- Resolve Peer BackoffMaxTimes — 7
- SpecilalPoolInterval — 3600
- EventLogFlags — 0
Источник
Сегодня пришлось повозиться на держателе домена (windows 2003) и корректно настроить ntp. Ниже будет информацию, которая мне помогла.
Процедура по восстановлению работоспособности сервиса w32tm
1. Находим все DC и того, кто из них PDC эмулятор
netdom query fsmo
2. Проверяем доступность сервера времени с PDC эмулятора
portqry –n ntp.mydomain.ua –e 123 –p UDP Querying target system called: ntp.mydomain.ua Attempting to resolve name to IP address… Name resolved to 10.10.72.17
UDP port 123 (ntp service): LISTENING or FILTERED
Должно быть именно так “LISTENING or FILTERED”.
Эта утилита входит в комплект Support Tools для Windows 2003 Server. К сожалению, на Windows 2008 R2 она не работает.
3. В regedit открываем параметры ntp сервера
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParametersNtpServer
Там должен быть записан ip адрес или полное имя нашего ntp сервера и запись должна обязательно заканчиваться строкой “,0x1”. Кавычки, понятное дело, нужно убрать. Для уверенности в том, что тут нету ошибки, можно пропинговать указанный ntp-сервер.
4. Там же, следует перейти к параметру Type:
HKLMSYSTEMCurrentControlSetServicesW32TimeParametersType
и убедиться, что там прописано NTP, а не NT5DS
5. Теперь следует проверить еще одно значение: AnnounceFlags
HKLMSYSTEMCurrentControlSetServicesW32TimeConfigAnnounceFlags
тут должна быть 5
6. Перезапускаем сервис времени:
net stop w32time && net start w32time
7. Синхронизируемся:
w32tm /resync /rediscover
8. На остальных контроллерах домена рекомендуется переустановить службу времени
Команда: «w32tm /unregister && w32tm /register» удаляет службу времени, а затем снова ее устанавливает, причем, что важно, удаляется, а затем создается заново вся ветка параметров в реестре.
9. Рекомендуется перезапустить контроллер домена, являющийся pdc эмулятором, да и все остальные тоже.
10. Если на pdc эмуляторе ошибки все равно наблюдаются, то стоит попробовать изменить формат клиентских запросов
В параметре
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParametersNtpServer
Меняем значение с 0x1 на 0x8
11. Перезапускаем сервис времени
net stop w32time && net start w32time
12. Рекомендуется проверить все политики, имеющие отношение к настройкам сервиса времени:
Default Domain Controllers group policy, Default Domain group policy и другие в которых изменены любые значения в разделе
Computer configuration/Administrative Templates /System/Windows Time service/Time Providers
Убедитесь, что все значения там в состоянии “not configured”. При необходимости, играть с параметрами следует позже.
Если что-то меняли в политике, то перезапускаем сервис времени: net stop w32time && net start w32time
13. Если так ничего не помогло, то нужно обнулить параметры сервиса времени и на pdc эмуляторе:
net stop w32time w32tm /unregister w32tm /register
После чего нужно будет настраивать все параметры заново, начиная с п.3.
Если вдруг, на этапе удаления напишет про запрет доступа, то нужно перезагрузиться.
Включение лога сервиса времени
В особо тяжелых случаях может помочь включение лога для сервиса. Для настройки этого используются три параметра в реестре по пути:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeConfig
Если нижеприведенных ключей там нету, а их нету по умолчанию, то их следует создать
- FileLogSize, Type: DWORD, Data: 10000000 — максимальный размер лог-файла в байтах.
- FileLogName, Type: REG_SZ (String), Data: C:Testw32time_log.txt — адрес нахождения лог-файла
- FileLogEntries, Type: REG_SZ (String), Value: 0-116 — уровень детализации лога. Максимальный диапазон: 0-300.
Вместо изменения значений в реестре, можно то же самое сделать из командной строки:
w32tm /debug /enable /file:C:Testw32time_log.txt /size:100000 /entries:0-300
Чтобы выключить логи отладки можно ввести команду:
w32tm /debug /disable
Если Вы перенесли роль PDC Emulator на другой сервер, необходимо дополнительно выполнить настройку старого сервера командой
w32tm /config /syncfromflags:domhier /reliable:no /update
и перезапустить службу времени:
net stop w32time && net start w32time
Первое решение проблемы «no time data was available»
Еще раз обращу внимание, что проблема была в доменных политиках.
Команда w32tm /resync выдавала ошибку
The computer did not resync because no time data was available.
Решено это было следующим образом:
- Start / Run / dsa.msc / OK.
- Right-click the Domain Controllers container and press Properties.
- Select the Group Policy tab.
- Select the Default Domain Controllers Policy and press Edit. If GPMC is implemented, press Open first.
- Expand Computer Configuration / Administrative Templates / System / Windows Time Service.
- Right-click Global Configuration Settings and press Properties.
- Select Not Configured.
- Press Apply and OK.
- Expand Windows Time Service.
- Double-click Enable Windows NTP Client.
- Select Not Configured.
- Press Apply and OK.
- Double-click Configure Windows NTP Client.
- Select Not Configured.
- Press Apply and OK.
- Double-click Enable Windows NTP Server.
- Select Not Configured.
- Press Apply and OK.
- Exit the Group Policy Editor.
- Close any open policy dialog boxes.
- Open a CMD.EXE window.
- Type gpupdate /force and press Enter.
Второе решение проблемы «no time data was available»
Во второй раз с этой же ошибкой с я столкнулся через пару лет. При попытке получить время от нашего cisco роутера, при помощи команды w32tm /resync, видел ошибку:
Sending resync command to local computer…
The computer did not resync because no time data was available.
Или на русском:
Команда синхронизации отправлена на local computer…
Синхронизация не выполнена, поскольку нет доступных данных о времени.
При этом вышеописанные действия уже были совершены.
Служба win32time отсылала «симметрические пакеты»: в снифере wireshark я видел что windows сервер отсылает пакеты «NTP Version 3, symmetric active», но никакого ответа от CISCO не получал.
В логах службы сообщалось «No response from peer», а в логах роутера:
252755: Jul 2 11:52:48.456 EEST: NTP message received from 192.168.2.31 on interface 'FastEthernet0/0.5' (192.168.2.10). 252756: Jul 2 11:52:48.456 EEST: NTP Core(DEBUG): ntp_receive: message received 252757: Jul 2 11:52:48.456 EEST: NTP Core(DEBUG): ntp_receive: peer is 0x00000000, next action is 5. 252758: Jul 2 11:52:48.456 EEST: NTP Core (NOTICE): ntp_receive: dropping message: AM_NEWPASS, passive association disabled..
В этой случае мне помогла команда:
w32tm /config /manualpeerlist:192.168.2.10,0x8 /syncfromflags:MANUAL
и перезапуск службы времени.
После этого в wireshark увидел нормальный обмен пакетами:
- windows сервер посылал пакеты «NTP Version 3, client»
- cisco роутер отвечал пакетами «NTP Version 3, server»
Настраиваем период синхронизации времени
Инструкция работает на компьютерах которые не включены в домен.
Переходим к редактированию реестра: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32Time TimeProvidersNtpClientSpecialPollInterval — ключ в реестре, задает период обновления синхронизации времени в системе в секундах. Вводим в десятичном формате необходимый период.
После этого перезагружаем компьютер или вводим команду w32tm /config /update
Проверить с какой периодичностью происходит синхронизация времени:
- Кликаем по часам в панели задач
- Переходим к «изменение настроек даты и времени», вкладка «Время по Интернету»
- Жмем кнопку «Изменить параметры»
- Убеждаемся что установлена галочка возле «Синхронизировать с сервером времени в Интернете»
- Выбираем нужный сервер, жмем кнопку «Обновить сейчас» и ждем пока не появиться надпись «Время было успешно синхронизировано», если же увидели надпись «Ошибка при выполнении синхронизации» то выбираем другой сервер.
- После успешной синхронизации жмем кнопку «ОК» и на вкладке «Время по Интернету» смотрим когда будет «Следующее выполнение синхронизации»
Указание часового пояса через групповые политики
- Открываем политику для контейнера где находиться компьютер
- Переходим к Конфигурация компьютера — Настройка — Конфигурация Windows — Реестр
- Левый клик по правой белой области в области «Реестр» и выбираем пункт меню «Создать» — «Мастер реестра»
- Выбираем компьютер на котором установлен нужный часовой пояс (у меня это локальный)
- В Браузере реестра переходим к «HKLM System CurrentControlSet Control TimeZoneInformation»
- Отмечаем все ключи в этой папке и жмем «готово»
- Все теперь на локальных компьютерах автоматически будет устанавливаться необходимый часовой пояс и после перезагрузки устанавливаться правильной время
Полезные команды связанные со службой времени ntp:
- netdom query fsmo — раскажет кто PDC (главный сервер времени в домене)
- w32tm /monitor
- w32tm /config /manualpeerlist:time.windows.com,0x1 /syncfromflags:manual /reliable:yes /update — команда которая настроит ваш доменный контроллер с ролью «Эмулятора PDC» на синхронизацию с внешним источником
- w32tm /stripchart /computer:time.windows.com /samples:5 /dataonly — 5 сравнений с источником
- net time /querysntp — показывает кто является ntp сервером
- w32tm /query /peers — показывает источник, сколько времени осталось до синхронизации, режим работы, страту, интервал опроса
- w32tm /query /status — отображает индикатор помех, старту, точность, задержку корня, дисперсию, время последней успешной синхронизации, источник и интервал опроса
- net time /setsntp:192.168.1.1 — задает ntp-сервер.
- w32tm /debug /enable /file:C:Testw32time_log.txt /size:100000 /entries:0-300 — включаем ведение лога службой времени
- w32tm /debug /disable — отключаем логирование
- w32tm /config /update — применить/обновить конфигурацию.
- w32tm /query /configuration — полный список параметров службы
Помните что после любых изменений в конфигурации ntp-службы нужно ее перезапускать, команда:
net stop w32time && net start w32time
Полезные ссылки:
- support.microsoft.com/kb/816042
Понравилось? =) Поделись с друзьями:
Содержание
- Синхронизация времени windows 10 с контроллером домена
- Синхронизация времени в Active Directory
- Конфигурация NTP-сервера на корневом PDC
- Включение синхронизации внутренних часов с внешним источником
- Задание списка внешних источников для синхронизации
- Задание интервала синхронизации с внешним источником
- Установка минимальной положительной и отрицательной коррекции
- Все необходимое одной строкой
- Полезные команды
- Настройка NTP сервера и клиента групповой политикой
- Особенности виртуализированных контроллеров домена
- Настройка синхронизации времени в домене
- Немного теории
- Как проверить, работает ли синхронизация времени в домене?
- Команда w32tm /monitor
- Команда w32tm /query /Source или w32tm /query /peers
- Команда w32tm /query /Configuration /verbose
- Команда w32tm /query /status /verbose
- Команда w32tm /stripchart /computer:» » /samples:3 /dataonly
- Как исправить настройки синхронизации времени
- Настройка синхронизации времени на компьютерах и контроллерах домена (кроме КД с ролью PDC)
- Настройка синхронизации времени на контроллере домена с ролью PDC
- Перерегистрация службы времени на контроллере домена с ролью PDC
- Настройка синхронизации времени на контроллере домена с ролью PDC
- Настройка синхронизации времени по NTP с помощью групповых политик
- Настройка политики синхронизации NTP на контролере домена PDC
- Настройка синхронизации времени на клиентах домена
- Инструменты и параметры службы времени Windows
- Сетевой порт
- Использование W32tm.exe
- Запуск W32tm.exe
- Настройка клиента на использование двух серверов времени
- Настройка клиента для автоматической синхронизации времени из источника домена
- Проверка конфигурации времени на клиенте
- Настройка сброса часов компьютера
- Пример: системные часы отстают на четыре минуты
- Пример: системные часы отстают на три минуты
- редактор локальных групповых политик;
- Справочник по реестру Windows
- Записи подраздела Config
- Записи подраздела Parameters
- Записи подраздела NtpClient
- Записи подраздела NtpServer
- Расширенное ведение журнала
- Параметры объектов групповой политики
- Глобальные параметры конфигурации
- Параметры NTP-клиента Windows
Синхронизация времени windows 10 с контроллером домена
Добрый день уважаемые читатели и гости блога pyatilistnik.org, как много люди говорят о времени, что оно быстро или медленно бежит, и все понимают, что оно бесценно и важно. Так и в инфраструктуре Active Directory, она является одним из важнейших факторов, правильного функционирования домена. В домене все друг другу доверяют, и один раз авторизовавшись и получив все тикеты от Kerberos, пользователь ходит куда угодно, ограничиваясь лишь своими доступными правами. Так вот если у вас не будет точного времени на ваших рабочих станциях к контроллеру домена, то можете считать, что у вас начинаются серьезные проблемы, о которых мы поговорим ниже и рассмотрим как их устранить с помощью настройки NTP сервера в Windows.
Синхронизация времени в Active Directory
Среди компьютеров, участвующих в Active Directory работает следующая схема синхронизация времени.
Корневой PDC может синхронизировать свое время как со внешним источником, так и с самим собой, последнее задано конфигурацией по умолчанию и является абсурдом, о чем периодически намекают ошибки в системном журнале.
Синхронизация клиентов корневого PDC может осуществятся как с его внутренних часов, так и с внешнего источника. В первом случае сервер времени корневого PDC объявляет себя как «надежный» (reliable).
Далее я приведу оптимальную с моей точки зрения конфигурацию сервера времени корневого PDC, при которой сам корневой PDC периодически синхронизирует свое время от достоверного источника в интернете, а время обращающихся к нему клиентов синхронизирует со своими внутренними часами.
Вводим netdom query fsmo. В моем примере, роль PDC и NTP сервера, принадлежит контроллеру dc7
Конфигурация NTP-сервера на корневом PDC
Конфигурирование сервера времени в Windows (NTP-сервера) может осуществляться как с помощью утилиты командной строки w32tm, так и через реестр. Где возможно, я приведу оба варианта. Но в начале посмотрите полностью ваши настройки на компьютере, делается это командой:
EventLogFlags: 2 (Локально)
AnnounceFlags: 10 (Локально)
TimeJumpAuditOffset: 28800 (Локально)
MinPollInterval: 6 (Локально)
MaxPollInterval: 10 (Локально)
MaxNegPhaseCorrection: 172800 (Локально)
MaxPosPhaseCorrection: 172800 (Локально)
MaxAllowedPhaseOffset: 300 (Локально)
FrequencyCorrectRate: 4 (Локально)
PollAdjustFactor: 5 (Локально)
LargePhaseOffset: 50000000 (Локально)
SpikeWatchPeriod: 900 (Локально)
LocalClockDispersion: 10 (Локально)
HoldPeriod: 5 (Локально)
PhaseCorrectRate: 7 (Локально)
UpdateInterval: 100 (Локально)
NtpClient (Локально)
DllName: C:Windowssystem32w32time.dll (Локально)
Enabled: 1 (Локально)
InputProvider: 1 (Локально)
CrossSiteSyncFlags: 2 (Локально)
AllowNonstandardModeCombinations: 1 (Локально)
ResolvePeerBackoffMinutes: 15 (Локально)
ResolvePeerBackoffMaxTimes: 7 (Локально)
CompatibilityFlags: 2147483648 (Локально)
EventLogFlags: 1 (Локально)
LargeSampleSkew: 3 (Локально)
SpecialPollInterval: 3600 (Локально)
Type: NT5DS (Локально)
NtpServer (Локально)
DllName: C:Windowssystem32w32time.dll (Локально)
Enabled: 1 (Локально)
InputProvider: 0 (Локально)
AllowNonstandardModeCombinations: 1 (Локально)
VMICTimeProvider (Локально)
DllName: C:WindowsSystem32vmictimeprovider.dll (Локально)
Enabled: 1 (Локально)
InputProvider: 1 (Локально)
Включение синхронизации внутренних часов с внешним источником
Объявление NTP-сервера в качестве надежного
NTP-сервер по умолчанию включен на всех контроллерах домена, однако его можно включить и на рядовых серверах.
Задание списка внешних источников для синхронизации
Флаг 0×8 на конце означает, что синхронизация должна происходить в режиме клиента NTP, через предложенные этим сервером интервалы времени. Для того, чтобы задать свой интервал синхронизации, необходимо использовать флаг 0×1.
Задание интервала синхронизации с внешним источником
Время в секундах между опросами источника синхронизации, по умолчанию 900с = 15мин. Работает только для источников, помеченных флагом 0×1.
Установка минимальной положительной и отрицательной коррекции
Максимальная положительная и отрицательная коррекция времени (разница между внутренними часами и источником синхронизации) в секундах, при превышении которой синхронизация не происходит. Рекомендую значение 0xFFFFFFFF, при котором коррекция сможет производиться всегда.
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeConfig]
«MaxPosPhaseCorrection»=dword:FFFFFFFF
«MaxNegPhaseCorrection»=dword:FFFFFFFF
Все необходимое одной строкой
w32tm.exe /config /manualpeerlist:»time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 pool.ntp.org,0x8″ /syncfromflags:manual /reliable:yes /update
Полезные команды
Настройка NTP сервера и клиента групповой политикой
Раз уж у нас с вами домен Active Directory, то глупо не использовать групповые политики, для массовой настройки серверов и рабочих станций, я покажу как настроить ваш NTP сервер в windows и клиента. Открываем оснастку «Редактор групповых политик». Перед тем как настроить наш NTP сервер в Windows, нам необходимо создать WMI фильтр, который будет применять политику, только к серверу мастера PDC.
Вводим имя запроса, пространство имен, будет иметь значение «rootCIMv2» и запрос «Select * from Win32_ComputerSystem where DomainRole = 5». Сохраняем его.
Затем вы создаете политику на контейнере Domain Controllers.
В самом низу политики применяете ваш созданный WMI фильтр.
Переходим в ветку: Конфигурация компьютера > Политики > Административные шаблоны > Система > Служба времени Windows > Поставщики времени.
Тут открываем политику «Настроить NTP-клиент Windows». Задаем параметры
Делаем отдельную групповую политику для клиентских рабочих машин, вот с такими параметрами.
Далее идем на клиента и обновляем групповые политики gpupdate /force и вводим команду w32tm /query /status
Особенности виртуализированных контроллеров домена
Контроллеры домена, работающие в виртуализированной среде, требуют к себе особенного отношения.
Источник
Настройка синхронизации времени в домене
Как настроить синхронизацию времени во всём домене сразу? И так, чтобы работало дальше само? А когда контроллер домена с ролью PDC изменится, что делать? А если уже синхронизация времени в домене настроена, но работает плохо, как починить?
Обо всём этом читайте в этой статье.
Немного теории
Синхронизация времени в домене может (теоретически) работать сама, безо всяких настроек. Выглядит это обычно так:
Как проверить, работает ли синхронизация времени в домене?
До того, как что-либо «ломать» (и в процессе настройки, чтобы проверять эффективность вносимых изменений) необходимо производить диагностику текущего состояния, а также анализировать текущую конфигурацию службы времени. Этому призваны помочь несколько команд, указанных ниже.
Команда
w32tm /monitor
Команда
w32tm /query /Source
или
w32tm /query /peers
Команда
w32tm /query /Configuration /verbose
Команда
w32tm /query /status /verbose
Команда
w32tm /stripchart /computer:» » /samples:3 /dataonly
Сравнивает время (и отображает разницу во времени) на текущем компьютере с компьютером, указанном в аргументе /computer. Компьютер-источник для сравнения времени может быть как в интернете, так и в локальном домене. Примеры команды:
w32tm /stripchart /computer:»ntp.org» /samples:3 /dataonly
или
w32tm /stripchart /computer:»dc1.domain.local» /samples:3 /dataonly
Как исправить настройки синхронизации времени
Настройка синхронизации времени на компьютерах и контроллерах домена
(кроме КД с ролью PDC)
Настройка синхронизации времени на контроллере домена с ролью PDC
Перерегистрация службы времени на контроллере домена с ролью PDC
Для отмены регистрации и повторной регистрации службы времени выполните следующие команды:
net stop w32time
w32tm /unregister
w32tm /register
net start w32time
Настройка синхронизации времени на контроллере домена с ролью PDC
Наш КД с ролью PDC необходимо настроить на синхронизацию с внешним источником (в интернете). Для этой цели не подходит тип синхронизации NT5DS и синхронизации в соответствии с иерархией домена (DOMHIER). Поэтому на нашем КД с ролью PDC мы используем тип синхронизации NTP и синхронизация будет настроена вручную (MANUAL). Источники синхронизации (peers) указываются в кавычках, а если таких источников несколько, то они перечисляются через запятую. Кроме того, мы даем указание считать данный источник синхронизации (КД с ролью PDC) надежным источником времени (reliable):
w32tm /config /syncfromflags:manual /manualpeerlist:»0.pool.ntp.org, 1.pool.ntp.org, 2.pool.ntp.org» /reliable:yes /update
Теперь можно ускорить применение параметров и синхронизацию времени, перезагрузив службу времени и форсировав синхронизацию:
net stop w32time
net start w32time
w32tm /resync /force или w32tm /resync /rediscover
После выполнения этих команд (сделав паузу в несколько минут на применение параметров и выполнение синхронизации) сравните время на контроллере домена с временем в интернете:
w32tm /stripchart /computer:»0.ru.pool.ntp.org» /samples:3 /dataonly
Не забудьте проверить, что на всех контроллерах домена время синхронизировалось с PDC. Для этого наберите команду:
Всё должно заработать!
P.S.: Обратите внимание, что применение параметров команды w32tm требует времени. Поэтому после каждого обновления конфигурации рекомендуем делать паузу в 1-5 минут, а потом уже проверять, обновилась ли конфигурация службы времени, и как всё работает.
Источники информации для данной статьи:
Статья опубликована: 20.08.2017, обновлена 31.01.2020
Источник
Настройка синхронизации времени по NTP с помощью групповых политик
Служба времени Windows, несмотря на кажущуюся простоту, является одной из основ, необходимых для нормального функционирования домена Active Directory. В правильно настроенной среде AD служба времени работает следующим образом: компьютеры пользователей получают точное время от ближайшего контроллера домена, на котором они зарегистрировались. Все контроллеры домена в свою очередь получают точное время от DC с FSMO ролью «Эмулятор PDC», а контролер PDC синхронизирует свое время с неким внешним источником времени. В качестве внешнего источника времени может выступать один или несколько NTP серверов, например time.windows.com или NTP сервер вашего Интернет-провайдера. Также нужно отметить, что по умолчанию клиенты в домене синхронизируют время с помощью службы времени Windows (Windows Time), а не с помощью протокола NTP.
Если вы столкнулись с ситуацией, когда время на клиентах и контроллерах домена различается, возможно, в вашем домене есть проблемы с синхронизацией времени и эта статья будет вам полезна.
Настройка синхронизации времени в домене с помощью групповых политик состоит из двух шагов:
1) Создание GPO для контроллера домена с ролью PDC
2) Создание GPO для клиентов (опционально)
Настройка политики синхронизации NTP на контролере домена PDC
Этот шаг предполагает настройку контроллера домена с ролью эмулятора PDC на синхронизацию времени с внешним NTP сервером. Т.к. теоретически роль эмулятора PDC может перемещаться между контроллерами домена, нам нужно сделать политику, которая применялась бы только к текущему владельцу роли PDC. Для этого в консоли управления Group Policy Management Console (GPMC.msc), создадим новый WMI фильтр групповых политик. Для этого в разделе WMI Filters создадим фильтр и именем PDC Emulator и WMI запросом: Select * from Win32_ComputerSystem where DomainRole = 5
Затем создайте новую GPO и назначьте ее на контейнер Domain Controllers.
Перейдите в режим редактирования политики и разверните следующий раздел политик: Computer Configuration->Administrative Templates->System->Windows Time Service->Time Providers
Нас интересуют три политики:
В настройках политики Configure Windows NTP Client укажите следующие параметры:
Примените созданный ранее фильтр PDC Emulator к данной политике.
Осталось обновить политики на контроллере PDC:
gpupdate /force
Вручную запустите синхронизацию времени:
w32tm /resync
Проверьте текущие настройки NTP:
w32tm /query /status
Настройка синхронизации времени на клиентах домена
В среде Active Directory по умолчанию клиенты домена синхронизируют свое время с контролерами домена (опция Nt5DS – синхронизировать время согласно иерархии домена). Как правило, эта схема работает и не требует перенастройки. Однако при наличии проблем с синхронизацией времени на клиентах домена, можно попробовать принудительно назначить сервер времени для клиентов с помощью GPO.
В качестве сервера NTP укажите имя или ip адрес PDC, например msk-dc1.winitpro.ru,0x9, а в качестве типа синхронизации — NT5DS
Обновите настройки групповых политик на клиентах и проверьте, что клиенты успешно синхронизировали свое время с PDC.
Источник
Инструменты и параметры службы времени Windows
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows 10
Служба времени Windows (W32Time) синхронизирует дату и время для всех компьютеров, управляемых AD DS (доменные службы Active Directory). В этой статье рассматриваются различные средства и параметры, используемые для управления службой времени Windows.
По умолчанию компьютер, присоединенный к домену, синхронизирует время через иерархию доменов для источников времени. Но если компьютер настроен вручную для синхронизации с определенным источником времени и если он ранее не был присоединен к домену, вы можете перенастроить компьютер так, чтобы он автоматически получал данные о времени из иерархии доменов.
Большинство компьютеров, присоединенных к домену, имеют тип клиента NT5DS, что означает синхронизацию времени из иерархии доменов. Исключением является контроллер домена, который выступает в роли хозяина операций эмулятора основного контроллера домена (PDC) для корневого домена леса. Обычно хозяин операций эмулятора (PDC) настроен для синхронизации времени с внешним источником.
В домене можно синхронизировать время с точностью до одной миллисекунды. Дополнительные сведения см. в статье Граница поддержки для высокой точности времени и статье Точное время в Windows Server 2016.
Для настройки или задания времени на компьютере для запуска службы времени Windows не следует использовать команду Net time.
Кроме того, на старых компьютерах под управлением Windows XP или более ранней версии команда Net time /querysntp отображает имя NTP-сервера, с помощью которого настроена синхронизация компьютера, но этот NTP-сервер используется только в том случае, если клиент времени компьютера настроен как NTP или AllSync. Поэтому эта команда является нерекомендуемой.
Сетевой порт
Служба времени Windows соответствует спецификации NTP, которая требует использования UDP-порта 123 для синхронизации времени. Всякий раз, когда компьютер синхронизирует свои часы или предоставляет сведения о времени другому компьютеру, эта операция выполняется через UDP-порт 123. Этот порт зарезервирован исключительно службой времени Windows.
При наличии компьютера с несколькими сетевыми адаптерами (также называется многосетевым компьютером) вы не сможете включить службу времени Windows на основе сетевого адаптера.
Использование W32tm.exe
С помощью программы командной строки W32tm.exe можно настроить параметры службы времени Windows и диагностировать возникающие проблемы со временем на компьютере. W32tm.exe — это предпочтительная программа командной строки для настройки, мониторинга и устранения неполадок службы времени Windows. W32tm.exe входит в состав Windows XP и более поздних версий, а также Windows Server 2003 и более поздних версий.
Членство в локальной группе «Администраторы» требуется для запуска W32tm.exe локально, а членство в группе «Администраторы домена» требуется для удаленного запуска W32tm.exe.
Запуск W32tm.exe
/domain: указывает, какой домен следует отслеживать. Если имя домена не указано или не указан ни один из параметров /domain и /computers, используется домен по умолчанию. Этот параметр можно указывать многократно.
/computers: наблюдает за заданным списком компьютеров. Имена компьютеров разделяются запятыми, без пробелов. Если имя имеет префикс *, оно обрабатывается как имя основного контроллера домена. Этот параметр можно указывать многократно.
/computer: : указывает компьютер, который нужно повторно синхронизировать. Если не указано, будет выполнена повторная синхронизация локального компьютера.
/nowait: не ожидать повторную синхронизацию, возвращать время немедленно. Если не указан, время будет возвращаться только при повторной синхронизации.
/rediscover: переопределяет конфигурации сети и выполняет повторное обнаружение сетевых источников, после чего запускает повторную синхронизацию.
/soft: повторная синхронизация с использованием существующей статистики ошибок. Используется с целью совместимости. /stripchart /computer: [/period: ] [/dataonly] [/samples: ] [/rdtsc] Отображение ленточной диаграммы смещения между этим и другим компьютером.
/computer: : компьютер для измерения смещения.
/period: : время между выборками в секундах. Значение по умолчанию — 2 секунды.
/dataonly: отображает только данные без графиков.
/samples: : собирает примеры с последующей остановкой. Если не указано, примеры будут собираться до нажатия CTRL + C.
/update: уведомляет службу времени Windows об изменении конфигурации, что приводит к применению изменений.
По умолчанию используется раздел HKLMSystemCurrentControlSetServicesW32Time (корневой раздел для службы времени Windows).
/subkey: : отображает значения, связанные с подразделом ключа по умолчанию.
/source: отображает источник времени.
/configuration: отображение конфигурации времени выполнения и места, где берется параметр. В режиме подробного протоколирования также отображается неопределенное или неиспользуемое значение.
/peers: отображение списка узлов и их состояние.
/status: отображение состояния службы времени Windows.
/verbose: задание режима подробного протоколирования для отображения дополнительных сведений. /debug > Включение или отключение закрытого журнала службы времени Windows для локального компьютера. Этот параметр впервые стал доступным в клиенте службы времени Windows в Windows Vista и Windows Server 2008.
/disable: отключает закрытый журнал.
Настройка клиента на использование двух серверов времени
Настройка клиента для автоматической синхронизации времени из источника домена
Чтобы настроить клиентский компьютер, выполняющий синхронизацию времени с помощью заданного вручную компьютера, на автоматическую синхронизацию времени с иерархией доменов AD, выполните следующую команду:
Проверка конфигурации времени на клиенте
Выходные данные этой команды представляют собой список параметров конфигурации W32time, заданных для клиента.
В Windows Server 2016 улучшены алгоритмы синхронизации времени для соответствия спецификациям RFC. Поэтому если вы хотите настроить локальный клиент службы времени так, чтобы он указывал на несколько одноранговых узлов, рекомендуется подготовить три или более разных серверов времени.
Кроме того, вы можете выполнить следующую команду и считать значение NtpServer в выходных данных:
Настройка сброса часов компьютера
Windows Server 2016 и более поздних версий
Windows Server 2012 R2 и более ранних версий.
PhaseCorrection = | CurrentTimeOffset | ÷ ( PhaseCorrectRate × UpdateInterval )
Все версии Windows используют одно и то же окончательное уравнение для проверки PhaseCorrection :
PhaseCorrection ≤ SystemClockRate ÷ 2
MaxAllowedPhaseOffset можно настроить в реестре. Но параметр реестра измеряется в секундах, а не в тактах часов.
( value in seconds ) × 1000 × 10000
Например, если значение SystemClockRate равно 0,0156250 с, в уравнении используется значение в 156250 тактов часов. Полное описание настраиваемых параметров и их значений по умолчанию см. в разделе Записи подраздела Config далее в этой статье.
В следующих примерах показано, как применять эти вычисления при использовании Windows Server 2012 R2 или более ранней версии.
Пример: системные часы отстают на четыре минуты
Время вашего компьютера — 11:05, а фактическое текущее время — 11:09:
UpdateInterval = 30000 тактов часов
SystemClockRate = 156000 тактов часов
MaxAllowedPhaseOffset = 10 мин = 600 с = 600 × 1000 × 10000 = 6000000000 тактов часов
| CurrentTimeOffset | = 4 мин = 4 × 60 × 1000 × 10000 = 2400000000 тактов часов
2 400 000 000 ≤ 6 000 000 000: TRUE
И удовлетворяет ли оно следующему уравнению?
(| CurrentTimeOffset | ÷ ( PhaseCorrectRate × UpdateInterval ) ≤ SystemClockRate ÷ 2)
2 400 000 000/(30 000 × 1) ≤ 156 000 ÷ 2;
80 000 ≤ 78 000: FALSE
Поэтому программа W32tm.exe немедленно бы перевела часы обратно.
В этом случае, если вы хотите постепенно перевести часы назад, вам также придется скорректировать значения PhaseCorrectRate или UpdateInterval в реестре, чтобы гарантировать истинность уравнения.
Пример: системные часы отстают на три минуты
Время вашего компьютера — 11:05, а фактическое текущее время — 11:08:
UpdateInterval = 30000 тактов часов
SystemClockRate = 156000 тактов часов
MaxAllowedPhaseOffset = 10 мин = 600 с = 600 × 1000 × 10000 = 6000000000 тактов часов
| CurrentTimeOffset | = 3 мин = 3 × 60 × 1000 × 10000 = 1800000000 тактов часов
1 800 000 000≤6 000 000 000: TRUE
И удовлетворяет ли оно следующему уравнению?
(| CurrentTimeOffset | ÷ ( PhaseCorrectRate × UpdateInterval ) ≤ SystemClockRate ÷ 2)
3 минуты×(1 800 000 000) ÷ (30 000 × 1) ≤ 156 000 ÷ 2;
В этом случае часы будут медленно возвращаться в исходное положение.
редактор локальных групповых политик;
Служба времени Windows сохраняет ряд свойств конфигурации в виде записей реестра. Для указания большинства этих сведений можно использовать объекты групповой политики (GPO) в редакторе локальных групповых политик. Например, объекты групповой политики можно использовать для настройки компьютера в качестве NTPServer или NTPClient, механизма синхронизации времени или компьютера в качестве надежного источника времени.
Параметры групповой политики для службы времени Windows можно применить на контроллерах домена Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 и Windows Server 2008 R2. Также они могут применяться к компьютерам под управлением Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 и Windows Server 2008 R2.
Например, предположим, что вы изменяете параметры политики в разделе реестра Time ProvidersConfigure Windows NTP Client. Windows загружает эти параметры в область политики реестра в следующем подразделе:
Затем в Windows используются параметры политики для настройки связанных записей реестра службы времени Windows в следующем подразделе:
В следующей таблице перечислены политики, которые можно настроить для службы времени Windows, а также подразделы реестра, на которые влияют эти политики.
При удалении параметра групповой политики Windows удаляет соответствующую запись из области политики реестра.
Групповая политика 1 | Расположения реестра 2, 3 |
---|---|
Глобальные параметры конфигурации | W32Time W32TimeConfig W32TimeParameters |
Time ProvidersConfigure Windows NTP Client | W32TimeTimeProvidersNtpClient |
Time ProvidersEnable Windows NTP Client | W32TimeTimeProvidersNtpClient |
Time ProvidersEnable Windows NTP Server | W32TimeTimeProvidersNtpServer |
1 Category path: Computer ConfigurationAdministrative TemplatesSystemWindows Time Service
2 Подраздел: HKLMSOFTWAREPoliciesMicrosoft
3 Подраздел: HKLMSYSTEMCurrentControlSetServices
Справочник по реестру Windows
Эти сведения предоставляются в виде справки по устранению неполадок и проверке. Разделы реестра Windows используются W32Time для хранения важной информации. Не изменяйте их. Изменения в реестре не проверяются редактором реестра или операционной системой Windows перед их применением. Если реестр содержит недопустимые значения, в Windows могут произойти неустранимые ошибки.
Служба времени Windows хранит сведения в реестре по пути HKLMSYSTEMCurrentControlSetServicesW32Time в следующих подразделах:
В следующих таблицах строка «Все версии» означает версии Windows 7, Windows 8, Windows 10, Windows Server 2008 и Windows Server 2008 R2, Windows Server 2012 и Windows Server 2012 R2, Windows Server 2016 и Windows Server 2019.
Некоторые параметры в реестре измеряются в тактах часов, а некоторые — в секундах. Чтобы преобразовать время из тактов в секунды, используйте следующие коэффициенты преобразования:
Например, 5 минут будет иметь значение 5 × 60 × 1000 × 10000 = 3 000 000 000 тактов.
Записи подраздела Config
Примечание
Значение 0xFFFFFFFF является особым случаем. Оно означает, что служба всегда исправляет время.
Значение по умолчанию для членов домена равно 0xFFFFFFFF. Значение по умолчанию для автономных клиентов и серверов равно 54 000 (15 часов). MaxPollInterval Все версии Задает наибольший интервал в log2 секунд, допустимый для интервала опроса системы. Обратите внимание, что хотя система должна опрашиваться в соответствии с запланированным интервалом, поставщик может отказаться от создания примеров по запросу. Значение по умолчанию для контроллеров домена 10. Значение по умолчанию для членов домена равно 15. Значение по умолчанию для автономных клиентов и серверов равно 15. MaxPosPhaseCorrection Все версии Указывает самую большую положительную коррекцию времени в секундах, которую создает служба. Если служба определяет, что изменение больше, чем требуется, она записывает в журнал событие.
Примечание
Значение 0xFFFFFFFF является особым случаем. Оно означает, что служба всегда исправляет время.
Значение по умолчанию для членов домена равно 0xFFFFFFFF. Значение по умолчанию для автономных клиентов и серверов равно 54 000 (15 часов). MinClockRate Все версии Поддерживается службой W32Time. Она содержит зарезервированные данные, используемые операционной системой Windows, и любые изменения этого параметра могут привести к непредсказуемым результатам. Значение по умолчанию для членов домена равно 155 860. Значение по умолчанию для автономных клиентов и серверов равно 155 860. MinPollInterval Все версии Задает наименьший интервал (в log2 секунд), допустимый для интервала опроса системы. Обратите внимание, что хотя система не запрашивает примеры чаще, поставщик может создавать образцы в любое время, кроме запланированного интервала. Значение по умолчанию для контроллеров домена равно 6. Значение по умолчанию для членов домена равно 10. Значение по умолчанию для автономных клиентов и серверов равно 10. PhaseCorrectRate Все версии Управляет частотой исправления ошибки этапа. Задание небольшого значения позволяет быстро устранить ошибку этапа, но может привести к нестабильной работе часов. Если значение слишком велико, то для исправления ошибки на этапе потребуется больше времени.
Значение по умолчанию для членов домена равно 1. Значение по умолчанию на автономных клиентах и серверах равно 7.
Примечание
0 — недопустимое значение для записи реестра PhaseCorrectRate. На компьютерах под управлением Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 и Windows Server 2008 R2, если значение равно , служба времени Windows автоматически изменяет его на 1. PollAdjustFactor Все версии Управляет принятием решения об увеличении или уменьшении интервала опроса для системы. Чем больше значение, тем меньше объем ошибки, что приводит к уменьшению интервала опроса. Значение по умолчанию для членов домена равно 5. Значение по умолчанию на автономных клиентах и серверах равно 5. RequireSecureTimeSyncRequests Windows 8 и более поздние версии Определяет, будет ли контроллер домена отвечать на запросы синхронизации времени, использующие старые протоколы проверки подлинности. Если параметр включен (имеет значение 1), контроллер домена не будет отвечать на запросы с помощью таких протоколов. Это логический параметр, который по умолчанию имеет значение — . SpikeWatchPeriod Все версии Указывает время, в течение которого должно существовать подозрительное смещение, прежде чем оно будет принято как правильное (в секундах). Значение по умолчанию для членов домена равно 900. Значение по умолчанию на автономных клиентах и рабочих станциях равно 900. TimeJumpAuditOffset Все версии Целое число без знака, которое указывает пороговое значение проверки скачка времени в секундах. Если служба времени настраивает местные часы, устанавливая их напрямую, и коррекция времени является большей за это значение, то служба времени регистрирует событие проверки. UpdateInterval Все версии Указывает количество тактов часов между настройками фазовой коррекции. Значение по умолчанию для контроллеров домена 100. Значение по умолчанию для членов домена равно 30 000. Значение по умолчанию для автономных клиентов и серверов равно 360 000.
Примечание
0 — это недопустимое значение для записи реестра UpdateInterval. На компьютерах под управлением Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 и Windows Server 2008 R2, если значение равно , служба времени Windows автоматически изменяет его на 1. UtilizeSslTimeData Версии Windows более поздние, чем версия 1511 сборки Windows 10 Значение 1 указывает на то, что W32Time будет использовать несколько временных меток SSL для присвоения начального значения часам, которые являются совершенно неточными.
Записи подраздела Parameters
Записи подраздела NtpClient
Новые параметры для сборки 1703 SpecialPollInterval содержатся в значениях конфигурации реестра MinPollInterval и MaxPollInterval. SpecialPollTimeRemaining Все версии Поддерживается службой W32Time. Она содержит зарезервированные данные, используемые операционной системой Windows. В ней указывается время в секундах, по истечении которого служба W32Time будет повторно синхронизироваться после перезагрузки компьютера. Любые изменения этого параметра могут привести к непредсказуемым результатам. Значение по умолчанию для обоих членов домена, а также для изолированных клиентов и серверов остается пустым.
Записи подраздела NtpServer
Расширенное ведение журнала
Следующие записи реестра не являются частью стандартной конфигурации W32Time, но их можно добавить в реестр, чтобы получить расширенные возможности ведения журнала. Регистрируемые в журнале системных событий сведения можно модифицировать, изменив значение параметра EventLogFlags в редакторе объектов групповой политики. По умолчанию служба времени Windows регистрирует событие при каждом переключении на новый источник времени.
Чтобы включить ведение журнала W32Time, добавьте следующие записи реестра:
Ввод | Версии | Описание |
---|---|---|
FileLogEntries | Все версии | Управляет количеством записей, создаваемых в файле журнала службы времени Windows. По умолчанию используется нулевое значение, которое не регистрирует никаких действий службы времени Windows. Допустимые значения: –300. Это значение не влияет на записи журнала событий, которые обычно создаются службой времени Windows. |
FileLogName | Все версии | Определяет расположение и имя файла журнала службы времени Windows. Значение по умолчанию пустое и не должно изменяться, пока не изменяется FileLogEntries. Допустимое значение — это полный путь и имя файла, которые служба времени Windows будет использовать для создания файла журнала. Это значение не влияет на записи журнала событий, которые обычно создаются службой времени Windows. |
FileLogSize | Все версии | Управляет поведением циклического ведения журнала файлов журнала службы времени Windows. При определении FileLogEntries и FileLogName запись определяет размер (в байтах), чтобы разрешить доступ к файлу журнала, прежде чем перезаписывать старые записи в журнале новыми. Используйте для этого параметра значение — 1 000 000 или больше. Это значение не влияет на записи журнала событий, которые обычно создаются службой времени Windows. |
Параметры объектов групповой политики
Параметры групповой политики хранятся в объектах групповой политики Глобальные параметры конфигурации и Параметры NTP-клиента Windows.
Глобальные параметры конфигурации
Это глобальные параметры групповой политики и значения по умолчанию для службы времени Windows. Они хранятся в объекте групповой политики Глобальные параметры конфигурации в редакторе локальных политик.
Параметр групповой политики | Значение по умолчанию |
---|---|
AnnounceFlags | 10 |
EventLogFlags | 2 |
FrequencyCorrectRate | 4 |
HoldPeriod | 5 |
LargePhaseOffset | 1 280 000 |
LocalClockDispersion | 10 |
MaxAllowedPhaseOffset | 300 |
MaxNegPhaseCorrection | 54 000 (15 часов) |
MaxPollInterval | 15 |
MaxPosPhaseCorrection | 54 000 (15 часов) |
MinPollInterval | 10 |
PhaseCorrectRate | 7 |
PollAdjustFactor | 5 |
SpikeWatchPeriod | 90 |
UpdateInterval | 100 |
Параметры NTP-клиента Windows
Это параметры NTP-клиента Windows и значения по умолчанию для службы времени Windows. Эти параметры хранятся в объекте групповой политики Настройка NTP-клиента Windows в редакторе локальных групповых политик.
Источник
The Windows Time service is the basis for the normal functioning of the Active Directory domain. The W32Time service is essential for successful operationing of Kerberos authentication in AD. In the AD environment, the time synchronization is performed according to a domain hierarchy: domain-joined computers and servers get the time from the nearest domain controller on which they are logged on, all domain controllers synchronize their time with a single DC that holds the PDC Emulator FSMO role.
You need to configure your PDC Emulator (Primary Domain Controller) to sync time with a reliable external time source. The external time source is usually one or more public NTP (Network Time Protocol) servers, like time.windows.com or the NTP server of your provider.
How Does Time Sync Works in AD Domain?
This W32Time service on Windows is used to synchronize the time in the AD organization. A computer can be both a client and an NTP server. By default, domain computers synchronize time using the Windows Time service instead of NTP.
By default, the Windows Time Service in Active Directory is configured as follows:
- After performing a clean Windows installation, an NTP client is launched on the computer, which is synchronized with an external time source (time.windows.com);
- When you join PC to domain, the time sync setting changes. All client computers and member servers in the domain synchronize their time with AD domain controllers;
- When a member server is promoted to a domain controller, it can be used as a time source for domain computers. All domain controllers synchronize their time with a domain controller with the PDC emulator role;
- The PDC emulator is the main time server for the entire organization. It synchronizes with an external time source, or with the server’s hardware clock in CMOS/BIOS (this method of time synchronization is not recommended);
- This time synchronization scheme (according to the AD DS hierarchy) works properly in most cases and doesn’t require admin intervention. However, the structure of the time service in Windows may not follow the domain hierarchy.
If you are facing a problem when the time on clients and domain controllers is different, most likely your domain has a problem with time synchronization and then this article can be very useful for you.
First of all, it is necessary to select an NTP server you want to use. The list of public NTP atomic clock servers is available at http://ntp.org. In our example, we will use 0.us.pool.ntp.org, 1.us.pool.ntp.org, 2.us.pool.ntp.org, and 3.us.pool.ntp.org.
Configuring domain time synchronization using Group Policy consists of 2 steps:
- Create a GPO for the domain controller with a PDC role;
- Create a GPO for Windows client computers in the AD Domain.
Configuring PDC Domain Controller to Sync Time with External NTP Server
First of all, you need to configure the PDC and enable the NTP service on it. To locate the name of the server with the PDC role in the domain, run the command:
netdom /query fsmo
Connect to the specified DC, open a command prompt, and run:
w32tm /query /source
If you see in the output:
- Local CMOS Clock — the time source on this server is its local hardware clock;
- VM IC Time Synchronization Provider — then your domain controller with the PDC role is a virtual machine that synchronizes the time with the host.
Disable time synchronization with the host via the registry:
- Set the Enabled parameter to 0 in the registry key HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProvidersVMICTimeProvider
or in the settings of the virtual machine (the screenshot below shows how to disable the time synchronization of the VM with the Hyper-V host using the Time Synchronization option in the Integration Services section).
If you are running a virtualized domain controller on VMware vSphere/ESXi, you can disable time sync in the virtual machine settings (Edit Settings > VM Options > VMware Tools > Time, uncheck the option Synchronize guest time with host).
Note. The virtual PDC emulator must always synchronize the time with an external source, and the time synchronization with the host must be disabled. This also applies to any other VMs joined to the domain.
The best approach is to configure the PDC emulator to synchronize the time directly with an external time source.
Check that the external NTP servers you have chosen are accessible from the primary domain controller (outbound port UDP 123 must be open to the target server). Get the current time from an external NTP server using the command:
w32tm /stripchart /computer:0.us.pool.ntp.org
In this example, the specified NTP server is available and you have successfully obtained the current time from it.
You can manually configure the time synchronization of the PDC host with an external NTP source using the w32tm.exe tool:
net stop w32time w32tm /config /syncfromflags:manual /manualpeerlist:"1.us.pool.ntp.org,0x8 1.us.pool.ntp.org,0x8 2.us.pool.ntp.org,0x8 3.us.pool.ntp.org,0x8" w32tm /config /reliable:yes w32tm /config /update net start w32time
Check your current configuration:
w32tm /query /configuration
Configure External NTP Source on PDC Domain Controller Using GPO
The PDC Emulator role can be transferred with PowerShell between domain controllers, so we need to make sure that GPO is applied only to the current holder of the Primary Domain Controller role. To do this, run the Group Policy Management Console (GPMC.msc). Select the WMI Filters section and create a new WMI filter with the name Filter PDC Emulator and the following WMI query in the rootCIMv2 namespace Select * from Win32_ComputerSystem where DomainRole = 5.
Create a new GPO and link it to the AD OU named Domain Controllers.
Select this GPO and switch to the Edit mode. Go to the following section of Group Policy Editor Console: Computer Configuration > Administrative Templates > System > Windows Time Service > Time Providers.
Enable the following policy settings:
- Configure Windows NTP Client: Enabled (policy settings are described below);
- Enable Windows NTP Client: Enabled;
- Enable Windows NTP Server: Enabled.
Specify the following settings in Configure Windows NTP Client policy:
- NtpServer: us.pool.ntp.org,0x1 1.us.pool.ntp.org,0x1 2.us.pool.ntp.org,0x1 3.us.pool.ntp.org,0x1;
- Type: NTP;
- CrossSiteSyncFlags: 2;
- ResolvePeerBackoffMinutes: 15;
- Resolve Peer BAckoffMaxTimes: 7;
- SpecilalPoolInterval: 3600;
- EventLogFlags: 0.
Note. Do not forget to configure your firewall properly and allow your PDC to access the external NTP servers over the NTP protocol (UDP port 123).
You can open the NTP port on Windows Defender Firewall using PowerShell:
New-NetFirewallRule -Name 'NTP_Server_123UDP' -DisplayName 'NTP Server Port' -Description 'Allow Inbound Connections to NTP Server' -Profile Any -Direction Inbound -Action Allow -Protocol UDP -Program Any -LocalAddress Any -LocalPort 123
Assign a WMI filter Filter PDC Emulator that you created earlier to the GPO.
It remains to update the Group Policy settings on PDC using gpupdate command:
gpupdate /force
Perform a manual time synchronization with your NTP source:
w32tm /resync
And check the current NTP settings:
w32tm /query /status
Run the command:
w32tm /monitor
When running on a domain controller, this command shows how much time is different between other domain controllers and the external time source for which the PDC is configured.
Tip. If something does not work, try to restart the Windows Time service and reset its configuration:
net stop w32time w32tm.exe /unregister w32tm.exe /register net stop w32tim
Configure Client Time Sync Settings Using GPO
By default in Active Directory, domain clients synchronize their time with domain controllers (option Nt5DS — synchronize time to domain hierarchy). Typically, this behavior does not need to be reconfigured. However, if there are problems with time sync on your domain clients, you can try to specify the time server directly on clients using GPO.
To do this, create a new GPO and assign it to the OU with computers. In the GPO Editor go to the following section Computer Configuration > Administrative Templates > System > Windows Time Service > Time Providers and enable the policy Configure Windows NTP Client.
As an NTP server specify the name of your domain (preferred) or IP address/FQDN of the PDC:
NTP Server: lon-dc1.adatum.com,0x9
Set Type: NT5DS
CrossSiteSyncFlags: 2
ResolvePeerBackoffMinutes: 15
ResolvePeerBackoffMaxTimes: 7
SpecialPollInterval: 3600
EventLogFlags: 0
Note. Possible values for the Type parameter:
-
NoSync — the NTP server is not synchronized with any external time source. The system clock built into the server’s CMOS chip is used;
-
NTP — the NTP server is synchronized with external time servers, which are specified in the NtpServer registry parameter (this is the default behavior on a stand-alone computer);
-
NT5DS — the NTP server performs synchronization according to the domain hierarchy (used by default on domain-joined computers;
-
AllSync — the NTP server uses all available sources for time synchronization.
Update Group Policy settings on the clients and check the received time sync settings as described above.
How to Manually Configure a Windows Client to Sync Time with NTP Server?
In this section, we will describe how to manually sync time to domain controller on Windows clients. You can use this guide to configure time synchronization on non-domain Windows computers.
First, reset all settings for the time service and remove the service:
w32tm /unregister
Restart the computer and then re-register the time service:
w32tm /register
Start the w32Time service:
net start w32Time
Configure the synchronization of the Windows client with the NTP server (your PDC):
w32tm /config /manualpeerlist:"lon-dc01.adatum.com,0x9" /syncfromflags:manual /reliable:yes /update
Restart the service:
net stop w32time && net start w32time
Update the time configuration settings:
w32tm /config /update
Synchronize the time:
w32tm /resync
Check the status:
w32tm /query /status
Enable automatic startup of the Time Service using PowerShell:
Set-Service –Name w32tm–StartupType Automatic
Hint. If you need to quickly synchronize your Windows device with an accurate time server, run:
net time \your_ntp_server_name /set /y
- About
- Latest Posts
I enjoy technology and developing websites. Since 2012 I’m running a few of my own websites, and share useful content on gadgets, PC administration and website promotion.
My post on Configuring NTP on Windows 2012 gets many hits so it seems like it’s a popular topic. While that post is still valid and correct, sometimes you prefer using GPO in a domain environment instead of w32tm.exe command. And since I couldn’t find a good step-by-step guide out there, I decided to write my own. There’s also a lot of confusion out there how to properly configure NTP using GPO.
As done before, I will start with telling you how to do it and then later I will dive into the details.
In short, here’s how to configure NTP using GPO
In Active Directory, the PDC Emulator should get the time from an external time source and then all member computers of this domain will get the correct time. Since the PDC Emulator can move around, we make sure the GPO is applied only to the current PDC Emulator using a WMI filter.
1. Go to the WMI Filters section in GPMC and create a new filter like the following:
Here’s the query for you to cut’n’paste: Select * from Win32_ComputerSystem where DomainRole = 5
2. Create a GPO and apply it to the Domain Controllers OU with the following settings: Computer Configuration/Policies/Administrative Templates/System/Windows Time Service/Time Providers
3. Assign the WMI Filter to the GPO.
That’s done! Happy NTP syncing.
NTP GPO details explained
So what all these settings mean.
Configuring Windows NTP Client: Enabled
- NtpServer: Here you specify which NtpServers to use seperated by a space but also with a special NTP flag. I decided to use the public ntp.org pools:
0.se.pool.ntp.org,0x1 1.se.pool.ntp.org,0x1 2.se.pool.ntp.org,0x1 3.se.pool.ntp.org,0x1
The NtpFlags are explained in detail here but 0x1 means: “Instead of following the NTP specification, wait for the interval specified in the SpecialPollInterval entry before attempting to recontact this time source. Setting this flag decreases network usage, but it also decreases accuracy.” where SpecialPollInterval is specified in the GPO (in our, case 3600 seconds)
- The rest of the settings are explained in the GPO Help.
Enable Windows NTP Client: Enabled
- Is a must, otherwise the computer will not sync with other NTP serves since it’s disabled by default.
Enable Windows NTP Server: Enabled
- Is a must, otherwise the computer will not allow other computers to sync with it since it’s disabled by default.
Where is the configuration store
First, never edit the registry for NTP. If something is not working, clear the configration and start from scratch and configure NTP using GPO or W32tm.exe. Do this by running the following commands:
Stop-Service w32time
w32tm /unregister
w32tm /register
Start-Service w32time
Still, you might want to check where the configuration is. When using GPO, the configuration is stored here:
HKLMSOFTWAREPoliciesMicrosoftW32TimeParameters
Note that this is different if you’re using w32tm.exe, then the configration is stored here:
HKLMSYSTEMCurrentControlSetServicesW32TimeParameters
Useful tools when troubleshooting NTP
W32tm is still your friend and here are my favorites:
w32tm.exe /resync /rediscover /nowait
Resynchronize the clock as soon as possible, disregarding all accumulated error statistics. It will not wait for resynchronization and will force redetection of sources.
w32tm /query /peers
Displays all configured peers you have configured
w32tm /query /source
Displays the currently used time source. Note that after a restart of the service, it might show Local CMOS Clock until everything has refreshed properly.
w32tm /query /status
Displays the current status
w32tm /query /configuration
Displays the configuration
w32tm /debug /enable /file:C:Tempw32tmdebug.log /size:10485760 /entries:0-300
If you really want to get dirty, enable the debug log
Troubleshooting
Many things can go wrong when configuring NTP. Here are some suggestions:
- Don’t forget to allow NTP traffic (udp/123) in your firewall (see my previous post for details)
- Enable the debug log and check that the service actually tries to communicate with the NTP serves. You can lower the SpecialPollInterval to 30 seconds to speed up your troubleshooting.
- Restart the service and maube even the server, sometimes this has solved it.
- Also monitor the event log since the service logs there too.
Для правильного функционирования доменной среды Windows Server 2008 R2/2012 R2, является корректная работа службы времени Windows (W32Time).
Схема работы синхронизации времени в доменной среде Active Directory:
- Контроллер корневого домена в лесу AD, которому принадлежит FSMО-роль PDC-эмулятора, синхронизируется с внешними источниками точного времени. Он же является источником времени для всех остальных контроллеров этого домена.
- Контроллеры дочерних доменов в AD, синхронизируют время с вышестоящих контроллеров домена AD.
- Рядовые члены домена (сервера и рабочие станции) синхронизируют свое время с ближайшим к ним доступным контроллером домена, соблюдая топологию AD.
Служба времени в Windows (W32Time) не имеет графического интерфейса и настраивается из командной строки (утилита w32tm), с помощью реестра (HKLMSystemCurrentControlSetServicesW32TimeParameters) и посредством Групповой политики (Group Policy Managment)
Для определения какому контроллеру домена принадлежит FSMО-роль PDC-эмулятора, в командной строке, выполним команду: netdom query FSMO
Включение NTP-сервера
NTP-сервер по-умолчанию включен на всех контроллерах домена, но его можно включить и на рядовых серверах:
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProvidersNtpServer] — «Enabled»=1
Конфигурация NTP-сервера
Задаем тип синхронизации внутренних часов, на использование внешнего источника. (Командная строка/Реестр):
- w32tm /config /syncfromflags:manual
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParameters] — «Type»=NTP
Допускаются следующие значения:
NoSync — NTP-сервер не синхронизируется с каким либо внешним источником времени. Используются системные часы, встроенные в микросхему CMOS самого сервера.
NTP — NTP-сервер синхронизируется с внешними серверами времени, которые указаны в параметре реестра NtpServer.
NT5DS — NTP-сервер производит синхронизацию согласно доменной иерархии.
AllSync — NTP-сервер использует для синхронизации все доступные источники.
Задание списка внешних источников для синхронизации, с которыми будет синхронизировать время данный сервер. По-умолчанию в этом параметре прописан NTP-сервер Microsoft (time.windows.com, 0×1). (Командная строка/Реестр):
- w32tm /config /manualpeerlist:»0.ru.pool.ntp.org,0x1 1.ru.pool.ntp.org,0x1 2.ru.pool.ntp.org,0x1″
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParameters] — «NtpServer»=0.ru.pool.ntp.org,0x1 1.ru.pool.ntp.org,0x1 2.ru.pool.ntp.org,0x1
Допускаются следующие значения:
0×1 – SpecialInterval, использование временного интервала опроса.
0×2 – режим UseAsFallbackOnly.
0×4 – SymmetricActive, симметричный активный режим.
0×8 – Client, отправка запроса в клиентском режиме.
Задание интервала синхронизации с внешним источником (для источников помеченных флагом 0×1). По-умолчанию время опроса задано — 3600 сек. (1 час). (Командная строка/Реестр):
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProvidersNtpClient] — «SpecialPollInterval»=3600
Объявление NTP-сервера в качестве надежного. (Командная строка/Реестр):
- w32tm /config /reliable:yes
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeConfig] — «AnnounceFlags»=0000000a
После настройки необходимо обновить конфигурацию сервиса. Выполняем команду:
- w32tm /config /update
Принудительная синхронизация времени от источника:
- w32tm /resync /rediscover
Отобразить текущую конфигурацию службы времени:
- w32tm /query /configuration
Получения информации о текущем сервере времени:
- w32tm /query /source
Отображение текущих источников синхронизации и их статуса:
- w32tm /query /peers
Отображение состояния синхронизации контроллеров домена с компьютерами в домене:
- w32tm /monitor /computers:192.168.1.2
Отобразить разницу во времени между текущим и удаленным компьютером:
- w32tm /stripchart /computer:192.168.1.2 /samples:5 /dataonly
Удалить службу времени с компьютера:
- w32tm /unregister
Регистрация службы времени на компьютере. Создается заново вся ветка параметров в реестре:
- w32tm /register
Остановка службы времени:
- net stop w32time
Запуск службы времени:
- net start w32time
Конфигурация NTP-сервера/клиента групповой политикой
Для централизованной настройки службы времени Windows, на серверах и рабочих станциях в доменной среде Active Directory, воспользуемся групповой политикой. На примере, выполним настройку для рабочих станций.
Переходим в ветку: Конфигурация компьютера (Computer Configuration) — Политики (Policies) — Административные шаблоны (Administrative Templates) — Система (System) — Служба времени Windows (Windows Time Service) — Поставщики времени (Time Providers).
Открываем параметр: Настроить NTP-клиент Windows (Configure Windows NTP Client)
- NtpServer — 192.168.1.2 (Адрес контроллера домена с ролью PDC)
- Type — NT5DS
- CrossSiteSyncFlags — 2
- ResolvePeerBackoffMinutes —15
- Resolve Peer BackoffMaxTimes — 7
- SpecilalPoolInterval — 3600
- EventLogFlags — 0
Понравилась или оказалась полезной статья, поблагодари автора
ПОНРАВИЛАСЬ ИЛИ ОКАЗАЛАСЬ ПОЛЕЗНОЙ СТАТЬЯ, ПОБЛАГОДАРИ АВТОРА
Загрузка…