Skip to content
Настройка Правильного Времени на Вашем Windows Сервере – Почему это важно?
Возможно Вам будет интересно узнать, как неправильно установленные время и дата, могут повлиять на Ваш компьютер. Большинство пользователей скажут:”Возможно нет ничего серьезного”, но оказывается, это может привести к серьезным проблемам:
- Часы в Офисе и Вне Офиса – 3CX Phone System предлагает пользователям функцию Планирования рабочих часов, с автоматическим переключением на статусы Нет на месте / Вне офиса. Эта функция зависит от правильно установленного времени. В случае если, время на Вашем компьютере установлено неправильно, это отразится на ее функциональности. 3CX Phone System будет выполнять эти функции, основываясь на время установленное в Windows. Если время в Windows сконфигурировано ошибочно, то Вы будете удивлены, что Ваши статусы переключаются на Вне офиса / Нет на месте на час раньше .
- Выход и Вход Агентов в Очередь – 3CX Phone System позволяет пользователям автоматически Входить и Выходить из системы, полагаясь на настройки Часов Работы. Это крайне важно иметь правильное время, т.к. Администратор устанавливает время для опций “Выход из очередей, когда Вас нет на месте / Вне офиса”, полагаясь на настройки Рабочих Часов.
- Инсталляция и Сертификаты SSL – Если время установлено неверно, сертификаты установки / или SSL – сертификаты могут быть идентифицированы неправильно, что может создать проблемы в использовании 3CX Phone System на Вашем Windows.
- Клиенты HTTP – Клиенты HTTP также могут иметь проблемы с подключением, если время было установлено ошибочно.
- Проблемы Истории Вызовов – Эта проблема возникнет, т.к. эта опция основана на корректно установленном времени. История Вызовов не работает в установленном порядке, если время синхронизировано неправильно.
Настройка Правильного Времени на Вашем Сервере Windows
Для того чтобы установить правильное время в Windows, совершите следующие действия:
- Кликните на настройки времени в области уведомлений на панели задач, для выноса панели настроек времени, так как показано наверху. Затем кликните на Изменение настроек даты и времени.
- Во вкладке Дата и Время, кликните на Изменить часовой пояс в секции Часовые Пояса.
- Выберите правильный часовой пояс для Вашего местонахождения, кликом на список под полем Часовой Пояс и удостоверьтесь, что функция Автоматический переход на летнее время и обратно отмечена галочкой. Эта функция будет автоматически обновлять время, в зависимости от перехода на летнее время. Нажмите OK чтобы установить и сохранить.
- Вернитесь к вкладке Дата и Время. Кликните на кнопку Изменить дату и время.
- Выберите правильное время (введите в поле под имиджем аналогового циферблата) и дату, ( кликните на желаемую дату из календаря). Нажмите OK когда будет готово.
- После этого выберите кнопку Время Интернета и кликните на Изменить Настройки.
- Удостоверьтесь, что Синхронизация с Интернет Сервером Времени отмечена флажком и выберите сервер из выпадающего списка под полем “Сервер“. После выбора временного сервера, кликните на ‘Обновить сейчас’. Должно появиться сообщение, оповещающее Вас о том, что часы были синхронизированы, как показано наверху. Кликните на OK, чтобы вернуться к настройкам Даты и времени.
- Сейчас Вы установили правильное время и дату на Вашем Windows. Эта процедура гарантирует, что время на Вашем Windows установлено правильно и что все обновления перехода на летнее время для Вашего часового пояса применены правильно, что избавит Вас от многих проблем в будущем.
Дополнительное Устранение Проблем
Если Вы уже попробовали процедуру, описанную в Установке правильного времени на Windows и Ваше время не изменилось на правильное, тогда возможно у Вас существуют следующие проблемы:
- Встроенные Часы Реального Времени ПК неисправны.
- Требуется замена батареи материнской платы, т.к. она не заряжается и не может обновлять время на Вашей материнской плате.
- Дефектный источник питания (чрезвычайно редкая проблема).
- Если изображение было восстановлено с другого компьютера, то возможно файл ‘Hal.dll’ будет несовместим из-за другого CPU, отличающегося от компьютера с которого был взято изображение. В этом случае, Вам нужно установить заново оперативную систему на Вашем компьютере.
Похожие записи
Page load link
Обновлено 12.11.2019
Добрый день уважаемые читатели и гости блога pyatilistnik.org, как много люди говорят о времени, что оно быстро или медленно бежит, и все понимают, что оно бесценно и важно. Так и в инфраструктуре Active Directory, она является одним из важнейших факторов, правильного функционирования домена. В домене все друг другу доверяют, и один раз авторизовавшись и получив все тикеты от Kerberos, пользователь ходит куда угодно, ограничиваясь лишь своими доступными правами. Так вот если у вас не будет точного времени на ваших рабочих станциях к контроллеру домена, то можете считать, что у вас начинаются серьезные проблемы, о которых мы поговорим ниже и рассмотрим как их устранить с помощью настройки NTP сервера в Windows.
Синхронизация времени в Active Directory
Среди компьютеров, участвующих в Active Directory работает следующая схема синхронизация времени.
- Контроллер корневого домена в лесу AD, которому принадлежит FSMО-роль эмулятора PDC (назовем его корневым PDC), является источником времени для всех остальных контроллеров этого домена.
- Контроллеры дочерних доменов синхронизируют время с вышестоящих по топологии AD контроллеров домена.
- Рядовые члены домена (сервера и рабочие станции) синхронизируют свое время с ближайшим к ним доступным контроллером домена, соблюдая топологию AD.
Корневой PDC может синхронизировать свое время как со внешним источником, так и с самим собой, последнее задано конфигурацией по умолчанию и является абсурдом, о чем периодически намекают ошибки в системном журнале.
Синхронизация клиентов корневого PDC может осуществятся как с его внутренних часов, так и с внешнего источника. В первом случае сервер времени корневого PDC объявляет себя как «надежный» (reliable).
Далее я приведу оптимальную с моей точки зрения конфигурацию сервера времени корневого PDC, при которой сам корневой PDC периодически синхронизирует свое время от достоверного источника в интернете, а время обращающихся к нему клиентов синхронизирует со своими внутренними часами.
Для того, чтобы понять кто у вас в сети является NTP сервером из контроллеров домена, прочитайте вот эту статью, многие вопросы отпадут сами собой
Вводим netdom query fsmo. В моем примере, роль PDC и NTP сервера, принадлежит контроллеру dc7
Конфигурация NTP-сервера на корневом PDC
Конфигурирование сервера времени в Windows (NTP-сервера) может осуществляться как с помощью утилиты командной строки w32tm, так и через реестр. Где возможно, я приведу оба варианта. Но в начале посмотрите полностью ваши настройки на компьютере, делается это командой:
w32tm /query /configuration
EventLogFlags: 2 (Локально)
AnnounceFlags: 10 (Локально)
TimeJumpAuditOffset: 28800 (Локально)
MinPollInterval: 6 (Локально)
MaxPollInterval: 10 (Локально)
MaxNegPhaseCorrection: 172800 (Локально)
MaxPosPhaseCorrection: 172800 (Локально)
MaxAllowedPhaseOffset: 300 (Локально)FrequencyCorrectRate: 4 (Локально)
PollAdjustFactor: 5 (Локально)
LargePhaseOffset: 50000000 (Локально)
SpikeWatchPeriod: 900 (Локально)
LocalClockDispersion: 10 (Локально)
HoldPeriod: 5 (Локально)
PhaseCorrectRate: 7 (Локально)
UpdateInterval: 100 (Локально)[TimeProviders]
NtpClient (Локально)
DllName: C:Windowssystem32w32time.dll (Локально)
Enabled: 1 (Локально)
InputProvider: 1 (Локально)
CrossSiteSyncFlags: 2 (Локально)
AllowNonstandardModeCombinations: 1 (Локально)
ResolvePeerBackoffMinutes: 15 (Локально)
ResolvePeerBackoffMaxTimes: 7 (Локально)
CompatibilityFlags: 2147483648 (Локально)
EventLogFlags: 1 (Локально)
LargeSampleSkew: 3 (Локально)
SpecialPollInterval: 3600 (Локально)
Type: NT5DS (Локально)NtpServer (Локально)
DllName: C:Windowssystem32w32time.dll (Локально)
Enabled: 1 (Локально)
InputProvider: 0 (Локально)
AllowNonstandardModeCombinations: 1 (Локально)VMICTimeProvider (Локально)
DllName: C:WindowsSystem32vmictimeprovider.dll (Локально)
Enabled: 1 (Локально)
InputProvider: 1 (Локально)
Включение синхронизации внутренних часов с внешним источником
Объявление NTP-сервера в качестве надежного
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeConfig]
"AnnounceFlags"=dword:0000000aw32tm /config /reliable:yes
Включение NTP-сервера
NTP-сервер по умолчанию включен на всех контроллерах домена, однако его можно включить и на рядовых серверах.
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProvidersNtpServer]
"Enabled"=dword:00000001
Задание списка внешних источников для синхронизации
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParameters]
"NtpServer"="time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 ru.pool.ntp.org,0x8"w32tm /config /manualpeerlist:"time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 ru.pool.ntp.org,0x8"
Флаг 0×8 на конце означает, что синхронизация должна происходить в режиме клиента NTP, через предложенные этим сервером интервалы времени. Для того, чтобы задать свой интервал синхронизации, необходимо использовать флаг 0×1.
Задание интервала синхронизации с внешним источником
Время в секундах между опросами источника синхронизации, по умолчанию 900с = 15мин. Работает только для источников, помеченных флагом 0×1.
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProvidersNtpClient]
"SpecialPollInterval"=dword:00000384
Установка минимальной положительной и отрицательной коррекции
Максимальная положительная и отрицательная коррекция времени (разница между внутренними часами и источником синхронизации) в секундах, при превышении которой синхронизация не происходит. Рекомендую значение 0xFFFFFFFF, при котором коррекция сможет производиться всегда.
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeConfig]
"MaxPosPhaseCorrection"=dword:FFFFFFFF
"MaxNegPhaseCorrection"=dword:FFFFFFFF
Все необходимое одной строкой
w32tm.exe /config /manualpeerlist:"time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 pool.ntp.org,0x8" /syncfromflags:manual /reliable:yes /update
Полезные команды
- Применение внесенных в конфигурацию службы времени изменений
w32tm /config /update
- Принудительная синхронизация от источника
w32tm /resync /rediscover
- Отображение состояния синхронизации контроллеров домена в домене
w32tm /monitor
- Отображение текущих источников синхронизации и их статуса
w32tm /query /peers
Настройка NTP сервера и клиента групповой политикой
Раз уж у нас с вами домен Active Directory, то глупо не использовать групповые политики, для массовой настройки серверов и рабочих станций, я покажу как настроить ваш NTP сервер в windows и клиента. Открываем оснастку «Редактор групповых политик». Перед тем как настроить наш NTP сервер в Windows, нам необходимо создать WMI фильтр, который будет применять политику, только к серверу мастера PDC.
Вводим имя запроса, пространство имен, будет иметь значение «rootCIMv2» и запрос «Select * from Win32_ComputerSystem where DomainRole = 5». Сохраняем его.
Затем вы создаете политику на контейнере Domain Controllers.
В самом низу политики применяете ваш созданный WMI фильтр.
Переходим в ветку: Конфигурация компьютера > Политики > Административные шаблоны > Система > Служба времени Windows > Поставщики времени.
Тут открываем политику «Настроить NTP-клиент Windows». Задаем параметры
- NtpServer: 0.ru.pool.ntp.org,0x1 1.ru.pool.ntp.org,0x1 2.ru.pool.ntp.org,0x1 3.ru.pool.ntp.org,0x1
- Type: NTP
- CrossSiteSyncFlags: 2. Двойка означает, если этот параметр равен 2 (Все), можно использовать любого участника синхронизации. Это значение игнорируется, если не задано значение NT5DS. Значение по умолчанию: 2 (десятичное) (0x02 (шестнадцатеричное))
- ResolvePeerBackoffMinutes: 15. Это значение, выраженное в минутах, определяет интервал ожидания службы W32time перед попыткой разрешения DNS-имени в случае неудачи. Значение по умолчанию: 15 минут
- Resolve Peer BAckoffMaxTimes: 7. Это значение определяет число попыток разрешения DNS-имени, предпринимаемых службой W32time перед перезапуском процесса обнаружения. При каждом неудачном разрешении DNS-имени интервал ожидания перед следующей попыткой удваивается. Значение по умолчанию: семь попыток.
- SpecilalPoolInterval: 3600. Это значение параметра NTP-клиента, выраженное в секундах, определяет частоту опроса настроенного вручную источника времени, который использует особый интервал опроса. Если для параметра NTPServer установлен флаг SpecialInterval, клиент использует значение, заданное как SpecialPollInterval, вместо значений MinPollInterval и MaxPollInterval, чтобы определить частоту опроса источника времени. Значение по умолчанию: 3600 секунд (1 час).
- EventLogFlags: 0
Делаем отдельную групповую политику для клиентских рабочих машин, вот с такими параметрами.
- NtpServer: Адрес вашего контроллера домена с ролью PDC.
- Type: NT5DS
- CrossSiteSyncFlags: 2
- ResolvePeerBackoffMinutes: 15
- Resolve Peer BAckoffMaxTimes: 7
- SpecilalPoolInterval: 3600
- EventLogFlags: 0
Далее идем на клиента и обновляем групповые политики gpupdate /force и вводим команду w32tm /query /status
Особенности виртуализированных контроллеров домена
Контроллеры домена, работающие в виртуализированной среде, требуют к себе особенного отношения.
- Средства синхронизации времени виртуальной машины и хостовой ОС должны быть выключены. Во всех адекватных системах виртуализации (Microsoft, vmWare и т. д.) присутствуют компоненты интеграции гостевой ОС с хостовой, которые значительно повышают производительность и управляемость гостевой системой. Среди этих компонентов всегда есть средство синхронизации времени гостевой ОС с хостовой, которое очень полезно для рядовых машин, но противопоказано для контроллеров домена. Потому как в этом случае весьма вероятен цикл, при котором контроллер домена и хостовая ОС будут синхронизировать друг друга. Последствия печальны.
- Для корневого PDC синхронизация с внешним источником должна быть настроена всегда. В виртуальной среде часы не настолько точны как в физической, потому как виртуальная машина работает с виртуальным процессором и прерываниями, для которых характерно как замедление, так и ускорение относительно «обычной» частоты. Если не настроить синхронизацию виртуализированного корневого PDC с внешним источником, время на всех компьютерах предприятия может убегать/отставать на пару часов в сутки. Не трудно представить неприятности, которые может принести такое поведение.
Начиная с Windows 2000 все операционные системы Windows включают в себя службу времени W32Time. Эта служба предназначена для синхронизации времени в пределах организации. W32Time отвечает за работу как клиентской, так и серверной части службы времени, причем один и тот же компьютер может быть одновременно и клиентом и сервером NTP (Network Time Protocol).
По умолчанию служба времени в Windows сконфигурирована следующим образом:
• При установке операционной системы Windows запускает клиента NTP и синхронизируется с внешним источником времени;
• При добавлении компьютера в домен тип синхронизации меняется. Все клиентские компьютеры и рядовые сервера в домене используют для синхронизации времени контроллер домена, проверяющий их подлинность;
• При повышении рядового сервера до контроллера домена на нем запускается NTP-сервер, который в качестве источника времени использует контроллер с ролью PDC-эмулятор;
• PDC-эмулятор, расположенный в корневом домене леса, является основным сервером времени для всей организации. При этом сам он также синхронизируется с внешним источником времени.
Такая схема работает в большинстве случаев и не требует вмешательства. Однако структура сервиса времени в Windows может и не следовать доменной иерархии, и надежным источником времени можно назначить любой компьютер. В качестве примера я опишу настройку NTP-сервера в Windows Server 2008 R2, хотя со времен Windows 2000 процедура не особо изменилась.
Запуск NTP сервера
Сразу отмечу, что служба времени в Windows Server (начиная с 2000 и заканчивая 2012) не имеет графического интерфейса и настраивается либо из командной строки, либо путем прямой правки системного реестра. Лично мне ближе второй способ, поэтому идем в реестр.
Итак, первым делом нам надо запустить сервер NTP. Открываем ветку реестра
HKLMSystemCurrentControlSetservicesW32TimeTimeProvidersNtpServer.
Здесь для включения сервера NTP параметру Enabled надо установить значение 1.
Затем перезапускаем службу времени командой net stop w32time && net start w32time
После перезапуска службы NTP сервер уже активен и может обслуживать клиентов. Убедиться в этом можно с помощью команды w32tm /query /configuration. Эта команда выводит полный список параметров службы. Если раздел NtpServer содержит строку Enabled :1 , то все в порядке, сервер времени работает.
Для того, чтобы NTP-сервер мог обслуживать клиентов, не забудьте на файерволле открыть UDP порт 123 для входящего и исходящего траффика.
Основные настройки NTP сервера
NTP сервер включили, теперь надо его настроить. Открываем ветку реестра HKLMSystemCurrentControlSetservicesW32TimeParameters. Здесь в первую очередь нас интересует параметр Type, который задает тип синхронизации. Он может принимать следующие значения:
NoSync — NTP-сервер не синхронизируется с каким либо внешним источником времени. Используются часы, встроенные в микросхему CMOS самого сервера;
NTP — NTP-сервер синхронизируется с внешними серверами времени, которые указаны в параметре реестра NtpServer;
NT5DS — NTP-сервер производит синхронизацию согласно доменной иерархии;
AllSync — NTP-сервер использует для синхронизации все доступные источники.
Значение по умолчанию для компьютера, входящего в домен — NT5DS, для отдельно стоящего компьютера — NTP.
И параметр NtpServer, в котором указываются NTP-сервера, с которыми будет синхронизировать время данный сервер. По умолчанию в этом параметре прописан NTP-сервер Microsoft (time.windows.com, 0x1), при необходимости можно добавить еще несколько NTP-серверов, введя их DNS имена или IP адреса через пробел. Список доступных серверов времени можно посмотреть например здесь.
В конце каждого имени можно добавлять флаг (напр. ,0x1) который определяет режим для синхронизации с сервером времени. Допускаются следующие значения:
0x1 – SpecialInterval, использование специального интервала опроса ;
0x2 – режим UseAsFallbackOnly;
0x4 – SymmetricActive, симметричный активный режим;
0x8 – Client, отправка запроса в клиентском режиме.
При использовании флага SpecialInterval, необходимо установленное значение интервала в ключе SpecialPollInterval. При значении флага UseAsFallbackOnly службе времени сообщается, что данный сервер будет использоваться как резервный и перед синхронизацией с ним будут выполнятся обращения к другим серверам списка. Симметричный активный режим используется NTP-серверами по умолчанию, а клиентский режим можно задействовать в случае проблем с синхронизацией. Подробнее о режимах синхронизации можно посмотреть здесь, либо не морочиться и просто ставить везде ,0x1 (как советует Microsoft).
Еще один важный параметр AnnounceFlags находится в разделе реестра HKLMSystemCurrentControlSetservicesW32TimeConfig. Он отвечает за то, как о себе заявляет NTP-сервер и может принимать следующие значения:
0x0 (Not a time server) — сервер не объявляет себя через NetLogon, как источник времени. Он может отвечать на NTP запросы, но соседи не смогут распознать его, как источник времени;
0x1 (Always time server) — сервер будет всегда объявлять о себе вне зависимости от статуса;
0x2 (Automatic time server) — сервер будет объявлять о себе только, если он получает надежное время от другого соседа (NTP или NT5DS);
0x4 (Always reliable time server) — сервер будет всегда заявлять себя, как надежный источник времени;
0x8 (Automatic reliable time server) — контроллер домена автоматически объявляется надежным если он PDC-эмулятор корневого домена леса. Этот флаг позволяет главному PDC леса заявить о себе как об авторизованном источнике времени для всего леса даже при отсутствии связи с вышестоящими NTP-серверами. Ни один другой контроллер или рядовой сервер (имеющие по умолчанию флаг 0x2) не может заявить о себе, как надежном источнике времени, если он не может найти источник времени для себя.
Значение AnnounceFlags составляет сумму составляющих его флагов, например:
10=2+8 — NTP-сервер заявляет о себе как о надежном источнике времени при условии, что сам получает время из надежного источника либо является PDC корневого домена. Флаг 10 задается по умолчанию как для членов домена, так и для отдельно стоящих серверов.
5=1+4 — NTP-сервер всегда заявляет о себе как о надежном источнике времени. Например, чтобы заявить рядовой сервер (не домен-контроллер) как надежный источник времени, нужен флаг 5.
Ну и настроим интервал между обновлениями. За него отвечает уже упоминавшийся выше ключ SpecialPollInterval, находящийся в ветке реестра HKLMSystemCurrentControlSetservicesW32TimeTimeProvidersNtpClient. Он задается в секундах и по умолчанию его значение равно 604800, что составляет 1 неделю. Это очень много, поэтому стоит уменьшить значение SpecialPollInterval до разумного значения, скажем до 1 часа (3600).
После настройки необходимо обновить конфигурацию сервиса. Сделать это можно командой w32tm /config /update. И еще несколько команд для настройки, мониторинга и диагностики службы времени:
w32tm /monitor – при помощи этой опции можно узнать, насколько системное время данного компьютера отличается от времени на контроллере домена или других компьютерах. Например: w32tm /monitor /computers:time.nist.gov
w32tm /resync – при помощи этой команды можно заставить компьютер синхронизироваться с используемым им сервером времени.
w32tm /stripchart– показывает разницу во времени между текущим и удаленным компьютером, причем может выводить результат в графическом виде. Например, команда w32tm /stripchart /computer:time.nist.gov /samples:5 /dataonly произведет 5 сравнений с указанным источником и выведет результат в текстовом виде.
w32tm /config – это основная команда, используемая для конфигурирования службы NTP. С ее помощью можно задать список используемых серверов времени, тип синхронизации и многое другое. Например, переопределить значения по умолчанию и настроить синхронизацию времени с внешним источником, можно командой w32tm /config /syncfromflags:manual /manualpeerlist:time.nist.gov /update
w32tm /query — показывает текущие настройки службы. Например команда w32tm /query /source покажет текущий источник времени, а w32tm /query /configuration выведет все параметры службы.
Ну и на крайний случай 🙁
w32tm /unregister — удаляет службу времени с компьютера.
w32tm /register – регистрирует службу времени на компьютере. При этом создается заново вся ветка параметров в реестре.
В состав Windows входит служба времени W32Time, необходимая для работы протокола проверки подлинности Kerberos. Служба времени предназначена для синхронизации времени в рамках организации на компьютерах под управлением Microsoft Windows 2000 или более поздних версий Windows.
Служба времени Windows использует иерархическую структуру отношений, которая не допускает возникновения «циклов» в управлении и обеспечивает корректную синхронизацию времени. По умолчанию компьютеры под управлением Windows подчиняются следующей иерархии.
- Все клиентские компьютеры используют в качестве источника времени контроллер домена, проверяющий их подлинность.
- То же самое происходит на рядовых серверах.
- Все контроллеры домена используют в качестве источника времени хозяина операций основного контроллера домена (PDC).
- При выборе источника времени хозяева операций основного контроллера домена следуют иерархии доменов.
В данной иерархии хозяин операций PDC, расположенный в корневом домене леса, становится основным сервером времени для всей организации. Корпорация Майкрософт рекомендует, чтобы основной сервер времени получал значения времени от внутреннего источника. Если основной сервер времени получает эти данные от источника времени в Интернете, проверка подлинности не выполняется. Кроме того, корпорация Майкрософт рекомендует уменьшить значения параметров, определяющих максимальную величину коррекции времени для серверов и рядовых компьютеров. Это позволит более точно устанавливать время на компьютерах в домене и повысит уровень их безопасности.
Настройка службы времени Windows для использования системных часов
Помощь в решении проблемы
Чтобы устранить проблему в автоматическом режиме, нажмите кнопку Устранить проблему или щелкните одноименную ссылку. Нажмите в диалоговом окне Загрузка файла кнопку Выполнить и следуйте инструкциям мастера устранения проблем.
Устранить проблему Microsoft Fix it 50394
Примечания
- Интерфейс этого мастера может быть доступен только на английском языке, однако автоматическое исправление работает и в других языковых версиях Windows.
- Можно загрузить решение на любой компьютер, а затем сохранить его на устройстве флэш-памяти или компакт-диске и запустить на нужном компьютере.
Самостоятельное решение проблемы
Важно! В данный раздел, метод или задачу включены действия по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому такие действия необходимо выполнять очень внимательно. Для дополнительной защиты следует создать резервную копию реестра перед его изменением. Это позволит восстановить реестр при возникновении неполадок. Дополнительные сведения о создании резервной копии и восстановлении реестра см. в следующей статье базы знаний Майкрософт:
322756 Создание резервной копии и восстановление реестра Windows
Чтобы служба времени на компьютере, являющемся хозяином операций PDC, не использовала внешний источник времени, необходимо изменить параметр реестра AnnounceFlags. Хозяином PDC называется сервер, исполняющий роль эмулятора PDC корневого домена леса. Данное изменение конфигурации предписывает хозяину PDC сообщать о себе как о надежном источнике времени и использовать часы, встроенные в микросхему CMOS. Чтобы служба времени хозяина PDC использовала в качестве источника времени внутренние часы компьютера, выполните следующие действия.
- Выберите в меню Пуск пункт Выполнить, введите команду regedit и нажмите кнопку ОК.
-
Найдите и выделите следующий раздел реестра:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeConfigAnnounceFlags
- На правой панели щелкните правой кнопкой мыши параметр AnnounceFlags и выберите командуИзменить.
- В появившемся окне Изменение параметра DWORD в поле Значение введите символ A и нажмите кнопку ОК.
- Закройте редактор реестра.
-
Перезапустите службу времени. Для этого введите в командной строке следующую команду и нажмите клавишу ВВОД:
net stop w32time && net start w32time
Примечание. Служба времени хозяина PDC не должна быть настроена на синхронизацию с самим хозяином PDC. Дополнительные сведения о том, почему основной контроллер домена не следует настраивать на синхронизацию с самим собой, см. на следующем веб-узле в документе RFC (Request For Comment) 1305:
Если основной контроллер домена настроен на синхронизацию с самим собой, в журнал системы записываются указанные ниже события.
Тип события: Сведения Источник события: W32Time Категория события: отсутствует Код события: 38 Компьютер: имя_компьютера Описание: NTP-клиент поставщика времени не может достичь или получает неправильные данные о времени с адреса IP-адрес_сервера_NTP. Для получения дополнительных сведений посетите веб-узел центра справки и поддержки по адресу http://support.microsoft.com.
Тип события: Предупреждение Источник события: W32Time Категория события: отсутствует Код события: 47 Компьютер: имя_компьютера Описание: NTP-клиент поставщика времени: правильный ответ от узла IP-адрес_NTP-сервера не был получен после 8 попыток обращения. Этот узел не будет использоваться в качестве источника времени, а NTP-клиент попытается найти новый узел с этим доменным именем. Для получения дополнительных сведений посетите веб-узел центра справки и поддержки по адресу http://support.microsoft.com.
Тип события: ошибка Источник события: W32Time Категория события: отсутствует Код события: 29 Компьютер: имя_компьютера Описание: NTP-клиент поставщика времени настроен на получение времени из одного или нескольких источников, однако ни один из этих источников не доступен. Попытки подключения к источнику не будут выполняться в течение 15 мин. NTP-клиент не имеет источника правильного времени. Для получения дополнительных сведений посетите веб-узел центра справки и поддержки по адресу http://support.microsoft.com.
Если служба времени хозяина PDC не использует внешний источник времени, то в журнале событий приложений будет регистрироваться следующее событие.
Тип события: ошибка Источник события: W32Time Категория события: — Код события: 12 Описание NTP-клиент поставщика времени: этот компьютер использует доменную структуру для определения своего источника времени, но для этого домена в корне леса находится PDC-эмулятор, поэтому нет компьютера, расположенного выше в доменной иерархии, который можно использовать как источник времени. Рекомендуется настроить надежную службу времени в корневом домене либо вручную настроить PDC для синхронизации с внешним источником времени. В противном случае этот компьютер будет выступать в роли основного источника времени в иерархии домена. Если внешний источник времени не настроен или не должен использоваться для этого компьютера, можно отключить NTP-клиент.
Данное сообщение напоминает о том, что рекомендуется использовать внешний источник времени, и может быть пропущено.
Настройка службы времени Windows для использования внешнего источника показаний времени
Помощь в решении проблемы
Чтобы устранить проблему в автоматическом режиме, нажмите кнопку Устранить проблему или щелкните одноименную ссылку. В диалоговом окне Загрузка файла нажмите кнопку Выполнить и следуйте инструкциям мастера устранения проблем.
Устранить проблему Microsoft Fix it 50395
Примечания
- Интерфейс этого мастера может быть доступен только на английском языке, однако автоматическое исправление работает и в других языковых версиях Windows.
- Можно загрузить решение на любой компьютер, а затем сохранить его на устройстве флэш-памяти или компакт-диске и запустить на нужном компьютере.
Самостоятельное решение проблемы
Чтобы настроить внутренний сервер времени для синхронизации с внешним источником показаний времени, выполните указанные ниже действия.
-
Измените тип сервера на NTP. Для этого выполните следующие действия.
- Выберите в меню Пуск пункт Выполнить, введите команду regedit и нажмите кнопку ОК.
-
Найдите и выделите следующий раздел реестра:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParametersType
- На правой панели щелкните правой кнопкой мыши параметр Type и выберите командуИзменить.
- В появившемся окне Изменение строкового параметра в поле Значение введите NTP и нажмите кнопку ОК.
-
Присвойте параметру
AnnounceFlags
значение 5. Для этого выполните следующие действия.
-
Найдите и выделите следующий раздел реестра:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeConfigAnnounceFlags
- На правой панели щелкните правой кнопкой мыши параметр AnnounceFlags и выберите команду Изменить.
- В появившемся окне Изменение параметра DWORD в поле Значение введите 5 и нажмите кнопку ОК.
-
Найдите и выделите следующий раздел реестра:
-
Включите сервер NTP. Для этого выполните следующие действия.
-
Найдите и выделите следующий раздел реестра:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProvidersNtpServer
- На правой панели щелкните правой кнопкой мыши параметр Enabled и выберите командуИзменить.
- В появившемся окне Изменение параметра DWORD в поле Значение введите 1 и нажмите кнопку ОК.
-
Найдите и выделите следующий раздел реестра:
-
Укажите источники времени. Для этого выполните следующие действия.
-
Найдите и выделите следующий подраздел реестра:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParameters
- На правой панели щелкните правой кнопкой мыши параметр NtpServer и выберите командуИзменить.
-
В появившемся окне Изменение строкового параметра в поле Значение введите Peers и нажмите кнопку ОК.
Примечание Peers представляет собой перечень узлов, предоставляющих данные о текущем времени. Для разделения имен узлов в списке используются пробелы. Все имена DNS в данном списке должны быть уникальными. В конце каждого имени DNS необходимо добавлять символы ,0x1. Если данные символы не были добавлены, то изменения, вносимые на шаге 5, не вступят в силу.
-
Найдите и выделите следующий подраздел реестра:
-
Задайте интервал опроса. Для этого выполните следующие действия.
-
Найдите и выделите следующий раздел реестра:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProvidersNtpClientSpecialPollInterval
- На правой панели щелкните правой кнопкой мыши параметр SpecialPollInterval и выберите команду Изменить.
-
В появившемся окне Изменение параметра DWORD в поле Значение введитеTimeInSeconds и нажмите кнопку ОК.
Примечание TimeInSeconds – это интервал времени (в секундах) между двумя опросами. Рекомендуется установить его равным 900. В этом случае опрос будет выполняться каждые 15 минут.
-
Найдите и выделите следующий раздел реестра:
-
Задайте параметры, определяющие максимальную величину коррекции времени. Для этого выполните следующие действия.
-
Найдите и выделите следующий раздел реестра:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeConfigMaxPosPhaseCorrection
- На правой панели щелкните правой кнопкой мыши параметр MaxPosPhaseCorrection и выберите команду Изменить.
- В диалоговом окне Изменение параметра DWORD в разделе Система исчислениявыберите значение Десятичная.
-
В появившемся окне Изменение параметра DWORD в поле Значение введитеTimeInSeconds и нажмите кнопку ОК.
Примечание. TimeInSeconds может иметь любое значение в разумных пределах (например, 1 час (3600) или 30 минут (1800)). Данное значение выбирается исходя из величины интервала опроса, состояния сети и типа внешнего источника времени.
- Найдите и выделите следующий раздел реестра:HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeConfigMaxNegPhaseCorrection
- На правой панели щелкните правой кнопкой мыши параметр MaxNegPhaseCorrection и выберите команду Изменить.
- В диалоговом окне Изменение параметра DWORD в разделе Система исчислениявыберите значение Десятичная.
-
В появившемся окне Изменение параметра DWORD в поле Значение введитеTimeInSeconds и нажмите кнопку ОК.
Примечание. TimeInSeconds может иметь любое значение в разумных пределах (например, 1 час (3600) или 30 минут (1800)). Данное значение выбирается исходя из величины интервала опроса, состояния сети и типа внешнего источника времени.
-
Найдите и выделите следующий раздел реестра:
- Закройте редактор реестра.
-
Перезапустите службу времени. Для этого введите в командной строке следующую команду и нажмите клавишу ВВОД:
net stop w32time && net start w32time
Устранение неполадок
Для нормального функционирования службы времени Windows необходима работающая сетевая инфраструктура. В большинстве случаев ошибки в работе службы времени Windows вызваны следующими причинами.
- При обмене данными по протоколу TCP/IP возникают сбои (например, из-за неработающего шлюза).
- Неправильно работает служба разрешения имен.
- При прохождении пакетов по сети возникают значительные задержки (особенно если для синхронизации используются медленные каналы глобальной сети).
- Служба времени Windows пытается выполнить синхронизацию с источниками, сообщающими неточные данные.
Для устранения неполадок, вызванных сбоями в работе сети, корпорация Майкрософт рекомендует использовать средство Netdiag.exe, входящее в набор Windows Server 2003 Support Tools. За сведениями о параметрах командной строки, поддерживаемых приложением Netdiag.exe, обратитесь к справке по набору средств поддержки. Если решить проблему не удается, включите журнал отладки службы времени Windows. Поскольку журнал отладки может содержать большой объем служебной информации, при использовании журнала отладки рекомендуется обращаться в службу поддержки продуктов Майкрософт.
NTP поддерживает несколько разных типов пакетов. Обычно клиенты NTP и клиенты SNTP (Simple Network Time Protocol) направляют серверу NTP пакеты запросов в клиентском режиме. Сервер NTP отвечает пакетом в серверном режиме. Чтобы настроить службу W32time для отправки пакетов серверу NTP не в клиентском, а в симметричном активном режиме, введите в командной строке следующую команду:
w32tm /config /manualpeerlist:<server>,0x4 /syncfromflags:MANUAL
Примечание. Используйте флаг 0x8, чтобы служба W32time вместо пакетов в симметричном активном режиме всегда передавала обычные клиентские запросы. Сервер NTP отвечает на эти обычные клиентские запросы в обычном порядке.
Настройка надежного источника времени
Компьютер, выбранный в качестве надежного источника времени, является корнем службы времени Windows. Данный компьютер выступает в качестве основного сервера времени для домена и, как правило, получает информацию о текущем времени от внешнего сервера NTP или от системных часов. Чтобы оптимизировать процесс синхронизации времени в иерархии домена, можно настроить сервер службы времени в качестве надежного источника времени. Если контроллер домена является надежным источником времени, то при подключении данного контроллера домена к сети служба Net Logon отправляет оповещение, что данный компьютер является надежным источником времени. Когда остальные контроллеры домена будут искать источник времени для синхронизации, в первую очередь они будут обращаться к надежному источнику времени, если он доступен.
Синхронизация вручную
Синхронизация вручную позволяет указать один или несколько узлов, с которых компьютер будет получать информацию о времени. Если компьютер не является членом домена, то его необходимо вручную настроить на синхронизацию с выбранным источником времени. Компьютеры, входящие в домен, по умолчанию производят синхронизацию в соответствии с иерархией домена. Корень леса в домене и компьютеры, не входящие в домен, как правило, используют синхронизацию вручную. Если компьютер, являющийся основным сервером времени для данного домена, вручную настроен на выполнение синхронизации с внешним NTP-сервером, то домен получает надежную информацию о времени. Однако для повышения защищенности домена и получения более точных значений времени рекомендуется выполнять синхронизацию основного компьютера с системными часами.
Если подобный источник времени отсутствует, служба W32time будет работать в режиме NTP. Для работы службы времени необходимо указать значения параметров реестра MaxPosPhaseCorrection и MaxNegPhaseCorrection. Рекомендуется использовать значения, не превышающие 15 минут. Конкретное значение зависит от источника времени, состояния сети и требований к безопасности. Это требование относится также к любому надежному источнику времени, являющемуся корневым источником времени в схеме синхронизации времени. Дополнительные сведения о параметрах MaxPosPhaseCorrection и MaxNegPhaseCorrection см. в разделе «Параметры реестра, используемые службой времени Windows» данной статьи.
Примечание. Если для источников времени, указанных вручную, не создан отдельный поставщик времени, то эти источники не будут проходить проверку подлинности, что делает их уязвимыми для атак. Кроме того, если компьютер осуществляет синхронизацию с источником времени, заданным вручную, а не с контроллером домена, выполняющим проверку подлинности данного компьютера, то может произойти рассинхронизация компьютера и контроллера домена, что вызовет сбои при выполнении действий, требующих проверки подлинности в сети (например, при доступе к общим файлам или при печати на сетевом принтере), а также при выполнении проверки подлинности Kerberos. Если синхронизацию с внешним источником времени осуществляет только корневой компьютер, то все компьютеры в домене будут синхронизированы друг с другом, что повышает их защищенность.
Все доступные способы синхронизации
Вариант «все доступные способы синхронизации» более всего подходит для пользователей, работающих в сети, поскольку он позволяет выполнять синхронизацию на основе иерархии домена, а также (в зависимости от конфигурации) допускает использование альтернативных источников времени, если синхронизация на основе иерархии домена становится недоступной. Если клиент не может синхронизировать время на основе иерархии домена, то в качестве источника времени автоматически будет использоваться источник, указанный в параметре NtpServer. Этот метод синхронизации представляет собой наилучший способ передачи клиентам информации о точном времени.
Параметры реестра, используемые службой времени Windows
Перечисленные ниже параметры реестра расположены в разделе
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32Time
Параметр | MaxPosPhaseCorrection |
Путь | HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeConfig |
Примечания. | Этот параметр задает максимальную величину положительной коррекции времени, которую может выполнить служба времени. Если окажется, что величина изменения превышает допустимое значение, то изменение выполняться не будет, и будет зарегистрировано соответствующее событие. Если параметр равен 0xFFFFFFFF, то изменение времени будет выполняться всегда. По умолчанию для компьютеров-членов домена используется значение 0xFFFFFFFF. Для изолированных компьютеров и серверов по умолчанию используется значение 54000 (15 часов). |
Параметр | MaxNegPhaseCorrection |
Путь | HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeConfig |
Примечания. | Этот параметр задает максимальную величину отрицательной коррекции времени, которую может выполнить служба времени. Если окажется, что величина изменения превышает допустимое значение, то изменение выполняться не будет, и будет зарегистрировано соответствующее событие. Если параметр равен 0xFFFFFFFF, то изменение времени будет выполняться всегда. По умолчанию для компьютеров-членов домена используется значение 0xFFFFFFFF. Для изолированных компьютеров и серверов по умолчанию используется значение 54000 (15 часов). |
Параметр | MaxPollInterval |
Путь | HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeConfig |
Примечание. | Этот параметр задает наибольший допустимый интервал (в секундах) между опросами. Хотя система обязана отправлять запрос по истечении интервала опроса, поставщик времени может проигнорировать данный запрос. Для членов домена по умолчанию используется значение 10, а для автономных компьютеров и серверов – значение 15. |
Параметр | SpecialPollInterval |
Путь | HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProvidersNtpClient |
Примечание. | Этот параметр определяет интервал опроса (в секундах) при задании узлов для синхронизации вручную. Если установлен флаг SpecialInterval 0x1, служба W32Time использует величину интервала опроса, задаваемую параметром SpecialPollInterval, а не значение, указываемое операционной системой. Для членов домена по умолчанию используется значение 3 600, а для автономных компьютеров и серверов – значение 604 800. |
Параметр | MaxAllowedPhaseOffset |
Путь | HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeConfig |
Примечание. | Данный параметр определяет значение (в секундах), на которое служба W32Time может изменять показания часов компьютера с помощью частоты синхронизации. Если величина изменения превышает данное значение, служба W32Time изменяет показания часов компьютера напрямую. Для членов домена по умолчанию используется значение 300, а для автономных компьютеров и серверов – значение 1. |
- on Ноя 27, 2017
-
in
Система
Настройка времени в серверных операционных системах Windows с помощью протокола NTP является критичной для многих служб. Без правильного настроенного времени, а точнее при рассогласовании часов на сервере и рабочих станциях не могут правильно работать многие протоколы Active Directory и сервисы синхронизации. Установка и поддержка часов с помощью NTP является простой задачей, связанной иногда, однако, с некоторыми сложностями, которые мы попытаемся рассмотреть в этой статье.
Для примера будем использовать не самую свежую систему — Windows Server 2012. Она является наиболее распространенной и, в то же время, для многих других систем, включая Windows Server 2008, Windows Server 2016 применимы аналогичные команды и правила. Следует отметить, что описание касается настройки окружения с единственным главным контроллером PDC. Более сложные варианты не рассматриваются.
Сброс настроек NTP
Для того, чтобы перевести службу NTP в «дефолтное» состояние, необходимо выполнить следующие команды:
Stop-Service w32time w32tm /unregister w32tm /register
В данном случае они останавливают сервис, разрегистрируют сервис и регистрируют его в системе заново. Следует выполнять эти команды только в случае существенной необходимости. Как правило, нужды в них нет — NTP настраивается, если учтены другие обстоятельства системы.
Команды установки NTP в обычном случае
Для того, чтобы настроить протокол сетевого времени на контроллере Windows Server, прежде всего необходимо отключить синхронизацию посредством Hyper-V, если контроллер виртуализирован с помощью этой технологии. Для этого нужно зайти в настройки и снять галочку с пункта Time Synchronization в разделе Management -> Integration Services
Для тех, кто не использует Hyper-V, предыдущий шаг можно опустить.
Далее, запустить Power-Shell и ввести команды:
w32tm /config /manualpeerlist:pool.ntp.org /syncfromflags:MANUAL Stop-Service w32time Start-Service w32time
На этом установка в качестве основного ntp-сервера одного из pool.ntp.org закончена.
Выбор ntp-сервера
Однако нет жесткой необходимости использовать именно этот сервер. Для тех, кто находится в интранете, для тех, у кого есть предпочтения по геолокации или другим параметрам, можно указать другой сервер. Или даже список в кавычках, разделенный пробелами:
w32tm /config /manualpeerlist:"0.de.pool.ntp.org 1.de.pool.ntp.org" /syncfromflags:MANUAL
Протокол UDP для NTP и блокировка файрволом
Протокол времени использует для своей связи порт UDP с номером 123 в стандартной конфигурации. Необходимо следить за тем, чтобы файрвол не блокировал этот порт. В случае, если блокировка происходит, в логах ntp будет масса информации о том, что соединение невозможно:
Log Name: System
Source: Microsoft-Windows-Time-Service
Event ID: 47
Level: Warning
Description: Time Provider NtpClient: No valid response has been received from manually configured peer pool.ntp.org after 8 attempts to contact it. This peer will be discarded as a time source and NtpClient will attempt to discover a new peer with this DNS name. The error was: The peer is unreachable.
Для того, чтобы убедиться, что проблема именно в этом, можно включить вывод дополнительной отладочной информации. Настраиваем логи Windows Server таким образом, чтобы в них писалась вся необходимая информация, но они не росли больше, чем 20 мегабайт:
w32tm /debug /enable /file:C:tmpntp.log /size:20971520 /entries:0-300
Следите за тем, чтобы на диске присутствовал каталог C:tmp куда будут записаны логи.
После того, как ошибка будет отловлена, вывод дополнительной отладочной информации можно будет отключить:
Блокировка ntp файрволом отлавливается по фразе в отладке:
— Logging error: NtpClient has been configured to acquire time from one or more time sources, however none of the sources are currently accessible and no attempt to contact a source will be made for 1 minutes. NTPCLIENT HAS NO SOURCE OF ACCURATE TIME.
В этом случае (да, в общем, сразу с целью проверки) необходимо проверить правило в файрволе
И, в случае необходимости, поменять правило или добавить его.
Проверка правильности работы ntp
Чтобы проверить — все ли работает правильно, можно запустить синхронизацию вручную:
Если все прошло успешно, получите сообщение:
Sending resync command to local computer
The command completed successfully.
Если есть проблемы — сообщение:
The computer did not resync because no time data was available.
Во втором случае необходимо проверить все сначала: файрвол, правильность заданных серверов (не ошиблись ли в имени). Если что — информацию о сбросе настроек мы уже приводили.
В этой статье показано, как настроить службу времени Windows (NTP) в Windows Server 2016, чтобы она действовала как NTP-сервер для клиентских компьютеров домена.
Содержание
- Немного теории
- Проверяем откуда сервер берет время
- Быстрая настройка NTP на Windows Server 2016
- Расширенная настройка NTP на Windows Server 2016
- Проверка работы NTP сервера (Живой ли внешний NTP сервер с которого мы берем время)
- Список команд w32tm
- Также хотел бы поделится комментарием найденным на форуме
Немного теории
Синхронизация времени — важный и во многом достаточно критичный аспект работы Active Directory, особенно сегодня, когда широко используется взаимодействие с внешними системами и работа с сотрудниками, которые могут находиться в различных часовых поясах. Применение систем виртуализации вносит дополнительные особенности, которые также следует учитывать. Поэтому данный вопрос может оказаться не столь простым, как кажется, а синхронизация с внешним источником точного времени становится одной из актуальных задач.
Прежде всего вспомним, как происходит синхронизация времени в Active Directory. В качестве эталона времени выступает контроллер, владеющий ролью эмулятора PDC. Это FSMO-роль и эмулятором PDC может являться только один контроллер в каждом домене. С ним синхронизируют время остальные контроллеры домена. Доменные ПК и рядовые серверы сверяют часы с ближайшим контроллером домена.
Сам эмулятор PDC в качестве источника точного времени может использовать либо аппаратные часы материнской платы, либо внешний источник точного времени, при нахождении в виртуальной среде также может быть использовано время хоста виртуализации.
О последней поговорим более подробно. Раньше все было довольно просто, источником времени в домене обычно служили аппаратные часы эмулятора PDC, ну отстали или убежали на пару минут, в конце концов можно и подвести. Когда добавилось требование взаимодействия с внешними системами критичными к точному времени (например, использующих криптографию), то в качестве источника времени стал выступать внешний сервер. От него получал время эмулятор PDC, с ним синхронизировались контроллеры, а от них точное время расходилось на остальных участников домена.
С приходом виртуализации все изменилось, появился еще один источник времени — время хоста виртуализации. Многие гипервизоры по умолчанию имеют включенной настройку синхронизации времени гостевых систем и при попадании в виртуальную среду контроллера может возникнуть следующая коллизия: контроллер синхронизирует время с хостом, но сам хост, являясь членом домена, в свою очередь синхронизируется с контроллером.
Еще хуже, если в виртуальную среду попадает эмулятор PDC, в силу особенностей таймера виртуальных машин, время внутри может достаточно сильно плавать, поэтому виртуальный эмулятор PDC всегда должен синхронизировать время с внешним источником, а синхронизация времени с хостом должна быть отключена, последнее касается и всех остальных виртуальных членов домена.
Проверяем откуда сервер берет время
Давайте перейдем от теории к практике. Начнем с того, что выясним кто из контроллеров является эмулятором PDC и эталоном времени для домена. Это можно сделать на любом контроллере домена командой:
netdom query fsmo
В выводе будут показаны все хозяева операций, нас интересует только эмулятор PDC.
Затем перейдем на указанный контроллер и узнаем источник времени для него, для этого выполните команду:
w32tm /query /source
Если в выводе вы увидите:
Local CMOS Clock
Free-Running System Clock
то источником времени являются аппаратные часы. А если там будет:
VM IC Time Synchronization Provider
то вы имеете дело с виртуальной машиной, которая синхронизирует время с хостом.
Данную настройку следует исправить, это можно сделать в настройках виртуальной машины, отключив синхронизацию времени с хостом, либо в самой системе, для этого откройте ветвь реестра:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProvidersVMICTimeProvider
и установите для параметра Enabled значение 0.
После данного изменения следует перезапустить Службу времени Windows как показано ниже или перезагрузить компьютер.
net stop w32time
net start w32time
Далее будет показана быстрая настройка NTP клиента на сервере и более расширенная.
Быстрая настройка NTP на Windows Server 2016
На вашем Windows Server 2016 нажмите кнопку Windows и введите: PowerShell, щелкните правой кнопкой мыши и выберите «Запуск от имени администратора».
Введите следующие команды
w32tm /config /manualpeerlist:ntp1.stratum2.ru /syncfromflags:manual /reliable:yes /update
reliable:(YES|NO) — определяет, является ли этот компьютер надежным источником времени
Stop-Service w32time
Start-Service w32time
Конечно, вы можете взять любой NTP-сервер, какой захотите. Я брал отсюда
Теперь проверьте, правильно ли настроен сервер времени на вашем сервере Server 2016, набрав:
w32tm /query /status
Расширенная настройка NTP на Windows Server 2016
Расширенная настройка нашего эмулятора PDC на работу с внешними источниками точного времени. Все изменения также будут вноситься через реестр. Прежде всего изменим тип сервера на NTP, для этого откроем ветку
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParameters
и для параметра Type укажем строковое значение NTP. А для параметра NtpServer зададим адреса серверов точного времени, после каждого из которых, через запятую укажем 0x8, если мы хотим работать как стандартный NTP-клиент или 0x1 если будем использовать собственные параметры, например:
ntp1.stratum2.ru,0x1 ntp2.stratum2.ru,0x1 ntp4.stratum2.ru,0x1
После чего в
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProvidersNtpServer
Параметр Enabled установим в значение 1.
Затем перейдем в
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeConfig
и установим для параметра AnnounceFlags значение A.
Значение «AnnounceFlags» может составлять сумму его флагов, например:
10=2+8 — NTP-сервер заявляет о себе как о надежном источнике времени при условии, что сам получает время из надежного источника либо является PDC корневого домена. Флаг 10 задается по умолчанию как для членов домена, так и для отдельно стоящих серверов.
5=1+4 — NTP-сервер всегда заявляет о себе как о надежном источнике времени. Например, чтобы заявить рядовой сервер (не контроллер домена) как надежный источник времени, нужен флаг 5;
Следующие параметры будут работать, только если мы при указании серверов добавили 0x1, иначе будут использоваться настройки, предлагаемые сервером. Чтобы задать период синхронизации откройте ветку
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProvidersNtpClient
и для параметра SpecialPollInterval укажите десятичное значение в секундах.
Вернемся в
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeConfig
И зададим максимальное время опережения и отставания часов, после которых синхронизация производиться не будет. Для этого используются параметры MaxPosPhaseCorrection (опережение) и MaxNegPhaseCorrection (отставание) для которых также следует задать десятичное значение в секундах. По умолчанию стоит 48 часов. Это значит, что если время на эмуляторе PDC уйдет от точного источника более чем на 48 часов в любую сторону, то синхронизация производиться не будет.
Если вы хотите, чтобы время синхронизировалось всегда, то установите в оба параметра шестнадцатеричное значение FFFFFFFF.
Выполнив настройки перезапустите Службу времени Windows, это также можно сделать в командной строке:
net stop w32time
net start w32time
После чего еще раз выполним команду чтобы показать источники времени и их состояние
w32tm /query /peers
выполняем еще команду
w32tm /query /source
и убедимся, что источником времени для эмулятора PDC является внешний сервер.
Затем выполним данную команду на рядовых контроллерах домена, в качестве источника времени там должен быть указан эмулятор PDC, и на обычных ПК, где в выводе будет присутствовать любой из контроллеров домена. Обязательно выполните контроль для виртуальных машин, чтобы быть уверенным, что они используют время домена, а не хоста виртуализации.
Проверка работы NTP сервера (Живой ли внешний NTP сервер с которого мы берем время)
В Windows, нужно открыть командную строку и выполнить команду w32tm со специальными параметрами. Где ntp1.stratum2.ru — это NTP сервер
w32tm /stripchart /computer:ntp1.stratum2.ru /dataonly /samples:3
Ответ будет содержать локальное время, и разницу со временем на указанном NTP сервере. Например:
w32tm /stripchart /computer:ntp1.stratum2.ru /dataonly /samples:3
Tracking ntp1.stratum2.ru [88.147.254.230:123].
Collecting 3 samples.
The current time is 8/1/2022 3:48:56 PM.
15:48:56, +00.0098812s
15:48:58, -00.0036452s
15:49:00, +00.0005137s
PS C:UsersAdministrator>
На данном выводе видно что погрешность синхронизации составяляет +00.0098812s
Список команд w32tm
Основные команды конфигурации w32tm
- w32tm /register — Регистрация и включение службы со стандартными параметрами.
- w32tm /unregister — Отключение службы и удаление параметров конфигурации.
- w32tm /monitor — Просмотр информации по домену.
- w32tm /resync — Команда принудительной синхронизации с заданным в конфигурации источником.
- w32tm /config /update — Применить и сохранить конфигурацию.
- w32tm /config /syncfromflags:domhier /update – Задаем настройку синхронизации с контроллером домена.
- w32tm /config /syncfromflags:manual /manualpeerlist:time.windows.com – задать конкретные источники синхронизации времени по протоколу NTP.
Просмотр параметров (/query)
- w32tm /query /computer:<target> — Информация о стутусе синхронизации определенной станции (если имя не указано — используется локальный компьютер).
- w32tm /query /Source – Показать источник времени.
- w32tm /query /Configuration — Вывод всех настроек службы времени Windows.
- w32tm /query /Peers – Показать источники времени и их состояние.
- w32tm /query /Status – Статус службы времени.
- w32tm /query /Verbose – Подробный вывод всей информации о работе службы.
Также хотел бы поделится комментарием найденным на форуме
За настройку NTP через политики надо больно бить по рукам. 1. В доменной среде ничего не надо делать, контроллеры берут время с PDC, клиенты с контроллера. 2. Точности времени секунда в секунду не добьетесь. Больная тема для меня. Предыдущие админы нахреначили синхронизацию чуть ли не в 10 разных политиках, до сих пор натыкаюсь и с матами удаляю. Есть проблема с синхронизацией времени? На всех контроллерах: 1. Убиваем службу w32time 2. Грохаем ветку реестра HKLMSystemCurrentControlSetservicesW32Time 3. Регистрируем службу заново 4. Проверяем, что параметр TYPE в HKLMSystemCurrentControlSetservicesW32TimeParameters равен NT5DS Конфигурация NTP-сервера Задаем тип синхронизации внутренних часов, на использование внешнего источника. NoSync — NTP-сервер не синхронизируется с каким либо внешним источником времени. Используются системные часы, встроенные в микросхему CMOS самого сервера. NTP — NTP-сервер синхронизируется с внешними серверами времени, которые указаны в параметре реестра NtpServer. NT5DS — NTP-сервер производит синхронизацию согласно доменной иерархии. AllSync — NTP-сервер использует для синхронизации все доступные источники. На PDC настраиваем синхронизацию с внешним поставщиком времени 5. И ничего б*ть не трогаем!=) Через какое-то время время стабилизируется. Для понимания — время не импортируется, оно сверяется и подгоняется под эталон. Не забываем, что для керберос разница в 5 минут не критична. Хитрожопых кадровиков и безопасников, желающих снихронить свои убогие СКУДы с виндовыми тачками слать надолго и подальше. Всё, я кончил =) ===
Полностью согласен. Время домена — не повод для торговли. Оно должно быть правильным, но в разумных пределах, плюс-минус несколько минут не являются критичными для общения. Хотя встречал домен, где для хождения кербероса админы сделали максимальную погрешность часов сутки. Всякое бывает, но «правильный» админ всегда найдет решение… или костыль… ===
ПК не знает и никак не узнает, что PDC сменился. Так что политика обязательно должна быть! === А ему не надо знать. Он кричит в сеть «PDC!!!», а те сами знают, кому из них отозваться. У них DNS для этого есть.
Для правильного функционирования доменной среды Windows Server 2008 R2/2012 R2, является корректная работа службы времени Windows (W32Time).
Схема работы синхронизации времени в доменной среде Active Directory:
- Контроллер корневого домена в лесу AD, которому принадлежит FSMО-роль PDC-эмулятора, синхронизируется с внешними источниками точного времени. Он же является источником времени для всех остальных контроллеров этого домена.
- Контроллеры дочерних доменов в AD, синхронизируют время с вышестоящих контроллеров домена AD.
- Рядовые члены домена (сервера и рабочие станции) синхронизируют свое время с ближайшим к ним доступным контроллером домена, соблюдая топологию AD.
Служба времени в Windows (W32Time) не имеет графического интерфейса и настраивается из командной строки (утилита w32tm), с помощью реестра (HKLMSystemCurrentControlSetServicesW32TimeParameters) и посредством Групповой политики (Group Policy Managment)
Для определения какому контроллеру домена принадлежит FSMО-роль PDC-эмулятора, в командной строке, выполним команду: netdom query FSMO
Включение NTP-сервера
NTP-сервер по-умолчанию включен на всех контроллерах домена, но его можно включить и на рядовых серверах:
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProvidersNtpServer] — «Enabled»=1
Конфигурация NTP-сервера
Задаем тип синхронизации внутренних часов, на использование внешнего источника. (Командная строка/Реестр):
- w32tm /config /syncfromflags:manual
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParameters] — «Type»=NTP
Допускаются следующие значения:
NoSync — NTP-сервер не синхронизируется с каким либо внешним источником времени. Используются системные часы, встроенные в микросхему CMOS самого сервера.
NTP — NTP-сервер синхронизируется с внешними серверами времени, которые указаны в параметре реестра NtpServer.
NT5DS — NTP-сервер производит синхронизацию согласно доменной иерархии.
AllSync — NTP-сервер использует для синхронизации все доступные источники.
Задание списка внешних источников для синхронизации, с которыми будет синхронизировать время данный сервер. По-умолчанию в этом параметре прописан NTP-сервер Microsoft (time.windows.com, 0×1). (Командная строка/Реестр):
- w32tm /config /manualpeerlist:»0.ru.pool.ntp.org,0x1 1.ru.pool.ntp.org,0x1 2.ru.pool.ntp.org,0x1″
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParameters] — «NtpServer»=0.ru.pool.ntp.org,0x1 1.ru.pool.ntp.org,0x1 2.ru.pool.ntp.org,0x1
Допускаются следующие значения:
0×1 – SpecialInterval, использование временного интервала опроса.
0×2 – режим UseAsFallbackOnly.
0×4 – SymmetricActive, симметричный активный режим.
0×8 – Client, отправка запроса в клиентском режиме.
Задание интервала синхронизации с внешним источником (для источников помеченных флагом 0×1). По-умолчанию время опроса задано — 3600 сек. (1 час). (Командная строка/Реестр):
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProvidersNtpClient] — «SpecialPollInterval»=3600
Объявление NTP-сервера в качестве надежного. (Командная строка/Реестр):
- w32tm /config /reliable:yes
- [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeConfig] — «AnnounceFlags»=0000000a
После настройки необходимо обновить конфигурацию сервиса. Выполняем команду:
- w32tm /config /update
Принудительная синхронизация времени от источника:
- w32tm /resync /rediscover
Отобразить текущую конфигурацию службы времени:
- w32tm /query /configuration
Получения информации о текущем сервере времени:
- w32tm /query /source
Отображение текущих источников синхронизации и их статуса:
- w32tm /query /peers
Отображение состояния синхронизации контроллеров домена с компьютерами в домене:
- w32tm /monitor /computers:192.168.1.2
Отобразить разницу во времени между текущим и удаленным компьютером:
- w32tm /stripchart /computer:192.168.1.2 /samples:5 /dataonly
Удалить службу времени с компьютера:
- w32tm /unregister
Регистрация службы времени на компьютере. Создается заново вся ветка параметров в реестре:
- w32tm /register
Остановка службы времени:
- net stop w32time
Запуск службы времени:
- net start w32time
Конфигурация NTP-сервера/клиента групповой политикой
Для централизованной настройки службы времени Windows, на серверах и рабочих станциях в доменной среде Active Directory, воспользуемся групповой политикой. На примере, выполним настройку для рабочих станций.
Переходим в ветку: Конфигурация компьютера (Computer Configuration) — Политики (Policies) — Административные шаблоны (Administrative Templates) — Система (System) — Служба времени Windows (Windows Time Service) — Поставщики времени (Time Providers).
Открываем параметр: Настроить NTP-клиент Windows (Configure Windows NTP Client)
- NtpServer — 192.168.1.2 (Адрес контроллера домена с ролью PDC)
- Type — NT5DS
- CrossSiteSyncFlags — 2
- ResolvePeerBackoffMinutes —15
- Resolve Peer BackoffMaxTimes — 7
- SpecilalPoolInterval — 3600
- EventLogFlags — 0
Понравилась или оказалась полезной статья, поблагодари автора
ПОНРАВИЛАСЬ ИЛИ ОКАЗАЛАСЬ ПОЛЕЗНОЙ СТАТЬЯ, ПОБЛАГОДАРИ АВТОРА
Загрузка…