Вся настрока выполняется из командной строки. Последовательность действий следующая:
net time /setsntp:time.windows.com — указали, что Windows будет синхронизироваться с этим сервером NTP
net stop w32time && net start w32time — перезапустили службу времени Windows
w32tm /resync — отправили команду для принудительной синхронизации на локальный компьютер
В ответ должны получить следующее:
Команда синхронизации отправлена на local computer…
Команда выполнена успешно.
Через некоторое время проверяем журнал событий системы. Если все настроено верно, то в журнале будет информационное сообщение от источника W32Time с кодом (ID) 35 и текстом Служба времени выполняет синхронизацию системного времени с источником времени time.windows.com
Если возникли какие-то проблемы, то в журнал будет записана ошибка с кодом (ID) 29 от источника W32Time и текстом NTP-клиент поставщика времени настроен на получение времени из одного или нескольких источников, однако ни один из этих источников недоступен. Попытки подключения к источнику не будут выполняться в течение ХХ мин. NTP-клиент не имеет источника правильного времени. В таком случае, убедитесь, что файрвол не блокирует соединения с NTP-сервером по протоколу UDP порт 123. Проверьте, что имя NTP-сервера Mobatime указано верно. Для этого в командной строке выполните
net time /querysntp
В ответ будет выведено имя сервера NTP.
Для определения величины расхождения локального времени и времени любого компьютера в сети, используйте команду
w32tm /stripchart /computer:имя_компьютера
На экран будет выводиться информация о дельте локального времени и времени на имя_компьютера до прерывания работы при помощи Ctrl+C.
Если Ваша сеть с доменами, то клиенты будут автоматически синхронизировать свои часы с контроллером домена. Если Вы не используете в сети доменов, то настраивать клиентов придётся вручную.
Запись опубликована в рубрике Без рубрики. Добавьте в закладки постоянную ссылку.
Управление временем — один из ключевых аспектов системного администрирования. Как правило, все клиентские серверы и рабочие станции синхронизируют время с доменом Active Directory, однако откуда берется точное время в AD? Это зависит от разных факторов. В стандартной конфигурации время синхронизируется с серверами Microsoft, а виртуальные машины обычно получают данные от хост-сервера.
Лучше всего задать единый источник данных о точном времени для всех компьютеров в корпоративной сети — сервер (или несколько серверов), с которым будут синхронизироваться все системы. Это может быть ресурс или пул ресурсов в Интернете, либо локальный сервер. Так или иначе, с источником точного времени стоит определиться заранее.
За синхронизацию компьютеров и серверов Windows отвечает сетвой протокол Network Time Protocol (NTP). NTP использует для своей работы протокол UDP порт по умолчанию 123. Что бы в дальнейшем можно было настроить работу этого сетевого протокола, необходимо проверить, не блокирует ли этот порт фаерволл.
Способы указания NTP Сервера.
1) Команда w32tm позволяет задать список пиров, предоставляющих информацию о точном времени для домена. Чтобы получить дополнительные сведения о команде w32tm, введите в командной строке указанную команду w32tm /?
Первым, что необходимо сделать, это выяснить в каком состоянии находятся контролеры домена в домене. Для этого запускаем в командной строке команду (если у вас права доменного администратора, то можете запустить командную строку на своей рабочей станции)
w32tm /monitor — команда позволяет посмотреть с каким сервером (серверами)/сервисом происходит синхронизация и какая разница во времени с эталонным севером.
w32tm /config /manualpeerlist:time.windows.com /syncfromflags:manual /reliable:yes /update — этой командой мы указываем с каким сервисом/сервером будет происходить синхронизация ( в данном примере с time.windows.com).
Эта команда выполняется на контроллере домена однократно и записывает указанные адреса в реестр ( по пути HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeConfigParametrs в параметре NTPServer должно быть прописано time.windows.com). Можно указать сразу несколько серверов, разделенных пробелами.
2) Еще один способ указать контролеру домена сервер с кем он будет синхронизироваться по времени, это локальные или групповые политики. Запускаем реестр- Нажмите кнопку Пуск, выберите команду Выполнить, введите в командную строку gpedit.msc и нажмите кнопку ОК. Заходим «Конфигурация компьютера- Политики- Административные шаблоны- Система- Служба времени Windows- Поставщики времени» и настраиваем политику. В данном примере в значении NTPServer прописываем time.windows.com, в значении Тип указываем NTP. Тип- указывает узлы одноранговой сети, принимающие синхронизацию следующих типов:
NoSync— Служба времени не синхронизируется с другими источниками.
NTP- Служба времени выполняет синхронизацию с серверами, указанными в записи реестра NtpServer.
NT5DS- Служба времени выполняет синхронизацию на основе иерархии домена.
AllSync- Служба времени использует все доступные механизмы синхронизации.
Значение CrossSiteSyncFlags выбираем 2.
CrossSiteSyncFlags. Определяет возможность выбора службой партнеров по синхронизации за пределами домена компьютера.
Нет 0
PdcOnly 1
Все 2
В значении ResolvePeerBackoffMinutes прописываем 15
ResolvePeerBackoffMinutes- указывает первоначальный интервал ожидания (в минутах) перед тем, как начать поиск узла одноранговой сети для синхронизации. Если службе времени Windows не удается успешно синхронизироваться с источником времени, будут выполняться повторные попытки с использованием указанных значений параметров ResolvePeerBackoffMinutes и ResolvePeerBackoffMaxTimes.
В значении ResolvePeerBackoffMaxTimes прописываем 7
ResolvePeerBackoffMaxTimes- указывает максимальное число раз удвоения интервала ожидания в случае, если повторяющиеся попытки поиска узла одноранговой сети для синхронизации не дали результата. Нулевое значение предполагает, что интервал ожидания всегда равен первоначальному, указанному в параметре ResolvePeerBackoffMinutes.
В значении SpecialPollInterval прописываем 3600
SpecialPollInterval- указывает интервал специального опроса (в секундах) для узлов одноранговой сети, настроенных вручную. Если специальный опрос включен, то служба времени Windows будет использовать его интервал вместо динамического значения, определяемого с помощью алгоритмов синхронизации, встроенных в службу времени Windows.
Если вы создали политику, то ее нужно применить на все контролеры домены.
Я очень надеюсь, моя статья помогла Вам! Просьба поделиться ссылкой с друзьями:
Обновлено 20.12.2015
Как настроить NTP сервер в Windows 2003
Всем привет сегодня немного архаизма, как настроить NTP сервер в Windows 2003. Стандартный список ролей сервера Windows 2003 не включает в себя сервер времени (NTP). Однако это не означает, что в Windows 2003 его нет. На самом деле в состав Windows 2003 входит служба времени W32Time, и настраивается она через реестр. Для настройки W32Timeдля синхронизации с внешним источником времени необходимо выполнить следующие операции:
1. Устанавливаем тип сервера — «Сервер времени». Для этого открываем редактор реестра и в ветке HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParametersизменяем значение строкового параметра Type на NTP.
2. В ветке HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeConfigменяем значение параметра DWORD AnnounceFlags на 5.
3. Включаем NTP-сервер. В ветке HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProvidersNtpServerменяем значение параметра Enabled на 1.
4. Указываем источники, с которыми синхронизируется наш NTP-сервер. В ветке HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParametersNtpServerменяем значение параметра NtpServer на europe.pool.ntp.org,0x1. Если требуется указать в качестве источников времени несколько серверов, то ставим между ними пробелы. Например,europe.pool.ntp.org,0x1 asia.pool.ntp.org,0x1. После каждого источника времени необходимо вводить символы ,0x1.
5. Задаем интервал опроса источников времени (в секундах). В ветке HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProvidersNtpClientменяем значение параметра SpecialPollInterval на 900 (в десятичной системе счисления). 900 секунд — рекомендация Microsoft. Можете использовать любое значение параметра, которое сочтете нужным.
6. Задаем максимальную величину коррекции времени. В ветке HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeConfigменяем значение параметров MaxPosPhaseCorrection и MaxNegPhaseCorrection на 3600(в десятичной системе счисления).
7. Закрываем редактор реестра и перезапускаем службу времени:
net stop w32time && net start w32time
Дек 20, 2015 00:41
Путь: It.notes > Windows > Настройка службы времени (NTP) в Windows 2003 / 2008 / 2008 R2
Служба времени Windows, несмотря на кажущуюся простоту является основой нормального функционирования AD.
Итак, в нормально настроенной среде служба времени функционирует так: пользователи получают точное время от ближайшего контроллера домена, на котором они зарегистрировались, все доменные контроллеры запрашивают об этом DC с ролью FSMO «Эмулятор PDC», а тот, в свою очередь, синхронизируется с внешним источником времени. Внешним источником как правило выступает один или несколько NTP-сервера институтов времени, например time.windows.com или NTP-сервер вашего провайдера.
Если у вас рассинхронизация контроллеров домена между собой и жалобы пользователей на то, что наше время отличается от точного, то вам сюда.
Настройка вашего доменного контроллера с ролью «Эмулятора PDC» на синхронизацию с внешним источником:
- находим все DC и того, кто из них PDC эмулятор
netdom query fsmo
- на PDC делаем следующее
w32tm /stripchart /computer:time.windows.com /samples:5 /dataonly
которая произведет 5 сравнений с источником, а затем
w32tm /config /manualpeerlist:time.windows.com /syncfromflags:manual /reliable:yes /update
которая непосредственно выполнит настройку.
Можно указать сразу несколько серверов, в этом случае необходимо раздели имена серверов пробелом и всех их заключит в ковычки: /manualpeerlist:»time.windows.com clock0.macomnet.ru»
!!!внимание, связь с источником осуществляется по протоколу NTP – 123 порт UDP.
Все эти изменения аналогичнв следующим значениям в реестре
#HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParametersNtpServer
Там должен быть записан ip адрес или полной имя нашего ntp сервера и запись должна обязательно заканчиваться строкой “,0?1”. Кавычки, понятное дело, нужно убрать. Кстати, к этому суффиксу я вернусь позже. Для уверенности в том, что тут нету ошибки, неплохо бы попингать скопированный оттуда адрес или имя.
#HKLMSYSTEMCurrentControlSetServicesW32TimeParametersType
убедиться, что там прописано NTP, а неNT5DS
#HKLMSYSTEMCurrentControlSetServicesW32TimeConfigAnnounceFlags
тут должна быть 5 - Если Вы перенесли роль PDC Emulator на другой сервер, необходимо дополнительно выполнить настройку старого сервера командой
w32tm /config /syncfromflags:domhier /reliable:no /update
и перезапустить службу времени —net stop w32time net start w32time
- На остальных контроллерах домена рекомендуется сделать
w32tm /unregister w32tm /register
Эта операция удаляет службу времени, а затем снова ее устанавливает, причем, что важно, удаляется, а затем создается заново вся ветка параметров в реестре.
Очень рекомендуется перезапустить контроллер домена, являющийся pdc эмулятором, да и все остальные тоже.
Если проблемы всё равно возникают, то стоит попробовать заменить значение 0х01 на 0х08 в параметре
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParametersNtpServer
чтобы стали посылаться стандартные клиентские запросы.
Перезапускаем сервис времени net stop w32time && net start w32time
Очень рекомендуется проверить все политики, имеющие отношение к настройкам сервиса времени, а именно:
Default Domain Controllers group policy Default Domain group policy
ну и все другие, которые имеют отношение к домен контроллерам, серверам и рабочим станциям и в которых изменены любые значения в разделе
Computer configuration/Administrative Templates /System/Windows Time service/Time Providers
Убедитесь, что все значения там в состоянии “not configured”. При необходимости, играть с параметрами следует позже.
В особо тяжелых случаях может помочь включение лога для сервиса. Для настройки этого используются три параметра в реестре по пути
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeConfig
Если нижеприведенных ключей там нету, а их нету по умолчанию, то их следует создать
Value Name: FileLogSize
Data Type: DWORD
Value data: 10000000
Этот параметр определяет максимальный размер файла лога в байтах. Значение 10000000 байт ограничит файл приблизительно в 10 Mb.
Value name: FileLogName
Data Type: REG_SZ (String)
Value data: C:Testw32time_log.txt
Этот параметр определяет место и имя файла лога.
Value name: FileLogEntries
Data Type: REG_SZ (String)
Value: 0-116
Этот параметр определяет уровень детализации лога. Диапазон значений параметра 0-116.
(Если ввести туда 0-300, то уровень детализации станет максимальным)
Вместо изменения значений в реестре, можно то же самое сделать из командной строки
w32tm /debug /enable /file:C:Testw32time_log.txt /size:100000 /entries:0-300
Чтобы выключить логи отладки можно ввести команду
w32tm /debug /disable
Несколько самых известных источников времени:
1. ntp2.usno.navy.mil
2. pool.ntp.org
3. clock0.macomnet.ru
Проверить что со временем все в порядке можно так:
C:>w32tm /monitor
dc.local *** PDC ***[[::1]:123]:
ICMP: 0ms задержка
NTP: +0.0000000s смещение относительно dc.local
RefID: 'LOCL' [0x4C434F4C]
Страта: 1
C:>w32tm /dumpreg /subkey:parameters Имя параметра Тип параметра Данные параметра ------------------------------------------------------------------ ServiceDll REG_EXPAND_SZ %systemroot%system32w32time.dll ServiceMain REG_SZ SvchostEntry_W32Time ServiceDllUnloadOnStop REG_DWORD 1 Type REG_SZ NTP NtpServer REG_SZ pool.ntp.org,0
ну и в нагрузку
http://support.microsoft.com/kb/816042
http://support.microsoft.com/default.aspx?scid=kb;en-us;Q216734
логипрование изменения системного времени http://it-tips.tk/windows/vkluchit-logging-izmenenie-vremeni-change-time/
Скорее не статья а маленькая напоминалка для самого себя 🙂
Служба времени Windows, несмотря на кажущуюся простоту является основой нормального функционирования AD. Поэтому негоже забывать про её настройку да и выполнить её по большому счету приходится раз-два.
Итак, в нормально настроенной среде служба времени функционирует так: пользователи получают точное время от ближайшего контроллера домена, на котором они зарегистрировались, все доменные контроллеры запрашивают об этом DC с ролью FSMO “Эмулятор PDC”, а тот, в свою очередь, синхронизируется с внешним источником времени. Внешним источником как правило выступает один или несколько NTP-сервера институтов времени, например time.windows.com или NTP-сервер вашего провайдера
Для настройки вашего доменного контроллера с ролью “Эмулятора PDC” на синхронизацию с внешним источником, необходимо сначала выполнить команду
w32tm /stripchart /computer:time.windows.com /samples:5 /dataonly
которая произведет 5 сравнений с источником, а затем
w32tm /config /manualpeerlist:time.windows.com /syncfromflags:manual /reliable:yes /update
которая непосредственно выполнит настройку. Можно указать сразу несколько серверов, в этом случае необходимо раздели имена серверов пробелом и всех их заключит в ковычки: /manualpeerlist:"time.windows.com clock0.macomnet.ru" Обращаю внимание, что связь с источником осуществляется по протоколу NTP – 123 порт UDP.
Если Вы перенесли роль PDC Emulator на другой сервер, необходимо дополнительно выполнить настройку старого сервера командой
w32tm /config /syncfromflags:domhier /reliable:no /update
и перезапустить службу времени –
net stop w32time
net start w32time
Приведу несколько самых известных источников времени:
- ntp2.usno.navy.mil
- pool.ntp.org
- clock0.macomnet.ru
Более подробно ознакомить со службой можно на сайте Microsoft – Administering the Windows Time Service
Настройка времени в домене Windows Server 2003 (2008)
Итак в этой статье я расскажу как настроить сервер времени в домене отталкиваясь от своего опыта, и расскажу о допущеннных ошибках. Это статья касается Windows Server 2003 (2008). Итак:
1. Определение PDC.
Итак как происходит синхронизация времени. Вкратце: сервер выступающий в роли эмулятора PDC должен синхронизироваться с внешним достоверным источником времени, а рабочие станция входящие в домен политикой по умолчанию синхронизируются с контроллером домена. Как узнать кто является PDC, если у вас несколько контроллеров домена?
— открываем оснастку «Active Directory — пользователи и компьютеры» нажимаем правой кнопкой на значке нашего домена и выбираем «Хозяева операции» и на вкладке «PDC» по имени смотрим кто является эмулятором PDC.
2.Настройка синхронизации времени на контроллере домена Windows Server 2003 (2008).
Теперь нужно зайти на PDC и с помощью regedit открыть редактор реестра, где собственно и будем производить основную настройку. Здесь для удобства я пишу старые значения реестра (т.е которые будем изменять) и новые на которые будем менять.Т.е было — стало.
Приступим:
— В реестре меняем следующие значения:
1) HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParametersType
Было: NT5DS
Изменям на: NTP
2) HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeConfigAnnounceFlags
Было: а
Изменям на: 5
3) Включаем NTP сервер
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProvidersNtpServer параметр Enabled изменяем на:
Было:0
Изменяем на: 1
Если стояла 1 менять не нужно
4) HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParametersNtpServer
А вот здесь мы видим time.windows.com,0х1. Здесь лучше значение не менять на какой либо другой сервер. Т.к когда я пытался изменять на др. сервер то у меня появились следующие ошибки W32Timw 29, 47, 38. Возможно это глюк относится только к Windows Server 2003 — можете поэкспериментировать.
5) HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProvidersNtpClientSpecialPollInterval
Было: ffffffff в шестнадцатиричной или 4294967295 в десятичной
Изменяем на: 1800 или 3600 в десятичной — это интервал опроса серверов для синхронизации.
6) Зададим интервалы максимальных величин коррекции времени.
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeConfigMaxPosPhaseCorrection
Было: ffffffff в шестнадцатиричной или 4294967295 в десятичной
Изменяем на: 1800 или 3600 в десятичной
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeConfigMaxNegPhaseCorrection
Было: ffffffff в шестнадцатиричной или 4294967295 в десятичной
Изменяем на: 1800 или 3600 в десятичной
Затем выполним в командной строке («Пуск»->»Выполнить»->«cmd«).
net stop w32time
&& net start w32time
w32tm /resync
Если после этого в журнале появились записи об успешной синхронизации то все готово. Если нет смотри след. абзац.
Ошибки W32Time 29, W32Time47, W32Time38
Если после этого начинают появляться эти ошибки первое что следует сделать это посмтотреть в DefaultPolicy дефолтной поитике домена а также в gpedit.msc — локальной политике контроллера домена следующие параметры:
«Конфигурация компьютера»-> «Административные шаблоны»—>»System»—>«Windows Time Service«—>«Time Providers» чтобы все опции стояли «Не заданно».
Затем в разделе реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParametersNtpServer проверить чтобы значение было time.windows.com
Далее в командной сторке выполнить :
|
• |
w32tm /config |
|
• |
net stop |
|
• |
net start |
|
• |
w32tm /resync |
Долго разбирался с проблемами синхронизации времени. Последний раз настраивал довольно давно, поэтому времени ушло много. Поэтому пишу короткую памятку с описанием действий.
Все доменные контроллеры синхронизируют время с эмулятором PDC в корне леса. Все серверы и компьютеры – с одним из доменных контроллеров. PDC можно настроить на синхронизацию с часами BIOS, либо с внешним источником. Меня интересует второй вариант. Для этого на эмуляторе PDC выполняем следующие команды
# Останавливаем службу времени net stop w32time # Удаляем сохранённую в реестре текущую конфигурацию w32tm /unregister # Хаполняем реестр значениями по умолчанию w32tm /register # Стартуем службу net start w32time # Указываем синхронизацию с сервером ntp.yourdomain.com # Описание флагов после запятой есть в базе знаний Microsoft w32tm /config /manualpeerlist:ntp.yourdomain.com,0x1 /syncfromflags:manual /reliable:yes w32tm /config /update # Перезапускаем службу net stop w32time && net start w32time # Проверяем, что время синхронизируется с внешним источником w32tm /resync
В моём случае возникла проблема при выполнении последней команды. Время отказывалось синхронизироваться. Ответ был найден с помощью просмотра результирующей политики (start -> run -> rsop.msc). В настройке ntp клиента был прописан эмулятор PDC в качестве поставщика времени. В силу этого PDC обращался сам к себе, игнорируя настройки в реестре. Отключение настроек NTP в групповой политике решило проблему:
Полезные команды.
Проверка расхождения с конкретным NTP сервером:
w32tm /stripchart /computer:rcserver7 /dataonly
Включение Debug для службы времени:
w32tm /debug /enable /file:c:w32tm_debug.log /size:10000000 /entries:0-116 w32tm /config /update
Ссылки:
- http://www.simple-tech.info/configure-ntp-client-and-server-windows-time-service-on-domain-controller-to-synchronize-time.aspx;
- http://support.microsoft.com/kb/875424/en-us;
- Включение Debug для службы времени: http://support.microsoft.com/kb/816043.
w32tm /stripchart /computer:rcserver7 /dataonly
Запись опубликована в рубрике Windows с метками AD, ntp, win. Добавьте в закладки постоянную ссылку.
В этой статье я расскажу о:
- топологии синхронизации времени среди участников Active Directory
- оптимальной с моей точки зрения конфигурации сервера времени корневого эмулятора PDC
- полезных командах для настройки и диагностики синхронизации времени
- особенностях, которые нужно учитывать для виртуализированных контроллеров домена
Топология синхронизации времени среди участников Active Directory
Среди компьютеров, участвующих в Active Directory работает следующая схема синхронизация времени.
- Контроллер корневого домена в лесу AD, которому принадлежит FSMО-роль эмулятора PDC (назовем его корневым PDC), является источником времени для всех остальных контроллеров этого домена.
- Контроллеры дочерних доменов синхронизируют время с вышестоящих по топологии AD контроллеров домена.
- Рядовые члены домена (сервера и рабочие станции) синхронизируют свое время с ближайшим к ним доступным контроллером домена, соблюдая топологию AD.
Корневой PDC может синхронизировать свое время как со внешним источником, так и с самим собой, последнее задано конфигурацией по умолчанию и является абсурдом, о чем периодически намекают ошибки в системном журнале.
Синхронизация клиентов корневого PDC может осуществятся как с его внутренних часов, так и с внешнего источника. В первом случае сервер времени корневого PDC объявляет себя как «надежный» (reliable).
Далее я приведу оптимальную с моей точки зрения конфигурацию сервера времени корневого PDC, при которой сам корневой PDC периодически синхронизирует свое время от достоверного источника в интернете, а время обращающихся к нему клиентов синхронизирует со своими внутренними часами.
Конфигурация NTP-сервера на корневом PDC
Конфигурирование сервера времени (NTP-сервера) может осуществляться как с помощью утилиты командной строки w32tm, так и через реестр. Где возможно, я приведу оба варианта.
Включение синхронизации внутренних часов с внешним источником
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParameters]
"Type"="NTP"w32tm /config /syncfromflags:manual
Подробности — в библиотеке TechNet.
Объявление NTP-сервера в качестве надежного
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeConfig]
"AnnounceFlags"=dword:0000000aw32tm /config /reliable:yes
Подробности — в библиотеке TechNet.
Включение NTP-сервера
NTP-сервер по умолчанию включен на всех контроллерах домена, однако его можно включить и на рядовых серверах.
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProvidersNtpServer]
"Enabled"=dword:00000001
Задание списка внешних источников для синхронизации
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParameters]
"NtpServer"="time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 ru.pool.ntp.org,0x8"w32tm /config /manualpeerlist:"time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 ru.pool.ntp.org,0x8"
Флаг 0x8 на конце означает, что синхронизация должна происходить в режиме клиента NTP, через предложенные этим сервером интервалы времени. Для того, чтобы задать свой интервал синхронизации, необходимо использовать флаг 0x1. Все остальные флаги описаны в библиотеке TechNet.
Задание интервала синхронизации с внешним источником
Время в секундах между опросами источника синхронизации, по умолчанию 900с = 15мин. Работает только для источников, помеченных флагом 0x1.
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProvidersNtpClient]
"SpecialPollInterval"=dword:00000384
Установка минимальной положительной и отрицательной коррекции
Максимальная положительная и отрицательная коррекция времени (разница между внутренними часами и источником синхронизации) в секундах, при превышении которой синхронизация не происходит. Рекомендую значение 0xFFFFFFFF, при котором коррекция сможет производиться всегда.
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeConfig]
"MaxPosPhaseCorrection"=dword:FFFFFFFF
"MaxNegPhaseCorrection"=dword:FFFFFFFF
Все необходимое одной строкой
w32tm.exe /config /manualpeerlist:"time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 pool.ntp.org,0x8" /syncfromflags:manual /reliable:yes /update
Полезные команды
- Применение внесенных в конфигурацию службы времени изменений
w32tm /config /update - Принудительная синхронизация от источника
w32tm /resync /rediscover - Отображение состояния синхронизации контроллеров домена в домене
w32tm /monitor - Отображение текущих источников синхронизации и их статуса
w32tm /query /peers
Особенности виртуализированных контроллеров домена
Контроллеры домена, работающие в виртуализированной среде, требуют к себе особенного отношения.
- Средства синхронизации времени виртуальной машины и хостовой ОС должны быть выключены. Во всех адекватных системах виртуализации (Microsoft, vmWare и т. д.) присутствуют компоненты интеграции гостевой ОС с хостовой, которые значительно повышают производительность и управляемость гостевой системой. Среди этих компонентов всегда есть средство синхронизации времени гостевой ОС с хостовой, которое очень полезно для рядовых машин, но противопоказано для контроллеров домена. Потому как в этом случае весьма вероятен цикл, при котором контроллер домена и хостовая ОС будут синхронизировать друг друга. Последствия печальны.
- Для корневого PDC синхронизация с внешним источником должна быть настроена всегда. В виртуальной среде часы не настолько точны как в физической, потому как виртуальная машина работает с виртуальным процессором и прерываниями, для которых характерно как замедление, так и ускорение относительно «обычной» частоты. Если не настроить синхронизацию виртуализированного корневого PDC с внешним источником, время на всех компьютерах предприятия может убегать/отставать на пару часов в сутки. Не трудно представить неприятности, которые может принести такое поведение.
Источники вдохновения
- How to configure an authoritative time server in Windows Server
- A list of the Simple Network Time Protocol (SNTP) time servers that are available on the Internet
- Deployment Considerations for Virtualized Domain Controllers
- Things to consider when you host Active Directory domain controllers in virtual hosting environments