Настройка синхронизации времени по NTP с помощью групповых политик, Windows для системных администраторов, синхронизировать контроллеры домена.

Настройка синхронизации времени по NTP с помощью групповых политик

Служба времени Windows, несмотря на кажущуюся простоту, является одной из основ, необходимых для нормального функционирования домена Active Directory. В правильно настроенной среде AD служба времени работает следующим образом: компьютеры пользователей получают точное время от ближайшего контроллера домена, на котором они зарегистрировались. Все контроллеры домена в свою очередь получают точное время от DC с FSMO ролью «Эмулятор PDC», а контролер PDC синхронизирует свое время с неким внешним источником времени. В качестве внешнего источника времени может выступать один или несколько NTP серверов, например time.windows.com или NTP сервер вашего Интернет-провайдера. Также нужно отметить, что по умолчанию клиенты в домене синхронизируют время с помощью службы времени Windows (Windows Time), а не с помощью протокола NTP.

Если вы столкнулись с ситуацией, когда время на клиентах и контроллерах домена различается, возможно, в вашем домене есть проблемы с синхронизацией времени и эта статья будет вам полезна.

В первую очередь выберите подходящий NTP сервер, который вы могли бы использовать. Список общедоступных NTP серверов доступен на сайте http://ntp.org . В нашем примере мы будем использовать NTP сервера из пула ru.pool.ntp.org:

1) Создание GPO для контроллера домена с ролью PDC

Настройка политики синхронизации NTP на контролере домена PDC

Этот шаг предполагает настройку контроллера домена с ролью эмулятора PDC на синхронизацию времени с внешним NTP сервером. Т.к. теоретически роль эмулятора PDC может перемещаться между контроллерами домена, нам нужно сделать политику, которая применялась бы только к текущему владельцу роли PDC. Для этого в консоли управления Group Policy Management Console (GPMC.msc), создадим новый WMI фильтр групповых политик. Для этого в разделе WMI Filters создадим фильтр и именем PDC Emulator и WMI запросом: Select * from Win32_ComputerSystem where DomainRole = 5

Перейдите в режим редактирования политики и разверните следующий раздел политик: Computer Configuration->Administrative Templates->System->Windows Time Service->Time Providers

  • Configure Windows NTP Client: Enabled (настройки политики описаны ниже)
  • Enable Windows NTP Client: Enabled
  • Enable Windows NTP Server: Enabled

Примените созданный ранее фильтр PDC Emulator к данной политике.

Вручную запустите синхронизацию времени:

w32tm /query /status

net stop w32tim

В среде Active Directory по умолчанию клиенты домена синхронизируют свое время с контролерами домена (опция Nt5DS – синхронизировать время согласно иерархии домена). Как правило, эта схема работает и не требует перенастройки. Однако при наличии проблем с синхронизацией времени на клиентах домена, можно попробовать принудительно назначить сервер времени для клиентов с помощью GPO.

Для этого создайте новую GPO и назначьте ее на контейнеры (OU) с компьютерами. В редакторе GPO перейдите в раздел Computer Configuration -> Administrative Templates -> System -> Windows Time Service -> Time Providers и включите политику Configure Windows NTP Client.

Обновите настройки групповых политик на клиентах и проверьте, что клиенты успешно синхронизировали свое время с PDC.

152078 19:54:06.9999326s — ———- Log File Opened ——————

152078 19:54:43.0234540s — Sample Prepared at 131396108830234540 for peer 192.168.88.1,0×1 (ntp.m|0x1|0.0.0.0:123->192.168.88.1:123)

152078 19:56:26.1528179s — Logging error: NtpClient has been configured to acquire time from one or more time sources, however none of the sources are currently accessible and no attempt to contact a source will be made for 1 minutes. NTPCLIENT HAS NO SOURCE OF ACCURATE TIME.

152078 20:23:34.7445948s — W32TmServiceMain: waiting 64.000s

152078 20:24:38.7523962s — W32TmServiceMain: timeout

152078 20:24:38.7523962s — W32TmServiceMain: waiting 64.000s

Обрезал лог, оставил ошибку. Сервер не может достучаться до NTP севрера. Проверьте, открыт и доступен ли с сервера 123 TCP порт на источнике времени

1. В доменной среде ничего не надо делать, контроллеры берут время с PDC, клиенты с контроллера.

Больная тема для меня. Предыдущие админы нахреначили синхронизацию чуть ли не в 10 разных политиках, до сих пор натыкаюсь и с матами удаляю.

На всех контроллерах:

2. Грохаем ветку реестра HKLM\System\CurrentControlSet\services\W32Time\

4. Проверяем, что параметр TYPE в HKLM\System\CurrentControlSet\services\W32Time\Parameters равен NT5DS

5. И ничего б*ть не трогаем!=) Через какое-то время время стабилизируется.

Не забываем, что для керберос разница в 5 минут не критична.

Полностью согласен. Время домена — не повод для торговли. Оно должно быть правильным, но в разумных пределах, плюс-минус несколько минут не являются критичными для общения. Хотя встречал домен, где для хождения кербероса админы сделали максимальную погрешность часов сутки. Всякое бывает, но «правильный» админ всегда найдет решение… или костыль…

Точно ли это правильный синтаксис?

0.ru.pool.ntp.org,0x1 1.ru.pool.ntp.org,0x1 2.ru.pool.ntp.org,0x1 3.ru.pool.ntp.org,0x1

А что значат эти 0х1?

Возможны следующие значениея

0x1 – SpecialInterval, использование специального интервала опроса из значения SpecialPollInterval . (Instead of following the NTP specification, wait for the interval specified in the SpecialPollInterval entry before attempting to recontact this time source. Setting this flag decreases network usage, but it also decreases accuracy.)

0x2 – режим UseAsFallbackOnly. (Use this time source only as a fallback. If all time sources that are not fallbacks have failed, then the system selects one fallback time source at random and uses it.)

0x8 – Client, запрос отправляется в клиентском режиме. (Set the local computer to operate in client mode in the association with this source.)

Спасибо itpro за интересный и полезный блог.

Пишет «Синхронизация не выполнена, так как нет доступных данных о времени». При этом w32tm /stripchart /computer:ru.pool.ntp.org работает корректно, имена в IP DNS обрабатывает корректно, порт UDP 123 открыт (можно вообще вырубить файрволл с тем же успехом), уже не знаю, что этой службе надо. Всё работает кроме этой дряни.

ОС Windows Server 2012R2

Выполняете настройку на контроллере домена с ролью PDC? Пробовали выставить синхронизацию времени командами?

Если не помогает, воспользуйтесь советами из комментария выше

2. Грохаем ветку реестра HKLM\System\CurrentControlSet\services\W32Time\

4. Проверяем, что параметр TYPE в HKLM\System\CurrentControlSet\services\W32Time\Parameters равен NT5DS

Попробовал ваш вариант с ручными настройками синхронизации с 0.ru.pool.ntp.org. Это не виртуальный, а реальный контроллер с ролью PDC поэтому с параметром NT5DS он не будет синхронизироваться с внешними источниками времени. Служба запустилась, но смущает, что /resync по-прежнему не пашет, а в debug пишет что-то подобное:

152344 12:51:53.4225508s — Logging error: NtpClient has been configured to acquire time from one or more time sources, however none of the sources are currently accessible and no attempt to contact a source will be made for 15 minutes. NTPCLIENT HAS NO SOURCE OF ACCURATE TIME.

проверь, через rsop, что на pdc не действует групповая политика, которая прописывает nt5ds или что-то еще. лучше всего на default domain controllers police параметры настройки времени поставить в «отключено», включить только сервер ntp. тогда политика настройки времени, назначенная на домен, не затронет контроллеры домена.

По rsop всё чисто. В default domain policy везде стоят параметры «не задано» как и должно быть. К тому же когда делаешь настройки через политики как, например, описано в статье itpro в w32tm /query /configuration видно, что некоторые настройки задаются политикой. Там четко это прописано.

Включил, будем ждать…

Всё как обычно — нет доступных данных о времени. Питал надежду, что возможно когда-то заработает