Главная  »  Синхронизация времени с контроллером домена. Настройка синхронизации

Синхронизация времени с контроллером домена. Настройка синхронизации


Опубликованно 09.05.2018 20:00

Синхронизация времени с контроллером домена. Настройка синхронизации

Синхронизация системного времени в домене Active Directory имеет значение для правильной работы многих функций на пользовательских рабочих станций Windows. Хорошо часы системы могут влиять на способность пользователя, чтобы получить доступ, нарушая трафик электронной почты в Exchange и создать много других проблем, которые достаточно трудно найти.

В сложных случаях стандартные методы синхронизации времени в сети, не на сто процентов надежны или даже предсказуемы. Например, если часы физического хоста Hyper-V перестают синхронизации, как правило, влияет на все виртуальные машины, иногда серьезно. К счастью, не требуется большого усилия, чтобы исправить ошибки синхронизации времени.

Выбор компьютера в качестве источника времени

Первое, что нужно сделать перед настройкой синхронизации времени, – выберите компьютер, который станет основным источником системного времени вашего домена.

Как правило, в качестве такого источника является выбор компьютера в Active Directory имеет роль эмулятора основного контроллера домена (PDC). Согласно официальной документации Microsoft, что должно быть главным ресурсом, из которого сеть получает данные о времени. Тем не менее, на практике, это не всегда возможно.

Машины, которые вы выбираете, будет регулярно консультироваться с источниками в интернет, так что если вы находитесь на строго охраняемый объект с высокими требованиями к безопасности, вы должны думать о том, чтобы передать роль другому компьютеру.

Например, вы можете создать выделенный сервер, который будет получать уведомления с информацией о сроках и передать его эмулятор PDC. В этом случае вы будете иметь несколько компьютеров, служащих источниками времени для машин, включенных в сеть. Настройки брандмауэра

Трафик на синхронизацию времени с контроллером домена по порту UDP 123. На компьютере, служит источником времени, это необходимо открыть порт для входящих подключений. На всех машинах в сети, порт 123 должен быть открыт для исходящих соединений, по крайней мере, с контроллером домена. Настройка контроллера домена

Для того, чтобы синхронизировать время с контроллером домена сервера, который выполняет роль PDC emulator, с использованием командной строки должны быть выполнены следующие операции:

1. Убедитесь, что контроллер домена, в котором вы работаете, является эмулятор PDC, выполнив команду

netdom query fsmo

2. На сервере-эмуляторе PDC выполните следующие команды синхронизации времени, в следующем порядке:

net stop w32time

w32tm /configure /syncfromflags: manual /manualpeerlist:"0.us.pool.ntp.org,0x1 1.us.pool.ntp.org, 0x1 2.us.pool.ntp.org, 0x1, 3.сша.пул. ntp.org, 0х1"

Внешний источник времени по умолчанию для Windows Server-это сервер time.windows.com. Лучший вариант-это синхронизация с несколькими серверами времени. В предыдущей команде, мы используем серверы времени, NTP Pool Project.

net start w32time

w32tm /configure /reliable: yes /update

w32tm /resync

3. Если в Active Directory, контроллер домена, выполните следующую команду:

w32tm /config /syncfromflags: domhier /update

4. Проверьте настройки времени на сервере-эмуляторе PDC:

w32tm /query /status:

5. Проверьте настройки времени на все остальные контроллеры домена:

w32tm /query /status:

Настройки DHCP-сервера

Для того чтобы обеспечить синхронизацию времени с контроллером домена на устройствах, ответственность DHCP в настройках DHCP-сервера, установить параметры, 004 и 042.

Для записи DHCP, вы можете использовать только IP-адрес. Вы можете ввести имя сервера и нажать Resolve, чтобы получить IP-адрес сервера.

Если вы используете DHCP, с помощью устройства Cisco, в настройках DHCP, введите следующие команды:

вариант 4 ip [IP-address]

option 42-ip [IP-address]

IP-адрес, чтобы заменить реальный IP-адрес сервера, что является источником времени.

Теперь все DHCP-устройства получают настройки времени сервера со следующим обновлением. Конфигурации статических устройств и компьютеров с другими операционными системами

Большинство устройств NAS и SAN имеют возможность размещать информацию на сервере-провайдера, настройки времени.

Для того, чтобы настроить синхронизацию времени с контроллером домена на устройствах Cisco IOS, в командной строке введите:

ntp-сервер 192.168.25.5

IP-адрес, чтобы заменить реальный IP-адрес сервера, что является источником времени.

Для настройки синхронизации времени на компьютерах с операционной системой, отличной от Windows, обратитесь к документации операционной системы. Тем не менее, для других операционных систем правильные настройки времени не так важны, как для Windows, так что синхронизировать можно также отказаться. Конфигурации виртуальных машин

Все современные гипервизоры имеют возможность синхронизировать время системы для гостевой машины с помощью встроенных инструментов. Если синхронизация времени в домене, включены, гости, машины получат время с одного физического узла, на котором работает.

В большинстве случаев нужно отключить эту функцию для гостевых машин Windows Server, которые выступают в качестве виртуализированных контроллеров домена. Для всех остальных гостей, должен быть включен.

Для настройки синхронизации времени с контроллером домена в гипервизор Hyper-V, откройте диалоговое окно Параметры и щелкните на вкладке Integration Services. Установите или снимите флажок Time Synchronization. Для других гипервизоров, обратитесь к документации производителя.

Параметр групповой политики

Для того чтобы действительно убедить компьютеров под Windows, использовать настройки по времени, полученных с контроллера домена, необходимо настроить групповую политику.

Для того, чтобы установить новую групповую политику, откройте средство управления политиками на контроллере домена или на компьютере, на котором установлены средства удаленного администрирования сервера. Расширять свой домен. Щелкните правой кнопкой мыши на пункт Group Policy Objects и нажмите кнопку New. Дать новую политику, имя и нажмите кнопку ОК.

Кликните правой кнопкой на новой политической и нажмите кнопку Изменить. Это запустит диалоговое окно редактора групповой политики.

Перейти в раздел конфигурация Компьютера > Политики > Административные Шаблоны > Система -> Windows Time Service > Time Поставщиков. В правой области дважды щелкните Enable Windows NTP-Клиента. Выберите опцию в положении Enabled и нажмите кнопку ОК.

Затем дважды щелкните Configure Windows NTP-Клиента. Настройте параметры, как показано на рисунке ниже, добавив, 0x1 в поле NtpServer, чтобы получить yourdc.yourdomain.tld, 0x1.

После сохранения закройте редактор групповой политики. Вы возвращаетесь в окно управления главный критерий группы.

Если ваш домен присутствует большое количество критериев, щелкните правой кнопкой мыши на новой политической и пойти в GPO Status > User Configuration Settings Disabled. Это ускорит обработку каждого политика.

Теперь, нажмите правой кнопкой мыши на объект Active Directory, к которому вы хотите применить эту политику, и нажмите кнопку связать Существующий объект групповой политики. Выберите новую политику, и нажмите кнопку ОК. Если необходимо, повторите операцию для других объектов.

Помните, что вложенные объекты наследуют групповую политику от своего родителя, если наследование не заблокирован, или сын объект, не связанный групповой политики в конфликт с настройками. Конфигурации другие контроллеры домена

Если вы будете следовать выше шаги, чтобы обеспечить синхронизацию времени в домене, это почти гарантировано, чтобы настроить для получения правильного времени все компьютеры в сети. Так что другие контроллеры домена (если вас несколько) не может коснуться.

Однако, если вы хотите быть уверены, что используют в нужное время, вы можете изменить локальной групповой политики. Перейдите в меню Пуск > Выполнить и введите команду gpedit.msc. Нажмите на кнопку ОК.

Поэтому использовать те же параметры, что приведены в предыдущем разделе. Если контроллер домена, в котором вы хотите работать, управляется Windows Server Core, вы можете сделать это дистанционно, при условии, что такая возможность допускается к брандмауэра. Просто запустите mmc.exe на компьютере с графическим пользовательским интерфейсом, откройте пункт меню Файл > Добавить или Удалить Оснастку, щелкните дважды Group Policy Object Editor и щелкните на компьютере, на котором вы хотите изменить групповую политику. Проверить результат

Работать на любой Windows-компьютер в сети, в командной строке с правами администратора и введите:

gpupdate

w32tm / query / source

В результате выполнения команды в контроллер домена возвращает адрес сервера NTP, которые были определены как внешние источники времени из Интернета.

Пользователь рабочей станции команда возвращает адрес контроллера домена.

На виртуальной машине Hyper-V с синхронизацией времени, вы должны увидеть сообщение: VM IC Time Synchronization Поставщика.

Если команда сообщает о том, что время определяется местным CMOS часа, синхронизацию времени в домене не работает.



Категория: Новости