Сброс настроек NTP. Включение синхронизации внутренних часов с внешним источником

Сброс настроек NTP. Включение синхронизации внутренних часов с внешним источником

В данной заметке речь пойдет о настройке синхронизации времени в доменной среде Windows 2008 – 2012 R2.
Основой нормального функционирования доменной среды AD является корректная работа службы времени Windows (W32Time).

Как работает синхронизация времени в доменной среде?

1. пользователи получают точное время от ближайшего контроллера домена, на котором они зарегистрировались;
2. все доменные контроллеры запрашивают об этом DC с ролью PDC-эмулятор (одна из ролей FSMO);
3. PDC-эмулятор, в свою очередь, должен синхронизироваться с более авторитетным источником времени;
На практике PDC-эмулятор обычно синхронизируется с выделенным NTP-сервером организации, либо с NTP-сервером провайдера, или же с внешним источником точного времени, такие как: 0.ru.pool.ntp.org, 1.ru.pool.ntp.org, 2.ru.pool.ntp.org

Пример настройки контроллера домена с ролью PDC-эмулятора.

Для настройки нам потребуется консоль PowerShell запущенная от имени администратора.
1. Определим имя PDC-эмулятора – самый простой способ выполнить команду:

Когда мы подключили к DC с ролью PDC можно начинать настраивать.
2. Конфигурируем внешние источники синхронизации – указываем с какими источниками PDC будет синхронизироваться.

w32tm /config /syncfromflags:manual /manualpeerlist:”0.ru.pool.ntp.org 1.ru.pool.ntp.org 2.ru.pool.ntp.org”

где, параметры:
/syncfromflags:manual — синхронизация с узлами из заданного вручную списка.
manualpeerlist: — список (адреса DNS или IP) источников времени

Важно! Имя каждого источника времени (если их несколько) должно быть разделено пробелом. А на брандмауэре должно быть разрешено прохождение трафика UDP на порт 123 в обе стороны.

3. Объявляем PDC-Emulator надежным источником времени для клиентов:
w32tm /config /reliable:yes
4. После внесения изменений перезапускаем службу времени:

Restrat-Service W32Time

Или обновляем конфигурацию командой: w32tm /config /update

Если вы перенесли роль PDC-эмулятор на другой контроллер домена, то старый DC все еще продолжает считает считать себя авторитетным сервером времени для всего домена, что может стать причиной ошибок в системных логах. Исправить эту ситуацию можно командой:
w32tm /config /syncfromflags:domhier /reliable:no /update

Несколько, на мой взгляд, полезных команд:

w32tm /query /configuration — посмотреть текущие настройки службы времени;

Где:

SpecialPollInterval: 3600 — интервал синхронизации в секундах, 3600 – сутки. Синхронизиция будет проводиться раз в сутки.
NtpServer — указывает сервреры, с которым может синхроинизировать время компьютер.
Type: NTP – вид синхронизации времени.
Параметр Type может иметь следующие параметры:
NoSync — служба времени вообще не синхронизируется ни с чем.
NTP — служба времени синхронизируется с серверами, указанными в параметре NtpServer.
NT5DS — служба времени синхронизируется, используя доменную иерархию (характерно для членов домена Active Directory).
AllSync — служба времени использует все возможные механизмы для синхронизации.

w32tm /monitor — отобразит текущую иерархию синхронизации времени по домену;
w32tm /stripchart /computer:0.ru.pool.ntp.org /samples:5 /dataonly — произвести 5 попыток сравнения времени с авторитетным источником времени 0.ru.pool.ntp.org (полезно при проверке доступности источника времени );
w32tm /resync – заставить компьютер синхронизироваться с используемым им сервером времени;
w32tm /unregister — удаляет службу времени с компьютера;
w32tm /register – регистрирует службу времени на компьютере;
Если кому интересно настраивать NTP-сервер через реестр, то милости просим в эту ветку: HKLMSystemCurrentControlSetservicesW32Time

Концепция ярусов STRATA или STRATUM

Где:
Stratum 0 – эталонные или авторитетные источники точного времени, такие как: путники GPS, цезиевые атомные часы, радио волны WWVB. Авторитетны они потому, что имеют способ поддержания высокоточного хронометража – когда секунда не потеряется за 300 000 лет.
Stratum 1 – компьютеры, которые напрямую берут время у Stratum 0, т.е. Stratum 1 используют аппаратное (проводом) подключение к Stratum 0!
Stratum 2 – уровень компьютеров, берущие время по сети у Stratum 1.
Как уже, наверное, понятно из схемы, Stratum 3 будет брать время у Stratum 2 , а Stratum 4 у Stratum 3 и т.д. Самым нижним ярусов является Stratum 16 и время в нем считается не синхронизированным.
Опять же, на практике, самыми распространенными внешними источниками времени являются Stratum 2 , Stratum 3 , ибо синхронизироваться с Stratum 1 простым пользователям не разрешается, да и это не к чему.

Для синхронизации времени устройства NetPing используют протокол NTP. При помощи этого протокола все устройства в сети корректируют своё время по указанному серверу. Устройства NetPing, подключенные к Internet, могут использовать публичный NTP сервер, как рекомендовано в статье . Если доступа к сети Internet нет, то можно настроить локальный NTP сервер. Таким сервером может являться любой компьютер с ОС Windows с настроенной службой W32Time («Служба времени Windows »). Данная служба не имеет графического интерфейса и настраивается либо через командную строку либо путём правки ключей реестра.

Инструкция по настройке сервера NTP на ОС Windows 7/8/2008/2012

Рассмотрим настройку службы времени через редактирование реестра. Настройка происходит одинаково для версий Windows 7/8, Windows Server 2008, Windows Server 2012.

Для данной настройки необходимо обладать правами администратора ОС Windows

Открываем редактор реестра либо через диалоговое окно «Выполнить », вызванное комбинацией клавиш «Win » + «R », либо через форму поиска, где набираем «regedit ».

В открывшемся редакторе в левом древовидном меню открываем «ветвь» «HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesW32TimeTimeProvidersNtpServer », где ищем ключ с названием «Enable ». Нажимаем правой кнопкой мыши и выбираем «Изменить». Меняем значение ключа с на 1 .

Изменив данный параметр, мы указали, что данный компьютер выступает в роли сервера NTP. Компьютер одновременно остаётся клиентом и может синхронизировать своё время по другим серверам в Internet или локальной сети. Если вы хотите, чтобы в качестве источника данных выступали внутренние аппаратные часы, то измените значение параметра ключа AnnounceFlags на 5 в ветке « HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeConfig ».

Для вступления изменений в силу нам необходимо перезапустить службу. Доступ к службам осуществляется через «Панель управления » из меню «Пуск » -> «Панель управления » -> «Администрирование » -> «Службы ». Также она находится в форме поиска при вводе «services.msc ». В появившемся списке служб находим интересующую нас «Служба времени Windows » и через меню, вызванное правой кнопкой мыши, выбираем пункт «Перезапустить ».

Настройка времени в серверных операционных системах Windows с помощью протокола NTP является критичной для многих служб. Без правильного настроенного времени, а точнее при рассогласовании часов на сервере и рабочих станциях не могут правильно работать многие протоколы Active Directory и сервисы синхронизации. Установка и поддержка часов с помощью NTP является простой задачей, связанной иногда, однако, с некоторыми сложностями, которые мы попытаемся рассмотреть в этой статье.

Для примера будем использовать не самую свежую систему — Windows Server 2012. Она является наиболее распространенной и, в то же время, для многих других систем, включая Windows Server 2008, Windows Server 2016 применимы аналогичные команды и правила. Следует отметить, что описание касается настройки окружения с единственным главным контроллером PDC. Более сложные варианты не рассматриваются.

Сброс настроек NTP

Для того, чтобы перевести службу NTP в «дефолтное» состояние, необходимо выполнить следующие команды:

Stop-Service w32time w32tm /unregister w32tm /register

В данном случае они останавливают сервис, разрегистрируют сервис и регистрируют его в системе заново. Следует выполнять эти команды только в случае существенной необходимости. Как правило, нужды в них нет — NTP настраивается, если учтены другие обстоятельства системы.

Команды установки NTP в обычном случае

Для того, чтобы настроить протокол сетевого времени на контроллере Windows Server, прежде всего необходимо отключить синхронизацию посредством Hyper-V, если контроллер виртуализирован с помощью этой технологии. Для этого нужно зайти в настройки и снять галочку с пункта Time Synchronization в разделе Management -> Integration Services

Для тех, кто не использует Hyper-V, предыдущий шаг можно опустить.

w32tm /config /manualpeerlist:»0.de.pool.ntp.org 1.de.pool.ntp.org» /syncfromflags:MANUAL

Протокол UDP для NTP и блокировка файрволом

Протокол времени использует для своей связи порт UDP с номером 123 в стандартной конфигурации. Необходимо следить за тем, чтобы файрвол не блокировал этот порт. В случае, если блокировка происходит, в логах ntp будет масса информации о том, что соединение невозможно:

Log Name: System
Source: Microsoft-Windows-Time-Service
Event ID: 47
Level: Warning
Description: Time Provider NtpClient: No valid response has been received from manually configured peer pool.ntp.org after 8 attempts to contact it. This peer will be discarded as a time source and NtpClient will attempt to discover a new peer with this DNS name. The error was: The peer is unreachable.

Для того, чтобы убедиться, что проблема именно в этом, можно включить вывод дополнительной отладочной информации. Настраиваем логи Windows Server таким образом, чтобы в них писалась вся необходимая информация, но они не росли больше, чем 20 мегабайт:

w32tm /debug /disable

Блокировка ntp файрволом отлавливается по фразе в отладке:

— Logging error: NtpClient has been configured to acquire time from one or more time sources, however none of the sources are currently accessible and no attempt to contact a source will be made for 1 minutes. NTPCLIENT HAS NO SOURCE OF ACCURATE TIME.

В этом случае (да, в общем, сразу с целью проверки) необходимо проверить правило в файрволе

И, в случае необходимости, поменять правило или добавить его.

Проверка правильности работы ntp

Чтобы проверить — все ли работает правильно, можно запустить синхронизацию вручную:

Если все прошло успешно, получите сообщение:

Sending resync command to local computer
The command completed successfully.

Если есть проблемы — сообщение:

The computer did not resync because no time data was available.

Во втором случае необходимо проверить все сначала: файрвол, правильность заданных серверов (не ошиблись ли в имени). Если что — информацию о сбросе настроек мы уже приводили.

Простое решение проблемы ухода времени на контроллере домена , установленного на виртуальную машину Hyper-V под управлением Windows Server 2008/2012.

Во время работы контроллера домена под управлением Windows Server 2008 R2/2012, установленного на виртуальную машину Hyper-V , было замечен постоянный уход времени – за месяц время могло уйти чуть ли не на полчаса. Нужно ли говорить, насколько важно точное время на контроллере домена, ведь по нему синхронизируется весь парк компьютеров домена.

1. Отключить синхронизацию времени с хост-машиной

Для начала нужно отключить синхронизацию времени гостевой машины по времени хост-машины, иначе мы получаем казус. Если хост-машина является членом домена, хост синхронизируется по контроллеру на гостевой машине, а гостевая машина синхронизируется по хосту – получаем замкнутый цикл, который скорее всего и приводит к постоянному смещению времени внутри себя. Смещение получается буквально на какие-то доли секунды, но постепенно складываясь за каждый цикл синхронизации набегает весьма ощутимый сдвиг часов.

В параметрах виртуальной машины Настройка → Службы интеграции → Синхронизации времени – снять птичку

2. Настроить синхронизацию по NTP-серверу

Инструментарий

Для настройки воспользуемся утилитой командой строки w32tm . Основные параметры утилиты, которые применяются для настройки и управления временем: w32tm /query позволяет опросить текущие настройки клиента и сервера NTP w32tm /config используется для настройки службы времени w32tm /resync используется для инициализации синхронизации времени w32tm /dumpreg используется для отображения текущих параметров реестра связанных с службой времени w32tm /debug используется для включения журнала отладки службы времени

Настройка

Выполняется настройка синхронизации времени на контроллере домена под управлением Windows Server 2008 R2 с ролью FSMO «Эмулятор PDC»: w32tm /query /configuration смотрим текущие параметры службы времени w32tm /config /syncfromflags:manual выбираем источник (заданный нами список) для синхронизации времени w32tm /config /manualpeerlist:»server1.ntp.org server2.ntp.org» устанавливаем заданный вручную список узлов для синхронизации. Узлы представляют собой DNS-имена или IP-адреса, разделённые пробелами. При указании нескольких узлов, все значения узлов заключаются в кавычки. Можно, конечно ограничится и одним привычным time.windows.com w32tm /config /reliable:yes задаем параметр, что данная машина является надёжным источником времени и может обслуживать клиентов w32tm /config /update информируем службу времени, что были внесены изменения (можно перезапустить службу) w32tm /query /configuration проверяем внесенные изменения в параметры службы w32tm /resync выполняем синхронизацию (можно поиграться, менять время и проверять, будет ли выполнена синхронизация)

Для большей надежности можно еще и перезапустить Службу времени командами net stop w32time и net start w32time .

Для удобства, перечисленные команды хорошо собрать в один cmd -файлик и решать вопрос в один клик:

sysrtfm

Блог, инструкция системного администратора, форум, советы, помощь

Синхронизация времени на виртуальных машинах Hyper-V 2008 R2 SP1 хоста

Привет, столкнулся на работе с проблемкой. На виртуальных машинах рассинхронизировалось время, могло уехать на несколько часов за сутки. Причем виртуалки находятся на кластере Hyper-V Server, и кластер в собственном домене. Было принято решение настроить синхронизацию времени домена с внешнего источника времени.

В моем случае существует 2 контроллера домена кластера, один из них на самом кластере, другой на отдельной ноде Hyper-V кластера на выделенном сервере. Нам потребуется настроить оба контроллера домена (далее DC). Требуются права администратора домена.

Заходим на первый DC, открываем редактор реестра, заходим в раздел:

Присваиваем AnnounceFlags значение 5 как на скриншоте:

Далее в разделе Parameters меняем значение ключа NtpServer на:

И Type на NTP

Далее идем в управление серверомслужбы находим там «Служба синхронизации времени Hyper-V» останавливаем ее и ставим тип запуска «Вручную»

Затем перезапускаем «Служба времени Windows»

Запускаем CMD от имени администратора

Для проверки корректности настроек вводим:

Если все корректно настроено то время синхронизируется. Далее вводим

Для определения от куда синхронизируется время. Последняя команда нужна для отображения разницы во времени с источником времени

Данные действия необходимо повторить на всех DC. Если на виртуальных серверах в этом домене будут проблемы со временем то нужно будет на них отключить «Служба синхронизации времени Hyper-V«. Через некоторое время (около 15 минут) проверяем синхронизацию времени на серверах.

Если у вас все работает корректно, то советую все равно проверить каким образом у Вас проходит синхронизация для того чтобы убедится что все так как должно быть.

Настройка авторитетного сервера времени в Windows Server

В этой статье описывается настройка службы Windows времени и устранение неполадок, Windows служба времени не работает правильно.

Применяется к: Windows Server 2012 Standard, Windows Server 2012 Essentials
Исходный номер КБ: 816042

Чтобы настроить внутренний сервер времени для синхронизации с внешним источником времени, используйте следующий метод:

Чтобы настроить PDC в корне леса Active Directory для синхронизации с внешним источником времени, выполните следующие действия:

Измените тип сервера на NTP. Для этого выполните следующие действия:

Выберите > запуск, введите regedit, а затем выберите ОК.

Найдите и выделите следующий подраздел реестра:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParameters

В области справа щелкните правой кнопкой мыши введите, а затем выберите Изменение.

В изменить значение введите NTP в поле данных Value, а затем выберите ОК.

Установите AnnounceFlags 5. Для этого выполните следующие действия:

Найдите и выберите следующий подкай реестра: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeConfig

В области справа щелкните правой кнопкой мыши AnnounceFlags и выберите Изменение.

В редактировании значения DWORD введите 5 в поле данных Значение, а затем выберите ОК.

• Если авторитетный сервер времени, настроенный для использования значения 0x5, не синхронизируется с сервером времени вверх по течению, клиентский сервер может неправильно синхронизироваться с авторитетным сервером времени при возобновлении синхронизации времени между авторитетным сервером времени и сервером времени вверх по AnnounceFlag течению. Поэтому, если у вас плохое сетевое подключение или другие проблемы, которые могут привести к сбою синхронизации времени авторитетного сервера на сервере выше по течению, установите значение 0xA, а не 0x5 AnnounceFlag .
• Если авторитетный сервер времени, настроенный для использования значения 0x5 и синхронизации с сервером времени вверх по течению с заданным фиксированным интервалом, клиентский сервер может неправильно синхронизироваться с авторитетным сервером времени после перезапуска авторитетного сервера AnnounceFlag SpecialPollInterval времени. Поэтому, если настроить авторитетный сервер времени для синхронизации с сервером NTP вверх по течению с фиксированным интервалом, указанным в, установите значение 0xA, а не SpecialPollInterval AnnounceFlag 0x5.

Включить NTPServer. Для этого выполните следующие действия:

Найдите и выделите следующий подраздел реестра:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProvidersNtpServer

В области справа щелкните правой кнопкой мыши Включено, а затем выберите Изменение.

В изменить значение DWORD введите 1 в поле данных Значение, а затем выберите ОК.

Укажите источники времени. Для этого выполните следующие действия:

Найдите и откройте следующий подраздел реестра:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParameters

В области справа щелкните правой кнопкой мыши NtpServer и выберите Изменение.

В редактировании значения введите одноранговые значения в поле данных Value, а затем выберите ОК.

Peers — это местоодатель для списка одноранговых аналогов, из которых компьютер получает отметки времени. Каждое имя DNS, которое перечислены, должно быть уникальным. Вы должны 0x1 до конца каждого имени DNS. Если вы не 0x1 до конца каждого имени DNS, изменения, внесенные в шаге 5, не вступят в силу.

Настройка параметров коррекции времени. Для этого выполните следующие действия:

Найдите и нажмите следующий подкай реестра: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeConfig

В области справа щелкните правой кнопкой мыши MaxPosPhaseCorrection и выберите Изменение.

В изменить значение DWORD щелкните, чтобы выбрать десятичной знак в базовом окне.

В редактировании значения DWORD введите TimeInSeconds в поле данных Value, а затем выберите ОК.

TimeInSeconds — это местоодатель для разумного значения, например 1 часа (3600) или 30 минут (1800). Выбранное значение зависит от интервала опроса, состояния сети и внешнего источника времени.
По умолчанию значение MaxPosPhaseCorrection составляет 48 часов в Windows 2008 R2 или более поздней части.

Найдите и откройте следующий подраздел реестра:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeConfig

В области справа щелкните правой кнопкой мыши MaxNegPhaseCorrection и выберите Изменение.

В изменить значение DWORD щелкните, чтобы выбрать десятичной знак в базовом окне.

В редактировании значения DWORD введите TimeInSeconds в поле данных Value, а затем выберите ОК.

TimeInSeconds — это местоодатель для разумного значения, например 1 часа (3600) или 30 минут (1800). Выбранное значение зависит от интервала опроса, состояния сети и внешнего источника времени.
По умолчанию значение MaxNegPhaseCorrection составляет 48 часов в Windows 2008 R2 или более поздней части.

Закройте редактор реестра.

В командной подсказке введите следующую команду для перезапуска службы Windows time и нажмите кнопку Ввод:

Устранение неполадок

Чтобы служба Windows time функционировала правильно, инфраструктура сети должна функционировать правильно. Наиболее распространенные проблемы, влияющие на службу Windows time, включают следующие:

• Существует проблема с подключением TCP/IP, например с мертвым шлюзом.
• Служба разрешения имен работает неправильно.
• В сети возникают большие задержки громкости, особенно если синхронизация происходит по ссылкам широкой сети WAN с высокой задержкой.
• Служба Windows времени пытается синхронизироваться с неточными источниками времени.

Рекомендуется использовать Netdiag.exe для устранения проблем, связанных с сетью. Netdiag.exe является частью пакета средств поддержки Windows Server 2003. Полный список параметров командной строки, которые можно использовать с помощью Netdiag.exe. Если проблема еще не решена, можно включить журнал отлажки Windows службы времени. Так как журнал отключки может содержать очень подробные сведения, рекомендуется обращаться в службы поддержки клиентов Майкрософт при включе Windows отработки службы времени.

В особых случаях тарифы, которые обычно понесены за вызовы поддержки, могут быть отменены, если служба поддержки Майкрософт Professional, что определенное обновление решит проблему. Обычные расходы на поддержку будут применяться к дополнительным вопросам и вопросам поддержки, которые не отвечают требованиям для конкретного обновления.

Дополнительная информация

Windows Сервер включает W32Time — средство службы времени, которое требуется протоколом проверки подлинности Kerberos. Служба Windows Time позволяет использовать общее время для всех компьютеров в организации, на которые работает операционная система Microsoft Windows 2000 Server или более поздние версии.

Для обеспечения надлежащего общего использования времени служба Windows времени использует иерархические отношения, контролирующие полномочия, а служба Windows время не позволяет использовать циклы. По умолчанию Windows компьютеры используют следующую иерархию:

• Все клиентские настольные компьютеры назначают контроллер домена проверки подлинности в качестве своего связанного партнера по времени.
• Все серверы-члены следуют одному и том же процессу, что и клиентские настольные компьютеры.
• Все контроллеры домена в домене назначают основного мастера операций контроллера домена (PDC) в качестве своего связанного партнера по времени.
• Все мастера операций PDC следуют иерархии доменов при выборе своего связанного партнера по времени.

В этой иерархии мастер операций PDC в корне леса становится авторитетным для организации. Настоятельно рекомендуется настроить авторитетный сервер времени для получения времени из аппаратного источника. При настройке авторитетного сервера времени для синхронизации с источником времени в Интернете проверка подлинности не происходит. Мы также рекомендуем уменьшить параметры коррекции времени для серверов и автономных клиентов. Эти рекомендации обеспечивают большую точность и безопасность вашего домена.

Ссылки

Дополнительные сведения о службе Windows time см. в этой информации:

Дополнительные сведения о службе Windows времени см. в Windows Time Service (W32Time).

Настройка NTP-сервера в Windows

В данной заметке речь пойдет о настройке синхронизации времени в доменной среде Windows 2008 – 2012 R2.
Основой нормального функционирования доменной среды AD является корректная работа службы времени Windows (W32Time).

Как работает синхронизация времени в доменной среде?

1. пользователи получают точное время от ближайшего контроллера домена, на котором они зарегистрировались;
2. все доменные контроллеры запрашивают об этом DC с ролью PDC-эмулятор (одна из ролей FSMO);
3. PDC-эмулятор, в свою очередь, должен синхронизироваться с более авторитетным источником времени;
На практике PDC-эмулятор обычно синхронизируется с выделенным NTP-сервером организации, либо с NTP-сервером провайдера, или же с внешним источником точного времени, такие как: 0.ru.pool.ntp.org, 1.ru.pool.ntp.org, 2.ru.pool.ntp.org

Пример настройки контроллера домена с ролью PDC-эмулятора.

Для настройки нам потребуется консоль PowerShell запущенная от имени администратора.
1. Определим имя PDC-эмулятора – самый простой способ выполнить команду:

netdom query FSMO

Когда мы подключили к DC с ролью PDC можно начинать настраивать.
2. Конфигурируем внешние источники синхронизации – указываем с какими источниками PDC будет синхронизироваться.

w32tm /config /syncfromflags:manual /manualpeerlist:”0.ru.pool.ntp.org 1.ru.pool.ntp.org 2.ru.pool.ntp.org”

где, параметры:
/syncfromflags:manual — синхронизация с узлами из заданного вручную списка.
manualpeerlist:<узлы> — список (адреса DNS или IP) источников времени

Важно! Имя каждого источника времени (если их несколько) должно быть разделено пробелом. А на брандмауэре должно быть разрешено прохождение трафика UDP на порт 123 в обе стороны.

3. Объявляем PDC-Emulator надежным источником времени для клиентов:
w32tm /config /reliable:yes
4. После внесения изменений перезапускаем службу времени:

Restrat-Service W32Time

Или обновляем конфигурацию командой: w32tm /config /update

Если вы перенесли роль PDC-эмулятор на другой контроллер домена, то старый DC все еще продолжает считает считать себя авторитетным сервером времени для всего домена, что может стать причиной ошибок в системных логах. Исправить эту ситуацию можно командой:
w32tm /config /syncfromflags:domhier /reliable:no /update

Несколько, на мой взгляд, полезных команд:

w32tm /query /configuration — посмотреть текущие настройки службы времени;

Где:

SpecialPollInterval: 3600 — интервал синхронизации в секундах, 3600 – сутки. Синхронизиция будет проводиться раз в сутки.
NtpServer — указывает сервреры, с которым может синхроинизировать время компьютер.
Type: NTP – вид синхронизации времени.
Параметр Type может иметь следующие параметры:
NoSync — служба времени вообще не синхронизируется ни с чем.
NTP — служба времени синхронизируется с серверами, указанными в параметре NtpServer.
NT5DS — служба времени синхронизируется, используя доменную иерархию (характерно для членов домена Active Directory).
AllSync — служба времени использует все возможные механизмы для синхронизации.

w32tm /monitor — отобразит текущую иерархию синхронизации времени по домену;
w32tm /stripchart /computer:0.ru.pool.ntp.org /samples:5 /dataonly — произвести 5 попыток сравнения времени с авторитетным источником времени 0.ru.pool.ntp.org (полезно при проверке доступности источника времени);
w32tm /resync – заставить компьютер синхронизироваться с используемым им сервером времени;
w32tm /unregister — удаляет службу времени с компьютера;
w32tm /register – регистрирует службу времени на компьютере;
Если кому интересно настраивать NTP-сервер через реестр, то милости просим в эту ветку: HKLMSystemCurrentControlSetservicesW32Time

Концепция ярусов STRATA или STRATUM

Где:
Stratum 0 – эталонные или авторитетные источники точного времени, такие как: путники GPS, цезиевые атомные часы, радио волны WWVB. Авторитетны они потому, что имеют способ поддержания высокоточного хронометража – когда секунда не потеряется за 300 000 лет.
Stratum 1 – компьютеры, которые напрямую берут время у Stratum 0, т.е. Stratum 1 используют аппаратное (проводом) подключение к Stratum 0!
Stratum 2 – уровень компьютеров, берущие время по сети у Stratum 1.
Как уже, наверное, понятно из схемы, Stratum 3 будет брать время у Stratum 2, а Stratum 4 у Stratum 3 и т.д. Самым нижним ярусов является Stratum 16 и время в нем считается не синхронизированным.
Опять же, на практике, самыми распространенными внешними источниками времени являются Stratum 2, Stratum 3, ибо синхронизироваться с Stratum 1 простым пользователям не разрешается, да и это не к чему.

Заметки IT Менеджера

Затем следует передать роль PDC Emulator на новый контроллер домена.

На «новом» PDC Emulator запустить

w32tm /config /manualpeerlist:PEERS /syncfromflags:manual /reliable:yes /update

где PEERS — сервера — источники точного времени, причем значение это или DNS имя, или IP адрес. Если источников больше одного, то между ними необходимо ввести пробел, а сам список должен быть в кавычках: «time.domain.com time1.domain.com».

Share this:

Понравилось это:

Похожее

22 комментария »

Спасиб. Очень помог.

комментарий от kaizer — 11.03.2010 @ 07:02 | Ответить

[…] с внешним источником. Я как-то уже делал инструкцию Настройка точного времени в домене Windows 2003 / 2008 / 2008 R2, правда тогда еще для 2003 сервера. Вчера потратил весь […]

Спасибо коллега. Очень помог.

комментарий от NoRLesT — 14.07.2010 @ 00:06 | Ответить

благодарствую. тоже помогло

комментарий от shwarz13 — 22.09.2010 @ 19:28 | Ответить

Спасибо, помогает!
Однако: Если ваш компьютер является контроллером домена то необходимо внести соответствующие изменения в Управление групповой политикой> Default Domain Controllers Policy > Конфигурация компьютера > Административные шаблоны > Cистема > Служба времени Windows > Поставщики времени

Если ваш локальный NTP-сервер работает в условиях рабочей группы, то gpedit.msc
Конфигурация компьютера > Административные шаблоны > Cистема > Служба времени Windows > Поставщики времени

В групповой политике (локальной или доменной) Конфиг. комп — Админ шаблоны — Система — Служба времени Windows — Поставщики времени, значение параметра Включить NTP-клиент Windows, установите «Не задано»
а то не работает нормально

«Эта утилита входит в комплект Support Tools для Windows 2003 Server. К сожалению, на Windows 2008 R2 она не работает.»

комментарий от Volodya — 22.07.2011 @ 18:38 | Ответить

комментарий от itpadla — 22.12.2015 @ 11:19 | Ответить

у меня в компании 2 Домена Windows Server 2003 Service Pack 2

на втором контролере хочу поправить время так как сервер спешит на 3 минуты
1. задал параметры в реестре HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParametersNtpServer
ntp.time.in.ua,0x1
2. HKLMSYSTEMCurrentControlSetServicesW32TimeConfigAnnounceFlags
тут должна быть 5

3. Перезапускаем сервис времени:
net stop w32time && net start w32time
4. Теперь перезапускаю синхронизацию:
w32tm /resync /rediscover

5. на этом этапе случилась беда… запускаю
w32tm /unregister

пишет Acces Denied

перезапуск Сервера не помог

запускаю службы служба Windows time пропала ….

комментарий от Stepan — 14.03.2018 @ 11:46 | Ответить

Мне сложно вам помочь, т.к. у меня уже нет ни одного сервера с Windows Server 2003. Вы пробовали сделать w32tm /register ?
Тогда когда писал пост, проверял все на себе

комментарий от itpadla — 14.03.2018 @ 11:51 | Ответить

да написало такую ошибку The following error occurred: Access is denied

комментарий от Stepan — 14.03.2018 @ 11:55 | Ответить

Вы пробовали перезагрузить, а потом ввести w32tm /unregister и снова w32tm /register?

комментарий от itpadla — 14.03.2018 @ 11:56 | Ответить

а что это такое PDC Emulator ?

комментарий от Stepan — 14.03.2018 @ 11:56 | Ответить

Это FSMO роль сервера в домене AD.

ДОМЕН ACTIVE DIRECTORY
Сервер с ролью PDC Emulator служит великой задаче обеспечения совместимости с предыдущими версиями Windows. Но не только, и, в последнее время, не столько. Для начала неплохо бы вспомнить, чем занимался PDC в Windows NT 4.0 и 3.51:

Обработка операции “смена пароля” для пользователей и компьютеров

Репликация обновлений на BDC (Backup Domain Controller)

Обозреватель сети (Domain Master Browser)

В смешанной среде, в которой встречаются клиенты Windows NT4.0, Windows 95 и Windows 98 (без установленного клиента Active Directory) и контроллеры домена pre-Windows2000, всем вышеперечисленным занимается как раз PDC Emulator. Только он и только для них.

Когда же все клиенты обновляются до Windows 2000 и выше (либо когда на Windows NT4/95/98 ставится клиент Active Directory), наступает счастье:
Клиенты меняют пароли при помощи первого попавшегося контроллера домена

Запросы на репликацию от BDC перестают отнимать время в силу полного своего отсутствия
Клиенты ищут сетевые ресурсы в AD, и не зависят более от обозревателя сети (эх, как всё хорошо в technet)
После перехода всей инфраструктуры на Windows 2000 и старше, контроллер домена с ролью PDC Emulator причиняет пользу так:
Пароль, измененный любым другим контроллером домена, отправляется на PDC Emulator высокоприоритетной репликацией
Если аутентификация на любом другом контроллере домена не была успешной с признаком “неверный пароль”, запрос повторяется на эмуляторе PDC. Понятно, что, в случае только что произошедшей смены пароля, уж этот-то запрос будет успешным
При успешной аутентификации учетной записи сразу после неудачной попытки, эмулятор PDC о ней уведомляется и сбрасывает счетчик неудачных попыток в ноль. Сущий позитив для пользователя, часто забывающего свой пароль
Здесь важно заметить, что, даже в случае недоступности эмулятора PDC, информация об изменении пароля всё равно расползется по домену. Да, возможны некоторые сложности, пока идет репликация, но, в принципе, ничего страшного.
WELL KNOWN SECURITY PRINCIPALS
В Active Directory есть такая замечательная штука, как Well Known Security Principals. Это всяческие Local Service, Network Service, Digest Authentication, и т.п. Несложно догадаться, что управление ими всеми (начиная с Windows 2003) осуществляется как раз контроллером домена с ролью PDC Emulator. Конкретно, эмулятор PDC после апгрейда (или переноса данной роли) на более новую версию Windows обновляет содержимое контейнера “CN=WellKnown Security Principals,CN=Configuration,DC=”. В этот же момент происходит создание недостающих well-known и built-in групп, а также обновление членства в них.
ADMINSDHOLDER
Следующая нужная фича – AdminSDHolder, владелец административных дескрипторов безопасности. AdminSDHolder защищает административные группы от изменений. Если дескриптор безопасности в какой-либо административной учетной записи не соответствует представлениям AdminSDHolder’а, этот дескриптор будет обновлен в соответствии с его (AdminSDHolder’а) понятиями. К примеру, если исключить well-known пользователя Administrator из группы BuiltinAdministrators, AdminSDHolder вернет его на место.
Да, AdminSDHolder, как понятно, выполняется именно на контроллере домена с ролью эмулятора PDC.
DNS
Только для PDC Emulator в DNS регистрируется SRV-запись вида _ldap._tcp.pdc._msdcs.DnsDomainName, она позволяет клиентам быстренько найти сервер эмуляции PDC.
DFS
Изменения, вносимые в пространство имен Distributed File System (DFS), вносятся на контроллере домена с ролью PDC Emulator. Корневые серверы DFS периодически запрашивают с эмулятора PDC обновленные метаданные, сохраняя их у себя в памяти. Очевидно, что недоступность эмулятора PDC влечет за собой неверную работу DFS.
ГРУППОВЫЕ ПОЛИТИКИ
Редактор групповых политик по умолчанию соединяется с сервером PDC Emulator, и изменения политик происходят на нем же. Если PDC Emulator недоступен, тогда редактор ГП не постесняется спросить у администратора, к какому контроллеру домена подключиться.
ВРЕМЯ
Да, по умолчанию именно сервер PDC Emulator является для клиентов сервером точного времени в домене. А эмулятор PDC корневого домена в лесу является по умолчанию сервером точного времени для эмуляторов PDC в дочерних доменах.

комментарий от itpadla — 14.03.2018 @ 12:00 | Ответить

В любом случае, я вам настоятельно не рекомендую в 2018 году использовать серверную ОС старше чем 2012R2 и держать домен на ней.

комментарий от itpadla — 14.03.2018 @ 12:02 | Ответить

перезагрузил второй контролер только что

потом запустил w32tm /unregister и снова w32tm /register : и на первой же команде Acces Denied

я бы с радостью поставил новый контроллер Windows Server 2012 но надо как то настроить я не знаю как )

комментарий от Stepan — 14.03.2018 @ 12:23 | Ответить

net stop w32time делаете перед w32tm /unregister?

комментарий от itpadla — 14.03.2018 @ 12:33 | Ответить

ок, такой вопрос

первый DC у меня Windows 2003 Service Pack 2

второй DC у меня Windows 2003 Service Pack 2 живет на Hyper-V вот и хочу с него начать upgrade ОС )

комментарий от Stepan — 14.03.2018 @ 12:24 | Ответить

Вам не нужно делать upgrade. Да и не выйдет
Вам нужно установить с нуля парочку Windows Server 2012R2, обновить, ввести в домен, повысить до контроллера домена, перенести на них все нужные системные сервисы (DNS, DHCP и т.д.) и FSMO, а затем корректно понизить уровень 2003 до обычных серверов, а затем и из домена вовсе. Убедиться, что все ок, повысить уровень домена и леса до 2012R2. Как-то так.

комментарий от itpadla — 14.03.2018 @ 12:37 | Ответить

я хотел сказать установить новый Win 2012 (обновить с 2003 до 2008 R2 даже не получится это я понимаю )
так вот по процедуре…
1. установить новый сервер win 2012
2. добавить в домен
2.повысить его до уровня AD slave ( master у меня остается Win 2003 (пока) это как сделать ??

комментарий от Stepan — 14.03.2018 @ 12:47

Windows Server 2012R2. R2 — важно, просто 2012 тоже уже «старенький». Ну или сразу 2016 ставить.

У AD нет уровня slave, как и у контроллеров домена. Вам нужно почитать побольше по AD, а еще лучше послушать курсы от MS по этому поводу.