Страна Админа

Страна Админа

За 2020 год из пары десятков тысяч посетителей, набралось всего пару десятков перечислений от 50 до 300 рублей.

Пустяк в денежном выражении, но большая ценность для автора. Посмотрим что год грядущий нам готовит ))

Сумма абсолютно не важна — главное участие.

NTP в домене Windows

Текст:

Казалось бы, по теме синхронизации времени в домене Windows написаны десятки подробных статей статей, например, качественная How the Windows Time Service Works.

Но пытаясь объяснить поведение ОС при изменении части настроек столкнулся с большими затруднениями — в статьях оказалось много пробелов, а местами и неточностей. На опыты и уяснение их результатов ушло несколько дней. Надеюсь статья поможет вам сэкономить время и посвятить его более приятным занятиям.

Начнем. Зачем нам в домене нужно точное время на всех компьютерах?

Во-первых из-за Kerberos. Компьютер начинает проверку своей подлинности на контроллере с посылки Authentication Service Request (AS_REQ). Составной частью пакета является зашифрованная отметка времени. На котроллере домена отметка времени сравнивается с текущим временем системы и при разнице более 300 секунд запрос отклоняется. Эта мера безопасности затрудняет передачу измененных AS_REQ.

Во-вторых из-за приложений. Практически во всех государственных и финансовых организациях требуется фиксировать точное время произведенных операций.

Если в первом случае, достаточно синхронизировать время внутри домена, то во втором необходима также синхронизация с внешним источником точного времени. Это может быть собственный NTP сервер, построенный на базе устройств спутниковой навигации GPS или ГЛОНАСС. Но обычно используются бесплатные NTP сервера доступные в Интернет.

В теории все получается просто, при вводе в домен на компьютерах автоматически настраиваются параметры и все клиентские станции начинают синхронизировать свое время с домен контроллером на котором они прошли аутентификацию. В свою очередь контроллеры домена синхронизируются с контроллером на котором находится FSMO роль PDC. По умолчанию, PDC синхонизируется с time.windows.com и его необходимо вручную настроить на нужный источник. Чтобы разобраться в текущей ситуации, можно последовательно выполнить команду

w32tm /query /peers

на рабочей станции, на домен контроллере с которого она берет время и на PDC.

Поняв текущую схему, можно переходить к изменениям настроек. Здесь нужно понимать, что есть сервис Windows Time (W32Time) и его субкомпонент который переводит часы на компьютере или изменяет их тактовую частоту. Сейчас мы будем говорить о настройках W32Time касающихся работы с NTP серверами.

Настройки расположены в двух разделах реестра:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32Time

HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftW32Time

При установке ОС создается только первый раздел, второй появляется при применении локальной или доменной политики и имеет приоритет. Из командной строки настройки Windows Time можно помотреть командой w32tm /query /configuration. Причем, настройки взятые из первого раздела будут отображаться с отметкой (Local), из второго с отметкой (Policy).

Настройки достаточно подробно описаны в Windows Time Service Tools and Settings. У меня, сложности вызвал, параметр HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParametersNtpServer

Он представляет собой перечисление NTP серверов с которыми может синхронизироваться данный сервер. Каждый сервер представляет собой IP адрес или DNS имя, а также флаг, относящийся к данному NTP серверу. Флаг следует после имени сервера и отделяется от него запятой. Сервера в строке разделяются пробелами. (Внимание. Допустим только один пробел, двойной пробел считается концом строки и имена серверов после него не рассматриваются).

ntp1.vniiftri.ru,0x02 ntp2.vniiftri.ru,0x02 ntp3.vniiftri.ru,0x02 ntp4.vniiftri.ru,0x02

Используется два основных флага 0x01 и 0x02.

0x01 SpecialInterval

От этого флага зависит как будет Windows Time использоват параметры:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProvidersNtpClientSpecialPollInterval

Если данный флаг присутствует, то сервер NTP будет опрашиваться через заданный параметром SpecialPollInterval период времени (секунды).

При отсутствии флага будет использоваться динамический интервал, ограниченный параметрами MinPollInterval и MaxPollInterval (двоичный логарифм от секунд, например, значение параметра 6 значит опрос сервера будет происходит через 2 в степени 6 = 64 секунды).

Посмотреть интервалы опроса и время оставшееся до следующего опроса можно командой w32tm /query /peers — строки PeerPoll Interval и Time Remaining.

Еще раз подчеркну, что интервалы отосятся к опросу NTP серверов, а не к обновлению времени системы.

Имеются неожиданные последствия, если все сервера указать с данным флагом — они перейдут в статус Pending. Если выполнить команду w32tm /monitor то можно увидеть, что RefId изменился на ‘LOCL’ [0x4C434F4C]. То есть, сервер не стал синхронизироваться с внешними NTP и выбрал источником синхронизации Local CMOS Clock (идентификатор этого источника 0x4C434F4C). С таким сервером часть клиентов синхронизироваться не будет, например, UNIXы в зависимости от настроек.

0x02 UseAsFallbackOnly

По моему мнению, данный флаг сделан специально для запутывания процесса. Предполагается, что помеченные этим флагом сервера будут опрашиваться только в случае неудачного опроса основных серверов (без флага 0x02). Но на практике реакция на данный флаг непредсказуема.

Я рекомендую не указывать никаких флагов, а просто задать имена серверов разделенные пробелами:

ntp1.vniiftri.ru ntp2.vniiftri.ru ntp3.vniiftri.ru ntp4.vniiftri.ru

и управлять частотой опроса через параметры MinPollInterval и MaxPollInterval

Все настройки сделанные в реестре вручную либо через политику вступают в силу после рестарта сервиса W32Time.

Собственно все, про NTP, в реализации от Микрософт.

Теперь немного о субкомпоненте (clock discipline subcomponent) который переводит локальные часы системы или изменяет их тактовую частоту в соответствии с данными NTP.

Он также настраивается через реестр, выше была приведена статья с описанием настроек, к данному субкомпоненту относятся:

FrequencyCorrectRate
HoldPeriod
LargePhaseOffset
MaxAllowedPhaseOffset
MaxNegPhaseCorrection
MaxPosPhaseCorrection
PhaseCorrectRate
PollAdjustFactor
SpikeWatchPeriod
UpdateInterval

В большинстве случаев их изменение не требуется.

Но иногда таки приходится.

Например, параметр MaxAllowedPhaseOffset (по умолчанию 300 секунд) управляет способом перевода локальных часов. Если расхождение между локальным временем и NTP источником меньше MaxAllowedPhaseOffset то W32Time пытается скорректировать время изменением тактовой частоты часов. Если — больше то локальное время переводится согласно полученному от NTP сервера.

Допустим, что в вашем домене, по какой-либо причине, в течении длительного времени не было синхронизации с внешним NTP. Обнаружив проблему вы видите, что разница составляет 320 секунд. Если просто исправить проблему, время в домене мгновенно изменится на 320 секунд, что может привести к различным последствиям для приложений чувствительных к отметкам времени.

Лучше попробовать способ с изменением тактовой частоты, для этого в первую очередь нужно установить MaxAllowedPhaseOffset = 350. Это необходимое, но недостаточное условие. Также должно выполнятся соотношение:

|CurrentTimeOffset| / (PhaseCorrectRate*UpdateInterval) < SystemClockRate / 2

SystemClockRate получим командой w32tm /query /status /verbose строка вывода ClockRate: 0.0156250s переведем секунды в такты ОС (1ms = 10000 тактов): 0.0156250s*1000*10000 = 156250 тактов.

В XP w32tm /query еще не поддерживается и значение SystemClockRate можно взять из реестра HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeConfigLastClockRate

Выполняем команду w32tm /query /configuration — берем строки вывода UpdateInterval: 100 и PhaseCorrectRate: 1 (можно взять эти же значения из реестра).

UpdateInterval — по единицам измерения данной величины в источниках от Микрософт есть противоречие. В вышеприведенной статье указано, что величина измеряется в тактах и ее нужно подставлять в формулу как есть. В описании групповой политики единица измерения указана 1/100 секунды. В микрософтовском примере значение UpdateInterval используется без пересчета (по моим опытам это действительно так). PhaseCorrectRate — скалярная величина используем ее как есть.

Подставляем в условие:

|3200 000 000| / (1*100) < 156250 / 2

32 000 000 < 78125 не выполняется.

Подберем значение UpdateInterval с которым условие будет выполняься = 40960. Сделаем запас и установим UpdateInterval = 45000.

|3200 000 000| / (1*45000) < 156250 / 2

71111 < 78125 второе условие выполнено.

Изменяем значение UpdateInterval в реестре, перезапускаем сервис W32Time. Устраняем причину неработоспособности NTP (если необходимо выполняем w32tm /resync) и . локальные часы начинают плавно синхронизироваться, путем корректировки тактовой частоты.

Комментарии

Сегодня столкнулся с

Опубликовано 25 апреля, 2016 — 16:03 пользователем manager

Сегодня столкнулся с проблемой — все сконфигурировано правильно, но время не синхронизируется.

Оказалось, что NTP сервера ntp*.vniiftri.ru блокируют трафик от определенных Интернет провайдеров.

Выявить такие ситуации можно анализируя сетевой трафик, например с помощью Network Monitor. Будет видно, что ваш сервер посылает правильный запрос, а в ответ ему ничего не приходит.

P.S. Аналогично time.windows.com и часть серверов ru.pool.ntp.org

Да, внутренние настройки —

Опубликовано 27 марта, 2018 — 09:28 пользователем Николай (не проверено)

Да, внутренние настройки — это хорошо, но и это очень важный момент:

«Допустим, что в вашем домене, по какой-либо причине, в течении длительного времени не было синхронизации с внешним NTP. Обнаружив проблему вы видите, что разница составляет 320 секунд.»

Проблема как раз в обнаружении проблемы. Я на простом домашнем компе написал батник, который синхронизирует время и засунул ярлык в автозагрузку. Когда внешне всё в порядке, то всё нормально синхронизируется. После этого службу даже можно остановить, чтобы не путалась под ногами. А если внешний сервер отвалится? w32tm об этом сообщит и завершит работу вроде бы штатно, при этом errorlevel=0. И окно cmd закроется, тем более, что оно у меня вообще свёрнуто. И я буду думать, что синхронизация продолжается. А как сделать так, чтобы неудачная попытка синхронизации изменяла поведение батника?

На вопрос так как он

Опубликовано 28 марта, 2018 — 17:52 пользователем manager

На вопрос так как он поставлен ответа у меня нет, но позволю предложить свое решение.

1. служба w32time остается включенной и настраивается на требуемый режим синхронизации, под ногами она совершенно не путается, это не какой-нибудь там windows search или diagnostic policy

2. в task scheduler регулярно запускается bat файл сверяющий время на локальном компьютере и ntp сервере при помощи команды w32tm /stripchart /computer:ntp1.vniiftri.ru /dataonly /samples:2

вывод там будет такой

The current time is 28.03.2018 17:40:53.
17:40:53, +00.3551899s

его можно распарсить и при расхождении во времени больше заданного выдавать оповещение

А как синхронизировать время

Опубликовано 12 апреля, 2018 — 10:32 пользователем Bob (не проверено)

А как синхронизировать время на сетевых устройствах (принтера, свитчи, камеры) с контроллером домена? Их в домен не добавить и реестра у них нет.

Клиентом может быть любое

Опубликовано 12 апреля, 2018 — 10:48 пользователем manager

Клиентом может быть любое устройство поддерживающее протокол NTP.

Вводить в домен не обязательно.

Просто задайте на устройстве адрес вашего домен контроллера и убедитесь, что на сетевом уровне открыты порты для NTP.

Реестр: описание настроек реестра для W32Time (синхронизация времени)

AvoidTimeSyncOnWan: REG_DWORD (необязательный)
Запрещает синхронизацию с компьютером, который находится в другом сайте.
0 = сайт источника времени игнорируется [значение по умолчанию]
1 = компьютер не синхронизируется с источником времени, который находится в другом сайте

GetDcBackoffMaxTimes: REG_DWORD (необязательный)
Максимальное число попыток перед удвоением интервала времени при неудачных попытках обнаружить контроллер домена. Событие регистрируется каждый раз при истечении максимального интервала времени.
0 = интервал между последовательными попытками всегда минимален, и событие не регистрируются
7 = [значение по умолчанию]

GetDcBackoffMinutes: REG_DWORD (необязательный)
Начальный интервал времени в минутах перед поиском контроллера домена, если последняя попытка была неудачной.
15 = [значение по умолчанию]

LocalNTP: REG_DWORD
Используется для запуска сервера SNTP.
0 = не запускать сервер SNTP, если этот компьютер не контроллер домена [значение по умолчанию]
1 = всегда запускать сервер SNTP

NtpServer: REG_SZ (необязательный)
Используется для ручной настройки источника времени. Укажите DNS-имя или IP-адрес сервера NTP, используемого для синхронизации. Вы можете изменить данный параметр из командной строки используя команду "net time" (без кавычек). По умолчанию значение не присвоено.

Period: REG_DWORD или REG_SZ
Используется для управления частотой синхронизации службы времени. Если определен строковый параметр, он должен быть одним из специальных, перечисленных ниже. Если Вы указываете значение для данного параметра в виде числа (Например, 65535), используйте тип параметра REG_DWORD. Если Вы указываете значение для данного параметра в виде строкового значения (Например, Bidaily), используйте тип параметра REG_SZ.
0 = один раз в день
65535, ''BiDaily'' = один раз в 2 дня
65534, ''Tridaily'' = один раз в 3 дня
65533, ''Weekly'' = один раз в неделю (7 дней)
65532, ''SpecialSkew'' = каждые 45 минут, до 3 удачных синхронизаций, затем каждые 8 часов (3 раза в день) [значение по умолчанию]
65531, ''DailySpecialSkew'' = однократно каждые 45 минут, до 1 удачной синхронизации, затем один раз в день
freq = nn раз в день

ReliableTimeSource: REG_DWORD (необязательный)
Используется, чтобы указать, что данный компьютер имеет надежное время.
0 = не отмечать данный компьютер как имеющий надежное временя [значение по умолчанию]
1 = отметить данный компьютер как имеющий надежное время (целесообразно устанавливать только на контроллере домена)

Type: REG_SZ
Задает тип синхронизации.
Nt5DS = выполнять синхронизацию согласно иерархии домена [значение по умолчанию]
NTP = синхронизируются по указанному вручную источнику
NoSync = не синхронизировать время

Nt5DS не может использовать источник, сконфигурированный вручную.
Параметры "Adj" и "msSkewPerDay" используются для хранения информации о часах компьютера между перезагрузками системы. Не редактируйте эти значения вручную.

Служба W32Time

W32Time — это встроенная служба Microsoft Windows, выполняющая синхронизацию авторизованного сервера времени с внешним источником времени. Авторизованный сервер времени — это контроллер домена, использующий службу W32Time для обеспечения синхронизации параметров даты и времени на компьютерах в пределах организации.

Чтобы внесенные изменения вступили в силу, службу W32Time необходимо остановить и запустить повторно.

Описываемые параметры находятся в разделе

HKLMSYSTEMCurrentControlSetServicesW32TimeParameters

Параметры реестра, управляющие работой службы W32Time

°AvoidTimeSyncOnWan° — Необязательный параметр типа DWORD. Предотвращает синхронизацию с компьютером, который находится в другом узле. Может принимать два значения:

0 — синхронизация выполняется независимо от узла источника времени [по умолчанию].

1 — компьютер не синхронизируется с источником времени, который находится в другом узле.

°GetDcBackoffMaxTimes° — Необязательный параметр типа DWORD. Максимальное число попыток, предпринимаемых перед удвоением интервала отсрочки в случаях, когда не удается обнаружить контроллер домена. Каждый раз по истечении максимального интервала времени ожидания регистрируется соответствующее событие. Может принимать значения

0 — между последовательными попытками устанавливается минимальный интервал; события не регистрируются.

7 — [по умолчанию].

°GetDcBackoffMinutes° — Необязательный параметр типа DWORD. Исходное время ожидания (в минутах) перед поиском контроллера домена, если последняя попытка была неудачной. По умолчанию используется значение 15

LocalNTP — Параметр типа DWORD. Используется для запуска сервера SNTP.

0 — не запускать сервер SNTP, если данный компьютер не является контроллером домена [по умолчанию].

1 — всегда запускать сервер SNTP

°NtpServer° — Необязательный строковый параметр. Служит для настройки источника времени вручную. Содержит DNS-имя или IP-адрес NTP-сервера для синхронизации. Значение данного параметра можно изменить из командной строки с помощью команды net time. По умолчанию данному параметру не присваивается значение. Если необходимо указать несколько NTP-серверов, вводимые значения следует разделять пробелами.

°Period° — Параметр типа REG_DWORD или REG_SZ. Используется для управления частотой синхронизации времени. Если данный параметр является строковой величиной, ему может присваиваться одно из перечисленных ниже значений. Чтобы задать значение данного параметра в виде числа (например 65535), укажите при создании параметра тип REG_DWORD. Чтобы задать значение данного параметра в виде строки (например «Bidaily»), укажите при создании параметра тип REG_SZ.

0 — один раз в день.

65535, «BiDaily» — один раз в 2 дня.

65534, «Tridaily» — один раз в 3 дня.

65533, «Weekly» — один раз в неделю (7 дней).

65532, «SpecialSkew» — каждые 45 минут, пока не будут выполнены 3 удачные синхронизации, затем каждые 8 часов (3 раза в день) [по умолчанию].

65531, «DailySpecialSkew» — каждые 45 минут до первой удачной синхронизации, затем один раз в день. х — х раз в день.

°ReliableTimeSource° — Необязательный параметр типа DWORD. Указывает, может ли данный компьютер служить надежным источником времени. Может принимать значения

0 — не отмечать данный компьютер как надежный источник времени [по умолчанию]

1 — отметить данный компьютер как надежный источник времени (целесообразно использовать только на контроллере домена).

Читайте также

Глава 10 Служба времени

Глава 10 Служба времени Настраивая компьютер, администратору приходится устанавливать показания системных часов. Как правило, встроенные аппаратные таймеры работают не точно, кроме того, погрешность их различается в разных системах. Если сеть проработает несколько

10 Служба имен — DNS

10 Служба имен — DNS Думаю, что не нужно в очередной раз рассказывать о преобразовании IP-адреса в имена компьютеров и о том, что выполняет служба DNS. Данному вопросу посвящены целые тома. Мы же давайте займемся непосредственно настройкой сервера DNS, который будет работать под

2.3.4 Служба WWW

2.3.4 Служба WWW Word Wide Web (WWW) — наиболее привлекательная система из всех прикладных служб клиент/сервер, реализованных в TCP/IP. Пользователь может получить доступ к прекрасно оформленным документам, содержащим графические изображения и звуковые файлы, легко перемещаться

2.4.3 Служба имен DMS

2.4.3 Служба имен DMS Для использования сетевых служб требуется способ идентификации удаленных компьютеров. Пользователи и программы могут указывать нужный компьютер по его имени, которое легко запомнить или ввести.Для создания соединения с хостом имя хоста должно быть

18.9 Служба WAIS

18.9 Служба WAIS Gopher делает доступными для пользователей множество файлов. Однако пользователи нуждаются в инструменте для поиска в архиве полезных для себя текстовых документов. Большинство серверов gopher имеет поисковое средство — региональную информационную службу (Wide

C.1.1 Основная служба регистрация NIC

C.1.1 Основная служба регистрация NIC Основная служба регистрации Интернета (Internet Registration Service) в настоящее время финансируется Национальным научным фондом (National Science Foundation — NSF). Эта служба обеспечивает всемирную координацию и делегирует права службам регистрации Северной и

C.1.2 Европейская служба NIC

C.1.2 Европейская служба NIC Основная европейская служба NIC:RIPE Network Coordination Centre (RIPE NCC) (Registry for the European Region)Электронная почта: hostmaster@ripe.net, ncc@ripe.netТелефон: +31 20 592 5065Факс: +31 20 592 5090Почтовый адрес: RIPE NCCKruislaan 4091098 SJ AmsterdamThe NetherlandsСетевой координационный центр

Служба времени Windows

Служба времени Windows Служба реализует функцию синхронизации системного времени локального компьютера с сервером времени. На домашних компьютерах эту функцию используют не часто, поэтому ее можно смело отключать.Служба времени Windows занимает около 100 Кбайт оперативной

Служба индексирования

Служба индексирования Служба предназначена для индексации содержимого файлов на локальном диске с целью быстрого поиска при помощи оснастки ciadv.msc. В следующей главе будет подробно рассмотрена данная оснастка и работа с ней, а пока поговорим о службе. Служба

Служба сообщений

Служба сообщений Служба управляет возможностью передачи сообщений сетевым компьютерам. Если эта служба будет отключена, то программы, ее использующие, не смогут передавать сообщения. В частности, будет отключена команда net send «компьютер» «сообщение», используемая

Служба индексирования

Служба индексирования Раньше служба индексирования уже рассматривалась с точки зрения параметров реестра, влияющих на ее производительность. Сейчас же будет рассмотрена оснастка Служба индексирования: как с ее помощью определить каталоги для индексирования, а также

Служба поиска Web-сервиса XML

Служба поиска Web-сервиса XML Перед тем как клиент сможет использовать функциональные возможности Web-сервиса, ему нужно узнать о существовании и месте размещения этого сервиса. Если вы являетесь создателем и клиента, и Web-сервиса XML, фаза поиска оказывается очень простой,

Служба описания Web-сервиса XML

Служба описания Web-сервиса XML Итак, клиент знает, где размещен Web-сервис XML. Теперь клиент должен узнать функциональные возможности этого сервиса. Например, клиент должен иметь возможность узнать, что сервис имеет метод GetWeatherReport(), предполагающий использование некоторого

Служба восстановления системы

Служба восстановления системы Как и предыдущие операционные системы семейства Windows, Windows Vista поддерживает механизм создания и восстановления точек отката. Основным способом работы с ним является вкладка Защита системы окна Свойства системы.Существует возможность

ГЛАВА 10 СЛУЖБА ОБНОВЛЕНИЯ

ГЛАВА 10 СЛУЖБА ОБНОВЛЕНИЯ Модуль обновления является в системе R/3 центральным компонентом. Однако он не является независимым компонентом. Обновление работает в тесном взаимодействии с другими службами R/3, такими как служба диалога и фонового выполнения, и особенно

Служба и война

Служба и война Анатолий собирался заниматься атомной физикой — хотя еще никто ничего не знал об атомной бомбе, но было ясно, что эта наука надолго будет одной из самых востребованных. Но висевшая в воздухе международная напряженность внесла свои коррективы: он проучился

Особенности настройки времени для виртуальных контроллеров домена

Сегодня речь пойдет о некоторых особенностях настройки службы времени на виртуальных контроллерах домена. Обычно схема синхронизации времени в домене Active Directory выглядит следующим образом:

• Все рядовые сервера и рабочие станции синхронизируют свое время с ближайшим доступным контроллером домена;
• Все контроллеры домена синхронизируются с контроллером, которому принадлежит роль PDC-эмулятор;
• PDC-эмулятор является главным источником времени в домене и поэтому должен быть настроен на синхронизацию с надежным внешним источником времени.

Например так выглядят настройки времени на нашем виртуальном контроллере домена. Как видите, на нем с помощью групповых политик настроена синхронизация с внешним источником pool.ntp.org.

Однако если проверить текущий источник времени, то можно довольно сильно удивиться, т.к. в качестве источника выступает непонятная сущность с названием VM IC Time Synchronization Provider.

Дело в том, что по умолчанию виртуальные машины Hyper-V синхронизируют свое время с хостом, причем вне зависимости от настроек службы времени внутри машины. В результате может получиться довольно странная ситуация, когда хост является членом домена и синхронизируется с контроллером, который в свою очередь является виртуальной машиной и синхронизируется с хостом.

Для того, чтобы избежать подобной ситуации, для виртуальных контроллерах домена необходимо отключить синхронизацию времени с хостом. Сделать это можно двумя способами.

Способ первый — отключить синхронизацию в свойствах ВМ. Для этого надо в оснастке Hyper-V Manager открыть свойства виртуальной машины, перейти в раздел «Integration Services» и снять галку с пункта «Time synchronization».

Или то же самое с помощью PowerShell. Например такой командой выведем состояние службы для ВМ:

Get-VMIntegrationService -VMName SRV1 -Name ″Time synchronization″

А такой отключим синхронизацию:

Get-VMIntegrationService -VMName SRV1 -Name ″Time synchronization″ | Disable-VMIntegrationService

Способ второй — отредактировать реестр внутри виртуальной машины. Для отключения синхронизации надо выставить значение для параметра Enabled, находящегося в разделе HKLMSYSTEMCurrentControlSetServicesW32TimeTimeProvidersVMICTimeProvider.

Эту настройку можно произвести из командной строки, выполнив команду:

reg add HKLMSYSTEMCurrentControlSetServicesW32TimeTimeProvidersVMICTimeProvider /v Enabled /t reg_dword /d 0

После отключения синхронизации любым из описанных способов необходимо хорошенько пнуть службу времени, чтобы она перестроилась на новый источник. На контроллере домена с ролью PDC-emulator необходимо рестартовать службу и запустить синхронизацию:

net stop w32time & net start w32time
w32tm /resync /force

На остальных контроллерах дополнительно надо выполнить команду:

w32tm/config /syncfromflags:DOMHIER /update

Это заставит службу времени выбрать в качестве источника PDC-emulator согласно доменной иерархии. Таким образом мы получим правильную схему синхронизации времени в домене.