Virbactd.ru

Авто шины и диски
1 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Синхронизация времени в домене 2012 r2 на клиентах

Синхронизация времени в домене 2012 r2 на клиентах

настройка ntp сервера windows

Добрый день уважаемые читатели и гости блога pyatilistnik.org, как много люди говорят о времени, что оно быстро или медленно бежит, и все понимают, что оно бесценно и важно. Так и в инфраструктуре Active Directory, она является одним из важнейших факторов, правильного функционирования домена. В домене все друг другу доверяют, и один раз авторизовавшись и получив все тикеты от Kerberos, пользователь ходит куда угодно, ограничиваясь лишь своими доступными правами. Так вот если у вас не будет точного времени на ваших рабочих станциях к контроллеру домена, то можете считать, что у вас начинаются серьезные проблемы, о которых мы поговорим ниже и рассмотрим как их устранить с помощью настройки NTP сервера в Windows.

Синхронизация времени в Active Directory

Среди компьютеров, участвующих в Active Directory работает следующая схема синхронизация времени.

  • Контроллер корневого домена в лесу AD, которому принадлежит FSMО-роль эмулятора PDC (назовем его корневым PDC), является источником времени для всех остальных контроллеров этого домена.
  • Контроллеры дочерних доменов синхронизируют время с вышестоящих по топологии AD контроллеров домена.
  • Рядовые члены домена (сервера и рабочие станции) синхронизируют свое время с ближайшим к ним доступным контроллером домена, соблюдая топологию AD.

Корневой PDC может синхронизировать свое время как со внешним источником, так и с самим собой, последнее задано конфигурацией по умолчанию и является абсурдом, о чем периодически намекают ошибки в системном журнале.

Синхронизация клиентов корневого PDC может осуществятся как с его внутренних часов, так и с внешнего источника. В первом случае сервер времени корневого PDC объявляет себя как «надежный» (reliable).

Далее я приведу оптимальную с моей точки зрения конфигурацию сервера времени корневого PDC, при которой сам корневой PDC периодически синхронизирует свое время от достоверного источника в интернете, а время обращающихся к нему клиентов синхронизирует со своими внутренними часами.

Вводим netdom query fsmo. В моем примере, роль PDC и NTP сервера, принадлежит контроллеру dc7

ntp windows

Конфигурация NTP-сервера на корневом PDC

Конфигурирование сервера времени в Windows (NTP-сервера) может осуществляться как с помощью утилиты командной строки w32tm, так и через реестр. Где возможно, я приведу оба варианта. Но в начале посмотрите полностью ваши настройки на компьютере, делается это командой:

EventLogFlags: 2 (Локально)
AnnounceFlags: 10 (Локально)
TimeJumpAuditOffset: 28800 (Локально)
MinPollInterval: 6 (Локально)
MaxPollInterval: 10 (Локально)
MaxNegPhaseCorrection: 172800 (Локально)
MaxPosPhaseCorrection: 172800 (Локально)
MaxAllowedPhaseOffset: 300 (Локально)

FrequencyCorrectRate: 4 (Локально)
PollAdjustFactor: 5 (Локально)
LargePhaseOffset: 50000000 (Локально)
SpikeWatchPeriod: 900 (Локально)
LocalClockDispersion: 10 (Локально)
HoldPeriod: 5 (Локально)
PhaseCorrectRate: 7 (Локально)
UpdateInterval: 100 (Локально)

[TimeProviders]

NtpClient (Локально)
DllName: C:Windowssystem32w32time.dll (Локально)
Enabled: 1 (Локально)
InputProvider: 1 (Локально)
CrossSiteSyncFlags: 2 (Локально)
AllowNonstandardModeCombinations: 1 (Локально)
ResolvePeerBackoffMinutes: 15 (Локально)
ResolvePeerBackoffMaxTimes: 7 (Локально)
CompatibilityFlags: 2147483648 (Локально)
EventLogFlags: 1 (Локально)
LargeSampleSkew: 3 (Локально)
SpecialPollInterval: 3600 (Локально)
Type: NT5DS (Локально)

NtpServer (Локально)
DllName: C:Windowssystem32w32time.dll (Локально)
Enabled: 1 (Локально)
InputProvider: 0 (Локально)
AllowNonstandardModeCombinations: 1 (Локально)

VMICTimeProvider (Локально)
DllName: C:WindowsSystem32vmictimeprovider.dll (Локально)
Enabled: 1 (Локально)
InputProvider: 1 (Локально)

вывод настроек сервера времени

Включение синхронизации внутренних часов с внешним источником

  • [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParameters]
    «Type»=»NTP»ntp сервер windows
  • w32tm /config /syncfromflags:manualntp клиент windows

Объявление NTP-сервера в качестве надежного

Объявление NTP-сервера в качестве надежного

  • [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeConfig]
    «AnnounceFlags»=dword:0000000a
  • w32tm /config /reliable:yes

NTP-сервер по умолчанию включен на всех контроллерах домена, однако его можно включить и на рядовых серверах.

Включение NTP-сервера на клиенте

  • [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProvidersNtpServer]
    «Enabled»=dword:00000001

Задание списка внешних источников для синхронизации

Задаем внешние NTP сервера

  • [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParameters]
    «NtpServer»=»time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 ru.pool.ntp.org,0x8»
  • w32tm /config /manualpeerlist:»time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 ru.pool.ntp.org,0x8″

Флаг 0×8 на конце означает, что синхронизация должна происходить в режиме клиента NTP, через предложенные этим сервером интервалы времени. Для того, чтобы задать свой интервал синхронизации, необходимо использовать флаг 0×1.

Задание интервала синхронизации с внешним источником

Время в секундах между опросами источника синхронизации, по умолчанию 900с = 15мин. Работает только для источников, помеченных флагом 0×1.

  • [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProvidersNtpClient]
    «SpecialPollInterval»=dword:00000384

Установка минимальной положительной и отрицательной коррекции

Максимальная положительная и отрицательная коррекция времени (разница между внутренними часами и источником синхронизации) в секундах, при превышении которой синхронизация не происходит. Рекомендую значение 0xFFFFFFFF, при котором коррекция сможет производиться всегда.

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeConfig]
«MaxPosPhaseCorrection»=dword:FFFFFFFF
«MaxNegPhaseCorrection»=dword:FFFFFFFF

Все необходимое одной строкой

w32tm.exe /config /manualpeerlist:»time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 pool.ntp.org,0x8″ /syncfromflags:manual /reliable:yes /update

Полезные команды

  • Применение внесенных в конфигурацию службы времени изменений
    w32tm /config /update
  • Принудительная синхронизация от источника
    w32tm /resync /rediscover
  • Отображение состояния синхронизации контроллеров домена в домене
    w32tm /monitor
  • Отображение текущих источников синхронизации и их статуса
    w32tm /query /peers
Читайте так же:
Не отключается синхронизация времени

Настройка NTP сервера и клиента групповой политикой

Раз уж у нас с вами домен Active Directory, то глупо не использовать групповые политики, для массовой настройки серверов и рабочих станций, я покажу как настроить ваш NTP сервер в windows и клиента. Открываем оснастку «Редактор групповых политик». Перед тем как настроить наш NTP сервер в Windows, нам необходимо создать WMI фильтр, который будет применять политику, только к серверу мастера PDC.

Создаем новый WMI для контроллеров домена

Вводим имя запроса, пространство имен, будет иметь значение «rootCIMv2» и запрос «Select * from Win32_ComputerSystem where DomainRole = 5». Сохраняем его.

Параметры WMI фильтра

Затем вы создаете политику на контейнере Domain Controllers.

Политика для настройки NTP сервера в Windows

В самом низу политики применяете ваш созданный WMI фильтр.

Применение WMI к политике

Переходим в ветку: Конфигурация компьютера > Политики > Административные шаблоны > Система > Служба времени Windows > Поставщики времени.

Настроить NTP-клиент Windows

Тут открываем политику «Настроить NTP-клиент Windows». Задаем параметры

  • NtpServer: 0.ru.pool.ntp.org,0x1 1.ru.pool.ntp.org,0x1 2.ru.pool.ntp.org,0x1 3.ru.pool.ntp.org,0x1
  • Type: NTP
  • CrossSiteSyncFlags: 2. Двойка означает, если этот параметр равен 2 (Все), можно использовать любого участника синхронизации. Это значение игнорируется, если не задано значение NT5DS. Значение по умолчанию: 2 (десятичное) (0x02 (шестнадцатеричное))
  • ResolvePeerBackoffMinutes: 15. Это значение, выраженное в минутах, определяет интервал ожидания службы W32time перед попыткой разрешения DNS-имени в случае неудачи. Значение по умолчанию: 15 минут
  • Resolve Peer BAckoffMaxTimes: 7. Это значение определяет число попыток разрешения DNS-имени, предпринимаемых службой W32time перед перезапуском процесса обнаружения. При каждом неудачном разрешении DNS-имени интервал ожидания перед следующей попыткой удваивается. Значение по умолчанию: семь попыток.
  • SpecilalPoolInterval: 3600. Это значение параметра NTP-клиента, выраженное в секундах, определяет частоту опроса настроенного вручную источника времени, который использует особый интервал опроса. Если для параметра NTPServer установлен флаг SpecialInterval, клиент использует значение, заданное как SpecialPollInterval, вместо значений MinPollInterval и MaxPollInterval, чтобы определить частоту опроса источника времени. Значение по умолчанию: 3600 секунд (1 час).
  • EventLogFlags: 0

Задаем внешние NTP сервера в политке

Делаем отдельную групповую политику для клиентских рабочих машин, вот с такими параметрами.

  • NtpServer: Адрес вашего контроллера домена с ролью PDC.
  • Type: NT5DS
  • CrossSiteSyncFlags: 2
  • ResolvePeerBackoffMinutes: 15
  • Resolve Peer BAckoffMaxTimes: 7
  • SpecilalPoolInterval: 3600
  • EventLogFlags: 0

Политика для клиента

Далее идем на клиента и обновляем групповые политики gpupdate /force и вводим команду w32tm /query /status

Проверка NTP на клиенте

Особенности виртуализированных контроллеров домена

Контроллеры домена, работающие в виртуализированной среде, требуют к себе особенного отношения.

Настройка сервера времени на домен контроллере

Задача: разобрать действия по организации сервиса времени для всей локальной сети дабы рабочие станции, сервера получали точное время и оно везде было одинаковым . Сервис времени организовывается на домен контроллере под управлением операционной системы Windows Server 2012 R2, также действия ниже аналогичны и для Server 2008 R2

Схема: интернет — Mikrotik — DC — Workstations

Открываю на srv-dc консоль командной строки с правами администратора:

Win + X — Command Prompt (Admin)

Определяю какой домен контроллер (Windows Server 2012 R2 Std) имеет роль PDC если домен контроллеров несколько в домене:

C:Windowssystem32>netdom query fsmo

  • Schema master srv-dc.polygon.local
  • Domain naming master srv-dc.polygon.local
  • PDC srv-dc.polygon.local
  • RID pool manager srv-dc.polygon.local
  • Infrastructure master srv-dc.polygon.local

The command completed successfully.

Как видно из вывода, это контроллер домена srv-dc.polygon.local, подключаюсь теперь к нему по RDP или VNC соединению для выполнения следующих команд:

C:Windowssystem32>net stop w32time

Настраиваем внешний источник времени:

C:Windowssystem32>w32tm /config /syncfromflags:manual /manualpeerlist:»0.pool.ntp.org»

Cделать ваш контроллер домена PDC доступным для клиентов:

C:Windowssystem32>w32tm /config /reliable:yes

Запускаю службу времени:

C:Windowssystem32>net start w32time

Также можно изменения вносить и через реестр в ключе: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParameters

Чтобы после принудительно запросить получение точного времени проделываем:

C:Windowssystem32>W32tm /config /reliable:yes

The command completed successfully.

C:Windowssystem32>W32tm /config /update

The command completed successfully.

C:Windowssystem32>W32tm /resync

Sending resync command to local computer

The command completed successfully.

Вот и все, служба времени Windows начинает синхронизацию времени с внешним источником, посмотреть этот процесс можно так:

C:Windowssystem32>w32tm /query /configuration

После нужно добавить параметр в DHCP оснастку, что сервер времени это наш домен контроллер:

Win + X — Control Panel — Administrative Tools — запускаю оснастку DHCP: DHCP → srv-dc.polygon.local → IPv4 → Scope [10.10.10.0] local → и через правый клик мышью по Scope Options вызываю меню Configure Options… где добавляю опцию для всего домена: 042 NTP Servers

Параметр времени для роли DHCP домен контроллера Server 2012 R2

Теперь доменные Windows станции будут знать, что сервер времени это домен контроллер, а для моих Ubuntu системы после установке sudo apt-get install ntp -y в файле /etc/ntp.conf нужно будет в параметре server указать IP адрес этого домен контроллера и перезапустить службу времени sudo service ntp restart.

Читайте так же:
Mercedes 722 4 регулировка дроссельного тросика

Если же у Вас DHCP сервис развернут не на Windows, то донести до всех где брать точное время можно через групповые политики GPO. Создаем GPO_NTP и предопределяем, что ориентирована она будет на текущий домен и все рабочие станции посредством WMI-фильтра.

Открываю оснастку на srv-dc управления групповыми политиками домена:

Win + X — Control Panel — Administrative Tools — Group Policy Management, открываю на редактирование: Group Policy Management → Forest: polygon.local → Domains → polygon.local → и через правый клик мышью по WMI Filters вызываю меню New…

  • Name: W7
  • Decription: Windows 7 x86/x64
  • Queries: → Add
  • Namespace: rootCIMv2
  • Query: Select
    * from WIN32_OperatingSystem where ((Version > «6») and
    (ProductType = 1))

и
нажимаю OK, OK, Save

После перехожу к редактированию групповой политики для рабочих станции домена , через правый клик мышью по GPO_NTP вызываю меню Edit.

Computer Configuration → Policies → Administrative Tools → System → Windows Time Service → Time Providers → Configure Windows NTP Client, включаю ее Enabled и определяю настройки:

Настройки NTP через GPO для рабочих станций

NtpServer: srv-dc.polygon.local,0x9

все остальное оставляю по умолчанию.
После нажимаю Apply & OK.

И не забываем к политике добавить WMI фильтр. В конечном итоге политика должна выглядеть так:

Итоговый вид групповой политики

После когда политика применится к системам согласно WMI-фильтру можно будет проверить куда смотрит рабочая станции если ей нужно точное время:

C:Usersalektest>w32tm /query /status

Индикатор помех: 0(предупреждений нет)

Страта: 4 (вторичная ссылка — синхронизирована с помощью (S)NTP)

Точность: -6 (15.625ms за такт времени)

Задержка корня: 0.0876923s

Дисперсия корня: 7.8503892s

Идентификатор опорного времени: 0x0A0A0A02 (IP-адрес источника: 10.10.10.2)

Время последней успешной синхронизации: 30.04.2017 16:46:38

Интервал опроса: 10 (1024s)

C:Usersalektest>w32tm /monitor

srv-dc.polygon.local *** PDC ***[10.10.10.2:123]:

ICMP: 0ms задержка

NTP: +0.0000000s смещение относительно srv-dc.polygon.local

RefID: ground.corbina.net [85.21.78.91]

На замету: Если же в локальной сети появятся рабочие станции под управлением Windows 8 и выше, то нужно будет модифицировать WMI фильтр.

Но как известно, в случае чего с домен контроллером его роли можно забирать, так может произойти в случае различных проблем. Вот забрали роль PDC и время поехало во всем домене, чтобы этого не произошло нужно создать групповую политику ориентированную только на домен контроллер с ролью PDC: GPO_PDC и WMI фильтр с именем PDC следующего содержания:

Select * from Win32_ComputerSystem where DomainRole = 5

Computer Configuration → Policies → Administrative Tools → System → Windows Time Service → Time Providers → Configure Windows NTP Client, включаю ее Enabled и определяю настройки:

Настройки NTP через GPO для домен контроллера с ролью PDC

NtpServer: 0.pool.ntp.org,0x9

все
остальное оставляю по умолчанию.
После нажимаю Apply & OK.

и Computer Configuration → Policies → Administrative Tools → System → Windows Time Service → Time Providers -> Enable Windows NTP Client включить Enable.

Также параметр Type вместо NT5DS можно использовать и NTP

И не забываем к политике добавить WMI фильтр ← PDC. Теперь не важно кто является домен контроллером, точное время на нем будет.

А раз так, что рабочие станции не обязательно привязывать/создавать к политике назначения точного времени, ведь по умолчанию рабочие станции домена, итак, забирают точное время с контроллера домена по умолчанию.

  • Настраиваю GPO и привязываю ее через WMI фильтр к серверу у которого есть роль PDC
  • В оснастке DHCP указываю параметр кто в домене является сервером у которого клиентским рабочим станциям запрашивать точное время.
  • Если DHCP не на базе Windows, то можно настроить GPO и сделать нацеливание на определенную ось.

На заметку: Если домен контроллер развернут на виртуальной системе, то следует проверить, что время берется не с гипервизора, а через настройку этой заметки.

На заметку: если роль PDC б ыла переназначена на другой сервер, то я советую перезагрузить домен контроллер и все остальные также.

На этом у меня все. Задача выполнена и задокументирована, с уважением автор блога Олло Александр aka ekzorchik.

Для системного администратора

headermask image

В данной статье мы рассмотрим как настроить NTP в Windows Server 2012. В статье не рассматриваются подробная настройка синхронизации времени в доменном окружении, а настройка единичного контроллера домена с ролью эмулятора PDC, который единственный сервере в окружении выполняет синхронизацию с внешним источником времени.

Настройка очень проста. Все что нужно сделать это выполнить следующие команды в PowerShell:

Читайте так же:
Регулировка холостого хода на мотоблоке ока

w32tm /config /manualpeerlist:pool.ntp.org /syncfromflags:MANUAL
Stop-Service w32time
Start-Service w32time

Если контроллер виртуализирован средствами Hyper-V нужно не забыть отключить синхронизацию времени средствами Hyper-V. Откройте настройки виртуальной машины -> Management -> Integration Services и снимите чекбокс с Time Synchronization.

На этом все! Хотите узнать больше? Что-то не работает? Тогда разберем более подробно…

W32tm это основная используемая нами команда. Есть ещё варианты, использующие "net time", но на самом деле использовать эту конструкцию нет необходимости. В некоторых статья также упоминается прямое редактирование реестра, однако в Microsoft советуют не делать этого в любом случае, а только если нет совершенно никакой другой альтернативы. Но если вам очень хочется редактировать реестр, нужная вам ветка находиться тут:  HKLMSystemCurrentControlSetServicesW32Time.

Какой NTP сервер использовать? Или лучше несколько?

pool.ntp.org это round-robin рандомных NTP серверов.  Для конечных пользователей этого адреса более чем достаточно. Однако в случае необходимости вы можете указать вручную несколько серверов:

w32tm /config /manualpeerlist:"ntp1.sp.se ntp2.sp.se" /syncfromflags:MANUAL

Просто добавьте нужные вам сервера с пробелом между ними.

Не забудьте про файервол

Если у вас есть файервол между хостом и интернетом, он может быть настроен на запрет udp/123 по которому работает протокол NTP. Вот как это выглядит на моей Cisco ASA FW:

NTP_2012_1

Поэтому я создал отдельное правило, разрешающее данный трафик.

NTP_2012_2

Подробная информация и логирование

Данная команда показывает полезную информацию о настройке синхронизации, списке серверов и времени последней синхронизации.

Обычно когда сервер не может получить время с NTP сервера в лог записывается следующая информация:

Log Name: System
Source: Microsoft-Windows-Time-Service
Event ID: 47
Level: Warning
Description: Time Provider NtpClient: No valid response has been received from manually configured peer pool.ntp.org after 8 attempts to contact it. This peer will be discarded as a time source and NtpClient will attempt to discover a new peer with this DNS name. The error was: The peer is unreachable.

Когда все нормально сообщение выглядит следующим образом:

Log Name: System
Source: Microsoft-Windows-Time-Service
Event ID: 35
Level: Information
Description: The time service is now synchronizing the system time with the time source pool.ntp.org (ntp.m|0×0|0.0.0.0:123->85.10.240.253:123).

Вы все ещё испытывает какие то проблемы?  Вы можете легко включить вывод отладочной информации в логфайл, который в моем случае лимитирован 10-тью мегабайтами и включает все отладочные записи.

w32tm /debug /enable /file:C:Tempw32tmdebug.log /size:10485760 /entries:0-300

После завершения отладки выключаем её:

В случае проблем в логе вы увидите большое количество информации. У меня, когда все работает об этом сигнализирует следующая запись:

— Reachability:  peer pool.ntp.org (ntp.m|0×0|0.0.0.0:123->129.70.132.35:123) is reachable.
— Logging information: NtpClient is currently receiving valid time data from pool.ntp.org (ntp.m|0×0|0.0.0.0:123->129.70.132.35:123).

А когда мой файервол блокировал пакеты я получал следующие сообщения.

— Logging error: NtpClient has been configured to acquire time from one or more time sources, however none of the sources are currently accessible and no attempt to contact a source will be made for 1 minutes. NTPCLIENT HAS NO SOURCE OF ACCURATE TIME.

Принудительная синхронизация

Если вам необходимо принудительно синхронизировать клиента, запустите команду:

w32tm /resync
Sending resync command to local computer
The command completed successfully.

Если вы получили следующую ошибку, значит компьютер не может достичь NTP сервера.

The computer did not resync because no time data was available.

Начнем с начала

Если вы полностью запутались в конфигах, напихали лишнего и уже не понимаете что происходит, начните с начала. Данные команды полностью сбросят настройки NTP в дефолтное состояние:

Stop-Service w32time
w32tm /unregister
w32tm /register

Этот пост November 12, 2012 at 3:38 pm опубликовал molse в категории Windows Server 2012, Сетевые протоколы. Желающие могут оформить RSS подписку на комменты. Both comments and trackbacks are currently closed.

2 комментов оставлено (Add 1 more)

сервис службы времени(как и любой другой) можно перезапустить командлетом Restart-Service w32time

Ахтунг товарищи !
если разница между серверо ntp и клиентом больше ,вроде 15 часов. /resynce даст ошибку!
те для теста лучше выставить дату(это тоже критично!) и время руками но с погрешность на пару минут.

Как синхронизировать время на виртуальных машинах ESXi Windows за одну секунду?

Я разработчик, и мы используем Quartz.Net, широко используемую библиотеку планирования с хранилищем резервных копий SQL для запуска кластера серверов заданий (виртуальных машин в кластере ESXI).

Quartz.Net требует, чтобы время было синхронизировано между экземплярами сервера заданий, и рекомендует использовать для него NTP.

Часы должны быть с точностью до секунды друг от друга.

Наши системные администраторы используют Windows NTP для синхронизации времени с контроллером домена. Синхронизация виртуальных машин с хостом ESXI отключена.

Читайте так же:
Как регулировать карбюратор у моторных пил

Они продолжают настаивать на том, что «в течение секунды» не является правильным требованием и не может быть выполнено без аппаратных устройств синхронизации GPS. Их SLA и уровень мониторинга «в течение 3 минут».

Мы наблюдаем периодические (раз в 2-3 месяца) случаи кварцевого рассинхронизма, которые согласуются с несинхронизированным временем.

  1. Правильно ли нам просить «в течение секунды» или нам нужно полностью отказаться от Кварца?
  2. Если да, какие изменения рекомендуются для нашей настройки?

Это 2018. Windows может поддерживать синхронизацию серверов в течение 2 мс или около того, как того требуют правила MIFID II. Итак, ваша проблема не проблема.

Наши системные администраторы используют Windows NTP для синхронизации времени с контроллером домена. Синхронизация виртуальных машин с хостом ESXI отключена.

Почему? Хост может справиться с этим намного лучше (будучи аппаратным), а у вас намного меньше. Ваши сисадмины стреляют себе в ногу, затем жалуются, что у них кровотечение.

Они продолжают настаивать на том, что «в течение секунды» не является правильным требованием и не может быть выполнено без аппаратных устройств синхронизации GPS. Их SLA и уровень мониторинга «в течение 3 минут».

СТАРЫЙ — древний — Windows синхронизировалась в течение этого периода времени, потому что билеты Kerberos имели 5-минутный срок действия.

Но это, как я уже сказал, 2018. В настоящее время финансовая индустрия предъявляет довольно жесткие требования, и MS справляется с этим, думаю, с 2012 года. 2016 год полностью воплотил его в жизнь. Точность в миллисекундах через Интернет — это решаемая проблема, решаемая 50 лет назад на самом деле для достойного соединения. NTP может справиться с этим. Возможно, вам придется установить дешевую аппаратную коробку, если вы хотите сократить трафик (то есть создать собственный источник времени NTP уровня 3), но это опять-таки не дорого.

Правильно ли нам просить «в течение секунды» или нам нужно полностью отказаться от Кварца?

Вам нужно программировать на случайные проблемы со временем — как вы это делаете с оборудованием. Но «в течение секунды» — это шутка с требованием — это тривиально для удовлетворения при нормальных обстоятельствах.

Правительственные постановления, такие как: точность 50 мс для FINRA в США; 1 мс ESMA (MiFID II) в ЕС.

Много деталей и инструкций там. Это действительно потрясающее чтение, если вам нужно решить эту проблему. Возможно, вам придется обновить гипервизор — они все говорят о Hyper-V. VMWare должен быть в состоянии сделать то же самое, но не уверен, сколько лет вашей версии.

Устранение неисправностей службы времени Windows

Сводка: В этой статье содержится информация по устранению неисправностей службы времени Windows в домене Active Directory. Свернуть В этой статье содержится информация по устранению неисправностей службы времени Windows в домене Active Directory.

Возможно, эта статья была переведена автоматически. Если вы хотите поделиться своим мнением о ее качестве, используйте форму обратной связи в нижней части страницы.

Симптомы

Служба времени Windows очень важна для Active Directory. По умолчанию аутентификация Kerberos требует, чтобы часы на всех компьютерах в домене были синхронизированы друг с другом в пределах пяти минут после коррекции разницы часовых поясов и перехода на летнее время. Компьютеры, часы которых выходят за пределы этого диапазона, не смогут пройти аутентификацию и поэтому не будут иметь доступа к ресурсам домена.

Причина

В домене AD контроллер домена (DC) с ролью FSMO «Эмулятор PDC» является основным сервером времени для всего домена. Однако это не означает, что каждый компьютер в домене синхронизирует свои часы непосредственно с эмулятором PDC. Другие контроллеры домена синхронизируются с эмулятором PDC, а рядовые серверы и клиенты могут синхронизироваться с любым контроллером домена. В этой иерархии эмулятор PDC должен быть единственным компьютером, на котором настроена синхронизация с внешним источником времени (например, с общедоступным сервером NTP). Все остальные компоненты домена должны быть настроены на синхронизацию с AD. Любая другая конфигурация может привести к потере синхронизации часов.

Подробные сведения о работе службы времени Windows см. на этом сайте TechNet.

Разрешение

Определите масштаб проблемы

Первым шагом в устранении неполадок службы времени Windows должно быть определение количества затронутых компьютеров. Если только на одном компьютере неправильное время, то действия, необходимые для устранения проблемы, будут отличаться от действий, необходимых для устранения проблемы времени во всем домене.

Читайте так же:
Регулировка оборотов асинхронного двигателя насоса

Если проблема касается только нескольких машин

  1. Если затронутый компьютер работает под управлением Windows Vista или более поздней версии, выполните команду w32tm /query /source в командной строке, чтобы определить источник времени затронутого компьютера. Внешний источник времени должен отображаться только в том случае, если эта команда выполняется на эмуляторе PDC; в противном случае команда должна вывести имя контроллера в домене.
  2. Команда w32tm /query /status также отображает источник времени компьютера и другую потенциально полезную информацию. Параметр /verbose предоставляет дополнительные сведения. Как и в случае первой команды, эти переключатели доступны только на компьютерах под управлением Windows Vista или более поздней версии.
  3. Если указан правильный источник времени, можно использовать команду w32tm /resync для повторной синхронизации часов компьютера с источником времени. При добавлении параметра /rediscover к этой команде компьютер сначала пытается обнаружить сетевые источники времени, а затем выполняет повторную синхронизацию.
  4. Для изменения источника времени компьютера можно использовать одну из следующих двух команд:
    w32tm /config /syncfromflags:DOMHIER /update настраивает компьютер на использование иерархии домена (AD) в качестве источника времени.
    w32tm /config /syncfromflags:MANUAL /manualpeerlist:<список> /update настраивает компьютер на использование серверов времени из <списка> в качестве источника времени.

Если проблема касается всего домена

  1. Если на всех компьютерах в домене указано неправильное время, скорее всего, причиной проблемы является эмулятор PDC. Выполните команду netdom query fsmo на контроллере домена, чтобы определить, какой контроллер имеет роль эмулятора PDC.
  2. Выполните команду w32tm /query /source из командной строки эмулятора PDC, чтобы убедиться, что он настроен на синхронизацию с внешним источником времени. Эмулятор PDC никогда не следует настраивать на синхронизацию с доменом, так как он является основным источником времени домена.
  3. Если эмулятор PDC представляет собой виртуальную машину (ВМ), отключите синхронизацию часов гостевого хоста. Эта процедура различается в зависимости от операционной системы, запущенной на хосте виртуализации.
  4. Чтобы настроить эмулятор PDC для синхронизации с одним или несколькими внешними серверами времени, используйте следующую команду:
    w32tm /config /syncfromflags:MANUAL /manualpeerlist:<список> /update

Настройки реестра службы времени Windows

Команды «w32tm», указанные в описанных выше процедурах, вносят изменения в значения реестра службы времени Windows, которые находятся в следующем разделе реестра:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32Time

Эти значения можно задавать вручную, а не с помощью команд «w32tm». Если вы решите сделать это, вам могут пригодиться следующие веб-сайты:

    (содержит раздел по параметрам реестра)

Групповая политика

Если вы вносите изменения в службу времени Windows с помощью команд «w32tm» или через реестр, но эти изменения не вступают в силу или вступают в силу только на короткое время, а потом происходит возврат к предыдущим значениям, возможно, объект групповой политики (GPO) переопределяет ваши изменения. Параметры групповой политики для службы времени Windows содержат множество одинаковых элементов, которые можно настроить с помощью реестра или команд «w32tm». Эти настройки можно найти в следующем каталоге:

Computer ConfigurationPoliciesAdministrative TemplatesSystemWindows Time Service

Восстановите значения реестра службы времени Windows по умолчанию

Если все другие действия не помогли, эта процедура сбрасывает службу времени Windows до настроек по умолчанию.

  1. Откройте консоль «Службы» и остановите службу времени Windows (или выполните команду net stop w32time из командной строки), если она запущена.
  2. Откройте командную строку с повышенными правами и выполните команду w32tm /unregister, чтобы удалить службу времени Windows из реестра. Служба больше не будет отображаться в консоли «Службы».
  3. Выполните команду w32tm /register, чтобы восстановить службу с настройками реестра по умолчанию.
  4. Внесите необходимые изменения в реестр, затем запустите службу времени Windows в консоли «Службы» или с помощью команды net start w32time.
Затронутый продукт

Servers, Microsoft Windows Small Business Server 2008, Microsoft Windows Small Business Server 2011 Essentials, Microsoft Windows 2008 Server R2, Microsoft Windows 2008 Server Service Pack 2, Microsoft Windows 2012 Server Servers, Microsoft Windows Small Business Server 2008, Microsoft Windows Small Business Server 2011 Essentials, Microsoft Windows 2008 Server R2, Microsoft Windows 2008 Server Service Pack 2, Microsoft Windows 2012 Server, Microsoft Windows 2012 Server R2 Развернуть

голоса
Рейтинг статьи
Ссылка на основную публикацию
Adblock
detector