Налаштування синхронізації часу за ntp за допомогою групових політик, windows для системних

Служба часу Windows, незважаючи на уявну простоту, є однією з основ, необхідних для нормального функціонування домену Active Directory. В правильно налаштованому середовищі AD служба часу працює таким чином: комп'ютери користувачів отримують точний час від найближчого контролера домену, на якому вони зареєструвалися. Всі контролери домену в свою чергу отримують точний час від DC з FSMO роллю «Емулятор PDC», а контролер PDC синхронізує свій час з якимось зовнішнім джерелом часу. В якості зовнішнього джерела часу може виступати один або кілька NTP серверів, наприклад time.windows.com або NTP сервер вашого Інтернет-провайдера. Також потрібно відзначити, що за замовчуванням клієнти в домені синхронізують час за допомогою служби часу Windows (Windows Time), а не за допомогою протоколу NTP.

Налаштування синхронізації часу в домені за допомогою групових політик складається з двох кроків:

1) Створення GPO для контролера домену з роллю PDC
2) Створення GPO для клієнтів (опціонально)

Налаштування політики синхронізації NTP на контролері домену PDC

Цей крок передбачає настройку контролера домену з роллю емулятора PDC на синхронізацію часу з зовнішнім NTP сервером. Оскільки теоретично роль емулятора PDC може переміщатися між контролерами домену, нам потрібно зробити політику, яка застосовувалася б тільки до поточного власнику ролі PDC. Для цього в консолі управління Group Policy Management Console (GPMC.msc), створимо новий WMI фільтр групових політик. Для цього в розділі WMI Filters створимо фільтр і ім'ям PDC Emulator і WMI запитом: Select * from Win32_ComputerSystem where DomainRole = 5

Потім створіть нову GPO і призначте її на контейнер Domain Controllers.

Перейдіть в режим редагування політики і розгорніть наступний розділ політик: Computer Configuration-> Administrative Templates-> System-> Windows Time Service-> Time Providers

Нас цікавлять три політики:

• Configure Windows NTP Client. Enabled (настройки політики описані нижче)
• Enable Windows NTP Client. Enabled
• Enable Windows NTP Server. Enabled

В налаштуваннях політики Configure Windows NTP Client вкажіть наступні параметри:

Порада. Не забудьте налаштувати міжмережевий екран таким чином, щоб сервер PDC міг отримати доступ до зовнішніх NTP серверів по протоколу NTP (UDP порт 123).

Застосуйте створений раніше фільтр PDC Emulator до даної політиці.

Порада. Знайти ім'я сервера з роллю PDC можна за допомогою команди: netdom query fsmo

Залишилося відновити політики на контролері PDC:
gpupdate / force

Вручну почніть синхронізацію часу:
w32tm / resync

Перевірте поточні налаштування NTP:
w32tm / query / status

Порада. У тому випадку, якщо час не синхронізовані, перезапустіть службу часу Windows і скиньте поточні настройки:
net stop w32time
w32tm.exe / unregister
w32tm.exe / register
net stop w32tim

Налаштування синхронізації часу на клієнтах домену

У середовищі Active Directory за замовчуванням клієнти домену синхронізують свій час з контролерами домену (опція Nt5DS - синхронізувати час згідно ієрархії домену). Як правило, ця схема працює і не вимагає перенастроювання. Однак при наявності проблем з синхронізацією часу на клієнтах домену, можна спробувати примусово призначити сервер часу для клієнтів за допомогою GPO.

Оновлення налаштування групових політик на клієнтах і перевірте, що клієнти успішно синхронізували свого часу з PDC.

Порада. Зазначена схема може бути застосована тільки до невеликих доменів. Для великих розподілених доменів з великою кількістю DC і сайтів доведеться створити окрему політику для кожного сайту, щоб клієнти синхронізували свого часу з DC в сайті.

У мене так і не синхронізується PDC:

152078 19: 54: 06.9999326s - ---------- Log File Opened -----------------
152078 19: 54: 43.0234540s - W32TmServiceMain: timeout
152078 19: 54: 43.0234540s - Sample Prepared at 131396108830234540 for peer 192.168.88.1,0x1 (ntp.m | 0x1 | 0.0.0.0: 123-> 192.168.88.1:123)
.
152078 19: 56: 26.1528179s - Logging error: NtpClient has been configured to acquire time from one or more time sources, however none of the sources are currently accessible and no attempt to contact a source will be made for 1 minutes. NTPCLIENT HAS NO SOURCE OF ACCURATE TIME.
.
152078 20: 23: 34.7445948s - Sample Prepared at 131396126147445948 for peer 192.168.88.1,0x1 (ntp.m | 0x1 | 0.0.0.0: 123-> 192.168.88.1:123)
152078 20: 23: 34.7445948s - W32TmServiceMain: waiting 64.000s
152078 20: 23: 51.2628046s - W32TimeHandler called: SERVICE_CONTROL_INTERROGATE
152078 20: 24: 38.7523962s - W32TmServiceMain: timeout
152078 20: 24: 38.7523962s - Sample Prepared at 131396126787523962 for peer 192.168.88.1,0x1 (ntp.m | 0x1 | 0.0.0.0: 123-> 192.168.88.1:123)
152078 20: 24: 38.7523962s - W32TmServiceMain: waiting 64.000s

Ні до чого, звичайно, сюди такі онучі ліпити.
Обрізав лог, залишив помилку. Сервер не може достукатися до NTP севрера. Перевірте, відкритий і доступний з сервера 123 TCP порт на джерелі часу

За настройку NTP через політики треба боляче бити по руках.
1. У доменній середовищі нічого не треба робити, контролери беруть час з PDC, клієнти з контролера.
2. Точності часу секунда в секунду не доб'єтеся.
Хвора тема для мене. Попередні адміни нахреначілі синхронізацію мало не в 10 різних політиків, до сих пір натикаюся і з матами видаляю.
Є проблема з синхронізацією часу?
На всіх контролерах:
1. Убиваем службу w32time
2. Гуркало гілку реєстру HKLM \ System \ CurrentControlSet \ services \ W32Time \
3. Реєструємо службу заново
4. Перевіряємо, що параметр TYPE в HKLM \ System \ CurrentControlSet \ services \ W32Time \ Parameters дорівнює NT5DS
На PDC налаштовуємо синхронізацію із зовнішнім постачальником часу
5. І нічого б * ть не чіпаємо! =) Через якийсь час часом стабілізується.

Для розуміння - час не імпортується, воно звіряється і підганяється під еталон.

Не забуваємо, що для Керберос різниця в 5 хвилин не критична.

Хітрожопих кадровиків і безпечники, бажаючих сніхроніть свої убогі Скудо з віндового тачками слати надовго і подалі.
Все, я скінчив =)