Настройка синхронизации времени в домене

Как настроить синхронизацию времени во всём домене сразу? И так, чтобы работало дальше само? А когда контроллер домена с ролью PDC изменится, что делать? А если уже синхронизация времени в домене настроена, но работает плохо, как починить?
Обо всём этом читайте в этой статье.

Немного теории

Синхронизация времени в домене может (теоретически) работать сама, безо всяких настроек. Выглядит это обычно так:

1. Компьютеры домена и серверы синхронизируют свое время с контроллерами домена (с ближайшими к ним).
2. Контроллеры домена синхронизируют свое время с контроллером домена, которому назначена FSMO роль PDC (в терминах windows 2000 — «первичный контроллер домена»).
3. Контроллер домена (КД) с ролью PDC синхронизирует время с внешним источником.

А дальше — начинаются ньюансы:

• Если контроллер домена виртуальный, в настройках виртуальной машины должна быть выключена синхронизация времени [с хостом]. Иначе (если, к примеру, хост с виртуальными машинами — в домене): виртуальный контроллер домена будет (автоматически) синхронизировать время с хостом, а хост — с ближайшим контроллером домена, т.е. со своей виртуалкой.
• Если синхронизация времени уже настроена (вручную или через групповые политики) то задаваемые Вами новые настройки могуть не примениться (несмотря на сообщение successful во всех командах) и тогда потребуется полный сброс настроек синхронизации времени на проблемных компьютерах или контроллерах домена.

Как проверить, работает ли синхронизация времени в домене?

До того, как что-либо «ломать» (и в процессе настройки, чтобы проверять эффективность вносимых изменений) необходимо производить диагностику текущего состояния, а также анализировать текущую конфигурацию службы времени. Этому призваны помочь несколько команд, указанных ниже.

Команда
w32tm /monitor

1. Может быть выполнена на любом компьютере (или контроллере) домена.
2. Показывает список всех контроллеров домена (с которыми может выполняться синхронизация времени).
3. Для каждого контроллера домена в поле «NTP:» отображает разницу во времени с PDC контроллером домена (который является источником для синхронизации времени во всём домене).
4. Для каждого контроллера домена в поле «RefID:» отображается информация об источнике синхронизации времени для этого контроллера домена. Для всех контроллеров домена (кроме КД с ролью PDC) это должен быть либо другой контроллер домена, либо КД с ролью PDC.

Команда
w32tm /query /Source
или
w32tm /query /peers

1. Может быть выполнена на любом компьютере или контроллере домена.
2. Показывает источник для синхронизации времени (с каким компьютером синхронизируется время того компьютера, на котором запущена эта команда). Для любых компьютеров/серверов это должен быть один из контроллеров домена, для любого контроллера домена (кроме PDC) это должен быть другой КД (обычно — с ролью PDC), для КД с ролью PDC это должен быть внешний источник синхронизации времени (интернет).
   Если в результатах выполнения команды отобразилось сообщение «VM IC Time Synchronization Provider» — значит, эта виртуальная машина синхронизируется с хостом виртуализации. Если эта виртуальная машина — один из контроллеров домена, такую настройку следует изменить!

Команда
w32tm /query /Configuration /verbose

1. Может быть выполнена на любом компьютере или контроллере домена.
2. Выводит все настройки службы времени windows для текущего компьютера.
3. Убедитесь, что в результатах выполнения команды на всех компьютерах и контроллерах домена (кроме PDC) в разделе [TimeProviders] поле Type имеет значение NT5DS. Если это не так, настройки синхронизации на таких компьютерах надо исправлять (как — см. далее).
4. Если у Вас Windows 2003, то Вы не можете выполнить эту команду. Вместо этого Вы можете посмотреть параметры конфигурации службы времени в реестре: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters, в частности параметр Type.

Команда
w32tm /query /status /verbose

1. Может быть выполнена на любом компьютере или контроллере домена.
2. Отображет состояние синхронизации (в т.ч. источник синхронизации, время и статус последней синхронизации) для компьютера, на котором выполняется. Опция «/verbose» дает более подробную информацию.

Команда
w32tm /stripchart /computer:» » /samples:3 /dataonly

Сравнивает время (и отображает разницу во времени) на текущем компьютере с компьютером, указанном в аргументе /computer. Компьютер-источник для сравнения времени может быть как в интернете, так и в локальном домене. Примеры команды:
w32tm /stripchart /computer:»ntp.org» /samples:3 /dataonly
или
w32tm /stripchart /computer:»dc1.domain.local» /samples:3 /dataonly

Как исправить настройки синхронизации времени

Настройка синхронизации времени на компьютерах и контроллерах домена
(кроме КД с ролью PDC)

1. Найдите все групповые политики, изменяющие настройки синхронизации времени, и отключите такие политики. Через групповые политики служба времени настраивается здесь: gpedit.msc => «Computer Configuration» => «Administrative Templates» => «System» => «Windows Time Service» => «Time Providers». Проверьте, что политики синхронизации времени не применяются, для этого можно выполнить команду:
   gpresult /R
2. Проверьте, что на всех виртуальных машинах — контроллерах домена отключена синхронизация времени с хостами виртуализации. Для этого (в Hyper-V) можно зайти в свойства виртуальной машины, раздел средств интеграции и отключить синхронизацию времени. После чего конфигурацию службы времени (на виртуальном контроллере домена) нужно обновить.
3. Обновите конфигурацию на всех проблемных компьютерах / контроллерах домена (кроме КД с ролью PDC):
   w32tm /config /syncfromflags:DOMHIER /update
4. Выполните принудительную синхронизацию времени, дав команду заново найти источники синхронизации времени:
   w32tm /resync /rediscover
5. Если вышеуказанные действия не помогают, перезагрузите службу времени (на проблемных компьютерах)
   net stop w32time
   net start w32time
   и заново выполните пункты 3 и 4.
6. Если вышеуказанные действия не помогли решить проблему с синхронизацией времени, необходима перерегистрация службы времени на проблемных компьютерах (и повторная настройка параметров).
   net stop w32time
   w32tm /unregister
   w32tm /register
   net start w32time

Настройка синхронизации времени на контроллере домена с ролью PDC

Настройки времени на КД с ролью PDC принципиально отличаются от настроек на всех остальных компьютерах в домене (включая остальные контроллеры домена). PDC является источником времени во всём домене, именно его время будет использовано (прямо или косвенно — через другие контроллеры домена) всеми остальными компьютерами.

1. Если контроллер домена с ролью PDC — виртуальная машина, убедитесь, в настройках этой виртуальной машины отключена синхронизациия времени с хостом, на котором она находится!
2. Убедитесь, что групповые политики синхронизации времени во всем домене (если они у Вас есть) не применяются к КД с ролью PDC! У этого компьютера источник времени — в интернете, и тип синхронизации времени (в отличие от всего остального домена) не NT5DS, а NTP!
3. Если есть сомнения в том, что синхронизация времени на КД с ролью PDC выполняется правильно, проще всего выполнить перерегистрацию и повторную настройку службы времени.

Перерегистрация службы времени на контроллере домена с ролью PDC

Для отмены регистрации и повторной регистрации службы времени выполните следующие команды:

net stop w32time
w32tm /unregister
w32tm /register
net start w32time

Настройка синхронизации времени на контроллере домена с ролью PDC

Наш КД с ролью PDC необходимо настроить на синхронизацию с внешним источником (в интернете). Для этой цели не подходит тип синхронизации NT5DS и синхронизации в соответствии с иерархией домена (DOMHIER). Поэтому на нашем КД с ролью PDC мы используем тип синхронизации NTP и синхронизация будет настроена вручную (MANUAL). Источники синхронизации (peers) указываются в кавычках, а если таких источников несколько, то они перечисляются через запятую. Кроме того, мы даем указание считать данный источник синхронизации (КД с ролью PDC) надежным источником времени (reliable):

w32tm /config /syncfromflags:manual /manualpeerlist:»0.pool.ntp.org, 1.pool.ntp.org, 2.pool.ntp.org» /reliable:yes /update

Теперь можно ускорить применение параметров и синхронизацию времени, перезагрузив службу времени и форсировав синхронизацию:

net stop w32time
net start w32time
w32tm /resync /force или w32tm /resync /rediscover

После выполнения этих команд (сделав паузу в несколько минут на применение параметров и выполнение синхронизации) сравните время на контроллере домена с временем в интернете:

w32tm /stripchart /computer:»0.ru.pool.ntp.org» /samples:3 /dataonly

Не забудьте проверить, что на всех контроллерах домена время синхронизировалось с PDC. Для этого наберите команду:

Всё должно заработать!

P.S.: Обратите внимание, что применение параметров команды w32tm требует времени. Поэтому после каждого обновления конфигурации рекомендуем делать паузу в 1-5 минут, а потом уже проверять, обновилась ли конфигурация службы времени, и как всё работает.

Источники информации для данной статьи:

Статья опубликована: 20.08.2017, обновлена 31.01.2020

Часы данного сервера не синхронизированы с часами основного контроллера домена windows

Недавно в локальной сети появилась непонятная проблема: время от времени на некоторые компы по сети стало невозможно зайти. Вылетает мессага о том, что «возможно, у вас нет прав .. и т.д. Часы данного сервера не синхронизированы с часами основного контроллера домена». Хотя дата, время и часовой пояс совпадают. Причем помогает либо рестарт компа, на который пытаешься зайти, либо эта проблма может пропасть сама собой минут через 5-10, а затем снова неожиданно появиться.
В сети 120 компов на Win200pro+sp4. Контроллер домена на Win2000AdvancedServer+sp4. Начали глючить таким образом 3-4 компа.

В связи с этой проблемой вопросы: Кто нибудь с подобным уже сталкивался? И каким образом от этой неприятности избавиться? Поможет ли установка в сети сервера времени, стобы по нему все синхронизировались?

Поможет ли установка в сети сервера времени, стобы по нему все синхронизировались?

черный
Чего вдруг. При поднятии домена DC становится сервером времени для клиентов по дефолту. Иначе проблемы с кеберосом. Собственно, что и происходит.

_Den_
1. Воспользуйся советом www_tank-а, но это временный вариант.
2. Смотри на проблемных машинах, не перекрывается-ли политика максимальной погрешности синхронизации часов компьютера. Включи аудит и отследи, что происходит.

Часы данного сервера не синхронизированы с часами основного контроллера домена windows

Проблема в следующем:

при введении компьютера в домен не синхронизируется время, из-за этого выходят ошибки:

— Часы данного сервера не синхронизированы с часами основного контроллера домена , при открытии файловой шары по имени компьютера (по IP всё работает).

— Синхронизация не выполнена поскольку нет доступных данных о времени , при выполнении команды w32tm /resync /rediscover на клиентской машине

— Нет доступа к компьютеру. Ошибка: Отказано в доступе. При попытке открыть управление локалюными пользователями и группами удаленно через консоль mmc.

Нужно выполнить на клиентской машине команды:

Узнать с кем синхронизируется время: net time /QUERYSNTP

Назначить для синхронизации контроллер домена: net time /SETSNTP:MYDOMAIN.NET

Синхронизировать время с указанным ранее сервером: net time /set

Но вот прикол, эта команда работает лишь в случае незначительного расхождения во времени между клиентом и контроллером домена!

ДОБАВЛЕНО 18 дек. 2015

При попытке проделать это в очередной раз, мой компьютер заявил мол команды устарели и теперь пользуйтесь программой w32tm.exe

Поэтому привожу алгоритм:

запускаем cmd с правами админа

смотрим с кем система синхронизируется
w32tm /query /peers

заставляем синхронизироваться только с контроллером домена
w32tm /config /syncfromflags:domhier /update

синхронизировать сейчас
w32tm /resync /rediscover

Часы данного сервера не синхронизированы с часами основного контроллера домена windows

Имеется домен, в нем 2 контроллера домена.

1 (dks-7) на Windows Server 2012 r2, на нем же все роли, включая PDC

2 (dks-virtual) на Windows Server 2008 r2. Второй контроллер домена.

Имеются проблемы с синхронизацией времени в домене.

Если на рядовом доменном ПК дать команду w32tm /query /peers, то ответ стандартный:

Узел партнера: dks-7.dikom.local
Состояние: Активный
Осталось времени: 435.5003790s
Режим: 3 (Клиент)
Страта: 2 (вторичная ссылка — синхронизирована с помощью (S)NTP)
ОдноранговыйИнтервал опроса: 10 (1024s)
УзелИнтервал опроса: 10 (1024s)

На dks-7 ответ другой: Он почему-то берет время у второго, хотя сам является PDC и реестре прописаны настройки внешних NTP [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time

Узел партнера: dks-virtual.dikom.local
Состояние: Активный
Осталось времени: 19.6620847s
Режим: 1 (Симметричный активный)
Страта: 1 (основная ссылка — синхронизирована по радиочасам)
ОдноранговыйИнтервал опроса: 6 (64s)
УзелИнтервал опроса: 6 (64s)

На самом же 2-м контроллере домена (dks-virtual) ответ на команду w32tm /query /peers

Узел партнера:
Состояние: В ожидании
Осталось времени: 55483.1835938s
Режим: 0 (зарезервировано)
Страта: 0 (не указан)
ОдноранговыйИнтервал опроса: 0 (не указан)
УзелИнтервал опроса: 0 (не указан)

В реестре на этом сервере прописаны внешние источники.

При всем при этом на dks-7 (PDC) время опережает время на всех остальных ПК, включая второй КД, с которого вроде как берет время, на полминуты. Но все равно, оно не эталонное.

Ну и сразу предвижу вопрос про dks-virtual. Да, он крутится на Hyper-V, но в настройках службы интеграции синхронизация времени отключена.

Вывод: Время в домене отстает от эталонного и никто его не получает, хотя фаервол этому не мешает. Есть сервер, который не в домене и он прекрасно синхронизируется с NTP в интернете.

Главный контроллер домена с ролью PDC судя по команде w32tm /query /peers берет время у второго КД, но реальное время другое. Рядовые ПК судя по той же команде берут время у PDC, но их время отличается от него и больше похоже, что они берут его у второго КД, однако в настройках этого нет.

Если на клиентских пк принудительно синхронизировать время w32tm /resync /rediscover, то ответ следующий:

«Отправка команды синхронизации на локальный компьютер
Синхронизация не выполнена, поскольку нет доступных данных о времени»