Синхронизация времени с внешним NTP сервером в Windows Server 2008 R2

Синхронизация времени – это достаточно важный и, зачастую, критичный аспект работы всех компьютерных систем в сети. По-умолчанию, клиентские компьютеры в сети Microsoft Windows синхронизируют свое время со своим контроллером домена, а контроллер домена берет время с контроллера домена, выполняющего роль мастера операций. В свою очередь, сервер с ролью мастера операций домена Active Directory (PDC), должен синхронизировать свое время с неким внешним источником времени. Рекомендуется использовать список NTP серверов, перечисленных на сайте NTP Pool Project . Прежде чем приступить к настройке синхронизации времени с внешним сервером, не забудьте открыть на своем межсетевом экране стандартный NTP порт — UDP 123 port (нужно разрешить как входящее, так и исходящее соединение).

1. Сначала, нужно определить свой PDC сервер с ролью FSMO. Откройте командную строку и наберите в ней: C:\>netdom/queryfsmo
2. Зайдите на найденный контроллер домена и откройте командную строку.
3. Остановите службу W32Time: C:\>net stop w32time
4. Настройте внешний источник времени: C:\> w32tm /config /syncfromflags:manual /manualpeerlist:”0.pool.ntp.org, 1.pool.ntp.org, 2.pool.ntp.org”
5. Теперь необходимо сделать ваш контроллер домена PDC доступным для клиентов: C:\>w32tm/config/reliable:yes
6. Запустите службу времени w32time: C:\>net start w32time
7. Теперь служба времени Windows должна начать синхронизацию времени с внешним источником. Посмотреть текущий внешний NTP сервер можно при помощи команды: C:\>w32tm/query/configuration
8. Не забудьте проверить журнал событий на наличие ошибок синхронизации.

Настройка внешнего источника времени для домена была протестирована и отработано на контроллере домена под управлением Windows Server 2008 R2 (Build 7600).
Будь в команде сетивых администраторов портал для всех портал для тебя.

Настройка синхронизации времени в домене Windows Server 2008 R2/2012 R2

Для правильного функционирования доменной среды Windows Server 2008 R2/2012 R2, является корректная работа службы времени Windows (W32Time).

Схема работы синхронизации времени в доменной среде Active Directory:

• Контроллер корневого домена в лесу AD, которому принадлежит FSMО-роль PDC-эмулятора, синхронизируется с внешними источниками точного времени. Он же является источником времени для всех остальных контроллеров этого домена.
• Контроллеры дочерних доменов в AD, синхронизируют время с вышестоящих контроллеров домена AD.
• Рядовые члены домена (сервера и рабочие станции) синхронизируют свое время с ближайшим к ним доступным контроллером домена, соблюдая топологию AD.

Служба времени в Windows (W32Time) не имеет графического интерфейса и настраивается из командной строки (утилита w32tm), с помощью реестра (HKLM\System\CurrentControlSet\Services\W32Time\Parameters) и посредством Групповой политики (Group Policy Managment)

Включение NTP-сервера

NTP-сервер по-умолчанию включен на всех контроллерах домена, но его можно включить и на рядовых серверах:

Конфигурация NTP-сервера

Задаем тип синхронизации внутренних часов, на использование внешнего источника. (Командная строка/Реестр):

• w32tm /config /syncfromflags:manual
• [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters] — «Type»=NTP

NoSync — NTP-сервер не синхронизируется с каким либо внешним источником времени. Используются системные часы, встроенные в микросхему CMOS самого сервера.
NTP — NTP-сервер синхронизируется с внешними серверами времени, которые указаны в параметре реестра NtpServer.
NT5DS — NTP-сервер производит синхронизацию согласно доменной иерархии.
AllSync — NTP-сервер использует для синхронизации все доступные источники.

Задание списка внешних источников для синхронизации, с которыми будет синхронизировать время данный сервер. По-умолчанию в этом параметре прописан NTP-сервер Microsoft (time.windows.com, 0×1). (Командная строка/Реестр):

• w32tm /config /manualpeerlist:»0.ru.pool.ntp.org,0x1 1.ru.pool.ntp.org,0x1 2.ru.pool.ntp.org,0x1″
• [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters] — «NtpServer»=0.ru.pool.ntp.org,0x1 1.ru.pool.ntp.org,0x1 2.ru.pool.ntp.org,0x1

0×1 – SpecialInterval, использование временного интервала опроса.
0×2 – режим UseAsFallbackOnly.
0×4 – SymmetricActive, симметричный активный режим.
0×8 – Client, отправка запроса в клиентском режиме.

Задание интервала синхронизации с внешним источником (для источников помеченных флагом 0×1). По-умолчанию время опроса задано — 3600 сек. (1 час). (Командная строка/Реестр):

• [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient] — «SpecialPollInterval»=3600

Объявление NTP-сервера в качестве надежного. (Командная строка/Реестр):

• w32tm /config /reliable:yes
• [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config] — «AnnounceFlags»=0000000a

После настройки необходимо обновить конфигурацию сервиса. Выполняем команду:

Отобразить текущую конфигурацию службы времени:

• w32tm /query /configuration

Получения информации о текущем сервере времени:

Отображение текущих источников синхронизации и их статуса:

Отображение состояния синхронизации контроллеров домена с компьютерами в домене:

• w32tm /monitor /computers:192.168.1.2

Отобразить разницу во времени между текущим и удаленным компьютером:

• w32tm /stripchart /computer:192.168.1.2 /samples:5 /dataonly

Удалить службу времени с компьютера:

Регистрация службы времени на компьютере. Создается заново вся ветка параметров в реестре:

Остановка службы времени:

Запуск службы времени:

net start w32time

Конфигурация NTP-сервера/клиента групповой политикой

Для централизованной настройки службы времени Windows, на серверах и рабочих станциях в доменной среде Active Directory, воспользуемся групповой политикой. На примере, выполним настройку для рабочих станций.

Переходим в ветку: Конфигурация компьютера (Computer Configuration) — Политики (Policies) — Административные шаблоны (Administrative Templates) — Система (System) — Служба времени Windows (Windows Time Service) — Поставщики времени (Time Providers).

Открываем параметр: Настроить NTP-клиент Windows (Configure Windows NTP Client)

• NtpServer — 192.168.1.2 (Адрес контроллера домена с ролью PDC)
• Type — NT5DS
• CrossSiteSyncFlags — 2
• ResolvePeerBackoffMinutes —15
• Resolve Peer BackoffMaxTimes — 7
• SpecilalPoolInterval — 3600
• EventLogFlags — 0

Настройка авторитетного сервера времени в Windows Server

В этой статье описывается настройка службы времени Windows и устранение неполадок при неправильной работе службы времени Windows.

Оригинальная версия продукта: Основные версии Windows Server 2012 Standard, Windows Server 2012
Исходный номер КБ: 816042

Чтобы настроить внутренний сервер времени для синхронизации с внешним источником времени, используйте следующий метод:

Чтобы настроить PDC в корне леса Active Directory для синхронизации с внешним источником времени, выполните следующие действия:

Измените тип сервера на NTP. Для этого выполните следующие действия:

Выберите > запуск, введите regedit, а затем выберите ОК.

Найдите и выделите следующий подраздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters

В области справа щелкните правой кнопкой мыши введите, а затем выберите Изменение.

В изменить значение введите NTP в поле данных Value, а затем выберите ОК.

Установите AnnounceFlags 5. Для этого выполните следующие действия:

Найдите и выберите следующий подкай реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config

В области справа щелкните правой кнопкой мыши AnnounceFlags и выберите Изменение.

В редактировании значения DWORD введите 5 в поле данных Значение, а затем выберите ОК.

• Если авторитетный сервер времени, настроенный для использования значения 0x5, не синхронизируется с сервером времени вверх по течению, клиентский сервер может неправильно синхронизироваться с авторитетным сервером времени при возобновлении синхронизации времени между авторитетным сервером времени и сервером времени вверх по AnnounceFlag течению. Поэтому, если у вас плохое сетевое подключение или другие проблемы, которые могут привести к сбою синхронизации времени авторитетного сервера на сервере выше по течению, установите значение 0xA, а не 0x5 AnnounceFlag .
• Если авторитетный сервер времени, настроенный для использования значения 0x5 и синхронизации с сервером времени вверх по течению с заданным фиксированным интервалом, клиентский сервер может неправильно синхронизироваться с авторитетным сервером времени после перезапуска авторитетного сервера AnnounceFlag SpecialPollInterval времени. Поэтому, если настроить авторитетный сервер времени для синхронизации с сервером NTP вверх по течению с фиксированным интервалом, указанным в, установите значение 0xA, а не SpecialPollInterval AnnounceFlag 0x5.

Включить NTPServer. Для этого выполните следующие действия:

Найдите и выделите следующий подраздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer

В области справа щелкните правой кнопкой мыши Включено, а затем выберите Изменение.

В изменить значение DWORD введите 1 в поле данных Значение, а затем выберите ОК.

Укажите источники времени. Для этого выполните следующие действия:

Найдите и откройте следующий подраздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters

В области справа щелкните правой кнопкой мыши NtpServer и выберите Изменение.

В редактировании значения введите одноранговые значения в поле данных Value, а затем выберите ОК.

Peers — это местоодатель для списка одноранговых аналогов, из которых компьютер получает отметки времени. Каждое имя DNS, которое перечислены, должно быть уникальным. Вы должны 0x1 до конца каждого имени DNS. Если вы не 0x1 до конца каждого имени DNS, изменения, внесенные в шаге 5, не вступят в силу.

Настройка параметров коррекции времени. Для этого выполните следующие действия:

Найдите и нажмите следующий подкай реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config

В области справа щелкните правой кнопкой мыши MaxPosPhaseCorrection и выберите Изменение.

В изменить значение DWORD щелкните, чтобы выбрать десятичной знак в базовом окне.

В редактировании значения DWORD введите TimeInSeconds в поле данных Value, а затем выберите ОК.

TimeInSeconds — это местоодатель для разумного значения, например 1 часа (3600) или 30 минут (1800). Выбранное значение зависит от интервала опроса, состояния сети и внешнего источника времени.
По умолчанию значение MaxPosPhaseCorrection составляет 48 часов в Windows Server 2008 R2 или более поздней части.

Найдите и откройте следующий подраздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config

В области справа щелкните правой кнопкой мыши MaxNegPhaseCorrection и выберите Изменение.

В изменить значение DWORD щелкните, чтобы выбрать десятичной знак в базовом окне.

В редактировании значения DWORD введите TimeInSeconds в поле данных Value, а затем выберите ОК.

TimeInSeconds — это местоодатель для разумного значения, например 1 часа (3600) или 30 минут (1800). Выбранное значение зависит от интервала опроса, состояния сети и внешнего источника времени.
По умолчанию значение MaxNegPhaseCorrection составляет 48 часов в Windows Server 2008 R2 или более поздней части.

Закройте редактор реестра.

В командной подсказке введите следующую команду для перезапуска службы Времени Windows и нажмите кнопку Ввод:

Устранение неполадок

Чтобы служба Времени Windows функционировала правильно, инфраструктура сети должна функционировать правильно. Наиболее распространенные проблемы, влияющие на службу Времени Windows, включают следующие:

• Существует проблема с подключением TCP/IP, например с мертвым шлюзом.
• Служба разрешения имен работает неправильно.
• В сети возникают большие задержки громкости, особенно если синхронизация происходит по ссылкам широкой сети WAN с высокой задержкой.
• Служба Времени Windows пытается синхронизироваться с неточными источниками времени.

Рекомендуется использовать Netdiag.exe для устранения проблем, связанных с сетью. Netdiag.exe входит в пакет средств поддержки Windows Server 2003. Полный список параметров командной строки, которые можно использовать с помощью Netdiag.exe. Если проблема еще не решена, можно включить журнал отлажки службы Windows Time. Так как журнал отключки может содержать очень подробные сведения, рекомендуется обращаться в службы поддержки клиентов Майкрософт при включив журнал отработки отработки службы Windows Time.

В особых случаях плата, которая обычно взимается за вызовы поддержки, может быть отменена, если специалист службы поддержки Майкрософт решит проблему с определенным обновлением. Обычные расходы на поддержку будут применяться к дополнительным вопросам и вопросам поддержки, которые не отвечают требованиям для конкретного обновления.

Дополнительные сведения

Windows Server включает W32Time — средство службы времени, которое требуется протоколом проверки подлинности Kerberos. Служба Windows Time позволяет использовать общее время для всех компьютеров в организации, которая работает с операционной системой Microsoft Windows 2000 Server или более поздними версиями.

Для обеспечения надлежащего общего использования времени служба Времени Windows использует иерархические отношения, контролирующие полномочия, а служба времени Windows не позволяет использовать циклы. По умолчанию компьютеры на базе Windows используют следующую иерархию:

• Все клиентские настольные компьютеры назначают контроллер домена проверки подлинности в качестве своего связанного партнера по времени.
• Все серверы-члены следуют одному и том же процессу, что и клиентские настольные компьютеры.
• Все контроллеры домена в домене назначают основного мастера операций контроллера домена (PDC) в качестве своего связанного партнера по времени.
• Все мастера операций PDC следуют иерархии доменов при выборе своего связанного партнера по времени.

В этой иерархии мастер операций PDC в корне леса становится авторитетным для организации. Настоятельно рекомендуется настроить авторитетный сервер времени для получения времени из аппаратного источника. При настройке авторитетного сервера времени для синхронизации с источником времени в Интернете проверка подлинности не происходит. Мы также рекомендуем уменьшить параметры коррекции времени для серверов и автономных клиентов. Эти рекомендации обеспечивают большую точность и безопасность вашего домена.

Ссылки

Дополнительные сведения о службе Windows Time см. в этой версии:

Дополнительные сведения о службе времени Windows см. в см. в w32Time.