Настройка авторитетного сервера времени в Windows Server

В этой статье описывается настройка службы времени Windows и устранение неполадок при неправильной работе службы времени Windows.

Оригинальная версия продукта: Основные версии Windows Server 2012 Standard, Windows Server 2012
Исходный номер КБ: 816042

Чтобы настроить внутренний сервер времени для синхронизации с внешним источником времени, используйте следующий метод:

Чтобы настроить PDC в корне леса Active Directory для синхронизации с внешним источником времени, выполните следующие действия:

Измените тип сервера на NTP. Для этого выполните следующие действия:

Выберите > запуск, введите regedit, а затем выберите ОК.

Найдите и выделите следующий подраздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters

В области справа щелкните правой кнопкой мыши введите, а затем выберите Изменение.

В изменить значение введите NTP в поле данных Value, а затем выберите ОК.

Установите AnnounceFlags 5. Для этого выполните следующие действия:

Найдите и выберите следующий подкай реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config

В области справа щелкните правой кнопкой мыши AnnounceFlags и выберите Изменение.

В редактировании значения DWORD введите 5 в поле данных Значение, а затем выберите ОК.

• Если авторитетный сервер времени, настроенный для использования значения 0x5, не синхронизируется с сервером времени вверх по течению, клиентский сервер может неправильно синхронизироваться с авторитетным сервером времени при возобновлении синхронизации времени между авторитетным сервером времени и сервером времени вверх по AnnounceFlag течению. Поэтому, если у вас плохое сетевое подключение или другие проблемы, которые могут привести к сбою синхронизации времени авторитетного сервера на сервере выше по течению, установите значение 0xA, а не 0x5 AnnounceFlag .
• Если авторитетный сервер времени, настроенный для использования значения 0x5 и синхронизации с сервером времени вверх по течению с заданным фиксированным интервалом, клиентский сервер может неправильно синхронизироваться с авторитетным сервером времени после перезапуска авторитетного сервера AnnounceFlag SpecialPollInterval времени. Поэтому, если настроить авторитетный сервер времени для синхронизации с сервером NTP вверх по течению с фиксированным интервалом, указанным в, установите значение 0xA, а не SpecialPollInterval AnnounceFlag 0x5.

Включить NTPServer. Для этого выполните следующие действия:

Найдите и выделите следующий подраздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer

В области справа щелкните правой кнопкой мыши Включено, а затем выберите Изменение.

В изменить значение DWORD введите 1 в поле данных Значение, а затем выберите ОК.

Укажите источники времени. Для этого выполните следующие действия:

Найдите и откройте следующий подраздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters

В области справа щелкните правой кнопкой мыши NtpServer и выберите Изменение.

В редактировании значения введите одноранговые значения в поле данных Value, а затем выберите ОК.

Peers — это местоодатель для списка одноранговых аналогов, из которых компьютер получает отметки времени. Каждое имя DNS, которое перечислены, должно быть уникальным. Вы должны 0x1 до конца каждого имени DNS. Если вы не 0x1 до конца каждого имени DNS, изменения, внесенные в шаге 5, не вступят в силу.

Настройка параметров коррекции времени. Для этого выполните следующие действия:

Найдите и нажмите следующий подкай реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config

В области справа щелкните правой кнопкой мыши MaxPosPhaseCorrection и выберите Изменение.

В изменить значение DWORD щелкните, чтобы выбрать десятичной знак в базовом окне.

В редактировании значения DWORD введите TimeInSeconds в поле данных Value, а затем выберите ОК.

TimeInSeconds — это местоодатель для разумного значения, например 1 часа (3600) или 30 минут (1800). Выбранное значение зависит от интервала опроса, состояния сети и внешнего источника времени.
По умолчанию значение MaxPosPhaseCorrection составляет 48 часов в Windows Server 2008 R2 или более поздней части.

Найдите и откройте следующий подраздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config

В области справа щелкните правой кнопкой мыши MaxNegPhaseCorrection и выберите Изменение.

В изменить значение DWORD щелкните, чтобы выбрать десятичной знак в базовом окне.

В редактировании значения DWORD введите TimeInSeconds в поле данных Value, а затем выберите ОК.

TimeInSeconds — это местоодатель для разумного значения, например 1 часа (3600) или 30 минут (1800). Выбранное значение зависит от интервала опроса, состояния сети и внешнего источника времени.
По умолчанию значение MaxNegPhaseCorrection составляет 48 часов в Windows Server 2008 R2 или более поздней части.

Закройте редактор реестра.

В командной подсказке введите следующую команду для перезапуска службы Времени Windows и нажмите кнопку Ввод:

Устранение неполадок

Чтобы служба Времени Windows функционировала правильно, инфраструктура сети должна функционировать правильно. Наиболее распространенные проблемы, влияющие на службу Времени Windows, включают следующие:

• Существует проблема с подключением TCP/IP, например с мертвым шлюзом.
• Служба разрешения имен работает неправильно.
• В сети возникают большие задержки громкости, особенно если синхронизация происходит по ссылкам широкой сети WAN с высокой задержкой.
• Служба Времени Windows пытается синхронизироваться с неточными источниками времени.

Рекомендуется использовать Netdiag.exe для устранения проблем, связанных с сетью. Netdiag.exe входит в пакет средств поддержки Windows Server 2003. Полный список параметров командной строки, которые можно использовать с помощью Netdiag.exe. Если проблема еще не решена, можно включить журнал отлажки службы Windows Time. Так как журнал отключки может содержать очень подробные сведения, рекомендуется обращаться в службы поддержки клиентов Майкрософт при включив журнал отработки отработки службы Windows Time.

В особых случаях плата, которая обычно взимается за вызовы поддержки, может быть отменена, если специалист службы поддержки Майкрософт решит проблему с определенным обновлением. Обычные расходы на поддержку будут применяться к дополнительным вопросам и вопросам поддержки, которые не отвечают требованиям для конкретного обновления.

Дополнительные сведения

Windows Server включает W32Time — средство службы времени, которое требуется протоколом проверки подлинности Kerberos. Служба Windows Time позволяет использовать общее время для всех компьютеров в организации, которая работает с операционной системой Microsoft Windows 2000 Server или более поздними версиями.

Для обеспечения надлежащего общего использования времени служба Времени Windows использует иерархические отношения, контролирующие полномочия, а служба времени Windows не позволяет использовать циклы. По умолчанию компьютеры на базе Windows используют следующую иерархию:

• Все клиентские настольные компьютеры назначают контроллер домена проверки подлинности в качестве своего связанного партнера по времени.
• Все серверы-члены следуют одному и том же процессу, что и клиентские настольные компьютеры.
• Все контроллеры домена в домене назначают основного мастера операций контроллера домена (PDC) в качестве своего связанного партнера по времени.
• Все мастера операций PDC следуют иерархии доменов при выборе своего связанного партнера по времени.

В этой иерархии мастер операций PDC в корне леса становится авторитетным для организации. Настоятельно рекомендуется настроить авторитетный сервер времени для получения времени из аппаратного источника. При настройке авторитетного сервера времени для синхронизации с источником времени в Интернете проверка подлинности не происходит. Мы также рекомендуем уменьшить параметры коррекции времени для серверов и автономных клиентов. Эти рекомендации обеспечивают большую точность и безопасность вашего домена.

Ссылки

Дополнительные сведения о службе Windows Time см. в этой версии:

Дополнительные сведения о службе времени Windows см. в см. в w32Time.

Сервер синхронизации времени windows 2012

Настройка NTP в Windows Server 2012

Настройка времени в серверных операционных системах Windows с помощью протокола NTP является критичной для многих служб. Без правильного настроенного времени, а точнее при рассогласовании часов на сервере и рабочих станциях не могут правильно работать многие протоколы Active Directory и сервисы синхронизации. Установка и поддержка часов с помощью NTP является простой задачей, связанной иногда, однако, с некоторыми сложностями, которые мы попытаемся рассмотреть в этой статье.

Для примера будем использовать не самую свежую систему — Windows Server 2012. Она является наиболее распространенной и, в то же время, для многих других систем, включая Windows Server 2008, Windows Server 2016 применимы аналогичные команды и правила. Следует отметить, что описание касается настройки окружения с единственным главным контроллером PDC. Более сложные варианты не рассматриваются.

Сброс настроек NTP

Для того, чтобы перевести службу NTP в «дефолтное» состояние, необходимо выполнить следующие команды:

Stop-Service w32time w32tm /unregister w32tm /register

В данном случае они останавливают сервис, разрегистрируют сервис и регистрируют его в системе заново. Следует выполнять эти команды только в случае существенной необходимости. Как правило, нужды в них нет — NTP настраивается, если учтены другие обстоятельства системы.

Команды установки NTP в обычном случае

Для того, чтобы настроить протокол сетевого времени на контроллере Windows Server, прежде всего необходимо отключить синхронизацию посредством Hyper-V, если контроллер виртуализирован с помощью этой технологии. Для этого нужно зайти в настройки и снять галочку с пункта Time Synchronization в разделе Management -> Integration Services

Для тех, кто не использует Hyper-V, предыдущий шаг можно опустить.

Далее, запустить Power-Shell и ввести команды:

w32tm /config /manualpeerlist:pool.ntp.org /syncfromflags:MANUAL Stop-Service w32time Start-Service w32time

На этом установка в качестве основного ntp-сервера одного из pool.ntp.org закончена.

Выбор ntp-сервера

Однако нет жесткой необходимости использовать именно этот сервер. Для тех, кто находится в интранете, для тех, у кого есть предпочтения по геолокации или другим параметрам, можно указать другой сервер. Или даже список в кавычках, разделенный пробелами:

w32tm /config /manualpeerlist:»0.de.pool.ntp.org 1.de.pool.ntp.org» /syncfromflags:MANUAL

Протокол UDP для NTP и блокировка файрволом

Протокол времени использует для своей связи порт UDP с номером 123 в стандартной конфигурации. Необходимо следить за тем, чтобы файрвол не блокировал этот порт. В случае, если блокировка происходит, в логах ntp будет масса информации о том, что соединение невозможно:

Log Name: System
Source: Microsoft-Windows-Time-Service
Event ID: 47
Level: Warning
Description: Time Provider NtpClient: No valid response has been received from manually configured peer pool.ntp.org after 8 attempts to contact it. This peer will be discarded as a time source and NtpClient will attempt to discover a new peer with this DNS name. The error was: The peer is unreachable.

Для того, чтобы убедиться, что проблема именно в этом, можно включить вывод дополнительной отладочной информации. Настраиваем логи Windows Server таким образом, чтобы в них писалась вся необходимая информация, но они не росли больше, чем 20 мегабайт:

w32tm /debug /enable /file:C:\tmp\ntp.log /size:20971520 /entries:0-300

Следите за тем, чтобы на диске присутствовал каталог C:\tmp куда будут записаны логи.

После того, как ошибка будет отловлена, вывод дополнительной отладочной информации можно будет отключить:

w32tm /debug /disable

Блокировка ntp файрволом отлавливается по фразе в отладке:

— Logging error: NtpClient has been configured to acquire time from one or more time sources, however none of the sources are currently accessible and no attempt to contact a source will be made for 1 minutes. NTPCLIENT HAS NO SOURCE OF ACCURATE TIME.

В этом случае (да, в общем, сразу с целью проверки) необходимо проверить правило в файрволе

И, в случае необходимости, поменять правило или добавить его.

Проверка правильности работы ntp

Чтобы проверить — все ли работает правильно, можно запустить синхронизацию вручную:

Если все прошло успешно, получите сообщение:

Sending resync command to local computer
The command completed successfully.

Если есть проблемы — сообщение:

The computer did not resync because no time data was available.

Во втором случае необходимо проверить все сначала: файрвол, правильность заданных серверов (не ошиблись ли в имени). Если что — информацию о сбросе настроек мы уже приводили.

Настройка синхронизации времени в домене Windows Server 2008 R2/2012 R2

Для правильного функционирования доменной среды Windows Server 2008 R2/2012 R2, является корректная работа службы времени Windows (W32Time).

Схема работы синхронизации времени в доменной среде Active Directory:

• Контроллер корневого домена в лесу AD, которому принадлежит FSMО-роль PDC-эмулятора, синхронизируется с внешними источниками точного времени. Он же является источником времени для всех остальных контроллеров этого домена.
• Контроллеры дочерних доменов в AD, синхронизируют время с вышестоящих контроллеров домена AD.
• Рядовые члены домена (сервера и рабочие станции) синхронизируют свое время с ближайшим к ним доступным контроллером домена, соблюдая топологию AD.

Служба времени в Windows (W32Time) не имеет графического интерфейса и настраивается из командной строки (утилита w32tm), с помощью реестра (HKLM\System\CurrentControlSet\Services\W32Time\Parameters) и посредством Групповой политики (Group Policy Managment)

Включение NTP-сервера

NTP-сервер по-умолчанию включен на всех контроллерах домена, но его можно включить и на рядовых серверах:

Конфигурация NTP-сервера

Задаем тип синхронизации внутренних часов, на использование внешнего источника. (Командная строка/Реестр):

• w32tm /config /syncfromflags:manual
• [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters] — «Type»=NTP

NoSync — NTP-сервер не синхронизируется с каким либо внешним источником времени. Используются системные часы, встроенные в микросхему CMOS самого сервера.
NTP — NTP-сервер синхронизируется с внешними серверами времени, которые указаны в параметре реестра NtpServer.
NT5DS — NTP-сервер производит синхронизацию согласно доменной иерархии.
AllSync — NTP-сервер использует для синхронизации все доступные источники.

Задание списка внешних источников для синхронизации, с которыми будет синхронизировать время данный сервер. По-умолчанию в этом параметре прописан NTP-сервер Microsoft (time.windows.com, 0×1). (Командная строка/Реестр):

• w32tm /config /manualpeerlist:»0.ru.pool.ntp.org,0x1 1.ru.pool.ntp.org,0x1 2.ru.pool.ntp.org,0x1″
• [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters] — «NtpServer»=0.ru.pool.ntp.org,0x1 1.ru.pool.ntp.org,0x1 2.ru.pool.ntp.org,0x1

0×1 – SpecialInterval, использование временного интервала опроса.
0×2 – режим UseAsFallbackOnly.
0×4 – SymmetricActive, симметричный активный режим.
0×8 – Client, отправка запроса в клиентском режиме.

Задание интервала синхронизации с внешним источником (для источников помеченных флагом 0×1). По-умолчанию время опроса задано — 3600 сек. (1 час). (Командная строка/Реестр):

• [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient] — «SpecialPollInterval»=3600

Объявление NTP-сервера в качестве надежного. (Командная строка/Реестр):

• w32tm /config /reliable:yes
• [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config] — «AnnounceFlags»=0000000a

После настройки необходимо обновить конфигурацию сервиса. Выполняем команду:

Отобразить текущую конфигурацию службы времени:

• w32tm /query /configuration

Получения информации о текущем сервере времени:

Отображение текущих источников синхронизации и их статуса:

Отображение состояния синхронизации контроллеров домена с компьютерами в домене:

• w32tm /monitor /computers:192.168.1.2

Отобразить разницу во времени между текущим и удаленным компьютером:

• w32tm /stripchart /computer:192.168.1.2 /samples:5 /dataonly

Удалить службу времени с компьютера:

Регистрация службы времени на компьютере. Создается заново вся ветка параметров в реестре:

Остановка службы времени:

Запуск службы времени:

net start w32time

Конфигурация NTP-сервера/клиента групповой политикой

Для централизованной настройки службы времени Windows, на серверах и рабочих станциях в доменной среде Active Directory, воспользуемся групповой политикой. На примере, выполним настройку для рабочих станций.

Переходим в ветку: Конфигурация компьютера (Computer Configuration) — Политики (Policies) — Административные шаблоны (Administrative Templates) — Система (System) — Служба времени Windows (Windows Time Service) — Поставщики времени (Time Providers).

Открываем параметр: Настроить NTP-клиент Windows (Configure Windows NTP Client)

• NtpServer — 192.168.1.2 (Адрес контроллера домена с ролью PDC)
• Type — NT5DS
• CrossSiteSyncFlags — 2
• ResolvePeerBackoffMinutes —15
• Resolve Peer BackoffMaxTimes — 7
• SpecilalPoolInterval — 3600
• EventLogFlags — 0