Установка сервера времени windows server 2016

Добрый день уважаемые читатели и гости блога pyatilistnik.org, как много люди говорят о времени, что оно быстро или медленно бежит, и все понимают, что оно бесценно и важно. Так и в инфраструктуре Active Directory, она является одним из важнейших факторов, правильного функционирования домена. В домене все друг другу доверяют, и один раз авторизовавшись и получив все тикеты от Kerberos, пользователь ходит куда угодно, ограничиваясь лишь своими доступными правами. Так вот если у вас не будет точного времени на ваших рабочих станциях к контроллеру домена, то можете считать, что у вас начинаются серьезные проблемы, о которых мы поговорим ниже и рассмотрим как их устранить с помощью настройки NTP сервера в Windows.

Синхронизация времени в Active Directory

Среди компьютеров, участвующих в Active Directory работает следующая схема синхронизация времени.

• Контроллер корневого домена в лесу AD, которому принадлежит FSMО-роль эмулятора PDC (назовем его корневым PDC), является источником времени для всех остальных контроллеров этого домена.
• Контроллеры дочерних доменов синхронизируют время с вышестоящих по топологии AD контроллеров домена.
• Рядовые члены домена (сервера и рабочие станции) синхронизируют свое время с ближайшим к ним доступным контроллером домена, соблюдая топологию AD.

Корневой PDC может синхронизировать свое время как со внешним источником, так и с самим собой, последнее задано конфигурацией по умолчанию и является абсурдом, о чем периодически намекают ошибки в системном журнале.

Синхронизация клиентов корневого PDC может осуществятся как с его внутренних часов, так и с внешнего источника. В первом случае сервер времени корневого PDC объявляет себя как «надежный» (reliable).

Далее я приведу оптимальную с моей точки зрения конфигурацию сервера времени корневого PDC, при которой сам корневой PDC периодически синхронизирует свое время от достоверного источника в интернете, а время обращающихся к нему клиентов синхронизирует со своими внутренними часами.

Вводим netdom query fsmo. В моем примере, роль PDC и NTP сервера, принадлежит контроллеру dc7

Конфигурация NTP-сервера на корневом PDC

Конфигурирование сервера времени в Windows (NTP-сервера) может осуществляться как с помощью утилиты командной строки w32tm, так и через реестр. Где возможно, я приведу оба варианта. Но в начале посмотрите полностью ваши настройки на компьютере, делается это командой:

EventLogFlags: 2 (Локально)
AnnounceFlags: 10 (Локально)
TimeJumpAuditOffset: 28800 (Локально)
MinPollInterval: 6 (Локально)
MaxPollInterval: 10 (Локально)
MaxNegPhaseCorrection: 172800 (Локально)
MaxPosPhaseCorrection: 172800 (Локально)
MaxAllowedPhaseOffset: 300 (Локально)

FrequencyCorrectRate: 4 (Локально)
PollAdjustFactor: 5 (Локально)
LargePhaseOffset: 50000000 (Локально)
SpikeWatchPeriod: 900 (Локально)
LocalClockDispersion: 10 (Локально)
HoldPeriod: 5 (Локально)
PhaseCorrectRate: 7 (Локально)
UpdateInterval: 100 (Локально)

NtpClient (Локально)
DllName: C:\Windows\system32\w32time.dll (Локально)
Enabled: 1 (Локально)
InputProvider: 1 (Локально)
CrossSiteSyncFlags: 2 (Локально)
AllowNonstandardModeCombinations: 1 (Локально)
ResolvePeerBackoffMinutes: 15 (Локально)
ResolvePeerBackoffMaxTimes: 7 (Локально)
CompatibilityFlags: 2147483648 (Локально)
EventLogFlags: 1 (Локально)
LargeSampleSkew: 3 (Локально)
SpecialPollInterval: 3600 (Локально)
Type: NT5DS (Локально)

NtpServer (Локально)
DllName: C:\Windows\system32\w32time.dll (Локально)
Enabled: 1 (Локально)
InputProvider: 0 (Локально)
AllowNonstandardModeCombinations: 1 (Локально)

VMICTimeProvider (Локально)
DllName: C:\Windows\System32\vmictimeprovider.dll (Локально)
Enabled: 1 (Локально)
InputProvider: 1 (Локально)

Включение синхронизации внутренних часов с внешним источником

• [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters]
  «Type»=»NTP»
• w32tm /config /syncfromflags:manual

Объявление NTP-сервера в качестве надежного

• [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config]
  «AnnounceFlags»=dword:0000000a
• w32tm /config /reliable:yes

NTP-сервер по умолчанию включен на всех контроллерах домена, однако его можно включить и на рядовых серверах.

• [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer]
  «Enabled»=dword:00000001

Задание списка внешних источников для синхронизации

• [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters]
  «NtpServer»=»time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 ru.pool.ntp.org,0x8»
• w32tm /config /manualpeerlist:»time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 ru.pool.ntp.org,0x8″

Флаг 0×8 на конце означает, что синхронизация должна происходить в режиме клиента NTP, через предложенные этим сервером интервалы времени. Для того, чтобы задать свой интервал синхронизации, необходимо использовать флаг 0×1.

Задание интервала синхронизации с внешним источником

Время в секундах между опросами источника синхронизации, по умолчанию 900с = 15мин. Работает только для источников, помеченных флагом 0×1.

• [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient]
  «SpecialPollInterval»=dword:00000384

Установка минимальной положительной и отрицательной коррекции

Максимальная положительная и отрицательная коррекция времени (разница между внутренними часами и источником синхронизации) в секундах, при превышении которой синхронизация не происходит. Рекомендую значение 0xFFFFFFFF, при котором коррекция сможет производиться всегда.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config]
«MaxPosPhaseCorrection»=dword:FFFFFFFF
«MaxNegPhaseCorrection»=dword:FFFFFFFF

Все необходимое одной строкой

w32tm.exe /config /manualpeerlist:»time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 pool.ntp.org,0x8″ /syncfromflags:manual /reliable:yes /update

Полезные команды

• Применение внесенных в конфигурацию службы времени изменений
  w32tm /config /update
• Принудительная синхронизация от источника
  w32tm /resync /rediscover
• Отображение состояния синхронизации контроллеров домена в домене
  w32tm /monitor
• Отображение текущих источников синхронизации и их статуса
  w32tm /query /peers

Настройка NTP сервера и клиента групповой политикой

Раз уж у нас с вами домен Active Directory, то глупо не использовать групповые политики, для массовой настройки серверов и рабочих станций, я покажу как настроить ваш NTP сервер в windows и клиента. Открываем оснастку «Редактор групповых политик». Перед тем как настроить наш NTP сервер в Windows, нам необходимо создать WMI фильтр, который будет применять политику, только к серверу мастера PDC.

Вводим имя запроса, пространство имен, будет иметь значение «root\CIMv2» и запрос «Select * from Win32_ComputerSystem where DomainRole = 5». Сохраняем его.

Затем вы создаете политику на контейнере Domain Controllers.

В самом низу политики применяете ваш созданный WMI фильтр.

Переходим в ветку: Конфигурация компьютера > Политики > Административные шаблоны > Система > Служба времени Windows > Поставщики времени.

Тут открываем политику «Настроить NTP-клиент Windows». Задаем параметры

• NtpServer: 0.ru.pool.ntp.org,0x1 1.ru.pool.ntp.org,0x1 2.ru.pool.ntp.org,0x1 3.ru.pool.ntp.org,0x1
• Type: NTP
• CrossSiteSyncFlags: 2. Двойка означает, если этот параметр равен 2 (Все), можно использовать любого участника синхронизации. Это значение игнорируется, если не задано значение NT5DS. Значение по умолчанию: 2 (десятичное) (0x02 (шестнадцатеричное))
• ResolvePeerBackoffMinutes: 15. Это значение, выраженное в минутах, определяет интервал ожидания службы W32time перед попыткой разрешения DNS-имени в случае неудачи. Значение по умолчанию: 15 минут
• Resolve Peer BAckoffMaxTimes: 7. Это значение определяет число попыток разрешения DNS-имени, предпринимаемых службой W32time перед перезапуском процесса обнаружения. При каждом неудачном разрешении DNS-имени интервал ожидания перед следующей попыткой удваивается. Значение по умолчанию: семь попыток.
• SpecilalPoolInterval: 3600. Это значение параметра NTP-клиента, выраженное в секундах, определяет частоту опроса настроенного вручную источника времени, который использует особый интервал опроса. Если для параметра NTPServer установлен флаг SpecialInterval, клиент использует значение, заданное как SpecialPollInterval, вместо значений MinPollInterval и MaxPollInterval, чтобы определить частоту опроса источника времени. Значение по умолчанию: 3600 секунд (1 час).
• EventLogFlags: 0

Делаем отдельную групповую политику для клиентских рабочих машин, вот с такими параметрами.

• NtpServer: Адрес вашего контроллера домена с ролью PDC.
• Type: NT5DS
• CrossSiteSyncFlags: 2
• ResolvePeerBackoffMinutes: 15
• Resolve Peer BAckoffMaxTimes: 7
• SpecilalPoolInterval: 3600
• EventLogFlags: 0

Далее идем на клиента и обновляем групповые политики gpupdate /force и вводим команду w32tm /query /status

Особенности виртуализированных контроллеров домена

Контроллеры домена, работающие в виртуализированной среде, требуют к себе особенного отношения.

• Средства синхронизации времени виртуальной машины и хостовой ОС должны быть выключены. Во всех адекватных системах виртуализации (Microsoft, vmWare и т. д.) присутствуют компоненты интеграции гостевой ОС с хостовой, которые значительно повышают производительность и управляемость гостевой системой. Среди этих компонентов всегда есть средство синхронизации времени гостевой ОС с хостовой, которое очень полезно для рядовых машин, но противопоказано для контроллеров домена. Потому как в этом случае весьма вероятен цикл, при котором контроллер домена и хостовая ОС будут синхронизировать друг друга. Последствия печальны.
• Для корневого PDC синхронизация с внешним источником должна быть настроена всегда. В виртуальной среде часы не настолько точны как в физической, потому как виртуальная машина работает с виртуальным процессором и прерываниями, для которых характерно как замедление, так и ускорение относительно «обычной» частоты. Если не настроить синхронизацию виртуализированного корневого PDC с внешним источником, время на всех компьютерах предприятия может убегать/отставать на пару часов в сутки. Не трудно представить неприятности, которые может принести такое поведение.

Как настроить NTP-сервер Windows Server 2016

Как сетевым администраторам, системам или вспомогательному персоналу важно, чтобы часы сервера и клиентских компьютеров и других устройств были синхронизированы, поскольку некоторые ошибки во времени могут существенно повлиять на задачи администрирования.

Хотя это может показаться неверным, если время сервера не синхронизировано с такими устройствами, как IP-камеры безопасности, устройства управления вводом и т. Д., Мы указываем неправильное время для контроля доступа или задачи наблюдения, которая является неправильной. Весь процесс планирования в Windows Server 2016 выполняется благодаря службе NTP, и сегодня мы увидим, как настроить ее в Windows Server 2016.

NTP (сетевой протокол времени) является одним из старейших протоколов, работающих на устройствах, он действует с 1985 года, основная функция которого заключается в поддержании синхронизации времени между всеми устройствами в сети.

NTP отвечает за то, что все клиентские компьютеры в домене имеют то же время, что и контроллер домена, и таким образом мы можем точно контролировать активность, которая происходит в сети в точное время.
Этот протокол NTP использует UDP-порт 123 по умолчанию. Этот протокол использует алгоритм Марзулло, который был разработан для выбора источников происхождения для точной оценки времени с использованием определенного количества неупорядоченных источников, использующих шкалу UTC для анализа.

Этот протокол имеет жизненно важное значение в контроллере домена Windows Server 2016, поскольку он позволяет:

• Аутентифицировать пользователя в сети
• Обмен файлами
• Отправка и получение почты
• Обновления клиентских компьютеров и др.

Важно уточнить, что контроллер домена отвечает за распределение времени на клиентских компьютерах.

1. Настройка NTP в Windows Server 2016

Шаг 1
Чтобы начать процесс настройки NTP, мы собираемся отредактировать определенную запись, и для этого мы должны получить доступ к редактору реестра, используя комбинацию клавиш Windows + R и введя термин regedit, нажмите Enter или Принять. В появившемся окне мы пойдем по следующему маршруту:

Шаг 2
Мы видим, что W32Time состоит из нескольких клавиш. Сначала мы получаем доступ к ключу Config и выбираем реестр AnnounceFlags, расположенный справа.

Шаг 3
Мы дважды щелкнем по этой записи или щелкнем правой кнопкой мыши / Изменить, и во всплывающем окне мы установим число 5 в поле Значение:

Шаг 4
Это значение относится к обновлению контроллера домена с помощью внешнего источника, нажмите кнопку ОК, чтобы сохранить изменения. Следующая запись, которую нужно изменить, — это запись типа, расположенная в ключе параметров.

В этом случае мы установим его значение в NTP. Нажмите кнопку ОК, чтобы сохранить изменения.

Шаг 5
В том же ключе Parameters мы настроим реестр с именем NtpServer и установим его значение для серверов NTP в соответствии с регионом, в котором мы находимся. Мы можем выполнить поиск этих серверов по следующим ссылкам:

• //www.pool.ntp.org/zone/@
• //tf.nist.gov/tf-cgi/servers.cgi

В этом примере мы установим три сервера:

Значение x01 указывает режим синхронизации в определенный интервал времени.

Чтобы добавить более одного сервера, просто оставьте пробел между ними.
Нажмите OK, чтобы сохранить изменения в этой записи.

Шаг 6
Теперь мы переходим к ключу TimeProviders и выбираем подключ NtpServer. В этом ключе мы должны убедиться, что регистр Enabled имеет значение 1, в противном случае мы щелкнем правой кнопкой мыши по этому регистру и изменим его значение на 1.

Шаг 7
Теперь перейдем к подразделу NtpClient и рассмотрим регистр SpecialPoolInterval.

Эта запись указывает временной интервал для синхронизации времени с внешними серверами, которые мы определили. Мы видим, что его значение составляет 3600 секунд / 1 час, это указывает на то, что процесс синхронизации будет происходить каждый час. Таким образом, мы можем закрыть редактор реестра в Windows Server 2016.

2. Проверка синхронизации

Шаг 1
Чтобы убедиться, что сервер принимает определенные параметры, мы открываем консоль командной строки и вводим следующую команду: Результат будет следующим:

Шаг 2
Мы можем убедиться, что вы по-прежнему используете локальный сервер в качестве контрольной точки для синхронизации, строка « Источник», потому что необходимо перезапустить службу NTP в Windows Server 2016.

• Чтобы остановить сервис мы будем использовать команду
• Чтобы запустить его снова, мы будем использовать команду

Шаг 3
В случае, если даже NTP синхронизируется локально, мы будем использовать следующую команду для принудительной синхронизации: Мы видим, что синхронизация происходит с указанным внешним сервером:

3. Проверка NTP на клиентских компьютерах

Шаг 1
Чтобы проверить, как работает NTP и его соответствующая синхронизация, мы получим доступ к клиентскому компьютеру, подключенному к домену, в данном случае это Windows 10, и мы изменим его текущее время:

Теперь мы открываем консоль командной строки на клиентском компьютере и выполняем следующую команду, чтобы проверить состояние синхронизации клиентского компьютера:

Мы проверяем, что синхронизация с контроллером домена, но этот процесс выполняется каждый час.

Шаг 2
Для принудительного обновления времени мы можем использовать эту команду еще раз, и мы увидим следующее.

Шаг 3
Помните, что эта команда должна выполняться от имени администратора. Еще одна полезная команда, которая выполняет ту же функцию принудительной синхронизации:

4. Модификация часового пояса

Шаг 1
Проблема с NTP заключается в том, что, хотя он может устанавливать и изменять время на клиентских компьютерах, он не может изменять часовой пояс, если это необходимо. Для этого мы создадим скрипт в Windows Server 2016, который автоматически запускается при входе в систему клиентских компьютеров для обновления их часового пояса. Для этого мы открываем записную книжку в Windows Server 2016 и вводим следующее: Параметр @echo off скрывает то, что выполняется.

Шаг 2
В строке tzutil мы добавили соответствующий часовой пояс к нашим регионам; Чтобы проверить это, мы можем выполнить командную строку и ввести команду

Там будут отображены все доступные часовые пояса. Этот файл должен быть сохранен с расширением .bat для выполнения.

Шаг 3
Теперь перейдем к Диспетчеру серверов / Инструменты / Управление групповой политикой, чтобы установить файл bat в начале каждого клиентского компьютера. В появившемся окне мы щелкнем правой кнопкой мыши на Default Domain Policy и выберите опцию Edit.

Шаг 4
В отображаемом окне мы идем к маршруту:

Шаг 5
Там мы дважды щёлкнем по Политике запуска и в появившемся окне нажмем кнопку Добавить и выберем только что созданный .bat файл с помощью кнопки Обзор

Нажмите OK, и мы увидим наш добавленный скрипт:

Нажмите « Применить», а затем « ОК», чтобы сохранить изменения.

Шаг 6
Другой вариант, поскольку мы можем установить этот профиль, это создать политику домена, где клиентские компьютеры ищут NTP-сервер. Для этого мы открываем диспетчер групповой политики и идем по следующему маршруту:

Там мы должны отредактировать политики правой панели, например, в политике Configure Windows NTP client мы установим следующие значения:

Прежде всего мы должны активировать поле Enabled и в поле NtpServer вводим имя нашего сервера. Остальные значения можно оставить по умолчанию, значение NT5DS отвечает за синхронизацию на клиентских компьютерах, а в поле SpecialPollInterval запомните, что указано время в секундах каждой синхронизации.

Наконец, мы включаем политику под названием « Включить клиент NTP Windows», установив флажок « Включено» и нажав «Применить / Принять». Таким образом, мы установили наш Windows Server 2016 в качестве NTP-сервера для правильной синхронизации времени и таким образом обеспечиваем синхронизацию всего оборудования, как и должно быть в корпоративной среде.