Настройка синхронизации времени в домене

Как настроить синхронизацию времени во всём домене сразу? И так, чтобы работало дальше само? А когда контроллер домена с ролью PDC изменится, что делать? А если уже синхронизация времени в домене настроена, но работает плохо, как починить?
Обо всём этом читайте в этой статье.

Немного теории

Синхронизация времени в домене может (теоретически) работать сама, безо всяких настроек. Выглядит это обычно так:

1. Компьютеры домена и серверы синхронизируют свое время с контроллерами домена (с ближайшими к ним).
2. Контроллеры домена синхронизируют свое время с контроллером домена, которому назначена FSMO роль PDC (в терминах windows 2000 — «первичный контроллер домена»).
3. Контроллер домена (КД) с ролью PDC синхронизирует время с внешним источником.

А дальше — начинаются ньюансы:

• Если контроллер домена виртуальный, в настройках виртуальной машины должна быть выключена синхронизация времени [с хостом]. Иначе (если, к примеру, хост с виртуальными машинами — в домене): виртуальный контроллер домена будет (автоматически) синхронизировать время с хостом, а хост — с ближайшим контроллером домена, т.е. со своей виртуалкой.
• Если синхронизация времени уже настроена (вручную или через групповые политики) то задаваемые Вами новые настройки могуть не примениться (несмотря на сообщение successful во всех командах) и тогда потребуется полный сброс настроек синхронизации времени на проблемных компьютерах или контроллерах домена.

Как проверить, работает ли синхронизация времени в домене?

До того, как что-либо «ломать» (и в процессе настройки, чтобы проверять эффективность вносимых изменений) необходимо производить диагностику текущего состояния, а также анализировать текущую конфигурацию службы времени. Этому призваны помочь несколько команд, указанных ниже.

Команда
w32tm /monitor

1. Может быть выполнена на любом компьютере (или контроллере) домена.
2. Показывает список всех контроллеров домена (с которыми может выполняться синхронизация времени).
3. Для каждого контроллера домена в поле «NTP:» отображает разницу во времени с PDC контроллером домена (который является источником для синхронизации времени во всём домене).
4. Для каждого контроллера домена в поле «RefID:» отображается информация об источнике синхронизации времени для этого контроллера домена. Для всех контроллеров домена (кроме КД с ролью PDC) это должен быть либо другой контроллер домена, либо КД с ролью PDC.

Команда
w32tm /query /Source
или
w32tm /query /peers

1. Может быть выполнена на любом компьютере или контроллере домена.
2. Показывает источник для синхронизации времени (с каким компьютером синхронизируется время того компьютера, на котором запущена эта команда). Для любых компьютеров/серверов это должен быть один из контроллеров домена, для любого контроллера домена (кроме PDC) это должен быть другой КД (обычно — с ролью PDC), для КД с ролью PDC это должен быть внешний источник синхронизации времени (интернет).
   Если в результатах выполнения команды отобразилось сообщение «VM IC Time Synchronization Provider» — значит, эта виртуальная машина синхронизируется с хостом виртуализации. Если эта виртуальная машина — один из контроллеров домена, такую настройку следует изменить!

Команда
w32tm /query /Configuration /verbose

1. Может быть выполнена на любом компьютере или контроллере домена.
2. Выводит все настройки службы времени windows для текущего компьютера.
3. Убедитесь, что в результатах выполнения команды на всех компьютерах и контроллерах домена (кроме PDC) в разделе [TimeProviders] поле Type имеет значение NT5DS. Если это не так, настройки синхронизации на таких компьютерах надо исправлять (как — см. далее).
4. Если у Вас Windows 2003, то Вы не можете выполнить эту команду. Вместо этого Вы можете посмотреть параметры конфигурации службы времени в реестре: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters, в частности параметр Type.

Команда
w32tm /query /status /verbose

1. Может быть выполнена на любом компьютере или контроллере домена.
2. Отображет состояние синхронизации (в т.ч. источник синхронизации, время и статус последней синхронизации) для компьютера, на котором выполняется. Опция «/verbose» дает более подробную информацию.

Команда
w32tm /stripchart /computer:» » /samples:3 /dataonly

Сравнивает время (и отображает разницу во времени) на текущем компьютере с компьютером, указанном в аргументе /computer. Компьютер-источник для сравнения времени может быть как в интернете, так и в локальном домене. Примеры команды:
w32tm /stripchart /computer:»ntp.org» /samples:3 /dataonly
или
w32tm /stripchart /computer:»dc1.domain.local» /samples:3 /dataonly

Как исправить настройки синхронизации времени

Настройка синхронизации времени на компьютерах и контроллерах домена
(кроме КД с ролью PDC)

1. Найдите все групповые политики, изменяющие настройки синхронизации времени, и отключите такие политики. Через групповые политики служба времени настраивается здесь: gpedit.msc => «Computer Configuration» => «Administrative Templates» => «System» => «Windows Time Service» => «Time Providers». Проверьте, что политики синхронизации времени не применяются, для этого можно выполнить команду:
   gpresult /R
2. Проверьте, что на всех виртуальных машинах — контроллерах домена отключена синхронизация времени с хостами виртуализации. Для этого (в Hyper-V) можно зайти в свойства виртуальной машины, раздел средств интеграции и отключить синхронизацию времени. После чего конфигурацию службы времени (на виртуальном контроллере домена) нужно обновить.
3. Обновите конфигурацию на всех проблемных компьютерах / контроллерах домена (кроме КД с ролью PDC):
   w32tm /config /syncfromflags:DOMHIER /update
4. Выполните принудительную синхронизацию времени, дав команду заново найти источники синхронизации времени:
   w32tm /resync /rediscover
5. Если вышеуказанные действия не помогают, перезагрузите службу времени (на проблемных компьютерах)
   net stop w32time
   net start w32time
   и заново выполните пункты 3 и 4.
6. Если вышеуказанные действия не помогли решить проблему с синхронизацией времени, необходима перерегистрация службы времени на проблемных компьютерах (и повторная настройка параметров).
   net stop w32time
   w32tm /unregister
   w32tm /register
   net start w32time

Настройка синхронизации времени на контроллере домена с ролью PDC

Настройки времени на КД с ролью PDC принципиально отличаются от настроек на всех остальных компьютерах в домене (включая остальные контроллеры домена). PDC является источником времени во всём домене, именно его время будет использовано (прямо или косвенно — через другие контроллеры домена) всеми остальными компьютерами.

1. Если контроллер домена с ролью PDC — виртуальная машина, убедитесь, в настройках этой виртуальной машины отключена синхронизациия времени с хостом, на котором она находится!
2. Убедитесь, что групповые политики синхронизации времени во всем домене (если они у Вас есть) не применяются к КД с ролью PDC! У этого компьютера источник времени — в интернете, и тип синхронизации времени (в отличие от всего остального домена) не NT5DS, а NTP!
3. Если есть сомнения в том, что синхронизация времени на КД с ролью PDC выполняется правильно, проще всего выполнить перерегистрацию и повторную настройку службы времени.

Перерегистрация службы времени на контроллере домена с ролью PDC

Для отмены регистрации и повторной регистрации службы времени выполните следующие команды:

net stop w32time
w32tm /unregister
w32tm /register
net start w32time

Настройка синхронизации времени на контроллере домена с ролью PDC

Наш КД с ролью PDC необходимо настроить на синхронизацию с внешним источником (в интернете). Для этой цели не подходит тип синхронизации NT5DS и синхронизации в соответствии с иерархией домена (DOMHIER). Поэтому на нашем КД с ролью PDC мы используем тип синхронизации NTP и синхронизация будет настроена вручную (MANUAL). Источники синхронизации (peers) указываются в кавычках, а если таких источников несколько, то они перечисляются через запятую. Кроме того, мы даем указание считать данный источник синхронизации (КД с ролью PDC) надежным источником времени (reliable):

w32tm /config /syncfromflags:manual /manualpeerlist:»0.pool.ntp.org, 1.pool.ntp.org, 2.pool.ntp.org» /reliable:yes /update

Теперь можно ускорить применение параметров и синхронизацию времени, перезагрузив службу времени и форсировав синхронизацию:

net stop w32time
net start w32time
w32tm /resync /force или w32tm /resync /rediscover

После выполнения этих команд (сделав паузу в несколько минут на применение параметров и выполнение синхронизации) сравните время на контроллере домена с временем в интернете:

w32tm /stripchart /computer:»0.ru.pool.ntp.org» /samples:3 /dataonly

Не забудьте проверить, что на всех контроллерах домена время синхронизировалось с PDC. Для этого наберите команду:

Всё должно заработать!

P.S.: Обратите внимание, что применение параметров команды w32tm требует времени. Поэтому после каждого обновления конфигурации рекомендуем делать паузу в 1-5 минут, а потом уже проверять, обновилась ли конфигурация службы времени, и как всё работает.

Источники информации для данной статьи:

Статья опубликована: 20.08.2017, обновлена 31.01.2020

Настройка службы времени Windows с большим смещением времени

В этой статье описывается настройка службы времени Windows с большим смещением времени.

Исходная версия продукта: Windows 10 — все выпуски, Windows Server 2012 R2
Исходный номер КБ: 884776

Введение

Операционные системы Windows включают средство службы времени (службу W32Time), используемую протоколом проверки подлинности Kerberos. Проверка подлинности Kerberos будет работать, если интервал времени между соответствующими компьютерами находится в пределах максимального включенного интервала времени. Значение по умолчанию — 5 минут. Вы также можете отключить средство службы времени. Затем можно установить сторонную службу времени.

Средство службы времени предназначено для того, чтобы убедиться, что все компьютеры в организации под управлением Операционной системы Windows 2000 или более поздних версий используют общее время. Чтобы убедиться, что используется подходящее время, служба времени использует иерархическую связь, которая управляет полномочиями. По умолчанию компьютеры с Windows используют следующую иерархию:

Все настольные компьютеры клиента назначают контроллер домена для проверки подлинности в качестве достоверного источника времени.

В домене все серверы следуют той же процедуре, что и настольные компьютеры клиента.

Все контроллеры домена в домене назначают основного контроллера домена (PDC) в качестве источника времени.

Все мастера операций PDC следуют иерархии доменов в выборе источника времени. Однако в хозяинах операций PDC может быть родительский контроллер домена, основанный на прорисовки большого числа.

Число стратума определяет, насколько близко сервер времени находится к основному источнику ссылок.

Чем меньше число, тем ближе сервер к основному источнику времени. В этой иерархии хозяин операций PDC в корне леса становится полномочного сервера времени для организации. Настоятельно рекомендуется настроить до полномочного сервера времени для сбора времени из источника оборудования. При попытке настроить достоверный сервер времени для синхронизации с источником интернет-времени проверка подлинности не происходит. Кроме того, рекомендуется сократить параметры исправления времени для серверов и автономных клиентов. При следовать этим рекомендациям домену предоставляется более точное время.

Дополнительные сведения

Обзор откатов времени показывает, что компьютеры могут использовать время, которое может быть дней, месяцев, лет или даже десятков лет в будущем или в прошлом. Следующие проблемы могут возникать, когда компьютеры передвигаются вперед или назад во времени:

• Пароли учетных записей компьютеров, учетных записей пользователей и отношений доверия могут быть обновлены раньше времени.
• Карантин можно определить с помощью события репликации NTDS 2042 в репликации службы каталогов Active Directory.
• Несоответствие паролей достоверно восстанавливается для учетных записей компьютеров, учетных записей пользователей или отношений доверия. Для восстановления после таких несоответствий может потребоваться ручное сброс паролей для всех затронутых учетных записей и доверия.

Защита от откатов и откатов времени

При перезапуске компьютеров и циклов питания BIOS сохраняет время в локальном EPROM, расположенном в платы компьютера. Когда Windows запускается, ядро извлекет текущее время из BIOS. Это время используется в качестве начального времени, пока служба W32Time не сможет синхронизироваться с другим источником времени.

Служба времени Windows 32 поддерживает две записи реестра: MaxPosPhaseCorrection и MaxNegPhaseCorrection . Эти записи ограничивают примеры, принятые службой времени на локальном компьютере при их отправлении с удаленного компьютера.

Когда компьютер, работающий в стабильном состоянии, получает пример времени из источника времени, пример проверяется на наличие границ фазы исправления, которые накладываются записями MaxPosPhaseCorrection MaxNegPhaseCorrection реестра и реестром. Если время в примере не ограничивается двумя записями реестра, этот пример принимается для дополнительной обработки. Если пример времени не входит в эти ограничения, пример времени игнорируется, и служба времени записи в журнал следующего сообщения в файле частного журнала W32Time:

Если администраторы уменьшают значение для положительных и отрицательных исправлений этапов, администраторы могут снизить угрозу того, что компьютеры будут получать время из недопустимых примеров времени для компьютера с Windows. С другой стороны, если администраторы уменьшают значение, администраторы могут запретить компьютерам вперед или отставать от текущего времени на более, чем это накладывается этими значениями.

Если значения записей реестра для положительных и отрицательных исправлений уменьшаются, время увеличивается или уменьшается.

Значение по умолчанию для записей реестра и записей реестра в MaxPosPhaseCorrection MaxNegPhaseCorrection Windows 2000, Windows XP, Windows Server 2003 и Windows Vista:
0xFFFFFFF

Это значение позволяет компьютеру получать время, содержаное в любом примере времени, независимо от неточности.

В Windows Server 2008 было принято новое значение по умолчанию для записей реестра MaxPosPhaseCorrection и MaxNegPhaseCorrection. Это новое значение по умолчанию — 48 часов. Это 48-часовой значение может быть представлено как один из следующих значений:

• 2a300 (hexadecimal)
• 172800 (десятичной)

Рекомендуется установить для записей реестра и записей значение, которое не MaxPosPhaseCorrection MaxNegPhaseCorrection является следующим значением:
MAX (0xFFFFFFFF)

Если установлено значение, не такое как MAX (0xFFFFFFFF), можно запретить компьютерам использовать очень неточное время в сценариях перезапуска компьютера или прерывания подключения к внешним источникам времени. Например, рассмотрим случай, когда записи реестра MaxPosPhaseCorrection и MaxNegPhaseCorrection устанавливаются в течение 48 часов на всех контроллерах домена в лесу. Если какой-либо из контроллеров домена имеет необычный скачок времени, который превышает 48 часов, значение, задатое для записей реестра MaxPosPhaseCorrection и MaxNegPhaseCorrection, не позволит другим компьютерам перейти к одному времени. Таким образом, компьютеры, которые не синхронизируются, можно хранить отдельно от других компьютеров, пока администратор не сможет изучить и принять коррективные меры.

Точность времени особенно важна для корневого основного контроллера домена (PDC) леса. Поскольку PDC является корневым источником времени для домена, неточные изменения времени в PDC могут привести к переходу на все время домена. Если наложить на PDC ограничения фазной коррекции, вы можете запретить другим контроллерам домена в лесу принимать новое время.

Значение по умолчанию 48 часов вместо 5 или 15 минут по умолчанию основано на следующих причинах:

• Выходные данные из совмества W32TM трудно читать.
• В настоящее время W32TM не нацелит время на компьютерах-членах и на серверах-членах.
• Ошибки и события, которые имеются в операционной системе Windows и журнале автономных сторонних приложений, крайне несогласованны. Возможные ошибки включают коды возврата, похожие на следующие:
  • доступ отказано в доступе
  • Сервер RPC недоступен

  Эти ошибки имеют низкую корреляцию со временем, так как причина может помешать компьютерам с Windows принимать точное значение времени.

  Таким образом, следующим очевидным смещением времени после 25 или 36 часов было 48 часов. Администраторы также могут уменьшить значение с помощью правильных средств, которые сообщают об инфраструктуре и тестировании.

  Конкретные рекомендации в зависимости от версии операционной системы и роли компьютера описаны в следующих разделах.

  Windows XP Professional и все версии Windows Server 2003

  Корневая PDC леса (до полномочного сервера времени)

  Настоятельно рекомендуется настроить до полномочного сервера времени для сбора времени из источника оборудования. При настройке достоверного сервера времени для синхронизации с источником интернет-времени проверка подлинности не происходит. Необходимо перенастроить следующие записи реестра:

  Значение по умолчанию для этих двух записей реестра — 0xFFFFFFFF. Это значение по умолчанию означает «Принять любое изменение времени». Рекомендуется использовать значение 48 часов. Он представлен в реестре как 2a300 (hexadecimal) или 172800 (десятичной). Рекомендуется установить для записи реестра MaxPollInterval значение 10 или меньше или установить для записи реестра SpecialPollInterval значение 3600 (1 час) или меньше.

  Контроллеры домена и серверы-члены внутри домена

  Записи MaxPosPhaseCorrection MaxNegPhaseCorrection реестра и реестра имеют значение по умолчанию 0xFFFFFFFF. Это значение по умолчанию означает «Принять любое изменение времени». Рекомендуется установить для этого параметра значение 48 часов на всех контроллерах домена. Значение 48 часов также можно установить на серверах-членах, где запущены приложения с учетом времени.

  Дополнительные сведения об этих записях реестра см. в разделе реестра Windows Server 2003 и Windows XP Time Service.

  Автономные клиенты

  По умолчанию записи реестра и реестра имеют MaxPosPhaseCorrection MaxNegPhaseCorrection значение 54 000 (15 часов). В целях обеспечения безопасности рекомендуется уменьшить это значение по умолчанию. Также рекомендуется установить значение 3600 (1 час) или еще меньшее значение в зависимости от источника времени, сетевого условия, интервала опроса и требований безопасности.

  Записи реестра службы времени Windows Server 2003 и Windows XP

  Type	Сведения
  Запись реестра	MaxPosPhaseCorrection
  Тип значения	DWORD
  Подмайка	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
  Примечания	Эта запись указывает наибольшее положительное исправление времени в секундах, которое может внести служба. Если служба определяет, что размер изменения превышает требуемую, она занося в журнал событие. Особый случай: 0xFFFFFFFF — это всегда исправление времени. Значение по умолчанию для членов домена — 0xFFFFFFFF. Значение по умолчанию для автономных клиентов и серверов — 54 000 (15 часов).
  Запись реестра	MaxNegPhaseCorrection
  Тип значения	DWORD
  Подмайка	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
  Примечания	Эта запись указывает наибольшее отрицательное исправление времени в секундах, которое может внести служба. Если служба определяет, что изменение больше, чем это требуется, она занося в журнал событие. Особый случай: -1 означает, что всегда внести исправление времени. Значение по умолчанию для членов домена — 0xFFFFFFFF. Значение по умолчанию для автономных клиентов и серверов — 54 000 (15 часов).
  Запись реестра	MaxPollInterval
  Тип значения	DWORD
  Подмайка	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
  Примечания	Эта запись указывает наибольший интервал (в секундах), который включен для интервала опроса системы. Обратите внимание, что, хотя система должна оповещение в соответствии с запланированным интервалом, поставщик может отказаться от создания примеров при запросе образцов. Значение по умолчанию для членов домена — 10. Значение по умолчанию для автономных клиентов и серверов — 15.
  Запись реестра	SpecialPollInterval
  Тип значения	DWORD
  Подмайка	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient
  Примечания	Эта запись указывает специальный интервал опроса (в секундах) для одноранговых участников вручную. Если флаг SpecialInterval 0x1 включен, W32Time использует этот интервал опроса вместо интервала опроса, определяемого операционной системой. Значение по умолчанию для членов домена — 3600. Значение по умолчанию для автономных клиентов и серверов — 604 800.

  Для развертывания этих параметров рекомендуется использовать редактор объектов глобальной политики. Дополнительные сведения о службе времени Windows в лесу на основе Windows Server 2003 см. в службе времени Windows (W32Time).

  Значения параметров службы времени Windows по умолчанию, определенные в объекте групповой политики (GPO), могут не совпадать со значениями по умолчанию, определенными в реестре контроллеров домена на основе Windows Server 2003. При развертывании значений MaxPosPhaseCorrection и MaxNegPhaseCorrection на контроллерах домена Windows Server 2003 с помощью GPO убедитесь, что GPO не изменяет значения других параметров службы времени Windows в реестре. Другие значения параметров службы времени Windows также могут быть изменены в GPO в соответствие со значениями реестра по умолчанию в контроллерах домена.

  Все версии Windows 2000 Пакет обновления 4 (SP4)

  Корневая PDC леса (до полномочного сервера времени)

  Настоятельно рекомендуется настроить до полномочного сервера времени для сбора времени из источника оборудования. При настройке достоверного сервера времени для синхронизации с источником интернет-времени проверка подлинности в ручном режиме невозмессна. Запись реестра можно MaxAllowedClockErrInSecs перенастроить. Значение по умолчанию — 43 200. Рекомендуемое значение — 900 (15 минут) или еще меньшее значение в зависимости от источника времени, условий сети и требований безопасности. Это также зависит от интервала опроса. Рекомендуется, чтобы интервал опроса был установлен в один час каждые 24 часа.

  Дополнительные сведения об этой записи реестра см. в разделе записи реестра Windows Server 2000 SP 4.

  Контроллеры домена и серверы-члены внутри домена

  Тип синхронизации — NT5DS. Служба времени синхронизируется из иерархии домена, а служба времени принимает все изменения. Так как NT5DS принимает любое изменение времени, не учитывая смещение времени, важно настроить надежный источник корневого времени леса в подсети синхронизации времени.

  Значение NT5DS указывает, что тип синхронизации получен из записи реестра.

  Автономные клиенты

  Значение по умолчанию для записи реестра MaxAllowedClockErrInSecs — 43 200 (12 часов). В целях обеспечения безопасности рекомендуется уменьшить это значение по умолчанию. Рекомендуется установить значение 3600 (1 час) или еще меньшее значение в зависимости от источника времени, сетевых условий, интервала опроса и требований безопасности.

  Читайте также:  Windows session manager subsystem