Služba Windows Time Service, přes její zjevnou jednoduchost, je jedním ze základních předpokladů pro normální fungování domény služby Active Directory. Ve správně nakonfigurovaném prostředí AD funguje časová služba následujícím způsobem: uživatelské počítače dostávají přesný čas od nejbližšího řadiče domény, do kterého jsou zaregistrovány. Všechny řadiče domény zase obdrží přesný čas od DC s rolí FSMO “Emulátor PDC“a řadič PDC synchronizuje svůj čas s určitým externím zdrojem času. Jeden nebo několik serverů NTP, například server time.windows.com nebo server NTP vašeho poskytovatele Internetu, může fungovat jako externí zdroj času. Mělo by se také poznamenat, že ve výchozím nastavení jsou klienti čas domény je synchronizován pomocí služby Windows Time (Windows Time) a ne pomocí protokolu NTP.
Pokud čelíte situaci, kdy se čas na klientech a řadičích domény liší, možná má vaše doména problémy s časovou synchronizací a tento článek bude pro vás užitečný.
Nejprve vyberte příslušný server NTP, který byste mohli použít. Seznam veřejně dostupných serverů NTP je k dispozici na adrese http://ntp.org. V našem příkladu použijeme server NTP z fondu ru.pool.ntp.org:
- 0.ru.pool.ntp.org
- 1.ru.pool.ntp.org
- 2.ru.pool.ntp.org
- 3.ru.pool.ntp.org
Nastavení synchronizace času v doméně pomocí skupinových zásad se skládá ze dvou kroků:
1) Vytvoření objektu GPO pro řadič domény s rolí PDC
2) Vytvoření GPO pro zákazníky (volitelné)
Konfigurace zásad synchronizace NTP v řadiči domény PDC
Tento krok zahrnuje konfiguraci řadiče domény s roli emulátoru PDC pro synchronizaci času s externím serverem NTP. Protože teoreticky lze roli emulátoru PDC přesouvat mezi řadiči domény, musíme vytvořit zásadu, která platí pouze pro současného vlastníka role PDC. To provedete v konzole pro správu Konzola pro správu zásad skupiny (GPMC.msc), vytvořte nový filtr zásad skupiny WMI. Za tímto účelem v sekci Filtry Wmi vytvořit filtr a název Emulátor PDC a požadavek WMI: Vyberte * z Win32_ComputerSystem, kde DomainRole = 5
Poté vytvořte nový objekt zásad skupiny a přiřaďte jej kontejneru řadiče domény.
Přepněte do režimu úprav zásad a rozbalte následující sekci zásad: Konfigurace počítače-> Šablony pro správu-> Systém-> Windows Time Service-> Time Providers
Zajímají nás tři politici:
- Konfigurace klienta Windows NTP: Enabled (nastavení zásad je popsáno níže)
- Povolit klienta Windows NTP: Povoleno
- Povolit Windows NTP Server: Povoleno
V nastavení zásad Konfigurace klienta Windows NTP zadejte následující parametry:
- NtpServer: 0.ru.pool.ntp.org, 0x1 1.ru.pool.ntp.org, 0x1 2.ru.pool.ntp.org, 0x1 3.ru.pool.ntp.org, 0x1
- Typ: NTP
- CrossSiteSyncFlags: 2
- ResolvePeerBackoffMinutes: 15
- Vyřešte Peer BAckoffMaxTimes: 7
- SpecilalPoolInterval: 3600
- Eventlogflags: 0
Použijte dříve vytvořený filtr Emulátor PDC této zásady.
Tip. Chcete-li najít název serveru s rolí PDC, použijte příkaz:netdom dotaz fsmo
Zbývá aktualizovat zásady týkající se PDC:gpupdate / force
Ruční synchronizace času:w32tm / resync
Zkontrolujte aktuální nastavení NTP:w32tm / query / status
net stop w32time
w32tm.exe / odregistrování
w32tm.exe / registr
čistý začátek w32time
Konfigurace synchronizace času na klientech domény
V prostředí služby Active Directory klienti domény ve výchozím nastavení synchronizují svůj čas s řadiči domény (možnost Nt5DS - synchronizovat čas podle hierarchie domén). Tento obvod obvykle funguje a nevyžaduje rekonfiguraci. Pokud však u doménových klientů dochází k problémům s časovou synchronizací, můžete zkusit vynutit přiřazení časového serveru klientům pomocí GPO.
Chcete-li to provést, vytvořte nový objekt GPO a přiřaďte jej kontejnerům (OU) s počítači. V editoru GPO přejděte na Konfigurace počítače -> Šablony pro správu -> Systém -> Windows Time Service -> Poskytovatelé času a povolit politiku Konfigurace klienta Windows NTP.
Pro server NTP zadejte jako typ synchronizace název PDC nebo ip adresu, například msk-dc1.winitpro.ru, 0x9 a NT5DS.
Aktualizujte nastavení zásad skupiny u klientů a ověřte, zda klienti úspěšně synchronizovali svůj čas s PDC.
Tip. Toto schéma se vztahuje pouze na malé domény. Pro velké distribuované domény s velkým počtem DC a webů budete muset pro každý web vytvořit samostatnou zásadu, aby klienti synchronizovali svůj čas s DC na webu.