Създаване домейн синхронизация време активна директория, блог на khlebalin Дмитрий

Като цяло, услугата времето е доста важна услуга в работата на всички системи като цяло. От време на време, много администратори го отложи за по-късно, или настройка обикновено не го коригира в бъдеще. И всичко би направил, но понякога тя започва да доведе до проблеми (като отказа на някои услуги, за Kerberos удостоверяване на домейн и други грешки). В този пост, аз ще предостави някои от своите собствени настройки и нашите колеги от цеха и накратко разкажа за нюансите, че са срещнали в живота ми. Така че нека да започнем:

топология време синхронизация между участниците в Active Directory
Най-добрият от моя гледна точка, на път конфигурацията на сървъра, корен PDC емулатор
Полезни команди за конфигуриране и диагностика синхронизация на времето
функции. да се счита за виртуализирани домейн контролери

Синхронизация на времето Топология Active Directory сред участниците

Следващата схема за синхронизация на времето работи между компютрите, участващи в Active Directory.

Контролерът е основния домейн в гората АД, която притежава FSMO роля PDC емулатор (нека си го главната PDC наричат), източник на време за всички други контролери за този домейн.
контролери дете домейни синхронизират време с родител на контролер топология на АД домейн.
Обикновените членове на домейна (сървъри и работни станции) синхронизират времето си с най-близкия до тях на разположение домейн контролер, наблюдавайки АД топологията.

Root PDC да синхронизирате времето си и с двете външен източник, както и на себе си, като последната е конфигурацията по подразбиране и е абсурдно, тъй като периодично намекна грешки в системния регистър.

корен синхронизация PDC клиент може да се реализира и с двете на часовника си и външен източник. В първия случай на сървърно време корен PDC се обявява като "надежден" (надеждни).

Следваща ще бъде даден оптимална конфигурация на сървърно време корен PDC, когато самата корен PDC периодично синхронизира времето си от надежден източник в интернет, и клиенти време достъп до него се синхронизира с вътрешния часовник.

конфигурация NTP сървър на корен PDC

Конфигуриране на сървър за време (КТМ-сървър) може да се извърши чрез w32tm CLU и чрез регистъра. Където е възможно, те ще се показват и двете.

Включването на вътрешния часовник синхронизиран с външен източник

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ W32Time \ Parameters]
«Type» = »NTP»
w32tm / довереник / syncfromflags: ръчно

Подробности - в библиотеката TechNet.

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ W32Time \ Config]
«AnnounceFlags» = DWORD: 0000000a
w32tm / довереник / надежден: да

Подробности - в библиотеката TechNet.

Стандартната NTP-сървър е активиран на всички домейн контролери, но можете да я активирате, и на сървърите членки.

Задача списък за външна синхронизация

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ W32Time \ Parameters]
«NtpServer» = »time.nist.gov, 0x8 ntp1.imvp.ru, 0x8 ntp2.imvp.ru, 0x8 time.windows.com, 0x8 ru.pool.ntp.org, 0x8»
w32tm / довереник /manualpeerlist:»time.nist.gov,0x8 ntp1.imvp.ru, 0x8 ntp2.imvp.ru, 0x8 time.windows.com, 0x8 ru.pool.ntp.org, 0x8 "

Flag 0 × 8 в края е, че синхронизацията трябва да се случва в режим NTP клиент, на интервали, предоставени от този сървър. За да се уточнят флаг интервал на синхронизиране е 0 × 1 трябва да се използва. Всички други знамена са описани в библиотеката TechNet.

Задаване на интервал синхронизация с външен източник

Времето в секунди между анкети източник синхронизация по подразбиране = 900 С 15 минути. Тя работи само за източници отбелязани флаг 0 × 1.

Настройка на минимална положителна и отрицателна корекция

Максималната положителни и отрицателни часовата разлика (разлика между вътрешния часовник и часовник източник) в секунди, след която настъпва синхронизация. Аз препоръчвам стойност 0xFFFFFFFF, в който корекция може да се извършва винаги.

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ W32Time \ Config]
«MaxPosPhaseCorrection» = DWORD: FFFFFFFF
«MaxNegPhaseCorrection» = DWORD: FFFFFFFF

Всичко, което трябва на един ред

w32tm.exe / довереник /manualpeerlist:»time.nist.gov,0x8 ntp1.imvp.ru, 0x8 ntp2.imvp.ru, 0x8 time.windows.com, 0x8 pool.ntp.org, 0x8 »/ syncfromflags: ръчно / надежден: да / актуализация

Време за полагане промени в конфигурацията на услуги
w32tm / довереник / актуализиране
Принудително синхронизация от източник
w32tm / RESYNC / Преоткрийте
контролери Статус дисплей синхронизация на домейни в областта
w32tm / монитор
Показва текущия източник часовник и неговото състояние
w32tm / заявка / връстници

Удобства виртуализирани домейн контролери

домейн контролери, работещи във виртуализирана среда, изискват специално лечение за себе си.

Средства за синхронизиране на времето на виртуалната машина и операционната система домакин трябва да бъде изключен. Във всички подходящи системи за виртуализация (Microsoft, VMware и така нататък. Г.) представя компонентите на интегрирането на виртуалната операционна система със страната-домакин, което значително подобряване на ефективността и управляемост на системата за гости. Сред тези компоненти, винаги има синхронизация инструмент време на виртуалната ОС на хост, което е много полезно за обикновените автомобили, но е противопоказна за домейн контролери. Тъй като в този случай е много вероятно цикъл, в който на домейн контролера и реалната ОС ще синхронизира с друг. Сад последици.
Root PDC с външен източник на синхронизация винаги трябва да се зададе. В виртуална среда, часовникът не е толкова точен, колкото физически, тъй като виртуална машина с един виртуален процесор и прекъсвания, които се характеризират с намаляване на скоростта и ускоряване в сравнение с "нормалните" курс. Ако не се създаде синхронизация виртуализирана корен PDC с външен източник, времето на всички компютри в предприятието може да избяга / съхраняват в продължение на няколко часа на ден. Не е трудно да си представим, че проблемът може да донесе подобно поведение.

Ако имате домейн, той се синхронизира време на работните станции. Само, за да може той самият не е търсил някой, който да се синхронизира с него, трябва да бъде в системния регистър:
«HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ W32Time \ Parameters»
Настройте параметър LocalNTP на 1.
Работни станции (изобщо), след като се регистрирате, за да «нетна време \\ именасървър / настроен»
Ах, да, след промените в регистъра все още трябва да рестартирате услугата: «нетна W32Time спирка» и «мрежата W32Time Начало» Ние от завои.

Например, на компютър, свързан с Интернет:
1. нетната време /setsntp:»192.5.41.209 192.5.41.41 "
2. Рестартирайте услугата време

На домейн контролера:
1. нетната време / setsntp: »AyPi_kompa_podklyuchennogo_k_inetu"
2. Рестартирайте услугата време

С това за себе си, ние сме до заключението, че присъствието в компанията на смесена инфраструктура (прозорци + никс) и още по-належащо да се използва сървър NTP да никс платформа (в моя случай това е FreeBSD), съответно, и след това те да се установят. За да конфигурирате NTP servaka на FreeBSD в бъдещите си постове.

Успех на всички в работата.

Послепис Тя също така ще бъдат полезни тук следните сайтове:

Послепис Все още ще е полезно обобщение на команди:

w32tm / довереник / актуализация /manualpeerlist:»ntp.mobatime.ru »/ syncfromflags: ръчно / надежден: Да

конфигурация NTP сървър на корен PDC

Конфигуриране на сървър за време (КТМ-сървър) може да се извърши чрез w32tm CLU и чрез регистъра. Където е възможно, аз нося и двете.

Включването на вътрешния часовник синхронизиран с външен източник

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ W32Time \ параметри] «Type» = »NTP»
w32tm / довереник / syncfromflags: ръчно

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ W32Time \ Config] «AnnounceFlags» = DWORD: 0000000a
w32tm / довереник / надежден: да

Задача списък за външна синхронизация

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ W32Time \ Parameters] «NtpServer» = »time.nist.gov, 0x8 ntp1.imvp.ru, 0x8 ntp2.imvp.ru, 0x8 time.windows.com, 0x8 ru.pool. ntp.org, 0x8 »
w32tm / довереник /manualpeerlist:»time.nist.gov,0x8 ntp1.imvp.ru, 0x8 ntp2.imvp.ru, 0x8 time.windows.com, 0x8 ru.pool.ntp.org, 0x8 "

Задаване на интервал синхронизация с външен източник

Настройка на минимална положителна и отрицателна корекция

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ W32Time \ Config] «MaxPosPhaseCorrection» = DWORD: FFFFFFFF «MaxNegPhaseCorrection» = DWORD: FFFFFFFF

Всичко, което трябва на един ред

w32tm.exe / довереник /manualpeerlist:»time.nist.gov,0x8 ntp1.imvp.ru, 0x8 ntp2.imvp.ru, 0x8 time.windows.com, 0x8 pool.ntp.org, 0x8 "/ syncfromflags: ръчно / надежден: да / актуализация

Време за полагане на услуги, включени в промените / довереник / актуализиране на конфигурацията w32tm
Принудително синхронизация от източник w32tm / RESYNC / Преоткрийте
контролери Статус дисплей за синхронизиране на домейни в областта w32tm / монитор
Показване на източника на ток и техните статус синхронизация w32tm / заявка / връстници

Уверете се, че на домейн контролера не е включена местната политика

1) Изключете тук NTP клиент и настройки на сървъра
2) Проверете GPResult команда.

За да конфигурирате вашия домейн контролер за ролята на "Emulator PDC", за да се синхронизира с външен източник, първо трябва да изпълните командата

w32tm / stripchart / компютър: 3.pool.ntp.org / проби: 5 / DataOnly

който ще произвежда 5 Сравнение с източника, и след това:

w32tm / довереник / manualpeerlist: 3.pool.ntp.org / syncfromflags: ръчно / надежден

Командата се изпълнява с повишени привилегии

Проверете външния източник на контролера: w32tm / заявка / Източник

Всички добрата работа.