Служба часу Windows, незважаючи на уявну простоту, є однією з основ, необхідних для нормального функціонування домену Active Directory. В правильно налаштованому середовищі AD служба часу працює таким чином: комп'ютери користувачів отримують точний час від найближчого контролера домену, на якому вони зареєструвалися. Всі контролери домену в свою чергу отримують точний час від DC з FSMO роллю "емулятор PDC", А контролер PDC синхронізує свій час з якимось зовнішнім джерелом часу. В якості зовнішнього джерела часу може виступати один або кілька NTP серверів, наприклад time.windows.com або NTP сервер вашого Інтернет-провайдера. Також потрібно відзначити, що за замовчуванням клієнти в домені синхронізують час за допомогою служби часу Windows (Windows Time), а не за допомогою протоколу NTP.
Якщо ви зіткнулися з ситуацією, коли час на клієнтах і контролерах домену різниться, можливо, у вашому домені є проблеми з синхронізацією часу і ця стаття буде вам корисна.
В першу чергу виберіть відповідний NTP сервер, який ви могли б використовувати. Список загальнодоступних NTP серверів доступний на сайті http://ntp.org. У нашому прикладі ми будемо використовувати NTP сервера з пулу ru.pool.ntp.org:
- 0.ru.pool.ntp.org
- 1.ru.pool.ntp.org
- 2.ru.pool.ntp.org
- 3.ru.pool.ntp.org
Налаштування синхронізації часу в домені за допомогою групових політик складається з двох кроків:
1) Створення GPO для контролера домену з роллю PDC
2) Створення GPO для клієнтів (опціонально)
Налаштування політики синхронізації NTP на контролері домену PDC
Цей крок передбачає настройку контролера домену з роллю емулятора PDC на синхронізацію часу з зовнішнім NTP сервером. Оскільки теоретично роль емулятора PDC може переміщатися між контролерами домену, нам потрібно зробити політику, яка застосовувалася б тільки до поточного власнику ролі PDC. Для цього в консолі управління Group Policy Management Console (GPMC.msc), створимо новий WMI фільтр групових політик. Для цього в розділі WMI Filters створимо фільтр і ім'ям PDC Emulator і WMI запитом: Select * from Win32_ComputerSystem where DomainRole = 5
Потім створіть нову GPO і призначте її на контейнер Domain Controllers.
Перейдіть в режим редагування політики і розгорніть наступний розділ політик: Computer Configuration-> Administrative Templates-> System-> Windows Time Service-> Time Providers
Нас цікавлять три політики:
- Configure Windows NTP Client: Enabled (настройки політики описані нижче)
- Enable Windows NTP Client: Enabled
- Enable Windows NTP Server: Enabled
В налаштуваннях політики Configure Windows NTP Client вкажіть наступні параметри:
- NtpServer: 0.ru.pool.ntp.org, 0x1 1.ru.pool.ntp.org, 0x1 2.ru.pool.ntp.org, 0x1 3.ru.pool.ntp.org, 0x1
- Type: NTP
- CrossSiteSyncFlags: 2
- ResolvePeerBackoffMinutes: 15
- Resolve Peer BAckoffMaxTimes: 7
- SpecilalPoolInterval3600
- EventLogFlags: 0
Застосуйте створений раніше фільтр PDC Emulator до даної політиці.
Порада. Знайти ім'я сервера з роллю PDC можна за допомогою команди:netdom query fsmo
Залишилося відновити політики на контролері PDC:gpupdate / force
Вручну почніть синхронізацію часу:w32tm / resync
Перевірте поточні налаштування NTP:w32tm / query / status
net stop w32time
w32tm.exe / unregister
w32tm.exe / register
net start w32time
Налаштування синхронізації часу на клієнтах домену
У середовищі Active Directory за замовчуванням клієнти домену синхронізують свій час з контролерами домену (опція Nt5DS - синхронізувати час згідно ієрархії домену). Як правило, ця схема працює і не вимагає перенастроювання. Однак при наявності проблем з синхронізацією часу на клієнтах домену, можна спробувати примусово призначити сервер часу для клієнтів за допомогою GPO.
Для цього створіть нову GPO і призначте її на контейнери (OU) з комп'ютерами. У редакторі GPO перейдіть в розділ Computer Configuration -> Administrative Templates -> System -> Windows Time Service -> Time Providers і включіть політику Configure Windows NTP Client.
Як сервер NTP вкажіть ім'я або ip адреса PDC, наприклад msk-dc1.winitpro.ru, 0x9, а в якості типу синхронізації - NT5DS
Оновлення налаштування групових політик на клієнтах і перевірте, що клієнти успішно синхронізували свого часу з PDC.
Порада. Зазначена схема може бути застосована тільки до невеликих доменів. Для великих розподілених доменів з великою кількістю DC і сайтів доведеться створити окрему політику для кожного сайту, щоб клієнти синхронізували свого часу з DC в сайті.