Налаштування синхронізації часу по NTP за допомогою групових політик

Служба часу Windows, незважаючи на уявну простоту, є однією з основ, необхідних для нормального функціонування домену Active Directory. В правильно налаштованому середовищі AD служба часу працює таким чином: комп'ютери користувачів отримують точний час від найближчого контролера домену, на якому вони зареєструвалися. Всі контролери домену в свою чергу отримують точний час від DC з FSMO роллю "емулятор PDC", А контролер PDC синхронізує свій час з якимось зовнішнім джерелом часу. В якості зовнішнього джерела часу може виступати один або кілька NTP серверів, наприклад time.windows.com або NTP сервер вашого Інтернет-провайдера. Також потрібно відзначити, що за замовчуванням клієнти в домені синхронізують час за допомогою служби часу Windows (Windows Time), а не за допомогою протоколу NTP.

Якщо ви зіткнулися з ситуацією, коли час на клієнтах і контролерах домену різниться, можливо, у вашому домені є проблеми з синхронізацією часу і ця стаття буде вам корисна.

В першу чергу виберіть відповідний NTP сервер, який ви могли б використовувати. Список загальнодоступних NTP серверів доступний на сайті http://ntp.org. У нашому прикладі ми будемо використовувати NTP сервера з пулу ru.pool.ntp.org:

  • 0.ru.pool.ntp.org
  • 1.ru.pool.ntp.org
  • 2.ru.pool.ntp.org
  • 3.ru.pool.ntp.org

Налаштування синхронізації часу в домені за допомогою групових політик складається з двох кроків:

1) Створення GPO для контролера домену з роллю PDC
2) Створення GPO для клієнтів (опціонально)

Налаштування політики синхронізації NTP на контролері домену PDC

Цей крок передбачає настройку контролера домену з роллю емулятора PDC на синхронізацію часу з зовнішнім NTP сервером. Оскільки теоретично роль емулятора PDC може переміщатися між контролерами домену, нам потрібно зробити політику, яка застосовувалася б тільки до поточного власнику ролі PDC. Для цього в консолі управління Group Policy Management Console (GPMC.msc), створимо новий WMI фільтр групових політик. Для цього в розділі WMI Filters створимо фільтр і ім'ям PDC Emulator і WMI запитом: Select * from Win32_ComputerSystem where DomainRole = 5

Потім створіть нову GPO і призначте її на контейнер Domain Controllers.

Перейдіть в режим редагування політики і розгорніть наступний розділ політик: Computer Configuration-> Administrative Templates-> System-> Windows Time Service-> Time Providers

Нас цікавлять три політики:

  • Configure Windows NTP Client: Enabled (настройки політики описані нижче)
  • Enable Windows NTP Client: Enabled
  • Enable Windows NTP Server: Enabled


В налаштуваннях політики Configure Windows NTP Client вкажіть наступні параметри:

  • NtpServer: 0.ru.pool.ntp.org, 0x1 1.ru.pool.ntp.org, 0x1 2.ru.pool.ntp.org, 0x1 3.ru.pool.ntp.org, 0x1
  • Type: NTP
  • CrossSiteSyncFlags: 2
  • ResolvePeerBackoffMinutes: 15
  • Resolve Peer BAckoffMaxTimes: 7
  • SpecilalPoolInterval3600
  • EventLogFlags: 0
Порада. Не забудьте налаштувати міжмережевий екран таким чином, щоб сервер PDC міг отримати доступ до зовнішніх NTP серверів по протоколу NTP (UDP порт 123).

Примітка. Зверніть увагу на синтаксис в поле NtpServer. Формат вказівки декількох NTP серверів такий:ntsrv1.org, 0x1 ntpsrv2.org, 0x1 (Роздільник пробіл). На скріншоті вказані помилкові дані!

Застосуйте створений раніше фільтр PDC Emulator до даної політиці.

Порада. Знайти ім'я сервера з роллю PDC можна за допомогою команди: netdom query fsmo

Залишилося відновити політики на контролері PDC:
gpupdate / force

Вручну почніть синхронізацію часу:
w32tm / resync

Перевірте поточні налаштування NTP:
w32tm / query / status

Порада. У тому випадку, якщо час не синхронізовані, перезапустіть службу часу Windows і скиньте поточні настройки:
net stop w32time
w32tm.exe / unregister
w32tm.exe / register
net start w32time

Налаштування синхронізації часу на клієнтах домену

У середовищі Active Directory за замовчуванням клієнти домену синхронізують свій час з контролерами домену (опція Nt5DS - синхронізувати час згідно ієрархії домену). Як правило, ця схема працює і не вимагає перенастроювання. Однак при наявності проблем з синхронізацією часу на клієнтах домену, можна спробувати примусово призначити сервер часу для клієнтів за допомогою GPO.

Для цього створіть нову GPO і призначте її на контейнери (OU) з комп'ютерами. У редакторі GPO перейдіть в розділ Computer Configuration -> Administrative Templates -> System -> Windows Time Service -> Time Providers і включіть політику Configure Windows NTP Client.

Як сервер NTP вкажіть ім'я або ip адреса PDC, наприклад msk-dc1.winitpro.ru, 0x9, а в якості типу синхронізації - NT5DS

Оновлення налаштування групових політик на клієнтах і перевірте, що клієнти успішно синхронізували свого часу з PDC.

Порада. Зазначена схема може бути застосована тільки до невеликих доменів. Для великих розподілених доменів з великою кількістю DC і сайтів доведеться створити окрему політику для кожного сайту, щоб клієнти синхронізували свого часу з DC в сайті.