Сделать контроллер домена единственным и достоверным поставщиком времени в домене
Может кому пригодится мой опыт, как я сделал свой контроллер домена единственным и достоверным поставщиком времени в домене (т.е. сервер стал поставщиком времени для всей сети и к тому же в качестве эталона времени использует свои внутренние часы, а не обновляет его из интернета)!
Вводные данные:
1. Контроллер домена (КД) на платформе Active Directory (AD) под управлением Windows Server 2003. Все роли FSMO у одного КД (т.е. он еще и PDC).
2. Сеть из 50 рабочих станций. Все рабочие станции с Windows XP
3. Вся сеть работает, все адреса в одной подсети
Предыстория:
Просмотрев как-то системные сообщения своего компьютера, обнаружил критическое сообщение про то, что W32Time не смогла обнаружить достоверного источника времени! Вроде ничего страшного, все мои рабочие станции синхронизируют свое время со временем КД при старте путем запуска групповой политикой небольшого скрипта.
Но мысли вдруг забегали, что это не есть правильно! Если есть служба времени, то почему бы не использовать ее на полную катушку? Перерыл множество инструкций, перепробовал множество советов и родил свою инструкцию для своего случая. А т.к. мой случай типичный практически для многих небольших организаций, то думаю будет полезно поделиться опытом.
Поехали:
Чтобы PDC стал основным и доверенным поставщиком времени в домене (в случае, если он один имеет все роли FSMO):
1. На КД необходимо в Default Domain Policy (оснастка Active Directory- Пользователи и компьютеры - выбираем свой домен, ПКМ - Свойства - Групповая политика) в Конфигурация компьютера - Административные шаблоны – Система – Служба времени – Поставщики времени:
Отключить Windows NTP-клиент (можно и включить, но если отключено Настроить Windows NTP-клиента)
2. Если нет желания ждать применения политики можно ее запустить принудительно Пуск - Выполнить - GPUpdate /Force
3. На КД необходимо в реестре внести поправки
5. Просмотреть системные логи, там не должно быть ошибок касательно службы времени.
6. На КД необходимо создать политику только для конкретного UI (Потому что нельзя настраивать на синхронизацию с самим сервером времени)
8. Чтобы проверить, на компьютере клиента необходимо перезапустить службу времени: net stop w32time && net start w32time
9. Чтобы проверить, на компьютере клиента необходимо проверить имя поставщика времени: w32tm /monitor. В качестве поставщика времени должен быть назван ваш КД!
10. На компьютере клиента необходимо запустить принудительно синхронизацию времени (чтобы проверить): w32tm /resync /rediscover.
Через некоторое время должен появиться сообщение в том же окне Команда выполнена успешно.
Резюме:
В моем случае, это сработало. Я, конечно, не уверен, что данный способ пройдет гладко у всех. И так же я не уверен, что это единственный вариант решения проблемы со временем. Если у кого-то возникнут проблемы касательно данной темы - пишите. Если кто-то знает другие способы - пишите тоже!
Всем удачи!
Теперь некоторые поправки!
Вернее даже работа над ошибками (нет, все работает, просто надо до ума все довести!)
В процессе эксплуатации выявлены некоторые проблемы:
Проблема №1
На некоторых рабочих станциях в процессе синхронизации времени получал сообщение об ошибке: сервер RPC не обнаружен
Решение:
Включить на рабочей станции службу времени
Проблема №2
На некоторых рабочих станциях при запуске команды w32tm /monitor сообщалось, что сервер времени правильный и именно тот, который и должен быть, а при попытке принудительной синхронизации командой w32tm /resync выдавалось сообщение что нет доступных данных о времени
Решение:
Принудительный запуск команды net time /setsntp:имя_сервера
Проблема №3
Все работает, все нормально, все службы времени запущены, но есть отличия во времени на сервере времени и на рабочей станции! Даже принудительный запуск w32tm /resync /rediscover не приводит к нужному результату (т.е. время на рабочей станции и сервере отличаются!)
Решение:
Решена при помощи наблюдений. Синхронизация игнорируется, если расхождение времени составляет до 5 мин. Если больше 5 мин - все нормально синхронизируется
Вводные данные:
1. Контроллер домена (КД) на платформе Active Directory (AD) под управлением Windows Server 2003. Все роли FSMO у одного КД (т.е. он еще и PDC).
2. Сеть из 50 рабочих станций. Все рабочие станции с Windows XP
3. Вся сеть работает, все адреса в одной подсети
Предыстория:
Просмотрев как-то системные сообщения своего компьютера, обнаружил критическое сообщение про то, что W32Time не смогла обнаружить достоверного источника времени! Вроде ничего страшного, все мои рабочие станции синхронизируют свое время со временем КД при старте путем запуска групповой политикой небольшого скрипта.
Но мысли вдруг забегали, что это не есть правильно! Если есть служба времени, то почему бы не использовать ее на полную катушку? Перерыл множество инструкций, перепробовал множество советов и родил свою инструкцию для своего случая. А т.к. мой случай типичный практически для многих небольших организаций, то думаю будет полезно поделиться опытом.
Поехали:
Чтобы PDC стал основным и доверенным поставщиком времени в домене (в случае, если он один имеет все роли FSMO):
1. На КД необходимо в Default Domain Policy (оснастка Active Directory- Пользователи и компьютеры - выбираем свой домен, ПКМ - Свойства - Групповая политика) в Конфигурация компьютера - Административные шаблоны – Система – Служба времени – Поставщики времени:
Отключить Windows NTP-клиент (можно и включить, но если отключено Настроить Windows NTP-клиента)
2. Если нет желания ждать применения политики можно ее запустить принудительно Пуск - Выполнить - GPUpdate /Force
3. На КД необходимо в реестре внести поправки
a. HKLM–Hardwere–System–CurrentControlSet–Services–W3 2Time–Parameters: Type – NoSync (чтобы синхронизировал службу со своими внутренними часами)4. На КД необходимо перезапустить службу времени: net stop w32time && net start w32time
b. HKLM–Hardwere–System–CurrentControlSet–Services–W3 2Time–Config: AnnounceFlag – 10 (или A в 16-ричном) (чтобы стал доверенным сервером времени)
5. Просмотреть системные логи, там не должно быть ошибок касательно службы времени.
6. На КД необходимо создать политику только для конкретного UI (Потому что нельзя настраивать на синхронизацию с самим сервером времени)
a. Включить Windows NTP-клиента7. На одном из компьютеров клиентов необходимо установить принудительно в качестве поставщика времени именно сервер КД (можно пропустить этот пункт, если нет проблем с применением групповой политики): net time /setsntp: имя_КД
b. Настроить Windows NTP-клиента, указав в качестве поставщика времени имя КД (например Имя КД.Имя домена, 0х1)
с. Запустить принудительно применение групповых политик
8. Чтобы проверить, на компьютере клиента необходимо перезапустить службу времени: net stop w32time && net start w32time
9. Чтобы проверить, на компьютере клиента необходимо проверить имя поставщика времени: w32tm /monitor. В качестве поставщика времени должен быть назван ваш КД!
10. На компьютере клиента необходимо запустить принудительно синхронизацию времени (чтобы проверить): w32tm /resync /rediscover.
Через некоторое время должен появиться сообщение в том же окне Команда выполнена успешно.
Резюме:
В моем случае, это сработало. Я, конечно, не уверен, что данный способ пройдет гладко у всех. И так же я не уверен, что это единственный вариант решения проблемы со временем. Если у кого-то возникнут проблемы касательно данной темы - пишите. Если кто-то знает другие способы - пишите тоже!
Всем удачи!
Теперь некоторые поправки!
Вернее даже работа над ошибками (нет, все работает, просто надо до ума все довести!)
В процессе эксплуатации выявлены некоторые проблемы:
Проблема №1
На некоторых рабочих станциях в процессе синхронизации времени получал сообщение об ошибке: сервер RPC не обнаружен
Решение:
Включить на рабочей станции службу времени
Проблема №2
На некоторых рабочих станциях при запуске команды w32tm /monitor сообщалось, что сервер времени правильный и именно тот, который и должен быть, а при попытке принудительной синхронизации командой w32tm /resync выдавалось сообщение что нет доступных данных о времени
Решение:
Принудительный запуск команды net time /setsntp:имя_сервера
Проблема №3
Все работает, все нормально, все службы времени запущены, но есть отличия во времени на сервере времени и на рабочей станции! Даже принудительный запуск w32tm /resync /rediscover не приводит к нужному результату (т.е. время на рабочей станции и сервере отличаются!)
Решение:
Решена при помощи наблюдений. Синхронизация игнорируется, если расхождение времени составляет до 5 мин. Если больше 5 мин - все нормально синхронизируется
Всего комментариев 0
