Synchronizujte čas s řadičem domény. Nastavení synchronizace času

Synchronizace systémového času v doméně služby Active Directory je důležitá pro správné fungování mnoha funkcí na pracovních stanicích v systému Windows. Selhání systémových hodin může ovlivnit schopnost uživatele přihlásit se, narušit pohyb pošty ve službě Exchange a vytvořit řadu dalších problémů, které je obtížné zjistit. V složitých případech nejsou standardní metody pro synchronizaci času v síti 100% spolehlivé nebo dokonce předvídatelné. Například pokud hodiny fyzického hostitele Hyper-V přestanou synchronizovat, obvykle se to týká všech virtuálních strojů, někdy katastrofických. Naštěstí není potřeba vynaložit žádné úsilí na opravu chyb synchronizace času.


Výběr počítače jako zdroje času
První úloha před nastavením synchronizace času je vybrat počítač, který se stane hlavním zdrojem systémového času ve vaší doméně. Typicky počítač, který vybírá počítač ve službě Active Directory jako primární emulátor řadiče domény (PDC) jako zdroj. Podle oficiální dokumentace společnosti Microsoft je to hlavní zdroj, ze kterého síť obdrží časová data. V praxi to však není vždy možné. Vybraný počítač bude pravidelně konzultován s internetovými zdroji, takže pokud jste na přísně chráněném objektu s vysokými požadavky na zabezpečení informací, stojí za to přemýšlet o delegování této role na jiný počítač.


Například,můžete vytvořit dedikovaný server, který obdrží informace o čase z Internetu a přenese ho do PDC emulátoru. V takovém případě budete mít několik počítačů, které slouží jako zdroje času pro stroje zahrnuté v síti.

Nastavení Firewall synchronizace času

Traffic s řadičem domény vstupuje do portu UDP-123 v počítači, který slouží jako zdroj času bylo nutné otevřít tento port pro příchozí spojení. Na všech počítačích v síti musí být port 123 otevřený pro odchozí připojení, alespoň s řadičem domény.

Nastavení řadiče domény

časové synchronizaci se serverem řadiče domény, jako emulátoru PDC, pomocí příkazového řádku musí být splněny: 1. Ověřte, zda je řadič domény, na kterém pracujete, je PDC emulátor vykonávající netdom dotazu fsmo 2. emulátor serveru PDC, spusťte následující příkaz synchronizaci času v tomto pořadí: net stop w32time w32tm /configure /syncfromflags: manuální /manualpeerlist:"0.us.pool.ntp.org,0x1 1.us .pool.ntp.org, 0x1 2.us.pool.ntp.org, 0x1 3.us.pool. ntp.org, 0x1 „externí zdroj času ve výchozím nastavení pro systém Windows Server je server time.windows.com. Nejlepším řešením je synchronizace s více časovými servery. Ve výše uvedeném příkazu používáme časové servery, které jsou podporovány NTP Pool Project. net start w32time w32tm /configure /spolehlivé: ano /aktualizace w32tm /resync 3. Pokud existuje více řadičů domény služby Active Directory, spusťte následující příkaz na příkazovém řádku: w32tm /config /syncfromflags: domhier /aktualizace 4. Zkontrolujte nastavení času na serveru Emulace PDC: w32tm /query /status: 5. Zkontrolujte správnou konfiguracičas na všech ostatních řadičích domény: w32tm /query /status:

Konfigurace protokolu DHCP

Aby bylo možné synchronizovat čas s řadičem domény v zařízeních, odpovězte na DHCP, nastavte nastavení serveru DHCP na 004 a 042.
IP adresy lze použít pouze pro záznamy DHCP. Chcete-li získat adresu IP serveru, můžete zadat název serveru a kliknout na tlačítko Vyřešit. Pokud používáte službu DHCP se zařízením Cisco, zadejte do nastavení DHCP následující příkazy: možnost 4 ip [IP adresa] možnost 42 ip [IP adresa] IP adresa by měla být nahrazena skutečným IP serverem, který slouží jako zdroj času. Nyní všechna zařízení DHCP přijmou nastavení času ze serveru s dalším upgradem.

Konfigurace statických zařízení a počítačů v jiných operačních systémech

Většina zařízení NAS a SAN má možnost zadávat informace o poskytovateli nastavení času. Chcete-li konfigurovat synchronizaci času s řadičem domény na zařízeních Cisco IOS, zadejte na příkazovém řádku: ntp server 19216825.5 Adresa IP by měla být nahrazena skutečným serverem IP, který slouží jako zdroj času. Chcete-li nakonfigurovat synchronizaci času v počítači pod operačním systémem jiného než Windows, nahlédněte do dokumentace operačního systému. V případě ostatních operačních systémů však správná nastavení času není tak důležitá jako systém Windows, takže můžete dokonce odmítnout synchronizaci.

Konfigurace virtuálních strojů hostů

Všechny moderní hypervisory mají schopnost synchronizovat systémový čas pro hosty s vestavěnými nástroji. PokudČasová synchronizace v doméně je povolena, hostující počítače obdrží čas od fyzického hostitele, na kterém pracují. Ve většině případů musíte tuto funkci vypnout pro počítače hostující systém Windows Server, které slouží jako virtualizované řadiče domény. Pro všechny ostatní hosty by měl být zahrnut.
Chcete-li nakonfigurovat synchronizaci času s řadičem domény v hypervisoru Hyper-V, otevřete dialogové okno Možnosti a přejděte na kartu Integrační služby. Zaškrtněte nebo zrušte zaškrtnutí políčka Časová synchronizace. Další hypervisory naleznete v dokumentaci výrobce.

Konfigurace zásad skupiny

Chcete-li opravdu přesvědčit počítače v systému Windows, aby používaly nastavení času odvozená od řadiče domény, musíte konfigurovat zásady skupiny. Chcete-li nainstalovat nové zásady skupiny, otevřete nástroj správy zásad v řadiči domény nebo v počítači, který má nainstalované nástroje pro správu vzdáleného serveru. Rozšiřte svou doménu. Klepněte pravým tlačítkem myši na položku Zásady skupiny objektů a klepněte na tlačítko Nový. Uveďte název nové zásady a klepněte na tlačítko OK.
Klepněte pravým tlačítkem myši na novou zásadu a klikněte na Upravit. Spustí se okno editoru zásad skupiny. Přejděte do části Konfigurace počítače & gt; Politiky & gt; Šablony pro správu & gt; Systém - & gt; Služba Windows Time & gt; Provozovatelé času. V pravém podokně poklepejte na položku Povolit klient NTP systému Windows. Nastavte možnost Povoleno, klepněte na tlačítko OK. Potom poklepejte na položku Konfigurovat klient NTP systému Windows. Upravte nastavení, jak je uvedeno níže, přidáním pole 0x1 v poli NtpServer.yourdc.yourdomain.tld, 0x1.
Po uložení zásad skupiny zavřete editor. Vrátíte se do okna ovládací konzoly hlavních zásad skupiny. Pokud je ve vaší doméně velké množství zásad, klepněte pravým tlačítkem na novou zásadu a přejděte do stavu GPO & gt; Nastavení konfigurace uživatele je zakázáno. Tím se urychlí zpracování jednotlivých zásad. Nyní klepněte pravým tlačítkem myši na objekt služby Active Directory, na který chcete tuto zásadu aplikovat, a klikněte na odkaz Propojení existujícího objektu GPO. Zvýrazněte novou zásadu a klikněte na tlačítko OK. V případě potřeby opakujte kroky pro další objekty.
Všimněte si, že vnořené objekty dědí zásad skupiny po svém otci, když je dědičnost nejsou blokovány nebo ne dítě své vlastní politiky spjaté skupině s konfliktními nastavení.

Nastavení jiné řadiče domény

Pokud budete postupovat podle výše uvedených kroků k zajištění synchronizace času doménu, téměř jistě nastaven tak, aby byla zajištěna správná doba všemi počítači v síti. Proto ostatní řadiče domény (pokud máte více než jeden) nelze dotýkat. Pokud však chcete být jisti, že používají správný čas, můžete upravit místní zásady pro skupiny. Přejděte do nabídky Start & gt; Spusťte příkaz enter gpedit.msc. Klepněte na tlačítko OK. Poté použijte stejné nastavení jako v předchozí části. Pokud řadič domény, na který chcete pracovat, spravuje systém Windows Server Core, můžete to provést vzdáleně za předpokladu, že tato volba je povolena sít'ovou obrazovkou. Stačí spustit mmc.exepočítač s grafickým rozhraním, otevřete položku nabídky File & gt; Přidat /Odebrat snap-in poklepejte na Editor objektů Zásady skupiny, klepněte na počítač, který chcete upravit Zásady skupiny.

Výsledky zkoušek

Běh na libovolném počítači se systémem Windows v příkazovém řádku jako správce sítě a zadejte: gpupdate w32tm /dotaz /zdroj důsledku příkazu na řadič domény budou vráceny na adresu serveru NTP, který byly dány jako externí zdroje času z Internetu. Na povel uživatelské stanice vrátí adresu řadiče domény. Ve virtuálním stroji na Hyper-V povoleno synchronizace času byste měli vidět zprávu: VM IC synchronizace času Provider. Pokud příkaz signály definované místní CMOS hodiny, synchronizace času domény nefunguje.

Související publikace