Setarea timpului de domeniu de sincronizare director activ, blog-ul de Dmitriy khlebalin

În general, serviciul de timp este destul de un serviciu important în activitatea tuturor sistemelor în ansamblu. Uneori, mulți administratori l amâne pentru mai târziu, sau o setare, în general, nu-l ajustați în viitor. Și toate ar face, dar uneori începe să cauzeze probleme (cum ar fi refuzul unor servicii, pentru autentificarea Kerberos într-un domeniu, și alte bug-uri). În acest post, voi oferi unele dintre propriile lor setări și colegii noștri de pe podea magazin și spune despre nuanțele pe care le-am întâlnit în viața mea pe scurt. Să începem:

  • topologie de sincronizare de timp între participanții la Active Directory
  • cel mai bun din punctul meu de vedere, timpul de configurare a serverului PDC emulator rădăcină
  • comenzi utile pentru configurarea și diagnosticarea timpului de sincronizare
  • caracteristici. pentru a fi luate în considerare pentru controlerele de domeniu virtualizate

Sincronizare timp Topologia Active Directory între participanți

următoarea schemă de sincronizare de timp funcționează între calculatoarele participante la Active Directory.

  • Controlerul este domeniul rădăcină în pădure AD care deține FSMO emulator rolul PDC (să-l PDC rădăcină apela), o sursă de timp pentru toate celelalte controlere ale acestui domeniu.
  • controlere de domeniu copil sincroniza timpul cu părintele unui controler de topologie de domeniu AD.
  • Membrii obișnuiți ai domeniului (servere și stații de lucru) sincroniza timpul lor cu cel mai apropiat pentru a le controler de domeniu disponibile, cu respectarea topologia AD.

Root PDC poate sincroniza timpul cu atât o sursă externă, și pentru el însuși, acesta din urmă este configurația implicită și este absurdă erori, lăsat să se înțeleagă ca periodic în jurnalul de sistem.

rădăcină de sincronizare client PDC poate fi realizată atât cu ceasul intern și o sursă externă. În primul caz de timp PDC serverul rădăcină se anunta ca „de încredere» (de încredere).

În continuare se va da o configurație optimă a timpului PDC serverul rădăcină, în cazul în care rădăcina în sine PDC sincronizeze periodic timp de la o sursă de încredere de pe Internet, și clienții timp accesând sincronizează cu ceasul intern.

configurare NTP-server de pe PDC rădăcină

Configurarea serverului de timp (NTP-server) poate fi realizată prin intermediul w32tm CLU și prin intermediul registrului. Acolo unde este posibil, acestea se vor afișa.

Includerea ceasului intern sincronizat cu sursa externă

  • [HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ W32Time \ Parameters]
    «Tip» = »NTP»
  • w32tm / config / syncfromflags: manual

Detalii - în bibliotecă TechNet.

  • [HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ W32Time \ Config]
    «AnnounceFlags» = dword: 0000000a
  • w32tm / config / de încredere: da

Detalii - în bibliotecă TechNet.

Implicit de NTP-Server este activat pe toate controlerele de domeniu, dar o puteți activa, iar pe serverele membre.

Lista de sarcini pentru sincronizare externă

  • [HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ W32Time \ Parameters]
    «NtpServer» = »time.nist.gov, 0x8 ntp1.imvp.ru, 0x8 ntp2.imvp.ru, 0x8 time.windows.com, 0x8 ru.pool.ntp.org, 0x8»
  • w32tm / config /manualpeerlist:»time.nist.gov,0x8 ntp1.imvp.ru, 0x8 ntp2.imvp.ru, 0x8 time.windows.com, 0x8 ru.pool.ntp.org, 0x8 "

Flag 0 × 8 la final este că sincronizarea trebuie să aibă loc la modul client NTP, la intervalele prevăzute de acest server. Pentru a specifica un steag interval de sincronizare este 0 × 1 trebuie utilizat. Toate celelalte steaguri sunt descrise în biblioteca TechNet.

Specificarea unui interval de sincronizare cu sursa externă

Timpul în secunde între sondaje sursa de sincronizare, implicit = 900C 15min. Aceasta funcționează numai pentru sursele marcate de pavilion 0 × 1.

Setarea corecției minime pozitive și negative

Timpul maxim pozitiv și negativ offset (diferență între ceasul intern și sursa de ceas), în secunde, după care are loc sincronizarea. Vă recomandăm valoarea 0xFFFFFFFF, în care corecția poate fi realizată întotdeauna.

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ W32Time \ Config]
«MaxPosPhaseCorrection» = dword: FFFFFFFF
«MaxNegPhaseCorrection» = dword: FFFFFFFF

Tot ce ai nevoie într-o singură linie

syncfromflags w32tm.exe / config /manualpeerlist:»time.nist.gov,0x8 ntp1.imvp.ru, 0x8 ntp2.imvp.ru, 0x8 time.windows.com, 0x8 pool.ntp.org, 0x8 »/: manual / de încredere: da / actualizare

  • Timpul de aplicare modificări de configurare ale serviciului
    w32tm / config / actualizare
  • Sincronizare forțată de la sursă
    w32tm / Resincronizați / Redescoperă
  • controlere de domeniu starea de sincronizare de afișare în domeniu
    w32tm / monitor
  • Afișează sursa de ceas curent și starea acestuia
    w32tm / interogare / colegii

Caracteristici virtualizate controlere de domeniu

controlere de domeniu care rulează într-un mediu virtualizat, necesită un tratament special pentru ei înșiși.

  • Mijloace pentru sincronizarea timpului mașinii virtuale și sistemul de operare gazdă trebuie să fie oprit. În toate sistemele de virtualizare adecvate (Microsoft, VMWare și așa mai departe. D.) prezintă componentele integrării sistemului de operare musafir cu gazda, care îmbunătățesc considerabil performanța și manevrabilitatea sistemului de oaspeți. Printre aceste componente, există întotdeauna un instrument de sincronizare de timp a sistemului de operare de vizitator la gazdă, care este foarte util pentru mașinile obișnuite, dar este contraindicat pentru controlerele de domeniu. Pentru că, în acest caz, este foarte probabil ca ciclul în care controlerul de domeniu și sistemul de operare gazdă se va sincroniza unul cu celălalt. consecințe Sad.
  • ar trebui să fie întotdeauna setat Root PDC cu o sursă de sincronizare externă. Într-un mediu virtual, ceasul nu este la fel de precisă ca fizic, deoarece mașina virtuală cu un procesor și întrerupe virtuale, care sunt caracterizate prin decelerării și accelerarea în raport cu rata „normală“. Dacă nu configurați sincronizarea virtualizat PDC rădăcină cu o sursă externă, timpul pe toate computerele din întreprindere poate fugi / păstrează pentru câteva ore pe zi. Nu este greu de imaginat probleme care poate aduce un astfel de comportament.

Dacă aveți un domeniu, acesta se sincronizeze timp pe stațiile de lucru. Numai, pentru că el însuși nu a fost în căutarea cuiva să fie sincronizat cu acesta, ar trebui să fie în registru:
«HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ W32Time \ Parameters»
Setați parametrul LocalNTP la 1.
Stații de lucru (la toate), o dată pentru a înregistra «timpul net \\ numeserver / set»
Ah, da, după modificările din registru în continuare nevoie pentru a reporni serviciul: «net stop w32time» și «net start w32time» pe rând.

De exemplu, pe un computer conectat la Internet:
1. timpul net /setsntp:»192.5.41.209 192.5.41.41 "
2. Reporniți serviciul de timp

Pe controlerul de domeniu:
1. timpul net / setsntp: »AyPi_kompa_podklyuchennogo_k_inetu“
2. Reporniți serviciul de timp

Prin acest lucru pentru tine, am ajuns la concluzia că prezența în compania unei infrastructuri mixte (ferestre + Nix) și mai urgentă de a utiliza un server NTP la platforma Nix (în cazul meu este FreeBSD), respectiv, iar apoi ei înșiși înființat. Pentru a configura servaka NTP pe FreeBSD în posturile mele viitoare.

Mult noroc pentru toată lumea în lucrare.

P.S. De asemenea, va fi util aici aceste site-uri:

P.S. Vor fi în continuare util rezumat al comenzilor:

syncfromflags w32tm / config / modificare /manualpeerlist:»ntp.mobatime.ru »/: MANUAL / încredere: DA

configurare NTP-server de pe PDC rădăcină

Configurarea serverului de timp (NTP-server) poate fi realizată prin intermediul w32tm CLU și prin intermediul registrului. Acolo unde este posibil, eu aduc ambele.

Includerea ceasului intern sincronizat cu sursa externă

  • [HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ W32Time \ Parameters] «tip» = »NTP»
  • w32tm / config / syncfromflags: manual
  • [HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ W32Time \ Config] «AnnounceFlags» = dword: 0000000a
  • w32tm / config / de încredere: da

Implicit de NTP-Server este activat pe toate controlerele de domeniu, dar o puteți activa, iar pe serverele membre.

Lista de sarcini pentru sincronizare externă

  • [HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ W32Time \ Parameters] «NtpServer» = »time.nist.gov, 0x8 ntp1.imvp.ru, 0x8 ntp2.imvp.ru, 0x8 time.windows.com, 0x8 ru.pool. ntp.org, 0x8 »
  • w32tm / config /manualpeerlist:»time.nist.gov,0x8 ntp1.imvp.ru, 0x8 ntp2.imvp.ru, 0x8 time.windows.com, 0x8 ru.pool.ntp.org, 0x8 "

Flag 0 × 8 la final este că sincronizarea trebuie să aibă loc la modul client NTP, la intervalele prevăzute de acest server. Pentru a specifica un steag interval de sincronizare este 0 × 1 trebuie utilizat. Toate celelalte steaguri sunt descrise în biblioteca TechNet.

Specificarea unui interval de sincronizare cu sursa externă

Timpul în secunde între sondaje sursa de sincronizare, implicit = 900C 15min. Aceasta funcționează numai pentru sursele marcate de pavilion 0 × 1.

Setarea corecției minime pozitive și negative

Timpul maxim pozitiv și negativ offset (diferență între ceasul intern și sursa de ceas), în secunde, după care are loc sincronizarea. Vă recomandăm valoarea 0xFFFFFFFF, în care corecția poate fi realizată întotdeauna.

[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ W32Time \ Config] «MaxPosPhaseCorrection» = dword: FFFFFFFF «MaxNegPhaseCorrection» = dword: FFFFFFFF

Tot ce ai nevoie într-o singură linie

syncfromflags w32tm.exe / config /manualpeerlist:»time.nist.gov,0x8 ntp1.imvp.ru, 0x8 ntp2.imvp.ru, 0x8 time.windows.com, 0x8 pool.ntp.org, 0x8 „/: manual / de încredere: da / actualizare

  • Serviciul Timp de aplicare incluse în configurația w32tm modificările / config / actualizare
  • Sincronizare forțată de la sursa w32tm / Resincronizați / Redescoperă
  • controlere de domeniu starea de sincronizare de afișare în domeniul w32tm / monitor
  • Afișarea surselor de curent și starea de sincronizare w32tm / interogare / colegii lor

Verificați dacă controlerul de domeniu nu este inclus Politica locală

1) Opriți aici NTP client și setările de server
2) Verificați comanda gpresult.

Pentru a configura controlerul de domeniu la rolul de „Emulator PDC“ pentru a sincroniza cu o sursă externă, trebuie să rulați mai întâi comanda

w32tm / stripchart / calculator: 3.pool.ntp.org / probe: 5 / dataonly

care va produce 5 Comparație cu sursa, apoi:

w32tm / config / manualpeerlist: 3.pool.ntp.org / syncfromflags: manual / de încredere

Comanda este executată cu privilegii ridicate

Verificați sursa controler extern: w32tm / interogare / Sursa

Toate lucrările bune.