Синхронізація часу з контролером домену. Налаштування синхронізації часу

Синхронізація системного часу в домені Active Directory має значення для коректної роботи багатьох функцій на робочих станціях під Windows. Збилися системні годинник можуть вплинути на здатність користувача увійти в систему, порушити рух пошти в Exchange і створити масу інших проблем, які досить важко виявити. У складних випадках стандартні методи синхронізації часу в мережі не є на сто відсотків надійними або навіть передбачуваними. До наприклад, якщо годинник фізичного хоста Hyper-V перестають синхронізуватися, це зазвичай позначається на всіх віртуальних машинах, іноді катастрофічно. На щастя, не потрібно багато зусиль, щоб виправити помилки синхронізації часу.

Вибір комп'ютера в якості джерела часу

Перше, що необхідно зробити перед налаштуванням синхронізації часу, – вибрати комп'ютер, який стане основним джерелом системного часу в вашому домені. Як правило, в якості такого джерела вибирається комп'ютер, який в Active Directory має роллю емулятора первинного контролера домену (PDC). Згідно офіційній документації Microsoft, саме він повинен головним ресурсом, від якого мережа отримує дані про час. Однак на практиці це не завжди можливо. Машина, яку ви виберете, буде регулярно консультуватися з інтернет-джерелами, тому, якщо ви знаходитесь на строго охоронюваному об'єкті з високими вимогами до інформаційної безпеки варто задуматися про делегування цієї ролі іншого комп'ютера.


Наприклад, можна створити виділений сервер, який буде отримувати інформацію про часу з Інтернету і передавати її емулятор PDC. В цьому випадку у вас буде кілька комп'ютерів, що служать джерелами часу для машин, включених в мережу.

Налаштування брандмауера

Трафік при синхронізації часу з контролером домену надходить на UDP-порт 123. На комп'ютері, що служить джерелом часу, даний порт необхідно відкрити для вхідних з'єднань. На всіх машинах в мережі порт 123 повинен бути відкритий для вихідних з'єднань, принаймні з контролером домену.

Налаштування контролера домену

Для синхронізації часу з контролером домену на сервері, що виконує роль емулятора PDC, з використанням командного рядка повинні бути виконані наступні дії: 1. Перевірте, що контролер домену, на якому ви працюєте, є емулятором PDC, виконавши команду netdom query fsmo 2. На сервері-емуляторі PDC запустіть наступні команди синхронізації часу в зазначеному порядку: net stop w32time w32tm /configure /syncfromflags: manual /manualpeerlist:"0.us.pool.ntp.org,0x1 1.us.pool.ntp.org, 0x1 2.us.pool.ntp.org, 0x1 3.us.pool. ntp.org, 0x1" Зовнішнім джерелом часу за замовчуванням для Windows Server є сервер time.windows.com. Найкращим варіантом є синхронізація з декількома серверами часу. У наведеній вище команді ми використовуємо сервери часу, підтримувані NTP Pool Project. net start w32time w32tm /configure /reliable: yes /update w32tm /resync 3. Якщо в Active Directory є кілька контролерів домену, виконайте таку команду в командному рядку: w32tm /config /syncfromflags: domhier /update 4. Перевірте правильність налаштувань часу на сервері-емуляторі PDC: w32tm /query /status: 5. Перевірте правильність налаштування часу на всіх інших контролерах домену: w32tm /query /status:

Налаштування DHCP

Для того щоб забезпечити синхронізацію часу з контролером домену на пристроях, відповідають за DHCP, в налаштуваннях DHCP-сервера, встановіть параметри 004 і 042. Для записів DHCP ви можете використовувати тільки IP-адреси. Ви можете ввести ім'я сервера та натиснути Resolve, щоб отримати IP-адресу сервера. Якщо ви використовуєте DHCP за допомогою пристрою Cisco, в налаштуваннях DHCP введіть наступні команди: option 4 ip[IP-адрес] option 42 ip[IP-адрес] IP-адреса слід замінити на фактичний IP сервера, службовця джерелом часу. Тепер всі DHCP-пристрої отримають налаштування часу від сервера при наступному оновленні.

Налаштування статичних пристроїв і комп'ютерів під іншими ОС

Більшість пристроїв NAS і SAN мають можливість вводу інформації про сервер-постачальника налаштувань часу. Щоб налаштувати синхронізацію часу з контролером домену на пристроях Cisco IOS, введіть у командному рядку: ntp server 19216825.5 IP-адреса слід замінити на фактичний IP сервера, службовця джерелом часу. Щоб налаштувати синхронізацію часу на комп'ютері під операційною системою, відмінною від Windows, зверніться до документації операційної системи. Втім, для інших ОС коректні налаштування часу не так важливі, як для Windows, тому від синхронізації можна навіть відмовитися.

Налаштування гостьових віртуальних машин

Всі сучасні гипервизоры мають можливість синхронізації системного часу для гостьових машин з допомогою вбудованих інструментів. Якщо синхронізація часу в домені включена, гостьові машини будуть отримувати час з фізичного хоста, на якому вони працюють. У більшості випадків потрібно відключити цю функцію для гостьових машин Windows Server, які служать в якості віртуалізованих контролерів домену. Для всіх інших гостей, вона повинна бути включена.
Для налаштування синхронізації часу з контролером домену в гипервизоре Hyper-V відкрийте діалогове вікно Параметри і перейдіть на вкладку Integration Services. Установіть або зніміть прапорець Time Synchronization. Для інших гіпервізора зверніться до документації виробника.

Налаштування групових політик

Для того щоб дійсно переконати ваші комп'ютери під Windows використовувати налаштування часу, одержувані від контролера домену, необхідно налаштувати групові політики. Щоб встановити нову групову політику, відкрийте засіб управління політиками на контролері домену або на комп'ютері, на якому встановлені засоби адміністрування віддаленого сервера. Розкрийте свій домен. Клацніть правою кнопкою миші по пункту Group Policy Objects натисніть New. Дайте новій політиці ім'я і натисніть ОК. Кликніть правою кнопкою по новій політиці і натисніть Edit. Це запустить вікно редактора політики групи. Перейдіть в Computer Configuration > Policies > Administrative Templates > System -> Windows Time Service > Time Providers. На правій панелі клацніть двічі Enable Windows NTP Client. Встановіть опцію в положення Enabled натисніть ОК. Потім двічі клацніть Configure Windows NTP Client. Налаштуйте параметри, як на малюнку нижче, додавши 0x1 у полі NtpServer, щоб вийшло yourdc.yourdomain.tld, 0x1. Після збереження групової політики закрийте редактор. Ви повернетеся до вікна консолі керування основною політикою групи. Якщо у вашому домені є велика кількість політик, клацніть правою кнопкою по новій політиці і перейдіть в GPO Status > User Configuration Settings Disabled. Це прискорить обробку кожної політики. Тепер клацніть правою кнопкою миші по об'єкту Active Directory, до якого ви хочете застосувати цю політику, і натисніть Link an Existing GPO. Виділіть нову політику і натисніть ОК. При необхідності повторіть дії для інших об'єктів. Пам'ятайте, що вкладені об'єкти успадковують групову політику від свого батька, якщо спадкування не заблоковано або у дочірнього об'єкта немає власної пов'язаної групової політики з конфліктуючими налаштуваннями.

Налаштування інших контролерів домену

Якщо ви виконайте описані вище кроки для забезпечення синхронізації часу в домені, то майже гарантовано налаштуєте отримання коректного часу всіма комп'ютерами в мережі. Тому інші контролери домену (якщо у вас їх декілька) можна не чіпати. Однак якщо ви хочете бути впевненими, що вони використовують правильний час, ви можете відредагувати локальну групову політику. Перейдіть в меню Пуск > Виконати введіть gpedit.msc. Натисніть ОК. Потім використовуйте ті ж налаштування, що наведені у попередньому розділі. Якщо контролер домену, на якому ви хочете працювати, управляється Windows Server Core, ви можете зробити це віддалено, за умови, що така можливість дозволена мережевим екраном. Просто запустіть mmc.exe на комп'ютері з графічним інтерфейсом, відкрийте пункт меню File > Add/Remove Snap-In, двічі клацніть Group Policy Object Editor перейдіть на комп'ютер, на якому ви хочете відредагувати групову політику.

Перевірка результату

Запустіть на будь-якому комп'ютері з Windows в мережі командний рядок з правами адміністратора і введіть: gpupdate w32tm /query /source У результаті виконання команди на контролері домену буде повернутий адресу одного з серверів NTP, які були задані в якості зовнішніх джерел часу з Інтернету. На робочій станції користувача команда поверне адресу контролера домену. На віртуальній машині Hyper-V з включеною синхронізацією часу ви повинні побачити повідомлення: VM IC Time Synchronization Provider. Якщо команда сигналізує, що визначається за локальними CMOS-годинах, синхронізація часу в домені не працює.