Меню

Server 2008 настройка сервера времени



Настройка Windows Server 2008 R2 в качестве клиента сервера времени (NTP)

По умолчанию служба времени в Windows Server сконфигурирована следующим образом:

  1. При установке операционной системы Windows запускает клиента NTP, который синхронизируется с внешним источником времени;
  2. При добавлении компьютера в домен Active Directory тип синхронизации меняется. Все клиентские компьютеры и рядовые сервера в домене используют для синхронизации времени контроллер домена, проверяющий их подлинность;
  3. При повышении рядового сервера до контроллера домена на нем запускается NTP-сервер, который в качестве источника времени использует контроллер с ролью PDC-эмулятор;
  4. PDC-эмулятор, расположенный в корневом домене леса, является основным сервером времени для всей организации. При этом сам он также синхронизируется с внешним источником времени.

Иногда возникают ситуации, когда пункт 2 не выполняется или работает некорректно, в следствие чего может возникать ресинхронизация времени и сервер перестанет быть доступным для пользователей домена Active Directory.

Для оперативной настройка сервера в качестве клиента NTP в консоли CMD с правами локального администратора выполняются следующие команды:

На скриншоте выше указан тип NT5DS, что говорит о синхронизации времени с контроллеров домена. Данный механизм по неизвестной причине не работает.

Для того чтобы изменить тип подключения к серверу времени на актуальный, необходимо выполнить команду:

В случае если результат выполнения: Команда выполнена успешно, то выполняется следующая команда:

Если результат выполнения:

Значит сервер времени недоступен.

Если результат выполнения:

Значит все в порядке.

Для проверки необходимо выполнить команду:

Для выявления отклонений от времени на контроллера домена Active Directory необходимо выполнить команду:

Источник

Server 2008 настройка сервера времени

Как известно, в Windows Server 2008 R2 стало невозможным настраивать источник времени командой net time, для этого необходимо использовать команду w32tm. Эта команда предназначена для настройки службы Windows Time и имеет широкий набор аргументов, описание которых можно увидеть, запустив ее с ключом /?. В этой статье я опишу несколько типичных вариантов использования команды w32tm.

w32tm /query /source — выводит источник времени, на который настроена служба Windows Time
w32tm /monitor — при запуске на контроллере домена (КД) показывает, насколько отличается время на других КД и на внешнем источнике времени, на который настроен PDC
w32tm /config /syncfromflags:manual /manualpeerlist:ru.pool.ntp.org — настройка в качестве источника времени пула ntp-серверов ru.pool.ntp.org
w32tm /config /update — эту команду необходимо выполнить, чтобы служба времени применила новые настройки
w32tm /resync — выполнение синхронизации времени
w32tm /unregister — отменяет регистрацию службы и удаляет настройки из реестра
w32tm /register — регистрирует службу и восстанавливает настройки по умолчанию

Настройки службы Windows Time хранятся в реестре в ветке
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\

Период синхронизации задается в ветке реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\W32Time\TimeProviders\NtpClient
ключ SpecialPollInterval содержит интервал синхронизации в секундах

Tips:
Если у вас несколько контроллеров домена, при использовании виртуализированного контроллера домена необходимо обязательно отключать средство синхронизации времени гостевой ОС с хостовой — контроллеры домена используют свой собственный механизм синхронизации времени, использование вместе с ним синхронизации времени с хостовой машиной может привести к различным проблемам, вплоть до проблем с репликацией.
Если у вас один единственный контроллер в домене и он виртуализированный, то включить синхронизацию времени с хостовой машиной можно, однако обязательно настройте на хостовой машине синхронизацию с внешним источником времнени и уменьшите интервал синхронизации, например, до одного дня.

Виртуализированный корневой PDC должен быть обязательно настроен на получение времени от внешнего источника, в противном случае время на компьютерах в сети может отставать или спешить на значительное значение.

Источник

IT. notes

Самые популярные статьи

Настройка службы времени (NTP) в Windows 2003 / 2008 / 2008 R2

Служба времени Windows, несмотря на кажущуюся простоту является основой нормального функционирования AD.

Итак, в нормально настроенной среде служба времени функционирует так: пользователи получают точное время от ближайшего контроллера домена, на котором они зарегистрировались, все доменные контроллеры запрашивают об этом DC с ролью FSMO «Эмулятор PDC», а тот, в свою очередь, синхронизируется с внешним источником времени. Внешним источником как правило выступает один или несколько NTP-сервера институтов времени, например time.windows.com или NTP-сервер вашего провайдера.

Если у вас рассинхронизация контроллеров домена между собой и жалобы пользователей на то, что наше время отличается от точного, то вам сюда.

Настройка вашего доменного контроллера с ролью «Эмулятора PDC» на синхронизацию с внешним источником:

  • находим все DC и того, кто из них PDC эмулятор
  • на PDC делаем следующее которая произведет 5 сравнений с источником, а затем которая непосредственно выполнит настройку.

Можно указать сразу несколько серверов, в этом случае необходимо раздели имена серверов пробелом и всех их заключит в ковычки: /manualpeerlist:»time.windows.com clock0.macomnet.ru»

. внимание, связь с источником осуществляется по протоколу NTP – 123 порт UDP.

Все эти изменения аналогичнв следующим значениям в реестре
#HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\NtpServer Там должен быть записан ip адрес или полной имя нашего ntp сервера и запись должна обязательно заканчиваться строкой “,0?1”. Кавычки, понятное дело, нужно убрать. Кстати, к этому суффиксу я вернусь позже. Для уверенности в том, что тут нету ошибки, неплохо бы попингать скопированный оттуда адрес или имя.
#HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type убедиться, что там прописано NTP, а неNT5DS
#HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags тут должна быть 5

  • Если Вы перенесли роль PDC Emulator на другой сервер, необходимо дополнительно выполнить настройку старого сервера командой w32tm /config /syncfromflags:domhier /reliable:no /update и перезапустить службу времени —
  • На остальных контроллерах домена рекомендуется сделать

    Эта операция удаляет службу времени, а затем снова ее устанавливает, причем, что важно, удаляется, а затем создается заново вся ветка параметров в реестре.

    Очень рекомендуется перезапустить контроллер домена, являющийся pdc эмулятором, да и все остальные тоже.

    Если проблемы всё равно возникают, то стоит попробовать заменить значение 0х01 на 0х08 в параметре
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\NtpServer
    чтобы стали посылаться стандартные клиентские запросы.

    Перезапускаем сервис времени net stop w32time && net start w32time

    Очень рекомендуется проверить все политики, имеющие отношение к настройкам сервиса времени, а именно: ну и все другие, которые имеют отношение к домен контроллерам, серверам и рабочим станциям и в которых изменены любые значения в разделе
    Computer configuration/Administrative Templates /System/Windows Time service/Time Providers

    Убедитесь, что все значения там в состоянии “not configured”. При необходимости, играть с параметрами следует позже.

    В особо тяжелых случаях может помочь включение лога для сервиса. Для настройки этого используются три параметра в реестре по пути
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config

    Если нижеприведенных ключей там нету, а их нету по умолчанию, то их следует создать
    Value Name: FileLogSize
    Data Type: DWORD
    Value data: 10000000

    Этот параметр определяет максимальный размер файла лога в байтах. Значение 10000000 байт ограничит файл приблизительно в 10 Mb.
    Value name: FileLogName
    Data Type: REG_SZ (String)
    Value data: C:\Test\w32time_log.txt

    Этот параметр определяет место и имя файла лога.
    Value name: FileLogEntries
    Data Type: REG_SZ (String)
    Value: 0-116

    Этот параметр определяет уровень детализации лога. Диапазон значений параметра 0-116. (Если ввести туда 0-300, то уровень детализации станет максимальным)

    Вместо изменения значений в реестре, можно то же самое сделать из командной строки w32tm /debug /enable /file:C:\Test\w32time_log.txt /size:100000 /entries:0-300

    Чтобы выключить логи отладки можно ввести команду w32tm /debug /disable

    Несколько самых известных источников времени:
    1. ntp2.usno.navy.mil
    2. pool.ntp.org
    3. clock0.macomnet.ru

    Проверить что со временем все в порядке можно так:

    Источник

    Настройка времени в Windows 7 и Windows Server 2008 R2

    Посетителей: 47856 | Просмотров: 56921 (сегодня 2) Шрифт:

  • Когда речь идет об устройствах или часах дома, точность не всегда обязательна. Вполне нормально, если часы немного спешат или отстают. Однако от сотовых телефонов и компьютеров мы сегодня ждем стопроцентной точности времени (и особенно даты) без сбоев (ну или, по крайней мере, я этого жду). Дело не в том, что это просто «хорошо», правильное время и дата на самом деле требуются для правильной работы функций инфраструктуры предприятий. Например, серверы и клиентские ПК, являющиеся участниками Windows Active Directory, должны иметь правильную дату и время, без наличия которой проверка подлинности не будет успешной.

    У меня есть сервер, батарея материнской платы которого слабая. Если я отключаю питание, а потом снова включаю его, настройки времени и даты сбиваются. Сервер загружается и работает, однако я не могу подключиться к нему через RDP из-за значительной разницы во времени. Это происходит потому, что для проверки сертификатов безопасности дата на сервере и клиенте должна, по крайней мере, быть близкой по значению. А поскольку этот сервер является контроллером домена, эта проблема со временем может привести к тому, что весь AD домен не сможет аутентифицироваться.

    Что нового в Windows 7 в области времени и даты?

    Если говорить честно, настройки времени и даты в Windows Vista и Windows 7 очень похожи. Двойным нажатием на часах в панели задач вы вызываете диалог настройки времени и даты (Date and Time), где вы настраиваете дату, время, часовой пояс, дополнительные часы и время интернета.

    Единственным различием, которое я смог найти, является напоминание о переводе часов. В Windows Vista стандартным значением была опция Напомнить мне за неделю до того, как это изменение произойдет (Remind me one week before this change occurs). С этим параметром вы получали уведомление за неделю до того, как часы «переводились вперед или назад».

    Рисунок 1: Настройка даты и времени в Windows 7

    Я не думаю, что уведомление за неделю очень полезно. Конечно, в течение недели вы забудете о переводе времени. В Microsoft сочли также, поскольку в Windows 7 они изменили этот параметр на опцию Напомнить мне о переводе часов во время перевода. Таким образом вы получите уведомление во время перевода часов. На мой взгляд, это лучше. Не думаю, что большинству из нас надо получать уведомление за неделю вперед.

    Конечно, перевод времени в США изменился в 2009 и перевод часов по всему миру значительно различается. К счастью в Microsoft отслеживают эти различия для нас и вносят их на основе выбранного нами часового пояса в настройках Windows.

    Windows 2008 – до и после DCPROMO

    В Windows Server время и дата могут значительно отличаться, если вы используете сервер в качестве контроллера домена Active Directory Domain Controller (ADDC).

    Настройки в типичном сервере Windows 2008 будут очень похожи, по умолчанию, на настройки в Windows 7, как показано на рисунке 1. Все те же закладки, включая Время интернета, рисунок 2 ниже.

    Рисунок 2: Windows 2008 Server до DCPROMO

    Однако, что произойдет, если сделать этот сервер Windows Server контроллером домена?

    После того как вы выполнили DCPROMO, если вы вернетесь к настройке Дата и время, вы обнаружите, что закладка Время интернета отсутствует. Это показано на рисунке 3 ниже.

    Рисунок 3: Windows 2008 Server после DCPROMO

    С чем это связано? Когда сервер Windows становится контроллером домена, стандартное поведение получения даты и времени через NTP с time.windows.com по интернету исчезает. Сервер становится корневым сервером времени для всех компьютеров в домене с помощью Windows SNTP (простой сетевой протокол времени). Служба w32tm (и CLI команда) обеспечивает такое поведение и управляет им.

    Как видно на рисунке, на этом сервере, который не является ADDC, служба Windows Time установлена в ручной режим и не запущена.

    Рисунок 4: Windows Time не запущена на стандартом сервере

    Однако на сервере Windows Server (рисунок 5) Windows Time сервер IS запущен и установлен в режиме Автоматически (Automatic), поскольку это контроллер домена Active Directory.

    Рисунок 5: Windows Time работает на контроллере домена

    Настройка контроллера домена на использование NTP

    По умолчанию на контроллере домена внутренние BIOS часы сервера являются источником даты и времени для всей инфраструктуры. Однако как узнать, что эти настройки верны?

    На мой взгляд, контроллер домена должен использовать NTP для выхода в интернет и синхронизации своего времени и даты с авторизированными серверами NTP. К сожалению, для этого нужно использовать редактор системного реестра Windows и изменить 6 записей реестра. Я считаю, что должен быть простой способ настройки этих параметров с помощью графического интерфейса, однако на сегодняшний день это можно сделать только с помощью изменения системного реестра.

    К счастью, есть пара хороших статей, которые предоставят вам пошаговое руководство по этим настройкам:

    Источник

    Синхронизация времени с внешним NTP сервером в Windows Server 2008 R2

    Синхронизация времени – это достаточно важный и, зачастую, критичный аспект работы всех компьютерных систем в сети. По-умолчанию, клиентские компьютеры в сети Microsoft Windows синхронизируют свое время со своим контроллером домена, а контроллер домена берет время с контроллера домена, выполняющего роль мастера операций. В свою очередь, сервер с ролью мастера операций домена Active Directory (PDC), должен синхронизировать свое время с неким внешним источником времени. Рекомендуется использовать список NTP серверов, перечисленных на сайте NTP Pool Project . Прежде чем приступить к настройке синхронизации времени с внешним сервером, не забудьте открыть на своем межсетевом экране стандартный NTP порт — UDP 123 port (нужно разрешить как входящее, так и исходящее соединение).

    1. Сначала, нужно определить свой PDC сервер с ролью FSMO. Откройте командную строку и наберите в ней: C:\>netdom/queryfsmo
    2. Зайдите на найденный контроллер домена и откройте командную строку.
    3. Остановите службу W32Time: C:\>net stop w32time
    4. Настройте внешний источник времени: C:\> w32tm /config /syncfromflags:manual /manualpeerlist:”0.pool.ntp.org, 1.pool.ntp.org, 2.pool.ntp.org”
    5. Теперь необходимо сделать ваш контроллер домена PDC доступным для клиентов: C:\>w32tm/config/reliable:yes
    6. Запустите службу времени w32time: C:\>net start w32time
    7. Теперь служба времени Windows должна начать синхронизацию времени с внешним источником. Посмотреть текущий внешний NTP сервер можно при помощи команды: C:\>w32tm/query/configuration
    8. Не забудьте проверить журнал событий на наличие ошибок синхронизации.

    Настройка внешнего источника времени для домена была протестирована и отработано на контроллере домена под управлением Windows Server 2008 R2 (Build 7600).
    Будь в команде сетивых администраторов портал для всех портал для тебя.

    Источник

    Как настроить NTP сервер и синхронизацию времени в домене Active Directory

    Как настроить NTP сервер и синхронизацию времени в домене Active Directory

    Добрый день уважаемые читатели и гости блога pyatilistnik.org, как много люди говорят о времени, что оно быстро или медленно бежит, и все понимают, что оно бесценно и важно. Так и в инфраструктуре Active Directory, она является одним из важнейших факторов, правильного функционирования домена. В домене все друг другу доверяют, и один раз авторизовавшись и получив все тикеты от Kerberos, пользователь ходит куда угодно, ограничиваясь лишь своими доступными правами. Так вот если у вас не будет точного времени на ваших рабочих станциях к контроллеру домена, то можете считать, что у вас начинаются серьезные проблемы, о которых мы поговорим ниже и рассмотрим как их устранить с помощью настройки NTP сервера в Windows.

    Синхронизация времени в Active Directory

    Среди компьютеров, участвующих в Active Directory работает следующая схема синхронизация времени.

    • Контроллер корневого домена в лесу AD, которому принадлежит FSMО-роль эмулятора PDC (назовем его корневым PDC), является источником времени для всех остальных контроллеров этого домена.
    • Контроллеры дочерних доменов синхронизируют время с вышестоящих по топологии AD контроллеров домена.
    • Рядовые члены домена (сервера и рабочие станции) синхронизируют свое время с ближайшим к ним доступным контроллером домена, соблюдая топологию AD.

    Корневой PDC может синхронизировать свое время как со внешним источником, так и с самим собой, последнее задано конфигурацией по умолчанию и является абсурдом, о чем периодически намекают ошибки в системном журнале.

    Синхронизация клиентов корневого PDC может осуществятся как с его внутренних часов, так и с внешнего источника. В первом случае сервер времени корневого PDC объявляет себя как «надежный» (reliable).

    Далее я приведу оптимальную с моей точки зрения конфигурацию сервера времени корневого PDC, при которой сам корневой PDC периодически синхронизирует свое время от достоверного источника в интернете, а время обращающихся к нему клиентов синхронизирует со своими внутренними часами.

    Вводим netdom query fsmo. В моем примере, роль PDC и NTP сервера, принадлежит контроллеру dc7

    Конфигурация NTP-сервера на корневом PDC

    Конфигурирование сервера времени в Windows (NTP-сервера) может осуществляться как с помощью утилиты командной строки w32tm, так и через реестр. Где возможно, я приведу оба варианта. Но в начале посмотрите полностью ваши настройки на компьютере, делается это командой:

    EventLogFlags: 2 (Локально)
    AnnounceFlags: 10 (Локально)
    TimeJumpAuditOffset: 28800 (Локально)
    MinPollInterval: 6 (Локально)
    MaxPollInterval: 10 (Локально)
    MaxNegPhaseCorrection: 172800 (Локально)
    MaxPosPhaseCorrection: 172800 (Локально)
    MaxAllowedPhaseOffset: 300 (Локально)

    FrequencyCorrectRate: 4 (Локально)
    PollAdjustFactor: 5 (Локально)
    LargePhaseOffset: 50000000 (Локально)
    SpikeWatchPeriod: 900 (Локально)
    LocalClockDispersion: 10 (Локально)
    HoldPeriod: 5 (Локально)
    PhaseCorrectRate: 7 (Локально)
    UpdateInterval: 100 (Локально)

    NtpClient (Локально)
    DllName: C:\Windows\system32\w32time.dll (Локально)
    Enabled: 1 (Локально)
    InputProvider: 1 (Локально)
    CrossSiteSyncFlags: 2 (Локально)
    AllowNonstandardModeCombinations: 1 (Локально)
    ResolvePeerBackoffMinutes: 15 (Локально)
    ResolvePeerBackoffMaxTimes: 7 (Локально)
    CompatibilityFlags: 2147483648 (Локально)
    EventLogFlags: 1 (Локально)
    LargeSampleSkew: 3 (Локально)
    SpecialPollInterval: 3600 (Локально)
    Type: NT5DS (Локально)

    NtpServer (Локально)
    DllName: C:\Windows\system32\w32time.dll (Локально)
    Enabled: 1 (Локально)
    InputProvider: 0 (Локально)
    AllowNonstandardModeCombinations: 1 (Локально)

    VMICTimeProvider (Локально)
    DllName: C:\Windows\System32\vmictimeprovider.dll (Локально)
    Enabled: 1 (Локально)
    InputProvider: 1 (Локально)

    Включение синхронизации внутренних часов с внешним источником

    • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters]
      «Type»=»NTP»
    • w32tm /config /syncfromflags:manual

    Объявление NTP-сервера в качестве надежного

    • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config]
      «AnnounceFlags»=dword:0000000a
    • w32tm /config /reliable:yes

    NTP-сервер по умолчанию включен на всех контроллерах домена, однако его можно включить и на рядовых серверах.

    • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer]
      «Enabled»=dword:00000001

    Задание списка внешних источников для синхронизации

    • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters]
      «NtpServer»=»time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 ru.pool.ntp.org,0x8»
    • w32tm /config /manualpeerlist:»time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 ru.pool.ntp.org,0x8″

    Флаг 0×8 на конце означает, что синхронизация должна происходить в режиме клиента NTP, через предложенные этим сервером интервалы времени. Для того, чтобы задать свой интервал синхронизации, необходимо использовать флаг 0×1.

    Задание интервала синхронизации с внешним источником

    Время в секундах между опросами источника синхронизации, по умолчанию 900с = 15мин. Работает только для источников, помеченных флагом 0×1.

    • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient]
      «SpecialPollInterval»=dword:00000384

    Установка минимальной положительной и отрицательной коррекции

    Максимальная положительная и отрицательная коррекция времени (разница между внутренними часами и источником синхронизации) в секундах, при превышении которой синхронизация не происходит. Рекомендую значение 0xFFFFFFFF, при котором коррекция сможет производиться всегда.

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config]
    «MaxPosPhaseCorrection»=dword:FFFFFFFF
    «MaxNegPhaseCorrection»=dword:FFFFFFFF

    Все необходимое одной строкой

    w32tm.exe /config /manualpeerlist:»time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 pool.ntp.org,0x8″ /syncfromflags:manual /reliable:yes /update

    Полезные команды

    • Применение внесенных в конфигурацию службы времени изменений
      w32tm /config /update
    • Принудительная синхронизация от источника
      w32tm /resync /rediscover
    • Отображение состояния синхронизации контроллеров домена в домене
      w32tm /monitor
    • Отображение текущих источников синхронизации и их статуса
      w32tm /query /peers

    Настройка NTP сервера и клиента групповой политикой

    Раз уж у нас с вами домен Active Directory, то глупо не использовать групповые политики, для массовой настройки серверов и рабочих станций, я покажу как настроить ваш NTP сервер в windows и клиента. Открываем оснастку «Редактор групповых политик». Перед тем как настроить наш NTP сервер в Windows, нам необходимо создать WMI фильтр, который будет применять политику, только к серверу мастера PDC.

    Вводим имя запроса, пространство имен, будет иметь значение «root\CIMv2» и запрос «Select * from Win32_ComputerSystem where DomainRole = 5». Сохраняем его.

    Затем вы создаете политику на контейнере Domain Controllers.

    В самом низу политики применяете ваш созданный WMI фильтр.

    Переходим в ветку: Конфигурация компьютера > Политики > Административные шаблоны > Система > Служба времени Windows > Поставщики времени.

    Тут открываем политику «Настроить NTP-клиент Windows». Задаем параметры

    • NtpServer: 0.ru.pool.ntp.org,0x1 1.ru.pool.ntp.org,0x1 2.ru.pool.ntp.org,0x1 3.ru.pool.ntp.org,0x1
    • Type: NTP
    • CrossSiteSyncFlags: 2. Двойка означает, если этот параметр равен 2 (Все), можно использовать любого участника синхронизации. Это значение игнорируется, если не задано значение NT5DS. Значение по умолчанию: 2 (десятичное) (0x02 (шестнадцатеричное))
    • ResolvePeerBackoffMinutes: 15. Это значение, выраженное в минутах, определяет интервал ожидания службы W32time перед попыткой разрешения DNS-имени в случае неудачи. Значение по умолчанию: 15 минут
    • Resolve Peer BAckoffMaxTimes: 7. Это значение определяет число попыток разрешения DNS-имени, предпринимаемых службой W32time перед перезапуском процесса обнаружения. При каждом неудачном разрешении DNS-имени интервал ожидания перед следующей попыткой удваивается. Значение по умолчанию: семь попыток.
    • SpecilalPoolInterval: 3600. Это значение параметра NTP-клиента, выраженное в секундах, определяет частоту опроса настроенного вручную источника времени, который использует особый интервал опроса. Если для параметра NTPServer установлен флаг SpecialInterval, клиент использует значение, заданное как SpecialPollInterval, вместо значений MinPollInterval и MaxPollInterval, чтобы определить частоту опроса источника времени. Значение по умолчанию: 3600 секунд (1 час).
    • EventLogFlags: 0

    Делаем отдельную групповую политику для клиентских рабочих машин, вот с такими параметрами.

    • NtpServer: Адрес вашего контроллера домена с ролью PDC.
    • Type: NT5DS
    • CrossSiteSyncFlags: 2
    • ResolvePeerBackoffMinutes: 15
    • Resolve Peer BAckoffMaxTimes: 7
    • SpecilalPoolInterval: 3600
    • EventLogFlags: 0

    Далее идем на клиента и обновляем групповые политики gpupdate /force и вводим команду w32tm /query /status

    Особенности виртуализированных контроллеров домена

    Контроллеры домена, работающие в виртуализированной среде, требуют к себе особенного отношения.

    • Средства синхронизации времени виртуальной машины и хостовой ОС должны быть выключены. Во всех адекватных системах виртуализации (Microsoft, vmWare и т. д.) присутствуют компоненты интеграции гостевой ОС с хостовой, которые значительно повышают производительность и управляемость гостевой системой. Среди этих компонентов всегда есть средство синхронизации времени гостевой ОС с хостовой, которое очень полезно для рядовых машин, но противопоказано для контроллеров домена. Потому как в этом случае весьма вероятен цикл, при котором контроллер домена и хостовая ОС будут синхронизировать друг друга. Последствия печальны.
    • Для корневого PDC синхронизация с внешним источником должна быть настроена всегда. В виртуальной среде часы не настолько точны как в физической, потому как виртуальная машина работает с виртуальным процессором и прерываниями, для которых характерно как замедление, так и ускорение относительно «обычной» частоты. Если не настроить синхронизацию виртуализированного корневого PDC с внешним источником, время на всех компьютерах предприятия может убегать/отставать на пару часов в сутки. Не трудно представить неприятности, которые может принести такое поведение.

    Источник

    Читайте также:  Настройка собственного dns сервера