В современных реалиях точность времени на локальных компьютерах играет немаловажную роль. Достаточно отклонения на несколько минут и сертификаты перестают работать на клиентских машинах. Попробуем синхронизировать время на всех локальных компьютерах в доменной сети.
У меня в DMZ имеется сервер на котором есть служба NTP, к нему и будем поключаться, хотя поднять NTP сервер на Linux тоже не составит труда.
1. Настройка контроллера домена (с ролью PDC)
regedit
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type
Значение - NTP
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\NtpServer
Значение - ntp.mydomain.ru,0x1
имя моего сервера времени (или IP),тип сервера
типы:
0x00 Not a time server
0x01 Always time server
0x02 Automatic time server
0x04 Always reliable time server
0x08 Automatic reliable time server
Значения можно суммировать.
например значение 0x9 - Automatic reliable time server 0x08 + Always time server 0x01
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags
Значение - 5
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer
параметр Enabled - 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\SpecialPollInterval
интервал опроса (в секундах) - 1800 (каждые 30 мин)Или все тоже самое через CMD/PowerShell:
w32tm.exe /config /manualpeerlist:"ntp.mydomain.ru,0x9" /syncfromflags:manual /reliable:yes /updateПерезапуск службы:
net stop w32time && net start w32time
или
Stop-Service w32time && Start-Service w32time2. Настройка клиентов контроллера домена (через GPO)
Computer Configuration -> Policies -> Administrative Templates -> System -> Windows Time Settings -> Global Configuration Settings
Значение - Enabled
Computer Configuration -> Policies -> Administrative Templates -> System -> Windows Time Settings -> Time Providers -> Configure Windows NTP Client -Enabled
- NtpServer - dc.mydomain.ru,0x1 (синхронизация с контроллером домена как источником времени)
- Type - NT5DS (тип сервера - сервер времени в домене)
Computer Configuration -> Policies -> Administrative Templates -> System -> Windows Time Settings -> Global Configuration Settings -> Time Providers -> Enable Windows NTP Client - Enabled3. Реконфигурирование остальных контроллеров домена
net stop w32time - остановим службу
w32tm /unregister - удалим конфигурацию
w32tm /register - обновим конфигурацию
net start w32time - запустим службу
w32tm /resync - синхронизируем Еще несколько команд для w32tm:
w32tm /config /update - обновить конфигурацию сервера времени
w32tm /resync - принудительная синхронизация времени от источника
w32tm /query /configuration - текущая конфигурация
w32tm /query /source - текущий настроенный сервер времени
w32tm /query /peers - текущий источник синхронизации и статус
w32tm /monitor /computers:192.168.1.100 - состояние синхронизации контроллеров домена с компьютерами в домене
w32tm /unregister - удалить службу времени с компьютера
w32tm /register - регистрация службы времени на компьютере (cоздается заново вся ветка параметров в реестре)ВАЖНО!
Если контроллеры домена являются виртуальными машинами, необходимо отключить синхронизацию времени с хостом гипервизора:
Hyper-V Manager -> Выбираем виртуалку DC -> Settings -> Integration Services в разделе Management -> отключить Time SyncronizationЕсли отказались от собственного NTP сервера, то можно воспользоваться доступными ntp серверами в интернете и открыть UDP 123 порт.
