NTP сервер для Windows Server

В современных реалиях точность времени на локальных компьютерах играет немаловажную роль. Достаточно отклонения на несколько минут и сертификаты перестают работать на клиентских машинах. Попробуем синхронизировать время на всех локальных компьютерах в доменной сети.

У меня в DMZ имеется сервер на котором есть служба NTP, к нему и будем поключаться, хотя поднять NTP сервер на Linux тоже не составит труда.

1. Настройка контроллера домена (с ролью PDC)

regedit

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type
Значение - NTP

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\NtpServer
Значение - ntp.mydomain.ru,0x1 
имя моего сервера времени (или IP),тип сервера

типы:
0x00 Not a time server
0x01 Always time server
0x02 Automatic time server
0x04 Always reliable time server
0x08 Automatic reliable time server
Значения можно суммировать.
например значение 0x9 - Automatic reliable time server 0x08 + Always time server 0x01

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags
Значение - 5

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer
параметр Enabled - 1 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\SpecialPollInterval
интервал опроса (в секундах) - 1800 (каждые 30 мин)

Или все тоже самое через CMD/PowerShell:

w32tm.exe /config /manualpeerlist:"ntp.mydomain.ru,0x9" /syncfromflags:manual /reliable:yes /update

Перезапуск службы:

net stop w32time && net start w32time
или 
Stop-Service w32time && Start-Service w32time

2. Настройка клиентов контроллера домена (через GPO)

Computer Configuration -> Policies -> Administrative Templates -> System -> Windows Time Settings -> Global Configuration Settings
Значение - Enabled 

Computer Configuration -> Policies -> Administrative Templates -> System -> Windows Time Settings -> Time Providers -> Configure Windows NTP Client -Enabled
- NtpServer - dc.mydomain.ru,0x1 (синхронизация с контроллером домена как источником времени)
- Type - NT5DS (тип сервера - сервер времени в домене)

Computer Configuration -> Policies -> Administrative Templates -> System -> Windows Time Settings -> Global Configuration Settings -> Time Providers -> Enable Windows NTP Client - Enabled

3. Реконфигурирование остальных контроллеров домена

net stop w32time - остановим службу
w32tm /unregister - удалим конфигурацию
w32tm /register - обновим конфигурацию
net start w32time - запустим службу
w32tm /resync - синхронизируем 

Еще несколько команд для w32tm:

w32tm /config /update - обновить конфигурацию сервера времени
w32tm /resync - принудительная синхронизация времени от источника
w32tm /query /configuration - текущая конфигурация
w32tm /query /source - текущий настроенный сервер времени
w32tm /query /peers - текущий источник синхронизации и статус
w32tm /monitor /computers:192.168.1.100 - состояние синхронизации контроллеров домена с компьютерами в домене
w32tm /unregister - удалить службу времени с компьютера
w32tm /register - регистрация службы времени на компьютере (cоздается заново вся ветка параметров в реестре)

ВАЖНО!

Если контроллеры домена являются виртуальными машинами, необходимо отключить синхронизацию времени с хостом гипервизора:

Hyper-V Manager -> Выбираем виртуалку DC -> Settings -> Integration Services в разделе Management -> отключить Time Syncronization

Если отказались от собственного NTP сервера, то можно воспользоваться доступными ntp серверами в интернете и открыть UDP 123 порт.

http://support.microsoft.com/kb/816042

Top