Настройка синхронизации времени в лесе Active Directory с внешним источником

В этой статье мы рассмотрим топологию синхронизации времени в Active Directory, настроим эмулятор PDC корневого домена леса на синхронизацию с внешним источником времени, а также рассмотрим полезные команды для настройки и диагностики синхронизации времени в Windows.

Топология синхронизации времени в Active Directory

Синхронизация времени в лесе Active Directory по умолчанию работает следующим образом:

  • Рядовые члены домена синхронизируют время с ближайшим контроллером своего домена.
  • Рядовые контроллеры домена (не PDC эмуляторы) синхронизируют время либо с PDC эмулятором своего домена, либо с любым контроллером родительского домена.
  • PDC эмуляторы дочерних доменов синхронизируют своё время с вышестоящим в иерархии PDC эмулятором.
  • PDC эмулятор корневого домена леса по умолчанию синхронизирует своё время сам с собой. Но можно настроить его на получение от источников точного времени в интернете, что более логично.
Схема синхронизации времени в Active Directory

Настройка синхронизации времени на PDC эмуляторе корневого домена

Настроить синхронизацию на корневом PDC эмуляторе можно вручную или с помощью GPO. Рассмотрим оба варианта.

Для ручной настройки используем утилиту w32tm.exe:

w32tm.exe /config /manualpeerlist:"time.nist.gov,0x8 ntp.aas.ru,0x8 ntp.ix.ru,0x8" /syncfromflags:manual /reliable:yes /update 
  • /Syncfromflags:manual — включение синхронизации внутренних часов с внешним источником
  • /reliable:yes — объявление NTP-сервера в качестве надежного (NTP-сервер по умолчанию включен на всех контроллерах домена)
  • /manualpeerlist:»time.nist.gov,0x8 ntp.aas.ru,0x8 ntp.ix.ru,0x8″ — указываем список внешних источников точного времени. 0×8 означает, что синхронизация должна происходить в режиме NTP-клиента через предложенные NTP сервером интервалы. Подробнее о флагах.

В качестве источников времени желательно выбирать серверы Stratum1, поскольку PDC эмулятор имеет Stratum2. Пулы NTP серверов типа pool.ntp.org, time.windows.com и др. могут возвращать серверы со Stratum 2. Выбрать сервера Stratum1 можно здесь: http://support.ntp.org/bin/view/Servers/StratumOneTimeServers

О stratum и службе точного времени см. хорошую статью на хабре: https://habr.com/ru/post/79461/

После выполнения описанной выше команды можно перезапустить службу времени:

 net stop w32time && net start w32time 

Настройка с помощью GPO:

  • Создаём новый объект групповой политики и связываем его с контейнером Domain Controllers. Можно отключить пользовательскую часть GPO за ненадобностью.
  • Создаём новый WMI фильтр, который определяет эмулятор PDC:
 Select * from Win32_ComputerSystem where DomainRole = 5 
  • В политике переходим в раздел Computer Configuration\Policies\Administrative Templates\System\Windows Time Service\Time Providers.
  • Включаем параметр Enable Windows NTP Client и настраиваем параметр Configure Windows NTP Client:

На всех остальных контроллерах домена можно выполнить команду:

w32tm /config /syncfromflags:domhier /update
net stop w32time && net start w32time

Команды w32tm для диагностики

Применение внесенных изменений
w32tm /config /update
Принудительная синхронизация
w32tm /resync /rediscover
Отображение состояния синхронизации контроллеров домена в домене
w32tm /monitor
Отображение текущих источников и их статуса
w32tm /query /peers

Если на каком-то из этапов вознили ошибки можно сбросить всю конфигурацию службы времени к значениям по умолчанию следующим способом. Запускать нужно с повышенными привилегиями.

net stop w32time
w32tm /unregister <-- Если получили сообщение Access Denied, перезагрузитесь.
w32tm /register
net start w32time

2 комментария

Качественно, приятно читать! Спасибо!

Павел Антипов

Благодарю за отзыв, рад, что материал понравился 🙂

Добавить комментарий для Павел Антипов Отменить ответ