muzruno.com

Синхронизиране по време с домейн контролера. Конфигуриране на синхронизация по време

Синхронизирането на системно време в домейн на Active Directory е важно за правилното функциониране на много функции на потребителски работни станции под Windows. Смущаващ системен часовник може да повлияе на способността на потребителя да се регистрира, да наруши трафика на пощата в Exchange и да създаде множество други трудности, които трудно могат да бъдат открити.

В сложни случаи стандартните методи за синхронизиране на времето в дадена мрежа не са 100% надеждни или дори предсказуеми. Например, ако часовникът на физически хост Hyper-V не се синхронизира, това обикновено засяга всички виртуални машини, понякога катастрофално. За щастие, не се полагат много усилия, за да се коригират грешките в синхронизирането.

синхронизация с домейн контролер

Избиране на компютър като източник на време

Първото нещо, което трябва да направите, преди да настроите синхронизирането на времето, е да изберете компютъра, който ще стане основният източник на системно време във вашия домейн.

Обикновено този компютър се избира като източник, който в Active Directory има ролята на емулатор на главния домейн контролер (PDC). Според официалната документация на Microsoft тя трябва да бъде основният ресурс, от който мрежата получава данни за времето. На практика това обаче не винаги е възможно.

Колата решите ще се консултира редовно източници в интернет, така че ако сте на строго охраняван обект с високи изисквания за информационна сигурност, трябва да се мисли за делегиране на тази роля на друг компютър.

Например, можете да създадете специален сървър, който ще получава информация за времето от интернет и ще го изпрати на PDC емулатора. В този случай ще имате няколко компютъра, служещи като източници на време за включените в мрежата машини.

Конфигуриране на защитната стена

Трафикът при синхронизиране на времето с домейн контролер пристига на UDP порт 123. На компютъра, който служи като източник на време, този порт трябва да бъде отворен за входящи връзки. На всички машини в мрежата порт 123 трябва да е отворен за изходящи връзки, поне с домейн контролера.

Конфигуриране на домейн контролер

За да синхронизирате времето с контролера на домейн на сървъра, който изпълнява ролята на PDC емулатор чрез командния ред, трябва да изпълните следните действия:

1. Уверете се, че домейн контролерът, на който работите, е PDC емулаторът, като стартирате командата

netdom заявка fsmo

2. На сървъра за емулатор на PDC изпълнете следните команди за синхронизация по време в указания ред:

net stop w32time

w32tm / конфигуриране / syncfromflags: ръчно /manualpeerlist:"0.us.pool.ntp.org,0x1 1.us.pool.ntp.org, 0x1 2.us.pool.ntp.org, 0x1 3.us.pool. ntp.org, 0x1 "

Външният източник на време по подразбиране за Windows Server е сървърът time.windows.com. Най-добрият вариант е да се синхронизирате с няколко сървъра за време. В горната команда използваме сървърите за време, поддържани от проект NTP Pool Project.

net start w32time

w32tm / конфигуриране / надеждна: да / актуализация

w32tm / resync

3. Ако в Active Directory има няколко контролера на домейни, изпълнете следната команда в командния ред:

w32tm / config / syncfromflags: domhier / актуализация

4. Проверете дали настройките за време на сървъра за емулатор на PDC са правилни:

w32tm / query / status:

5. Уверете се, че всички останали контролери на домейни имат правилната настройка за време:

w32tm / query / status:

в Синхронизиране време домейн "клас =" ако UUID-2236465 "SRC =" https://muzruno.ru/misc/i/gallery/70251/2236465.jpg "/>

Конфигуриране на DHCP

За да синхронизирате времето с домейн контролера на устройствата, отговарящи за DHCP, задайте параметрите на DHCP сървъра на 004 и 042.

настройка за синхронизация по време

За DHCP записи, можете да използвате само IP адреси. Можете да въведете името на сървъра и да натиснете Разрешаване, за да получите IP адреса на сървъра.

Ако използвате DHCP с устройство Cisco, въведете следните команди в настройките на DHCP:

опция 4 ip [IP адрес]

опция 42 ip [IP адрес]

IP адресът трябва да бъде заменен с действителния IP сървър, служещ като източник на време.



Сега всички DHCP устройства ще получат настройките за време от сървъра при следващата актуализация.

Конфигуриране на статични устройства и компютри в други операционни системи

Повечето устройства NAS и SAN имат възможността да въвеждат информация за доставчика на настройки за време.

За да конфигурирате синхронизирането на време с домейн контролер на Cisco IOS устройства, в командния ред въведете:

ntp сървър 192.168.25.5

IP адресът трябва да бъде заменен с действителния IP сървър, служещ като източник на време.

За да конфигурирате синхронизирането на времето на компютър с операционна система, различна от Windows, вижте документацията на операционната система. За други операционни системи, обаче, правилните настройки на времето не са толкова важни, колкото при Windows, така че можете дори да се откажете от синхронизирането.

Конфигуриране на виртуални машини за гости

Всички съвременни хипервайзори могат да синхронизират системното време за машини за гости с вградени инструменти. Ако времето за синхронизация в домейна е активирано, машините за гости ще получат време от физическия хост, на който те се изпълняват.

В повечето случаи трябва да деактивирате тази функция за машини за сървъри на Windows Server, които служат като виртуализирани контролери на домейни. За всички останали гости, тя трябва да бъде включена.

За да конфигурирате синхронизирането на време с домейн контролера в Hyper-V хипервайзора, отворете диалоговия прозорец "Настройки" и щракнете върху раздела Интеграционни услуги. Премахнете отметката или поставете отметка в квадратчето Синхронизиране по време. За други хипервайзори, консултирайте се с документацията на производителя.

команда за синхронизиране по време

Конфигуриране на груповите правила

За да можете да убедите компютрите си под Windows да използват настройките за време, получени от домейн контролера, трябва да конфигурирате групови правила.

За да инсталирате нова групова политика, отворете инструмента за управление на правилата на домейн контролера или на компютъра с инсталирани административни инструменти отдалечения сървър. Разширете домейна си. Кликнете с десния бутон върху елемента Обекти на груповата политика и натиснете Нова. Дайте на новата политика име и кликнете OK.

синхронизация по време на вашия компютър

Щракнете с десния бутон върху новата политика и щракнете върху нея Edit. Това ще стартира прозореца Редактор на групови правила.

Отидете Компютърна конфигурация> Политики> Административни шаблони> Система -> Услуга за време в Windows> Доставчици на време. В десния панел щракнете двукратно върху него Активиране на Windows NTP клиент. Задайте опцията на Enabled и натиснете OK.

След това кликнете два пъти Конфигурирайте Windows NTP клиента. Конфигурирайте настройките, както е показано на фигурата по-долу, като добавите 0x1 в полето NtpServer, за да го получи yourdc.yourdomain.tld, 0x1.

грешка при синхронизация по време

След като запазите груповата политика, затворете редактора. Ще се върнете към главната конзола за управление на групата.

Ако вашият домейн има голям брой правила, щракнете с десния бутон върху новата политика и отидете Статус на GPO> Настройките за конфигуриране на потребителите са деактивирани. Това ще ускори обработката на всяка политика.

Сега щракнете с десния бутон върху обекта на Active Directory, към който искате да приложите това правило, и щракнете върху Свързване на съществуващо GPO. Маркирайте новата политика и кликнете върху нея OK. Ако е необходимо, повторете стъпките за други обекти.

синхронизиране на времето в домейна

Не забравяйте, че вложените обекти наследяват груповата политика от родителя си, ако наследството не е заключено или детският обект няма собствена свързана групова политика с несъвместими настройки.

Конфигуриране на други контролери на домейни

Ако изпълните стъпките, описани по-горе, за да осигурите синхронизиране на времето в домейна, то почти гарантира, че ще получите точното време за всички компютри в мрежата. Следователно, други контролери на домейни (ако имате няколко) можете да ги оставите сами.

Ако обаче искате да сте сигурни, че използват правилното време, можете да редактирате правилата за местна група. Отидете в менюто начало >тичам и влизай gpedit.msc. преса OK.

След това използвайте същите настройки, както в предишната секция. Ако домейн контролерът, на който искате да работите, се управлява от Windows Server Core, можете да го направите от разстояние, при условие че е активиран от защитната стена. Просто бягай mmc.exe на компютър с графичен интерфейс, отворете елемента от менюто Файл> Добавяне / премахване на Snap-In, двойно кликване Редактор на обекти за групови правила и отидете на компютъра, на който искате да редактирате груповата политика.

Проверка на резултата

На всеки компютър с Windows в мрежата изпълнете командния ред с администраторски права и въведете:

gpupdate

w32tm / query / source

Командата на домейн контролера ще върне адреса на един от NTP сървърите, които са били посочени като външни източници на време от Интернет.

На потребителската работна станция командата връща адреса на домейн контролера.

На виртуална машина Hyper-V с активирана синхронизация на времето трябва да видите съобщението: VM IC Синхронизация за време.

Ако командата сигнализира, че времето се определя от локалния CMOS часовник, синхронизирането на времето в домейна не работи.

Споделяне в социалните мрежи:

сроден