Managementul timpului este unul dintre aspectele cheie ale administrării sistemului. De obicei, toate serverele client și stațiile de lucru sincronizează ora cu domeniul Active Directory, dar de unde vine ora exactă în AD? Depinde de diverși factori. În configurația standard, ora este sincronizată cu serverele Microsoft, iar mașinile virtuale primesc de obicei date de la serverul gazdă.
Cel mai bine este să setați o singură sursă de date exacte de timp pentru toate computerele din rețeaua corporativă - un server (sau mai multe servere) cu care toate sistemele vor fi sincronizate. Poate fi o resursă sau un pool de resurse de pe Internet sau un server local. Într-un fel sau altul, merită să vă decideți în avans sursa orei exacte.
Protocolul de rețea este responsabil pentru sincronizarea computerelor și a serverelor Windows. Protocolul de timp al rețelei (NTP). NTP folosește pentru lucrul său portul UDP implicit 123. Pentru a configura în continuare funcționarea acestui protocol de rețea, trebuie să verificați dacă acest port blochează firewall-ul.
Metode de specificare a serverului NTP.
1)
Echipă w32tm vă permite să specificați o listă de colegi care oferă informații despre ora exactă pentru domeniu. Pentru mai multe informații despre comanda w32tm, introduceți comanda specificată la un prompt de comandă w32tm /?
Primul lucru de făcut este să aflați starea controlorilor de domeniu din domeniu. Pentru a face acest lucru, rulați comanda în linia de comandă (dacă aveți drepturi de administrator de domeniu, puteți rula linia de comandă pe stația dvs. de lucru)
w32tm / monitor- comanda vă permite să vedeți cu ce server (servere)/serviciu are loc sincronizarea și care este diferența de timp cu nordul de referință.
w32tm / config /manualpeerlist:time.windows.com / syncfromflags: manual / de încredere: da / actualizare- cu aceasta comanda indicam cu ce serviciu/server va avea loc sincronizarea (in acest exemplu, cu time.windows.com).
Această comandă este executată pe un controler de domeniu o dată și scrie adresele specificate în registry (de-a lungul căii HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ W32Time \ Config \ Parametriîn parametru NTPServer time.windows.com ar trebui scris). Puteți specifica mai multe servere deodată, separate prin spații.
2) O altă modalitate de a spune controlorului de domeniu serverul cu care se va sincroniza în timp este politicile locale sau de grup. Rulați registry - Faceți clic pe butonul Start, selectați comanda Run, introduceți linia de comandă gpedit.mscși apăsați butonul O.K... Accesați „Configurația computerului - Politici - Șabloane administrative - Sistem - Serviciu de timp Windows - Furnizori de timp” și configurați o politică. În acest exemplu, în valoarea NTPServer, scriem time.windows.com, în valoarea Type indicăm NTP... Tip - indică noduri peer-to-peer care acceptă sincronizarea următoarelor tipuri:
NoSync- Serviciul de timp nu este sincronizat cu alte surse.
NTP- Serviciul de timp se sincronizează cu serverele specificate în intrarea de registru NtpServer.
NT5DS- Serviciul de timp realizează sincronizarea pe baza ierarhiei domeniului.
AllSync- Serviciul de timp folosește toate mecanismele de sincronizare disponibile.
Sens CrossSiteSyncFlags alege 2.
CrossSiteSyncFlags. Stabilește dacă serviciul poate selecta parteneri de sincronizare din afara domeniului computerului.
Nu 0
Numai Pdc 1
Toate 2
În sens Resolve PeerBackoffMinutes prescrie 15
ResolvePeerBackoffMinutes- Specifică intervalul inițial de așteptat (în minute) înainte de a începe să caute un peer pentru sincronizare. Dacă serviciul Windows Time nu se poate sincroniza cu succes cu sursa de timp, va încerca din nou să utilizeze valorile specificate pentru parametrii ResolvePeerBackoffMinutes și ResolvePeerBackoffMaxTimes.
În sens Resolve PeerBackoffMaxTimes prescrie 7
ResolvePeerBackoffMaxTimes - Specifică numărul maxim de ori pentru a dubla intervalul de așteptare în cazul în care încercările repetate de a găsi un nod de rețea peer-to-peer pentru sincronizare eșuează. O valoare zero presupune că intervalul de așteptare este întotdeauna egal cu timpul de expirare inițial specificat în parametrul ResolvePeerBackoffMinutes.
În sens Special PollInterval prescrie 3600
SpecialPollInterval- Specifică intervalul de interogare special (în secunde) pentru gazdele peer-to-peer configurate manual. Dacă interogarea personalizată este activată, serviciul Windows Time va folosi intervalul său în loc de valoarea dinamică determinată folosind algoritmii de sincronizare încorporați în serviciul Windows Time.
Dacă ați creat o politică, atunci aceasta trebuie aplicată tuturor controlerelor de domeniu.
Setarea orei în sistemele de operare Windows server folosind NTP este critică pentru multe servicii. Multe protocoale și servicii de sincronizare Active Directory nu pot funcționa corect fără setarea corectă a orei sau, mai degrabă, când ceasul nu este sincronizat pe server și pe stațiile de lucru. Configurarea și întreținerea unui ceas folosind NTP este o sarcină simplă, uneori asociată, totuși, cu unele dificultăți, pe care vom încerca să le acoperim în acest articol.
De exemplu, nu vom folosi cel mai recent sistem - Windows Server 2012. Este cel mai comun și, în același timp, pentru multe alte sisteme, inclusiv Windows Server 2008, Windows Server 2016, sunt aplicabile comenzi și reguli similare. Trebuie remarcat faptul că descrierea este pentru configurarea unui mediu cu un singur PDC master. Opțiuni mai complexe nu sunt luate în considerare.
Resetarea setărilor NTP
Pentru a pune serviciul NTP în starea „implicit”, trebuie să rulați următoarele comenzi:
| Stop- Service w32time w32tm / anulați înregistrarea w32tm / înregistrare |
Stop-Service w32time w32tm / anulați înregistrarea w32tm / înregistrare
În acest caz, opresc serviciul, anulează înregistrarea serviciului și îl reînregistrează în sistem. Executați aceste comenzi numai atunci când este absolut necesar. De regulă, nu este nevoie de ele - NTP este configurat dacă sunt luate în considerare alte circumstanțe ale sistemului.
Comenzi de configurare NTP în cazul obișnuit
Pentru a configura protocolul de timp al rețelei pe un controler Windows Server, trebuie mai întâi să dezactivați sincronizarea prin Hyper-V dacă controlerul este virtualizat folosind această tehnologie. Pentru a face acest lucru, accesați setările și debifați elementul Sincronizare oră din secțiunea Management -> Integration Services
Pentru cei care nu folosesc Hyper-V, pasul anterior poate fi omis.
w32tm / config /manualpeerlist:"0.de.pool.ntp.org 1.de.pool.ntp.org "/ syncfromflags: MANUAL
UDP pentru NTP și blocare firewall
Protocolul de timp folosește portul UDP 123 pentru comunicarea sa ca standard. Trebuie avut grijă să vă asigurați că firewall-ul nu blochează acest port. Dacă are loc o blocare, jurnalele ntp vor conține o mulțime de informații că conexiunea este imposibilă:
Nume jurnal: Sistem
Sursa: Microsoft-Windows-Time-Service
ID eveniment: 47
Nivel: Avertisment
Descriere: Time Provider NtpClient: Nu a fost primit niciun răspuns valid de la peer pool.ntp.org configurat manual după 8 încercări de a-l contacta. Acest peer va fi eliminat ca sursă de timp și NtpClient va încerca să descopere un nou peer cu acest nume DNS. Eroare a fost: Peer-ul este inaccesibil.
Pentru a verifica dacă aceasta este exact problema, puteți activa ieșirea informațiilor suplimentare de depanare. Configuram jurnalele Windows Server în așa fel încât toate informațiile necesare să fie scrise în ele, dar nu au crescut mai mult de 20 de megaocteți:
w32tm / depanare / dezactivare
Blocare ntp firewall-ul este prins de fraza în debug:
- Eroare de înregistrare: NtpClient a fost configurat pentru a obține timp de la una sau mai multe surse de timp, cu toate acestea, niciuna dintre surse nu este accesibilă momentan și nu se va face nicio încercare de a contacta o sursă timp de 1 minut. NTPCLIENT NU ARE SURSA DE ORA PRECISA.
În acest caz (da, în general, doar în scopul verificării), trebuie să verificați regula în firewall
Și, dacă este necesar, schimbați regula sau adăugați-o.
Verificați dacă ntp funcționează corect
Pentru a verifica dacă totul funcționează corect, puteți începe sincronizarea manual:
| w32tm / resincronizare |
Dacă totul a mers bine, vei primi un mesaj:
Se trimite comanda de resincronizare la computerul local
Comanda a fost finalizată cu succes.
Dacă există probleme - mesaj:
Computerul nu s-a resincronizat deoarece nu erau disponibile date de oră.
În al doilea caz, trebuie să verificați totul de la început: firewall-ul, corectitudinea serverelor specificate (dacă numele a fost greșit). În orice caz, am furnizat deja informații despre resetarea setărilor.
Sistemele de operare ale familiei Windows conțin serviciul de timp W32Time. Acest serviciu este conceput pentru a sincroniza timpul în cadrul unei organizații. W32Time este responsabil pentru funcționarea ambelor părți client și server ale serviciului de timp, iar același computer poate fi atât client, cât și server NTP (NTP - Network Time Protocol) în același timp.
În mod implicit, Windows Time Service este configurat după cum urmează:
Când sistemul de operare este instalat, Windows lansează un client NTP care se sincronizează cu o sursă de timp externă;
Când un computer este adăugat la un domeniu, tipul de sincronizare se schimbă. Toate computerele client și serverele membre din domeniu folosesc un controler de domeniu pentru a-și sincroniza timpul;
Când un server membru este promovat la un controler de domeniu, pe acesta este lansat un server NTP, care folosește un controler cu rol de emulator PDC ca sursă de timp;
Emulatorul PDC, situat în domeniul rădăcină a pădurii, este serverul de timp principal pentru întreaga organizație. În același timp, el însuși este, de asemenea, sincronizat cu o sursă de timp externă.
Această schemă funcționează în majoritatea cazurilor și nu necesită intervenție. Cu toate acestea, este posibil ca structura serviciului de timp din Windows să nu urmeze ierarhia domeniului și orice computer poate fi desemnat ca sursă de timp de încredere.
De exemplu, să aruncăm o privire la configurarea unui server NTP în Windows Server 2008 R2, prin analogie, puteți configura un server NTP în Windows 7.
Lansarea unui server NTP
Time Service în Windows Server nu are GUIși este configurabil fie din linia de comandă, fie prin editarea directă a registrului de sistem. Să luăm în considerare a doua cale:
Serverul NTP trebuie să ruleze. Deschideți filiala de registru:
HKLM \ Sistem \ CurrentControlSet \ servicii \ W32Time \ TimeProviders \ NtpServer.
Pentru a activa serverul NTP, parametrul Enabled trebuie setat la 1. Apoi repornim serviciul de timp cu comanda net stop w32time && net start w32time.
După repornirea serviciului NTP, serverul este deja activ și poate servi clienții. Puteți verifica acest lucru folosind comanda w32tm / query / configuration. Această comandă afișează o listă completă a parametrilor de service. Dacă secțiunea NtpServer conține linia Activat: 1, atunci totul este în ordine, serverul de timp rulează.
Pentru ca serverul NTP să deservească clienții, portul UDP 123 trebuie să fie deschis în firewall pentru traficul de intrare și de ieșire.
Setări de bază ale serverului NTP
Deschideți filiala de registru:
HKLM \ System \ CurrentControlSet \ services \ W32Time \ Parametri.
NoSync - Serverul NTP nu este sincronizat cu nicio sursă de timp externă. Este folosit ceasul de sistem încorporat în cipul CMOS al serverului însuși (la rândul său, acest ceas poate fi sincronizat de la o sursă NMEA prin RS-232, de exemplu);
NTP - serverul NTP este sincronizat cu servere de timp externe, care sunt specificate în parametrul de registry NtpServer;
NT5DS - Serverul NTP realizează sincronizarea conform ierarhiei domeniului;
AllSync - Serverul NTP utilizează toate sursele disponibile pentru sincronizare.
Valoarea implicită pentru un computer membru al domeniului este NT5DS, pentru un computer autonom este NTP.
Parametrul NtpServer specifică serverele NTP cu care acest server va sincroniza ora. În mod implicit, acest parametru conține serverul Microsoft NTP (time.windows.com, 0x1); dacă este necesar, puteți adăuga mai multe servere NTP introducând numele lor DNS sau adresele IP separate printr-un spațiu. La sfârșitul fiecărui nume, puteți adăuga un steag (ex. 0x1) care definește modul de sincronizare cu serverul de timp.
Sunt permise următoarele valori de mod:
0 × 1 - SpecialInterval, folosind intervalul de timp de sondare;
0 × 2 - Modul UseAsFallbackOnly;
0x4 - SymmetricActive, mod activ simetric;
0x8 - Client, trimiterea unei cereri în modul client.
Un alt parametru important, AnnounceFlags, se află în cheia de registry:
HKLM \ System \ CurrentControlSet \ services \ W32Time \ Config.
Este responsabil pentru modul în care pretinde că este serverul NTP. Flag 5 este necesar pentru a declara un server membru (nu un controler de domeniu) ca sursă de timp de încredere.
Dacă serverul care se configurează, la rândul său, este un client NTP (primește ora de la un receptor GPS prin NTP, de exemplu), puteți configura intervalul dintre actualizări. Acest parametru poate fi relevant și pentru computerele client. Cheia SpecialPollInterval, situată în ramura de registru, este responsabilă pentru timpul de actualizare:
HKLM \ System \ CurrentControlSet \ services \ W32Time \ TimeProviders \ NtpClient.
Este setat în secunde și implicit valoarea sa este 604800, adică 1 săptămână. Aceasta este mult, prin urmare merită să reduceți valoarea SpecialPollInterval la o valoare rezonabilă - 1 oră (3600).
După setare, trebuie să actualizați configurația serviciului. Acest lucru se poate face cu comanda w32tm / config / update.
Și încă câteva comenzi pentru configurarea, monitorizarea și diagnosticarea serviciului de timp:
w32tm / monitor - folosind această opțiune, puteți afla cum diferă ora de sistem a acestui computer de ora de pe controlerul de domeniu sau alte computere. De exemplu: w32tm / monitor /computers:time.nist.gov
w32tm / resync - Folosind această comandă, puteți forța computerul să se sincronizeze cu serverul de timp pe care îl folosește.
w32tm / stripchart - Afișează diferența de timp dintre computerul curent și cel de la distanță. Echipă w32tm / stripchart /computer:time.nist.gov / mostre: 5 / dataonly va face 5 comparații cu sursa specificată și va returna rezultatul sub formă de text.
w32tm / config este comanda principală folosită pentru a configura serviciul NTP. Cu ajutorul acestuia, puteți seta lista de servere de timp utilizate, tipul de sincronizare și multe altele. De exemplu, pentru a suprascrie valorile implicite și pentru a configura sincronizarea orei cu o sursă externă, puteți utiliza comanda w32tm / config / syncfromflags: manual /manualpeerlist:time.nist.gov / update
w32tm / interogare - Afișează setările curente pentru serviciu. De exemplu, comanda w32tm / query / source va afișa sursa de timp curentă, iar w32tm / query / configuration va afișa toți parametrii serviciului.
net stop w32time - Oprește serviciul de timp dacă este pornit.
w32tm / unregister - elimină serviciul de timp de pe computer.
w32tm / register - înregistrează serviciul de timp pe computer. În acest caz, întreaga ramură a parametrilor din registru este creată din nou.
net start w32time - pornește serviciul.
Caracteristici observate în Windows 7 - Serviciul Time nu pornește automat când Windows pornește. Remediat în SP1 pentru Windows 7.
O soluție simplă la problema plecării timp pe controlor de domeniu instalat pe virtual mașină Hyper-V guvernat de Windows Server 2008/2012.
În timpul lucrului controlor de domeniu guvernat de Windows Server 2008 R2 / 2012 instalat pe o mașină virtuală Hyper-V a fost văzut constant deriva timpului- într-o lună, timpul ar putea să dispară aproape o jumătate de oră. Inutil să spun, cât de importantă este ora exactă pe controlerul de domeniu, pentru că conform acesteia sincronizateîntreaga flotă de calculatoare din domeniu.
1. Dezactivați sincronizarea orei cu mașina gazdă
Mai întâi trebuie să dezactivați sincronizare de timp mașina oaspete în funcție de ora mașinii gazdă, altfel primim un incident. Dacă mașina gazdă este membră a domeniului, gazda este sincronizată cu controlerul de pe mașina oaspete, iar mașina oaspete este sincronizată cu gazda - obținem o buclă închisă, care cel mai probabil duce la o compensare de timp constantă în sine. . Decalajul se obține literalmente cu câteva fracțiuni de secundă, dar însumând treptat pentru fiecare ciclu de sincronizare, are loc o schimbare foarte vizibilă a ceasului.
În setările mașinii virtuale Setări → Servicii de integrare → Sincronizare oră - eliminați caseta de selectare
2. Configurați sincronizarea prin serverul NTP
Instrumente
Pentru a configura, vom folosi utilitarul de linie de comandă w32tm... Principalii parametri ai utilitarului care sunt utilizați pentru configurarea și gestionarea timpului: w32tm / query vă permite să interogați setările curente ale clientului și serverului NTP w32tm / config este utilizat pentru a configura serviciul de timp w32tm / resync este utilizat pentru a inițializa sincronizarea timpului w32tm / dumpreg este folosit pentru a afișa setările curente ale registrului legate de serviciul de timp w32tm / debug este utilizat pentru a activa jurnalul de depanare al serviciului de timp
Personalizare
Configurarea sincronizării orei pe un controler de domeniu care rulează Windows Server 2008 R2 cu rolul „PDC Emulator” FSMO: w32tm / query / configuration uitați-vă la setările curente pentru serviciul de timp w32tm / config / syncfromflags: manual selectați sursa (lista specificată de noi ) pentru sincronizarea orei w32tm / config /manualpeerlist:"server1.ntp.org server2.ntp.org "setează lista de noduri specificată manual pentru sincronizare. Gazdele sunt nume DNS sau adrese IP separate prin spații. Când specificați mai multe noduri, toate valorile nodurilor sunt cuprinse între ghilimele. Puteți, desigur, să vă limitați la un timp familiar.windows.com w32tm / config / fiabil: da, am setat parametrul că această mașină este o sursă de timp sigură și poate servi clienții w32tm / config / update informați serviciul de timp că au fost făcute modificări (puteți reporni serviciul) w32tm / interogare / configurare verificați modificările aduse parametrilor serviciului w32tm / resync efectuați sincronizarea (puteți juca, schimba ora și verifica dacă sincronizarea va fi efectuată)
Pentru o mai mare fiabilitate, puteți reporni și Time Service cu comenzile net stop w32time și net start w32time.
Pentru comoditate, este bine să colectați comenzile enumerate într-un singur fișier cmd și să rezolvați problema cu un singur clic:
W32tm / config / syncfromflags: manual w32tm / config /manualpeerlist:time.windows.com w32tm / config / de încredere: da w32tm / config / actualizare w32tm / interogare / pauză de configurare w32tm / resync
În acest articol, ne vom uita la modul de configurare a NTP în Windows Server 2012. Articolul nu acoperă configurația detaliată a sincronizării timpului într-un mediu de domeniu, ci configurarea unui singur controler de domeniu cu rolul unui emulator PDC, care este numai server din mediul care se sincronizează cu o sursă de timp externă.
Configurarea este foarte simplă. Tot ce trebuie să faceți este să rulați următoarele comenzi în PowerShell:
w32tm / config /manualpeerlist:pool.ntp.org / syncfromflags: MANUAL
Stop-Service w32time
Start-Service w32time
Dacă controlerul este virtualizat folosind Hyper-V, trebuie să vă amintiți să dezactivați sincronizarea timpului folosind Hyper-V. Deschideți setările mașinii virtuale -> Management -> Integration Services și debifați caseta de selectare Sincronizare timp.
Asta e tot! Vrei să afli mai multe? Nu merge ceva? Atunci hai să aruncăm o privire mai atentă...
W32tm este comanda principală pe care o folosim. Există și variante care folosesc „timpul net”, dar, de fapt, nu este nevoie să folosiți această construcție. Unele articole menționează, de asemenea, editarea directă a registrului, dar Microsoft recomandă să nu faceți acest lucru oricum, cu excepția cazului în care nu există absolut nicio altă alternativă. Dar dacă chiar doriți să editați registrul, filiala de care aveți nevoie se află aici: HKLM \ Sistem \ CurrentControlSet \ Servicii \ W32Time.
Ce server NTP ar trebui să folosesc? Sau este mai bine să ai câteva?
pool.ntp.org este un server NTP aleatoriu round-robin. Pentru utilizatorii finali, această adresă este mai mult decât suficientă. Cu toate acestea, dacă este necesar, puteți specifica manual mai multe servere:
w32tm / config /manualpeerlist:"ntp1.sp.se ntp2.sp.se "/ syncfromflags: MANUAL
Doar adăugați serverele dorite cu un spațiu între ele.
Nu uitați de firewall
Dacă aveți un firewall între gazdă și internet, acesta poate fi configurat pentru a dezactiva udp / 123 peste care rulează NTP. Așa arată pe Cisco ASA FW-ul meu:
Prin urmare, am creat o regulă separată pentru a permite acest trafic.
Informații detaliate și înregistrare
Această comandă arată informații utile despre configurarea sincronizării, lista de servere și ora ultimei sincronizări.
De obicei, atunci când serverul nu poate primi ora de la serverul NTP, următoarele informații sunt înregistrate în jurnal:
Nume jurnal: Sistem
ID eveniment: 47
Nivel: Avertisment
Descriere: Time Provider NtpClient: Nu a fost primit niciun răspuns valid de la peer pool.ntp.org configurat manual după 8 încercări de a-l contacta. Acest peer va fi eliminat ca sursă de timp și NtpClient va încerca să descopere un nou peer cu acest nume DNS. Eroare a fost: Peer-ul este inaccesibil.
Când totul este în regulă, mesajul arată astfel:
Nume jurnal: Sistem
Sursa: Microsoft-Windows-Time-Service
ID eveniment: 35
Nivel: Informare
Descriere: Serviciul de timp sincronizează acum ora sistemului cu sursa de timp pool.ntp.org (ntp.m | 0 × 0 | 0.0.0.0: 123-> 85.10.240.253:123).
Mai întâmpinați probleme? Puteți include cu ușurință informațiile de depanare în fișierul jurnal, care în cazul meu este limitat la 10 megaocteți și include toate intrările de depanare.
w32tm / depanare / activare / fișier:C:\Temp\w32tmdebug.log / dimensiune: 10485760 / intrări: 0-300
După ce ați terminat depanarea, dezactivați-o:
În caz de probleme, veți vedea o mulțime de informații în jurnal. Pentru mine, când totul funcționează, acest lucru este semnalat de următoarea înregistrare:
- Accesibilitate: peer pool.ntp.org (ntp.m | 0 × 0 | 0.0.0.0: 123-> 129.70.132.35:123) este accesibil.
- Informații de înregistrare: NtpClient primește în prezent date valide de timp de la pool.ntp.org (ntp.m | 0 × 0 | 0.0.0.0: 123-> 129.70.132.35:123).
Și când firewall-ul meu bloca pachete, am primit următoarele mesaje.
- Eroare de înregistrare: NtpClient a fost configurat pentru a obține timp de la una sau mai multe surse de timp, cu toate acestea, niciuna dintre surse nu este accesibilă momentan și nu se va face nicio încercare de a contacta o sursă timp de 1 minut. NTPCLIENT NU ARE SURSA DE ORA PRECISA.
Forțați sincronizarea
Dacă trebuie să forțați clientul să se sincronizeze, executați comanda:
w32tm / resincronizare
Se trimite comanda de resincronizare la computerul local
Comanda a fost finalizată cu succes.
Dacă primiți următoarea eroare, atunci computerul nu poate ajunge la serverul NTP.
Computerul nu s-a resincronizat deoarece nu erau disponibile date de oră.
Începe de la capăt
Dacă ești complet confuz în configurații, îndesat prea mult și nu mai înțelegi ce se întâmplă, iei de la capăt. Aceste comenzi vor reseta complet setările NTP la starea lor implicită:
Stop-Service w32time
w32tm / anulați înregistrarea
w32tm / registru
