Synchronizuj czas z kontrolerem domeny. Konfigurowanie synchronizacji czasu

Synchronizacja czasu systemowego w domenie Active Directory jest ważna dla prawidłowego działania wielu funkcji na stacjach roboczych w systemie Windows. Nieudany zegar systemowy może wpłynąć na możliwość zalogowania się użytkownika, zakłócenia ruchu poczty w Exchange i stworzyć wiele innych problemów, które są trudne do wykrycia. W złożonych przypadkach standardowe metody synchronizacji czasu w sieci nie są w 100% niezawodne, a nawet przewidywalne. Na przykład, jeśli zegar fizycznego hosta Hyper-V przestaje się synchronizować, zwykle dotyczy to wszystkich maszyn wirtualnych, czasem katastrofalnych. Na szczęście nie trzeba podejmować żadnych wysiłków, aby naprawić błędy synchronizacji czasu.


Wybór komputera jako źródła czasu

Pierwszą rzeczą do zrobienia przed ustawieniem synchronizacji czasu jest wybranie komputera, który stanie się głównym źródłem czasu systemowego w Twojej domenie. Zazwyczaj komputer wybierający komputer w usłudze Active Directory jako rolę emulatora podstawowego kontrolera domeny (PDC) jako źródło. Według oficjalnej dokumentacji Microsoftu to on jest głównym zasobem, z którego sieć otrzymuje dane o czasie. Jednak w praktyce nie zawsze jest to możliwe. Wybrana maszyna będzie regularnie konsultowana ze źródłami internetowymi, więc jeśli jesteś obiektem ściśle chronionym z wysokimi wymaganiami bezpieczeństwa informacji, warto pomyśleć o delegowaniu tej roli na inny komputer.


Na przykładMożna utworzyć serwer dedykowany, który będzie otrzymywać informacje z Internetu i przenieść ją do PDC emulatora. W takim przypadku będziesz mieć kilka komputerów, które będą służyć jako źródło czasu dla komputerów znajdujących się w sieci.

Ustawienie zapory

Ruch czasową synchronizację z kontrolerem domeny wchodzi do portu UDP-123 na komputerze, który służy jako źródło czasu konieczności otwierania tego portu dla połączeń przychodzących. Na wszystkich komputerach w sieci port 123 musi być otwarty dla połączeń wychodzących, przynajmniej z kontrolerem domeny.

Konfiguracja kontrolera domeny

do synchronizacji czasu z serwerem kontrolera domeny, działające w charakterze PDC emulatora, korzystając z wiersza polecenia muszą być spełnione: 1. Upewnij się, że kontroler domeny, na którym pracujemy jest PDC Emulator wykonujący zapytanie netdom fsmo 2. emulator serwera PDC, uruchom następujące polecenia synchronizacji czasu w następującej kolejności: net stop w32time w32tm /configure /syncfromflags: manualna /manualpeerlist:"0.us.pool.ntp.org,0x1 1.us .pool.ntp.org, 0x1 2.us.pool.ntp.org, 0x1 3.us.pool. ntp.org, 0x1 „zewnętrzne źródło czasu domyślnie w systemie Windows Server jest serwer time.windows.com. Najlepszą opcją jest synchronizacja z wieloma serwerami czasu. W powyższym poleceniu używamy serwerów czasu obsługiwanych przez NTP Pool Project. net start w32time w32tm /configure /niezawodny: tak /update w32tm /resync 3. Jeśli istnieje wiele kontrolerów domeny usługi Active Directory, uruchom następujące polecenie w wierszu polecenia: w32tm /config /syncfromflags: domhier /update 4. Sprawdź ustawienia czasu serwera Emulacja PDC: w32tm /query /status: 5. Sprawdź poprawną konfiguracjęczas na wszystkich innych kontrolerach domeny: w32tm /query /status:

Konfiguracja DHCP

Aby zsynchronizować czas z kontrolerem domeny na urządzeniach, odpowiedz na DHCP, ustaw ustawienia serwera DHCP na 004 i 042.
Do rejestrowania DHCP można używać tylko adresów IP. Możesz wpisać nazwę serwera i kliknąć opcję Rozwiąż, aby uzyskać adres IP serwera. Jeśli korzystasz z DHCP w urządzeniu Cisco, wprowadź następujące polecenia w ustawieniach DHCP: opcja 4 ip [adres IP] opcja 42 ip [adres IP] Adres IP powinien zostać zastąpiony faktycznym serwerem IP, który jest źródłem czasu. Teraz wszystkie urządzenia DHCP otrzymają ustawienia czasu z serwera przy następnej aktualizacji.

Konfigurowanie urządzeń statycznych i komputerów w innych systemach operacyjnych

Większość urządzeń NAS i SAN ma możliwość wprowadzania informacji o dostawcy ustawień dla serwera. Aby skonfigurować synchronizację czasu z kontrolerem domeny na urządzeniach Cisco IOS, wpisz w wierszu poleceń: serwer ntp 19216825.5 Adres IP powinien zostać zastąpiony przez rzeczywisty serwer IP, który pełni funkcję źródła czasu. Aby skonfigurować synchronizację czasu na komputerze w systemie operacyjnym innym niż Windows, zapoznaj się z dokumentacją systemu operacyjnego. Jednak w przypadku innych systemów operacyjnych poprawne ustawienia czasu nie są tak ważne jak system Windows, więc można nawet odmówić synchronizacji.

Konfiguracja gościnnych maszyn wirtualnych

Wszystkie nowoczesne hipernadzorcy mają możliwość synchronizacji czasu systemowego dla maszyn-gości z wbudowanymi narzędziami. JeśliSynchronizacja czasu w domenie jest włączona, maszyny gości otrzymają czas z hosta fizycznego, na którym pracują. W większości przypadków tę funkcję należy wyłączyć na komputerach gościnnych z systemem Windows Server, które służą jako zwirtualizowane kontrolery domen. Dla wszystkich pozostałych gości powinien on zostać uwzględniony.
Aby skonfigurować synchronizację czasu z kontrolerem domeny w hipernadzorcy Hyper-V, otwórz okno dialogowe Opcje i przejdź do zakładki Integration Services. Zaznacz lub odznacz pole wyboru Synchronizacja czasu. W przypadku innych hipernadzorców należy zapoznać się z dokumentacją producenta.

Skonfiguruj zasady grupy

Aby naprawdę przekonać komputery w systemie Windows do korzystania z ustawień czasu uzyskanych z kontrolera domeny, musisz skonfigurować zasady grupy. Aby zainstalować nową zasadę grupy, otwórz narzędzie do zarządzania polityką na kontrolerze domeny lub na komputerze, na którym są zainstalowane narzędzia do administrowania serwerem zdalnym. Rozwiń swoją domenę. Kliknij prawym przyciskiem myszy element Group Policy Objects, kliknij opcję New. Nadaj nowej polityce nazwę i kliknij OK.
Kliknij nową zasadę prawym przyciskiem myszy i kliknij Edytuj. Spowoduje to uruchomienie okna edytora polityki grupowej. Przejdź do Konfiguracja komputera & gt; Zasady & gt; Szablony administracyjne & gt; System - & gt; Usługa czasu systemu Windows & gt; Dostawcy czasu. W prawym okienku kliknij dwukrotnie opcję Włącz klienta NTP systemu Windows. Ustaw opcję Enabled, kliknij OK. Następnie dwukrotnie kliknij Skonfiguruj klienta NTP systemu Windows. Dostosuj ustawienia jak na poniższym rysunku, dodając 0x1 w polu NtpServer, aby je uzyskać.yourdc.twojadomena.tld, 0x1.
Po zapisaniu zasad grupy zamknij edytor. Powrócisz do okna konsoli sterowania głównych zasad grupy. Jeśli istnieje duża liczba zasad w domenie, kliknij prawym przyciskiem myszy nową zasadę i przejdź do Stan obiektu zasad grupy & gt; Ustawienia konfiguracji użytkownika są wyłączone. Przyspieszy to przetwarzanie każdej polityki. Teraz kliknij prawym przyciskiem myszy obiekt Active Directory, do którego chcesz zastosować tę zasadę, i kliknij opcję Połącz z istniejącym GPO. Podświetl nową zasadę i kliknij OK. Jeśli to konieczne, powtórz kroki dla innych obiektów.
Pamiętaj, że zagnieżdżone obiekty dziedziczą zasady grupowe od swoich obiektów nadrzędnych, jeśli dziedziczenie nie jest blokowane lub obiekt podrzędny nie ma własnej powiązanej zasady grupy ze sprzecznymi ustawieniami.

Konfigurowanie innych kontrolerów domeny

Jeśli wykonasz powyższe kroki, aby zapewnić synchronizację czasu dla swojej domeny, prawie zagwarantujesz, że ustawisz prawidłowy czas dla wszystkich komputerów w sieci. Dlatego nie można dotknąć innych kontrolerów domeny (jeśli masz więcej niż jedną). Jeśli jednak chcesz mieć pewność, że używają odpowiedniego czasu, możesz edytować zasady grupy lokalnej. Przejdź do menu Start & gt; Uruchom wpisz gpedit.msc. Kliknij OK. Następnie użyj tych samych ustawień, jak w poprzednim rozdziale. Jeśli kontroler domeny, nad którym chcesz pracować, jest zarządzany przez system Windows Server Core, możesz to zrobić zdalnie, o ile ta opcja jest włączona na ekranie sieci. Po prostu uruchom mmc.exekomputer z interfejsem graficznym, otwórz pozycję menu Plik & gt; Dodaj /Usuń przystawkę, kliknij dwukrotnie Edytor obiektów zasad grupy, przejdź do komputera, na którym chcesz edytować zasady grupy.

Sprawdzanie wyniku

Uruchom dowolny administracyjny wiersz polecenia na dowolnym komputerze z systemem Windows i wpisz: gpupdate w32tm /query /source W wyniku wykonania polecenia na kontrolerze domeny, adres jednego z serwerów NTP zostały podane jako zewnętrzne źródła czasu z Internetu. Na stacji roboczej użytkownika polecenie zwraca adres kontrolera domeny. Na maszynie wirtualnej Hyper-V z włączoną synchronizacją powinien zostać wyświetlony komunikat: Dostawca synchronizacji czasu VM IC. Jeśli sygnał polecenia jest określony przez lokalny zegar CMOS, synchronizacja czasu w domenie nie działa.

Powiązane publikacje