Windows server 2008 настройка службы времени
Управление временем — один из ключевых аспектов системного администрирования. Как правило, все клиентские серверы и рабочие станции синхронизируют время с доменом Active Directory, однако откуда берется точное время в AD? Это зависит от разных факторов. В стандартной конфигурации время синхронизируется с серверами Microsoft, а виртуальные машины обычно получают данные от хост-сервера.
Лучше всего задать единый источник данных о точном времени для всех компьютеров в корпоративной сети — сервер (или несколько серверов), с которым будут синхронизироваться все системы. Это может быть ресурс или пул ресурсов в Интернете, либо локальный сервер. Так или иначе, с источником точного времени стоит определиться заранее.
За синхронизацию компьютеров и серверов Windows отвечает сетвой протокол Network Time Protocol (NTP). NTP использует для своей работы протокол UDP порт по умолчанию 123. Что бы в дальнейшем можно было настроить работу этого сетевого протокола, необходимо проверить, не блокирует ли этот порт фаерволл.
Способы указания NTP Сервера.
1) Команда w32tm позволяет задать список пиров, предоставляющих информацию о точном времени для домена. Чтобы получить дополнительные сведения о команде w32tm, введите в командной строке указанную команду w32tm /?
Первым, что необходимо сделать, это выяснить в каком состоянии находятся контролеры домена в домене. Для этого запускаем в командной строке команду (если у вас права доменного администратора, то можете запустить командную строку на своей рабочей станции)
w32tm /monitor — команда позволяет посмотреть с каким сервером (серверами)/сервисом происходит синхронизация и какая разница во времени с эталонным севером.
w32tm /config /manualpeerlist:time.windows.com /syncfromflags:manual /reliable:yes /update — этой командой мы указываем с каким сервисом/сервером будет происходить синхронизация ( в данном примере с time.windows.com).
Эта команда выполняется на контроллере домена однократно и записывает указанные адреса в реестр ( по пути HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\Parametrs в параметре NTPServer должно быть прописано time.windows.com). Можно указать сразу несколько серверов, разделенных пробелами.
NoSync— Служба времени не синхронизируется с другими источниками.
NTP- Служба времени выполняет синхронизацию с серверами, указанными в записи реестра NtpServer.
NT5DS- Служба времени выполняет синхронизацию на основе иерархии домена.
AllSync- Служба времени использует все доступные механизмы синхронизации.
Значение CrossSiteSyncFlags выбираем 2.
CrossSiteSyncFlags. Определяет возможность выбора службой партнеров по синхронизации за пределами домена компьютера.
Нет 0
PdcOnly 1
Все 2
В значении ResolvePeerBackoffMinutes прописываем 15
ResolvePeerBackoffMinutes- указывает первоначальный интервал ожидания (в минутах) перед тем, как начать поиск узла одноранговой сети для синхронизации. Если службе времени Windows не удается успешно синхронизироваться с источником времени, будут выполняться повторные попытки с использованием указанных значений параметров ResolvePeerBackoffMinutes и ResolvePeerBackoffMaxTimes.
В значении ResolvePeerBackoffMaxTimes прописываем 7
ResolvePeerBackoffMaxTimes- указывает максимальное число раз удвоения интервала ожидания в случае, если повторяющиеся попытки поиска узла одноранговой сети для синхронизации не дали результата. Нулевое значение предполагает, что интервал ожидания всегда равен первоначальному, указанному в параметре ResolvePeerBackoffMinutes.
В значении SpecialPollInterval прописываем 3600
SpecialPollInterval- указывает интервал специального опроса (в секундах) для узлов одноранговой сети, настроенных вручную. Если специальный опрос включен, то служба времени Windows будет использовать его интервал вместо динамического значения, определяемого с помощью алгоритмов синхронизации, встроенных в службу времени Windows.
Если вы создали политику, то ее нужно применить на все контролеры домены.
Настройка синхронизации времени в домене Windows Server 2008 R2/2012 R2
Для правильного функционирования доменной среды Windows Server 2008 R2/2012 R2, является корректная работа службы времени Windows (W32Time).
Схема работы синхронизации времени в доменной среде Active Directory:
- Контроллер корневого домена в лесу AD, которому принадлежит FSMО-роль PDC-эмулятора, синхронизируется с внешними источниками точного времени. Он же является источником времени для всех остальных контроллеров этого домена.
- Контроллеры дочерних доменов в AD, синхронизируют время с вышестоящих контроллеров домена AD.
- Рядовые члены домена (сервера и рабочие станции) синхронизируют свое время с ближайшим к ним доступным контроллером домена, соблюдая топологию AD.
Служба времени в Windows (W32Time) не имеет графического интерфейса и настраивается из командной строки (утилита w32tm), с помощью реестра (HKLM\System\CurrentControlSet\Services\W32Time\Parameters) и посредством Групповой политики (Group Policy Managment)
Включение NTP-сервера
NTP-сервер по-умолчанию включен на всех контроллерах домена, но его можно включить и на рядовых серверах:
Конфигурация NTP-сервера
Задаем тип синхронизации внутренних часов, на использование внешнего источника. (Командная строка/Реестр):
- w32tm /config /syncfromflags:manual
- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters] — «Type»=NTP
NoSync — NTP-сервер не синхронизируется с каким либо внешним источником времени. Используются системные часы, встроенные в микросхему CMOS самого сервера.
NTP — NTP-сервер синхронизируется с внешними серверами времени, которые указаны в параметре реестра NtpServer.
NT5DS — NTP-сервер производит синхронизацию согласно доменной иерархии.
AllSync — NTP-сервер использует для синхронизации все доступные источники.
Задание списка внешних источников для синхронизации, с которыми будет синхронизировать время данный сервер. По-умолчанию в этом параметре прописан NTP-сервер Microsoft (time.windows.com, 0×1). (Командная строка/Реестр):
- w32tm /config /manualpeerlist:»0.ru.pool.ntp.org,0x1 1.ru.pool.ntp.org,0x1 2.ru.pool.ntp.org,0x1″
- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters] — «NtpServer»=0.ru.pool.ntp.org,0x1 1.ru.pool.ntp.org,0x1 2.ru.pool.ntp.org,0x1
0×1 – SpecialInterval, использование временного интервала опроса.
0×2 – режим UseAsFallbackOnly.
0×4 – SymmetricActive, симметричный активный режим.
0×8 – Client, отправка запроса в клиентском режиме.
Задание интервала синхронизации с внешним источником (для источников помеченных флагом 0×1). По-умолчанию время опроса задано — 3600 сек. (1 час). (Командная строка/Реестр):
- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient] — «SpecialPollInterval»=3600
Объявление NTP-сервера в качестве надежного. (Командная строка/Реестр):
- w32tm /config /reliable:yes
- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config] — «AnnounceFlags»=0000000a
После настройки необходимо обновить конфигурацию сервиса. Выполняем команду:
Отобразить текущую конфигурацию службы времени:
- w32tm /query /configuration
Получения информации о текущем сервере времени:
Отображение текущих источников синхронизации и их статуса:
Отображение состояния синхронизации контроллеров домена с компьютерами в домене:
- w32tm /monitor /computers:192.168.1.2
Отобразить разницу во времени между текущим и удаленным компьютером:
- w32tm /stripchart /computer:192.168.1.2 /samples:5 /dataonly
Удалить службу времени с компьютера:
Регистрация службы времени на компьютере. Создается заново вся ветка параметров в реестре:
Остановка службы времени:
Запуск службы времени:
Конфигурация NTP-сервера/клиента групповой политикой
Для централизованной настройки службы времени Windows, на серверах и рабочих станциях в доменной среде Active Directory, воспользуемся групповой политикой. На примере, выполним настройку для рабочих станций.
Переходим в ветку: Конфигурация компьютера (Computer Configuration) — Политики (Policies) — Административные шаблоны (Administrative Templates) — Система (System) — Служба времени Windows (Windows Time Service) — Поставщики времени (Time Providers).
Открываем параметр: Настроить NTP-клиент Windows (Configure Windows NTP Client)
- NtpServer — 192.168.1.2 (Адрес контроллера домена с ролью PDC)
- Type — NT5DS
- CrossSiteSyncFlags — 2
- ResolvePeerBackoffMinutes —15
- Resolve Peer BackoffMaxTimes — 7
- SpecilalPoolInterval — 3600
- EventLogFlags — 0
Установка SNTP/NTP сервера в Windows 2008 R2
В данной статье приведу инструкцию по установке и настройке SNTP/NTP сервера в Windows 2008 R2. Стоит сразу отметить, что процедура установки NTP службы в Windows Server 2008, в отличии от остальных сетевых служб, не является настолько простой и интуитивно понятной..
Преимущество установки службы времени SNTP или NTP заключается в том, что сервер времени Windows Time (W32Time) может обслуживать совершенно различных клиентов, будь то клиентские операционные системы Windows, или Linux машины, и также сетевые устройства различных вендоров (Cisco, HP, 3COM и т.д.).
Итак, как же активировать SNTP сервер в Windows Sever 2008 R2:
1. Откройте редактор реестра regedit
2. Найдите и разверните следующую ветку реестра:
3. В правой панели найдите ключ AnnounceFlags, и измените его.
4. Тип этого параметра DWORD, укажите его значение равное 5
5. Включаем сервер NTPServer.
6. Найдите и раскройте ветку реестра:
7. В правой панели найдите параметр Enabled, измените его
8. В качестве значения данного ключа укажите 1.
9. Закройте редактор реестра.
10. Следующая команда перезапустит службу Windows Time с новыми параметрами:
net stop w32time && net start w32time
Вот и все! Ваш NTP сервер готов обслуживать клиентов!
Следует отметить еще ряд нюансов, которые стоит проверить перед использование NTP сервера на Windows Sever 2008 R2:
- Удостоверьтесь, что тип запуска службы W32Time установлен в «Автоматический».
- Также не забудьте на всех брандмауэрах и сетевых экранах открыть для доступа порт UDP 123, именно он используется клиентами для синхронизации времени