Обычно, в окружении Active Directory синхронизация времени выполняется в соответствии со строгой иерархией: доменные компьютеры и серверы синхронизируются с ближайшим контроллером домена, на котором они аутентифицируются, а все контроллеры домены синхронизируют свое время с единственным контроллером, который держит роль PDC Emulator FSMO.
PDC Emulator (Primary Domain Controller) синхронизирует свое время с внешним источником. Внешний источник это обычно внешний сервер точного времени. Заметьте, что по умолчанию время синхронизируется с помощью Службы времени Windows (Windows Time service).
Как работает Служба времени Windows в домене?
Все версии Windows имеют службу W32Time. Она используется для синхронизации времени в домене. Компьютер может одновременно выступать и как клиент и как сервер NTP.
По умолчанию Служба времени Windows настроена следующим образом:
После чистой установки Windows, NTP клиент запускается на компьютере и синхронизирует время с внешними источниками настроенными по умолчанию.
Если компьютер вводится в домен, то шаблон синхронизации меняется. Все доменные компьютеры и доменные серверы используют контроллер домена для синхронизации времени.
Когда рядовой сервер повышается до контроллера домена, на нем запускается NTP сервер, который использует DC с ролью PDC Emulator как источник точного времени.
PDC Emulator является источником времени для всего домена. Одновременно, он сам синхронизируется с внешним источником времени или с временем из CMOS компьютера (хотя это не рекомендуется)
Если у вас возникают проблемы с синхронизацией времени в домене, скорее всего у вас неверно настроена синхронизация и статья вам поможет.
Для начала нужно определиться со списком внешних серверов точного времени, с которых вы будете синхронизировать свои компьютеры. Список серверов вы можете найти на сайте https://www.ntppool.org/zone/ru. Для России мы будем использовать:
0.ru.pool.ntp.org
1.ru.pool.ntp.org
2.ru.pool.ntp.org
3.ru.pool.ntp.org
Настройка времени в домене Windows состоит из двух этапов:
- Создать GPO на контроллере домена с ролью PDC
- Создать GPO для клиентов Windows в домене
Настройка NTP сервера на PDC
Прежде всего нужно настроить PDC.
Проверим текущий источник времени:
w32tm /query /source
Вывод команды:
“Local CMOS Clock” – означает, что время синхронизируется с материнской платой
“VM IC Time Synchronization Provider” – означает, что ваш контроллер домена виртуальный и синхронизирует время со своим гипервизором.
Чтобы отключить синхронизацию с гипервизором измените параметр реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider
или измените настройки виртуальной машины, для Hyper-V:
Убедитесь, что на контроллере домена включена служба NTP сервера, для этого проверьте: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer параметр Enable должен быть равен 1.
Конфигурация настроек NTP на PDC с помощью GPO
На этом шаге вам нужно настроить ваш контроллер домена с ролью PDC Emulator на синхронизацию с внешним источником. Роль PDC эмулятора может мигрировать между контроллерами домена, поэтому нам потребуется настроить GPO так, чтобы она применялась только к текущему держателю роли. Для этого откройте секцию WMI Filters в оснастке управления групповыми политиками и создайте новый фильтр Filter PDC Emulator со следующими параметрами:
root\CIMv2
Select * from Win32_ComputerSystem where DomainRole = 5root\CIMv2
Создайте новую GPO и распространите ее на OU Domain Controllers.
Правой кнопкой по новой политике, далее редактируем:
Computer Configuration > Administrative Templates > System > Windows Time Service > Time Providers
Включите следующие параметры:
- Configure Windows NTP Client: Enabled
- Enable Windows NTP Client: Enabled
- Enable Windows NTP Server: Enabled
Укажите следующие параметры во “Включить NTP-сервер Windows”:
- NtpServer: 0.ru.pool.ntp.org,0x9 2.ru.pool.ntp.org,0x9 3.ru.pool.ntp.org,0x9 4.ru.pool.ntp.org,0x9;
- Type: NTP;
- CrossSiteSyncFlags: 2;
- ResolvePeerBackoffMinutes: 15;
- Resolve Peer BAckoffMaxTimes: 7;
- SpecilalPoolInterval: 3600;
- EventLogFlags: 0.
Примените фильр WMI Filter PDC Emulator к политике.
netdom query fsmo
Обновим групповые политики на PDC:
gpupdate /force
Синхронизируем время вручную с выбранными источниками:
w32tm /resync
Проверим текущие настройки времени:
w32tm /query /status
Также запустите команду:
w32tm /monitor
Эта команда покажет насколько время отличается на контроллере домена и на выбранных источниках.
Если что то не сработает, попробуйте перезапустить службу времени:
net stop w32time w32tm.exe /unregister w32tm.exe /register net stop w32time
Также, можно настроить внешние источники синхронизации времени с помощью команды w32tm:
w32tm.exe /config /manualpeerlist:"0.ru.pool.ntp.org,0x9 2.ru.pool.ntp.org,0x9 3.ru.pool.ntp.org,0x9 4.ru.pool.ntp.org,0x9" /syncfromflags:manual /update
После установки времени таким образом надо применить изменения командой:
w32tm /config /update