Storitev Windows Time Service je kljub navidezni preprostosti eden bistvenih elementov za normalno delovanje domene Active Directory. V pravilno konfiguriranem okolju AD časovna storitev deluje na naslednji način: uporabniški računalniki dobijo natančen čas od najbližjega regulatorja domene, na katerega so registrirani. Vsi krmilniki domen pa dobijo točen čas od DC-ja z vlogo FSMO. "Emulator PDC"in krmilnik PDC sinhronizira svoj čas z določenim zunanjim časovnim virom. En ali več strežnikov NTP, na primer time.windows.com ali NTP strežnik vašega internetnega ponudnika, lahko deluje kot zunanji vir časa. Upoštevati je treba tudi, da so privzeti odjemalci čas domene se sinhronizira s storitvijo Windows Time Service (Windows Time) in ne s protokolom NTP.
Če se srečujete s situacijo, ko se čas strank in regulatorjev domen razlikuje, morda ima vaša domena težave s časovno sinhronizacijo in ta članek vam bo koristen.
Najprej izberite ustrezen NTP strežnik, ki bi ga lahko uporabljali. Seznam javno dostopnih strežnikov NTP je na voljo na spletni strani http://ntp.org. V našem primeru bomo uporabili strežnik NTP iz bazena ru.pool.ntp.org:
- 0.ru.pool.ntp.org
- 1.ru.pool.ntp.org
- 2.ru.pool.ntp.org
- 3.ru.pool.ntp.org
Nastavitev časovne sinhronizacije v domeni z uporabo skupinskih pravilnikov je sestavljena iz dveh korakov:
1) Ustvarjanje GPO za krmilnik domene z vlogo PDC
2) Ustvarjanje GPO za stranke (neobvezno)
Konfigurirajte pravila za sinhronizacijo NTP na krmilniku domene PDC
Ta korak vključuje konfiguriranje krmilnika domene z vlogo emulatorja PDC za sinhronizacijo časa z zunanjim strežnikom NTP. Ker teoretično lahko vlogo emulatorja PDC premaknemo med krmilniki domen, pripraviti moramo politiko, ki velja samo za trenutnega lastnika vloge PDC. To naredite v konzoli za upravljanje Konzola za upravljanje skupinskih politik (GPMC.msc), ustvarite nov filter politik skupin WMI. Za to v razdelku Wmi filtri ustvarite filter in ime PDC emulator in zahteva za WMI: Izberite * iz Win32_ComputerSystem, kjer je DomainRole = 5
Nato ustvarite nov GPO in ga dodelite vsebniku Controllers Controllers.
Preklopite v način urejanja pravilnikov in razširite naslednji razdelek o pravilnikih: Konfiguracija računalnika-> Administrativne predloge-> Sistem-> Časovna storitev Windows-> Ponudniki časa
Zanimajo nas trije politiki:
- Konfigurirajte odjemalec Windows NTP: Omogočeno (nastavitve pravilnika so opisane spodaj)
- Omogoči odjemalca Windows NTP: Omogočeno
- Omogoči Windows NTP Server: Omogočeno
V nastavitvah pravilnika Konfigurirajte odjemalec Windows NTP določite naslednje parametre:
- NtpServer: 0.ru.pool.ntp.org, 0x1 1.ru.pool.ntp.org, 0x1 2.ru.pool.ntp.org, 0x1 3.ru.pool.ntp.org, 0x1
- Vtipkajte: NTP
- CrossSiteSyncFlags: 2
- ResolvePeerBackoffMinutes: 15
- Reši Peer BAckoffMaxTimes: 7
- SpecilalPoolInterval: 3600
- Eventlogflags: 0
Uporabite predhodno ustvarjen filter PDC emulator k tej politiki.
Namig. Če želite najti ime strežnika z vlogo PDC, uporabite ukaz:poizvedovanje o netdom fsmo
Še vedno je treba posodobiti pravilnike na PDC:gpupdate / force
Ročno zagon sinhronizacije časa:w32tm / resync
Preverite trenutne nastavitve NTP:w32tm / poizvedba / stanje
net stop w32time
w32tm.exe / odjavi
w32tm.exe / register
neto začetek w32time
Konfiguriranje časovne sinhronizacije za odjemalce domene
V okolju Active Directory privzeto domenski odjemalci sinhronizirajo svoj čas z regulatorji domen (možnost Nt5DS - sinhronizirati čas glede na hierarhijo domen). Običajno to vezje deluje in ne potrebuje konfiguracije. Če pa obstajajo težave s časovno sinhronizacijo za odjemalce domene, lahko poskusite prisiliti časovni strežnik, ki bo dodeljen odjemalcem z uporabo GPO.
Če želite to narediti, ustvarite nov GPO in ga dodelite zabojnikom (OU) z računalniki. V urejevalniku GPO pojdite na Konfiguracija računalnika -> Administrativne predloge -> Sistem -> Časovna storitev Windows -> Ponudniki časa in omogočite politiko Konfigurirajte odjemalec Windows NTP.
Za strežnik NTP kot ime sinhronizacije navedite ime PDC ali IP naslov, na primer msk-dc1.winitpro.ru, 0x9 in NT5DS
Posodobite nastavitve pravilnika o skupinah za stranke in preverite, ali so stranke uspešno sinhronizirale svoj čas s PDC-jem.
Namig. Ta shema velja samo za majhne domene. Za velike porazdeljene domene z velikim številom DC-jev in spletnih mest boste morali ustvariti ločen pravilnik za vsako spletno mesto, tako da lahko stranke sinhronizirajo svoj čas z DC na spletnem mestu.