Lazarev-granit.ru

Лазарев Гранит
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Как настроить ntp клиент для контроллера домена

Настройка NTP сервера Windows server 2016 в домене групповыми политиками

Мы рассмотрим как настроить NTP сервер в сети предприятия, где компьютеры пользователей получают точное время от DC с ролью эмулятора PDC (главный контроллер домена – Primary Domain Controller), в свою очередь DC синхронизирует свое время с внешним источником времени. В данном примере мы будем получать время с серверов pool.ntp.org.

Начиная с Windows 2000 все операционные системы Windows включают в себя службу времени W32Time. Эта служба предназначена для синхронизации времени в пределах организации и отвечает за работу как клиентской, так и серверной части, причем один и тот же компьютер может быть одновременно и клиентом и сервером NTP (Network Time Protocol). По умолчанию клиенты в домене синхронизируют время с помощью службы времени Windows (Windows Time), а не с помощью протокола NTP.

Настройка синхронизации времени в домене Windows Server 2008 R2/2012 R2

Для правильного функционирования доменной среды Windows Server 2008 R2/2012 R2, является корректная работа службы времени Windows (W32Time).

Схема работы синхронизации времени в доменной среде Active Directory:

  • Контроллер корневого домена в лесу AD, которому принадлежит FSMО-роль PDC-эмулятора, синхронизируется с внешними источниками точного времени. Он же является источником времени для всех остальных контроллеров этого домена.
  • Контроллеры дочерних доменов в AD, синхронизируют время с вышестоящих контроллеров домена AD.
  • Рядовые члены домена (сервера и рабочие станции) синхронизируют свое время с ближайшим к ним доступным контроллером домена, соблюдая топологию AD.

Служба времени в Windows (W32Time) не имеет графического интерфейса и настраивается из командной строки (утилита w32tm), с помощью реестра (HKLMSystemCurrentControlSetServicesW32TimeParameters) и посредством Групповой политики (Group Policy Managment)

Включение NTP-сервера

NTP-сервер по-умолчанию включен на всех контроллерах домена, но его можно включить и на рядовых серверах:

  • [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProvidersNtpServer] — «Enabled»=1

Конфигурация NTP-сервера

Задаем тип синхронизации внутренних часов, на использование внешнего источника. (Командная строка/Реестр):

  • w32tm /config /syncfromflags:manual
  • [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParameters] — «Type»=NTP

NoSync — NTP-сервер не синхронизируется с каким либо внешним источником времени. Используются системные часы, встроенные в микросхему CMOS самого сервера.
NTP — NTP-сервер синхронизируется с внешними серверами времени, которые указаны в параметре реестра NtpServer.
NT5DS — NTP-сервер производит синхронизацию согласно доменной иерархии.
AllSync — NTP-сервер использует для синхронизации все доступные источники.

Задание списка внешних источников для синхронизации, с которыми будет синхронизировать время данный сервер. По-умолчанию в этом параметре прописан NTP-сервер Microsoft (time.windows.com, 0×1). (Командная строка/Реестр):

  • w32tm /config /manualpeerlist:»0.ru.pool.ntp.org,0x1 1.ru.pool.ntp.org,0x1 2.ru.pool.ntp.org,0x1″
  • [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParameters] — «NtpServer»=0.ru.pool.ntp.org,0x1 1.ru.pool.ntp.org,0x1 2.ru.pool.ntp.org,0x1

0×1 – SpecialInterval, использование временного интервала опроса.
0×2 – режим UseAsFallbackOnly.
0×4 – SymmetricActive, симметричный активный режим.
0×8 – Client, отправка запроса в клиентском режиме.

Задание интервала синхронизации с внешним источником (для источников помеченных флагом 0×1). По-умолчанию время опроса задано — 3600 сек. (1 час). (Командная строка/Реестр):

  • [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProvidersNtpClient] — «SpecialPollInterval»=3600

Объявление NTP-сервера в качестве надежного. (Командная строка/Реестр):

  • w32tm /config /reliable:yes
  • [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeConfig] — «AnnounceFlags»=0000000a

После настройки необходимо обновить конфигурацию сервиса. Выполняем команду:

  • w32tm /config /update

  • w32tm /resync /rediscover

Отобразить текущую конфигурацию службы времени:

  • w32tm /query /configuration

Получения информации о текущем сервере времени:

  • w32tm /query /source

Отображение текущих источников синхронизации и их статуса:

  • w32tm /query /peers

Отображение состояния синхронизации контроллеров домена с компьютерами в домене:

  • w32tm /monitor /computers:192.168.1.2

Отобразить разницу во времени между текущим и удаленным компьютером:

  • w32tm /stripchart /computer:192.168.1.2 /samples:5 /dataonly

Удалить службу времени с компьютера:

  • w32tm /unregister

Регистрация службы времени на компьютере. Создается заново вся ветка параметров в реестре:

  • w32tm /register

Остановка службы времени:

  • net stop w32time

Запуск службы времени:

    net start w32time

Конфигурация NTP-сервера/клиента групповой политикой

Для централизованной настройки службы времени Windows, на серверах и рабочих станциях в доменной среде Active Directory, воспользуемся групповой политикой. На примере, выполним настройку для рабочих станций.

Переходим в ветку: Конфигурация компьютера (Computer Configuration) — Политики (Policies) — Административные шаблоны (Administrative Templates) — Система (System) — Служба времени Windows (Windows Time Service) — Поставщики времени (Time Providers).

Открываем параметр: Настроить NTP-клиент Windows (Configure Windows NTP Client)

  • NtpServer — 192.168.1.2 (Адрес контроллера домена с ролью PDC)
  • Type — NT5DS
  • CrossSiteSyncFlags — 2
  • ResolvePeerBackoffMinutes —15
  • Resolve Peer BackoffMaxTimes — 7
  • SpecilalPoolInterval — 3600
  • EventLogFlags — 0

Список команд для быстрого ввода в домен через консоль

В данном разделе собраны команды из раздела Ввод в домен консольными командами. Описание всех команд можно посмотреть в вышеуказанном подразделе. Не забудьте выполнить предварительную настройку ПК (задать имя и настроить сетевое соединение).

Читать еще:  Как настроить доменный контроллер

1. Настройте NTP-клиент

Здесь введите своё FQDN имя контроллера домена.

2. Установите необходимые пакеты, выполните поиск и настройку домена и введите компьютер в домен.

Для РЕД ОС версии 7.1 или 7.2:

Для РЕД ОС версии 7.3 и старше:

При успешном вводе машины в домен вы увидите сообщение «* Successfully enrolled machine in realm»

3. Отредактируйте файл sssd.conf и разрешите доменным пользователям создавать домашние категории.

4. Чтобы убрать предупреждение «rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)» при выводе команды testparm -s :

  1. Для доступа доменных пользователей к сетевым ресурсам без запроса пароля (с помощью Kerberos) в файле /etc/krb5.conf нужно изменить параметр default_ccache_name :

Добавление параметра default_realm = REALM NAME в секцию [libdefaults] позволит пользователям при выполнении команды kinit не указывать полное имя пользователя (то есть можно использовать короткое имя пользователя user вместо user@WIN.REDOS). Добавить параметр можно следующей командой (вместо REALM NAME укажите название своего домена ПРОПИСНЫМИ буквами):

  1. Также можно добавить новое правило в /etc/sudoers, чтобы доменный пользователь из группы администраторов домена мог получать права администратора локального компьютера:Данный параметр можно добавить командой:

w32tm

w32tm /query /status

проверяем какие сервера используются (параметр Источник)
Для сервера он будет — time.windows.com,0x9
Для всех остальных — имя локального сервера времени.

На этом настройка синхронизации часов в домене завершена.

Заказать создание и поддержку безопасной IT-инфраструктуры любой сложности

Быть уверенным в своей IT-инфраструктуре — это быть уверенным в завтрашнем дне.

Настройка NTP в Windows Server 2012

В данной статье мы рассмотрим как настроить NTP в Windows Server 2012. В статье не рассматриваются подробная настройка синхронизации времени в доменном окружении, а настройка единичного контроллера домена с ролью эмулятора PDC, который единственный сервере в окружении выполняет синхронизацию с внешним источником времени.

Настройка очень проста. Все что нужно сделать это выполнить следующие команды в PowerShell:

w32tm /config /manualpeerlist:pool.ntp.org /syncfromflags:MANUAL
Stop-Service w32time
Start-Service w32time

Если контроллер виртуализирован средствами Hyper-V нужно не забыть отключить синхронизацию времени средствами Hyper-V. Откройте настройки виртуальной машины -> Management -> Integration Services и снимите чекбокс с Time Synchronization.

На этом все! Хотите узнать больше? Что-то не работает? Тогда разберем более подробно…

W32tm это основная используемая нами команда. Есть ещё варианты, использующие «net time», но на самом деле использовать эту конструкцию нет необходимости. В некоторых статья также упоминается прямое редактирование реестра, однако в Microsoft советуют не делать этого в любом случае, а только если нет совершенно никакой другой альтернативы. Но если вам очень хочется редактировать реестр, нужная вам ветка находиться тут: HKLMSystemCurrentControlSetServicesW32Time.

Какой NTP сервер использовать? Или лучше несколько?

pool.ntp.org это round-robin рандомных NTP серверов. Для конечных пользователей этого адреса более чем достаточно. Однако в случае необходимости вы можете указать вручную несколько серверов:

w32tm /config /manualpeerlist:»ntp1.sp.se ntp2.sp.se» /syncfromflags:MANUAL

Просто добавьте нужные вам сервера с пробелом между ними.

Не забудьте про файервол

Если у вас есть файервол между хостом и интернетом, он может быть настроен на запрет udp/123 по которому работает протокол NTP. Вот как это выглядит на моей Cisco ASA FW:

Поэтому я создал отдельное правило, разрешающее данный трафик.

Подробная информация и логирование

Данная команда показывает полезную информацию о настройке синхронизации, списке серверов и времени последней синхронизации.

Обычно когда сервер не может получить время с NTP сервера в лог записывается следующая информация:

Log Name: System
Source: Microsoft-Windows-Time-Service
Event ID: 47
Level: Warning
Description: Time Provider NtpClient: No valid response has been received from manually configured peer pool.ntp.org after 8 attempts to contact it. This peer will be discarded as a time source and NtpClient will attempt to discover a new peer with this DNS name. The error was: The peer is unreachable.

Когда все нормально сообщение выглядит следующим образом:

Log Name: System
Source: Microsoft-Windows-Time-Service
Event ID: 35
Level: Information
Description: The time service is now synchronizing the system time with the time source pool.ntp.org (ntp.m|0×0|0.0.0.0:123->85.10.240.253:123).

Вы все ещё испытывает какие то проблемы? Вы можете легко включить вывод отладочной информации в логфайл, который в моем случае лимитирован 10-тью мегабайтами и включает все отладочные записи.

w32tm /debug /enable /file:C:Tempw32tmdebug.log /size:10485760 /entries:0-300

После завершения отладки выключаем её:

В случае проблем в логе вы увидите большое количество информации. У меня, когда все работает об этом сигнализирует следующая запись:

Читать еще:  Как установить тросик спидометра на ваз 2109

— Reachability: peer pool.ntp.org (ntp.m|0×0|0.0.0.0:123->129.70.132.35:123) is reachable.
— Logging information: NtpClient is currently receiving valid time data from pool.ntp.org (ntp.m|0×0|0.0.0.0:123->129.70.132.35:123).

А когда мой файервол блокировал пакеты я получал следующие сообщения.

— Logging error: NtpClient has been configured to acquire time from one or more time sources, however none of the sources are currently accessible and no attempt to contact a source will be made for 1 minutes. NTPCLIENT HAS NO SOURCE OF ACCURATE TIME.

Принудительная синхронизация

Если вам необходимо принудительно синхронизировать клиента, запустите команду:

w32tm /resync
Sending resync command to local computer
The command completed successfully.

Если вы получили следующую ошибку, значит компьютер не может достичь NTP сервера.

The computer did not resync because no time data was available.

Начнем с начала

Если вы полностью запутались в конфигах, напихали лишнего и уже не понимаете что происходит, начните с начала. Данные команды полностью сбросят настройки NTP в дефолтное состояние:

Stop-Service w32time
w32tm /unregister
w32tm /register

Этот пост November 12, 2012 at 3:38 pm опубликовал molse в категории Windows Server 2012, Сетевые протоколы. Желающие могут оформить RSS подписку на комменты. Both comments and trackbacks are currently closed.

2 комментов оставлено (Add 1 more)

сервис службы времени(как и любой другой) можно перезапустить командлетом Restart-Service w32time

Ахтунг товарищи !
если разница между серверо ntp и клиентом больше ,вроде 15 часов. /resynce даст ошибку!
те для теста лучше выставить дату(это тоже критично!) и время руками но с погрешность на пару минут.

Настройка iptables.

После того как настройка и тестирование завершены можно задать правила и включить iptables. Но для начала убедимся, что альтернативный firewalld отключен:

если активен, то убираем из автозагрузки и отключаем:

По желанию можно так же отключить Network Manager (команда nmtui), поскольку все настройки сети можно производить, редактируя /etc/sysconfig/network-scripts/.

Проверяем статус Network Manager:

убираем из автозагрузки и отключаем:

Для Enterprise Linux, возможно, потребуется убрать из автостарта ipchains:

В минимальных дистрибутивах, таких как Centos 7.2 minimal пакет iptables поумолчанию может отсутствовать. Устанавливаем:

и добавляем правила:

Запускаем iptables и добавляем в автозагрузку:

Листинг всех правил с номерами строк и портов можно получить по команде:

Публичный NTP сервер

Компания «Мобатайм Системс» предоставляет возможность воспользоваться своим сервером NTP для получения точного времени. Для настройки синхронизации различных операционных систем, Вы можете воспользоваться инструкциями, которые доступны по ссылкам ниже на этой странице.

Адрес сервера: ntp.mobatime.ru

В последнее время резко возросло количество случаев NTP-вандализма, направленных против публичного сервера Mobatime. Для обеспечения стабильной работы бесплатного сервиса предоставления точного времени мы вынуждены вводить ограничения в отношении тех IP-адресов, которые генерируют запросы к NTP-серверу с аномально высокой частотой.

Доступ к серверу по протоколу NTP (UDP порт 123) предоставляется бесплатно. Мы будем признательны, если Вы сможете разместить на корпоративном, личном сайте, на форуме наш баннер, кнопку или ссылку на сайт Mobatime Systems.

Мы тратим достаточно серьёзные временные и финансовые ресурсы на создание и поддержку работы сети NTP серверов. Если Вам по роду своей деятельности необходимо наличие точного времени, полученного с нескольких серверов, или непродолжительное отсутствие синхронизации критично для производственных процессов, то при помощи этой формы Вы можете зарегистрироваться. В дополнение к синхронизации времени по протоколу NTP с сервером ntp.mobatime.ru, регистрация бесплатно откроет следующие возможности:

  • Получение времени по протоколу NTP с резервных серверов по мере ввода их в работу
  • Получение точного времени со всех серверов по протоколу Time (TCP порт 37)
  • Получение точного времени со всех серверов по протоколу Daytime (TCP порт 13)
  • Получение уведомлений о смене адресов серверов или о проведении регламентных работ, во время которых они могут быть недоступны
  • Консультации по решению проблем, которые могут возникать при настройке синхронизации

Мы гарантируем, что Ваши данные, которые будут сообщены нам во время регистрации, не будут переданы третьим лицам. При заполнении полей формы регистрации, пожалуйста, укажите полные и достоверные сведения. Мы будем признательны, если Вы укажете в запросе Ваши фамилию, имя и отчество, контактный телефон, по которому мы сможем связаться с Вами в случае возникновения каких-либо серьёзных проблем в работе сети NTP серверов. Мы хотели бы знать сферу деятельности Вашей компании, её полное наименование. По Вашему желанию, мы можем разместить информацию о Вашей компании на сайте «Мобатайм Системс» в разделе «Наши клиенты». Для предоставления доступа к расширенным возможностям синхронизации, нам необходимо знать IP адреса серверов, которые будут получать точное время. Эти адреса будут внесены в разрешающее правило файрвола. Обращаем Ваше внимание на то, что запросы на регистрацию будут обрабатываться вручную, начиная с середины сентября, и мы оставляем за собой право отказать в регистрации или закрыть доступ без объяснения причин.

Читать еще:  Как установить домашнюю сеть через вай фай

Mobatime Systems предоставляет доступ к публичному NTP серверу LTS (Little Time Server). LTS специально разработан для обслуживания больших локальных сетей: производительность сервера достаточна для обслуживания до 50-ти запросов в секунду; сервер конфигурируется по локальной сети (Telnet), широкий диапазон рабочих температур (-20…+60°С, при влажности 5…95%) и возможность подачи питания на сервер по витой паре (Power over Ethernet, IEEE 802.3af) позволяют монтировать сервер в любом помещении; поддержка протоколов NTP v.4, SNTP, TIME, DAYTIME даёт возможность получать время с сервера практически любому оборудованию; высочайшая точность хода (± 0,005 сек./сутки) обеспечивает точным временем локальные сети любого масштаба и территориальной удалённости. Достаточно низкая цена сервера в сумме с высокой производительностью и неприхотливостью делают его отличным выбором по критерию цена/производительность для обеспечения точным временем локальных сетей.

Настройка сервера Windows 2003 на синхронизацию времени с сервером NTP Mobatime

Вся настройка выполняется из командной строки. Последовательность действий следующая:

net time /setsntp:имя_ntp_сервера_mobatime — указали, что Windows будет синхронизироваться с этим сервером NTP

net stop w32time && net start w32time — перезапустили службу времени Windows

w32tm /resync — отправили команду для принудительной синхронизации на локальный компьютер

В ответ должны получить следующее:

Команда синхронизации отправлена на local computer…
Команда выполнена успешно.

Через некоторое время проверяем журнал событий системы. Если все настроено верно, то в журнале будет информационное сообщение от источника W32Time с кодом (ID) 35 и текстом Служба времени выполняет синхронизацию системного времени с источником времени имя_ntp_сервера_mobatime

Если возникли какие-то проблемы, то в журнал будет записана ошибка с кодом (ID) 29 от источника W32Time и текстом NTP-клиент поставщика времени настроен на получение времени из одного или нескольких источников, однако ни один из этих источников недоступен. Попытки подключения к источнику не будут выполняться в течение ХХ мин. NTP-клиент не имеет источника правильного времени. В таком случае, убедитесь, что файрвол не блокирует соединения с NTP-сервером по протоколу UDP порт 123. Проверьте, что имя NTP-сервера Mobatime указано верно. Для этого в командной строке выполните

net time /querysntp

В ответ будет выведено имя сервера NTP.

Для определения величины расхождения локального времени и времени любого компьютера в сети, используйте команду

w32tm /stripchart /computer:имя_компьютера

На экран будет выводиться информация о дельте локального времени и времени на имя_компьютера до прерывания работы при помощи Ctrl+C.

Если Ваша сеть с доменами, то клиенты будут автоматически синхронизировать свои часы с контроллером домена. Если Вы не используете в сети доменов, то настраивать клиентов придётся вручную.

Настройка не входящей в домен Windows XP на синхронизацию времени с сервером NTP Mobatime

Настройка WindowsXP, не включённой в домен, выполняется из GUI. Для настройки синхронизации дважды щелкните по часам в трее. Откроется окно свойств даты и времени. Это же окно можно открыть из Пуск — Панель управления — Дата и время. Переключитесь на последнюю вкладку Время Интернета. Обратите внимание на то, что вкладка появится в окне только при подключении к интернету.

Пропишите имя NTP-сервера Mobatime в соответствующем поле и нажмите кнопку Обновить сейчас. Windows проверит доступность сервера NTP и проинформирует об успешной синхронизации времени.

Настройка FreeBSD на синхронизацию времени с сервером NTP Mobatime

Настройка выполняется под рутовой учётной записью.

Для однократной синхронизации можно воспользоваться

ntpdate сервер_NTP_mobatime

Для синхронизации при каждой загрузке FreeBSD пропишите в rc.conf следующее

ntpdate_enable=»YES»

ntpdate_flags=сервер_NTP_mobatime

Этот способ хорошо подходит для машин, которые достаточно часто перезагружаются. Более правильным видится настройка демона ntpd.

Создайте (если не существует) файл /etc/ntp.conf Включите в него следующую строку

server сервер_NTP_mobatime prefer

Аргумент prefer указывает на предпочтение этого сервера перед остальными, т.к. Мобатайм Системс предоставляет Вам доступ к Master Time Server — серверу NTP, а не к компьютеру с работающим демоном ntpd.

На следующем этапе настройки нужно прописать в rc.conf

ntpd_enable=»YES»

Теперь FreeBSD будет постоянно сверять свои часы с NTP сервером Mobatime.

голоса
Рейтинг статьи
Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector