Синхронизацията на системното време в домейна на Active Directory е важна за правилното функциониране на много функции на работните станции под Windows. Неуспешен системен часовник може да повлияе на способността на потребителя да влезе, да наруши движението на поща в Exchange и да създаде множество други проблеми, които е трудно да бъдат открити. В сложни случаи стандартните методи за синхронизиране на времето в мрежата не са 100% надеждни или дори предсказуеми. Например, ако часовникът на физическия хост Hyper-V престане да се синхронизира, това обикновено засяга всички виртуални машини, понякога катастрофални. За щастие не са необходими усилия за фиксиране на грешки при синхронизиране на времето.
Избор на компютър като източник на време
Първото нещо, което трябва да направите преди да настроите синхронизирането на времето е да изберете компютъра, който ще се превърне в основен източник на системно време във вашия домейн. Обикновено компютър, който избира компютъра в Active Directory като роля на емулатор на основния домейн контролер (PDC) като източник. Според официалната документация на Microsoft именно той е основният ресурс, от който мрежата получава времеви данни. На практика обаче това не винаги е възможно. Машината, която изберете, ще бъде редовно консултирана с интернет източници, така че ако сте на строго защитен обект с високи изисквания за информационна сигурност, си струва да помислите за делегирането на тази роля на друг компютър.
Например,можете да създадете специален сървър, който да получава информация за времето от интернет и да го прехвърля към PDC емулатора. В този случай ще имате няколко компютъра, които служат като източници на време за машини, включени в мрежата.
Конфигуриране на защитната стена
Трафикът, когато синхронизирате времето с домейн контролера, се получава от UDP порта 123. На изходния компютър този порт трябва да бъде отворен за входящи връзки. На всички машини в мрежата порт 123 трябва да бъде отворен за изходящи връзки, поне с домейн контролера.
Конфигуриране на домейн контролера
За да синхронизирате времето с домейн контролера на сървъра, който играе ролята на PDC емулатор, използвайки командния ред, трябва да изпълните следните стъпки: 1. Проверете дали домейн контролерът, в който работите, е PDC емулатор чрез изпълнение на командата netdom query fsmo 2. На PDC емулационния сървър, изпълнете следните команди за синхронизиране в указания ред: net stop w32time w32tm /configure /syncfromflags: manual /manualpeerlist:"0.us.pool.ntp.org,0x1 1.us ntp.org, 0x1 "Външният източник на време по подразбиране за Windows Server е сървър time.windows.com. Най-добрият вариант е синхронизирането с няколко сървъра за време. В горната команда използваме сървъри, които се поддържат от NTP Pool Project. 3. Ако Active Directory има няколко домейн контролери, изпълнете следната команда в командния ред: w32tm /config /syncfromflags: domhier /update 4. Проверете дали настройките на сървъра са правилни. PDC емулация: w32tm /query /status: 5. Проверете правилната конфигурациявреме на всички други домейн контролери: w32tm /query /status:
Конфигуриране на DHCP
За да синхронизирате времето с домейн контролера на устройства, отговорете за DHCP, настройте настройките на DHCP сървъра на 004 и 042.
Можете да използвате само IP адреси за DHCP записи. Можете да въведете име на сървър и да щракнете върху Разрешаване, за да получите IP адреса на сървъра. Ако използвате DHCP с устройство Cisco, въведете следните команди в настройките на DHCP: опция 4 ip [IP адрес] опция 42 ip [IP адрес] IP адресът трябва да бъде заменен от действителния IP сървър, който служи като източник на времето. Сега всички DHCP устройства ще получават настройки за времето от сървъра при следващото ъпгрейдване.
Конфигуриране на статични устройства и компютри под други операционни системи
Повечето NAS и SAN устройства имат възможността да въвеждат информация за сървърния доставчик на времеви настройки. За да конфигурирате синхронизирането на времето с домейн контролера на устройства Cisco IOS, въведете в командния ред: ntp сървър 19216825.5 IP адресът трябва да бъде заменен от действителния IP сървър, който служи като източник на време. За да конфигурирате синхронизирането на времето на компютър под операционна система, различна от Windows, вижте документацията на операционната система. За други операционни системи обаче правилните настройки на времето не са толкова важни, колкото Windows, така че дори можете да откажете синхронизацията.
Конфигуриране на виртуални машини за гости
Всички съвременни хипервизори имат възможност да синхронизират системното време за машините за гост с вградени инструменти. акоВремевата синхронизация в домейна е разрешена, машините за гости ще получат време от физическия хост, на който работят. В повечето случаи трябва да изключите тази функция за гост-машини на Windows Server, които служат като виртуализирани контролери за домейн. За всички останали гости той трябва да бъде включен.
За да конфигурирате синхронизацията на времето с домейн контролера в Hyper-V хипервизора, отворете диалоговия прозорец Опции и отидете на раздела Интеграционни услуги. Изберете или премахнете отметката от квадратчето Времева синхронизация. За други хипервайзори вижте документацията на производителя.
Конфигуриране на групови правила
За да убеди компютрите си под Windows да използват настройките за време, получени от домейн контролера, трябва да конфигурирате груповите правила. За да инсталирате нова групова политика, отворете инструмента за управление на политики в домейн контролера или на компютъра, на който са инсталирани инструментите за администриране на отдалечен сървър. Разширете домейна си. Щракнете с десния бутон върху елемента Обекти на груповите правила, щракнете върху Нова. Дайте име на новата политика и кликнете върху OK.
Щракнете с десния бутон върху новата политика и кликнете върху Редактиране. Това ще стартира прозореца на редактора на групови правила. Към Конфигурация на компютъра & gt; Правила & gt; Административни шаблони & gt; Система - & gt; Времева услуга на Windows & gt; Доставчици на време. В десния панел щракнете двукратно върху Разрешаване на NTP клиент на Windows. Задайте опцията на Enabled, щракнете върху OK. След това щракнете двукратно върху Configure Windows NTP Client. Настройте настройките както на картинката по-долу, като добавите 0x1 в полето NtpServer, за да го получите.yourdc.yourdomain.tld, 0x1.
След като запазите груповите правила, затворете редактора. Ще се върнете към прозореца на контролната конзола на основната политика на групата. Ако във вашия домейн има голям брой правила, кликнете с десния бутон на мишката върху новото правило и отидете в състоянието на обекта Настройки на потребителската конфигурация е деактивирано. Това ще ускори обработката на всяка политика. Сега щракнете с десния бутон на мишката върху обекта на Active Directory, към който искате да приложите тази политика, и щракнете върху Свързване на съществуващ GPO. Маркирайте ново правило и кликнете върху OK. Ако е необходимо, повторете стъпките за други обекти.
Не забравяйте, че вложените обекти наследяват групови политики от своя родител, ако наследяването не е блокирано или дъщерният обект няма собствена свързана групова политика с конфликтни настройки.
Настройване на други домейн контролери
Ако следвате горните стъпки, за да осигурите синхронизация на времето за вашия домейн, почти е сигурно, че ще зададете точното време за всички компютри в мрежата. Следователно други контролери за домейн (ако имате повече от един) не могат да бъдат докоснати. Ако обаче искате да сте сигурни, че използват правилното време, можете да редактирате правилата за местните групи. Отворете менюто „Старт“ & gt; Стартирайте enter gpedit.msc. Кликнете върху OK. След това използвайте същите настройки като в предишния раздел. Ако домейн контролерът, който искате да работите, се управлява от Windows Server Core, можете да направите това дистанционно, при условие че тази опция е активирана от мрежовия екран. Просто стартирайте mmc.exeкомпютър с графичен интерфейс, отворете менюто Файл & gt; Add /Remove Snap-In (Добавяне /премахване на Snap-In), щракнете двукратно върху Редактор на обекти на груповата политика, отидете до компютъра, на който искате да редактирате груповите правила.
Проверка на резултата
Стартирайте всяка административна команда на всеки компютър с Windows и въведете: gpupdate w32tm /query /source В резултат на изпълнение на командата на домейн контролера, адресът на един от NTP сървърите, са предоставени като външни източници на време от Интернет. На работната станция на потребителя командата връща адреса на домейн контролера. На виртуална машина Hyper-V с включена синхронизация, трябва да видите съобщението: VM IC Time Synchronization Provider. Ако командата сигнали, че се определя от местния часовник CMOS, синхронизация на времето в домейна не работи.