Настройка часового пояса через групповую политику
Если вы захотите с помощью средств GPO настроить нужный часовой пояс на серверах с Windows Server 2019, то вам в политике просто нужно создать ключ реестра с нужным значением, который я описал выше. Если у вас на RDS ферме пользователи разных часовых поясов, то для их удобства вы можете брать время на RDSH хосты с их систем откуда они подключаются, для этого воспользуйтесь групповой политикой
«Разрешить перенаправление часового пояса (Конфигурация компьютера> Политики -> Административные шаблоны -> Компоненты Windows -> Службы удаленного рабочего стола -> Узел сеанса удаленного рабочего стола -> Перенаправление устройств и ресурсов (Allow time zone redirection (Computer Configuration > Policies -> Administrative Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Session Host -> Device and Resource Redirection)».
Так, что если вы видите в системе ошибку «У вас нет разрешения на выполнение этой задачи. Обратитесь за помощью к сетевому администратору», это еще не значит, что у вас нет прав. На этом у меня все, с вами был Иван Сёмин, автор и создатель IT портала Pyatilistrnik.org.
Обработка «Распознавание штрихкода с помощью утилиты Zbar» для Документооборот ред. 2 Промо
В связи с тем, что стандартный функционал программы «Документооборот» ред. 2.1 дает возможность распознавания штрихкодов только форма EAN-13, данная обработка — альтернативный способ для распознавания штрихкода в программе 1С: Документооборот ред. 2 с помощью утилиты Zbar, которая распознает в том числе и в формате Code 128 (один из стандартных штрихкодов кодирования документов, например, «Управление торговлей» ред. 11), а также с возможностью поэтапно проследить все действия от распознавания до прикрепления к документу или простой загрузки в каталоги файлов в базе 1С.
5 стартмани
Настройка NTP сервера и клиента групповой политикой
Раз уж у нас с вами домен Active Directory, то глупо не использовать групповые политики, для массовой настройки серверов и рабочих станций, я покажу как настроить ваш NTP сервер в windows и клиента. Открываем оснастку «Редактор групповых политик». Перед тем как настроить наш NTP сервер в Windows, нам необходимо создать WMI фильтр, который будет применять политику, только к серверу мастера PDC.
Вводим имя запроса, пространство имен, будет иметь значение «rootCIMv2» и запрос «Select * from Win32_ComputerSystem where DomainRole = 5». Сохраняем его.
Затем вы создаете политику на контейнере Domain Controllers.
В самом низу политики применяете ваш созданный WMI фильтр.
Переходим в ветку: Конфигурация компьютера > Политики > Административные шаблоны > Система > Служба времени Windows > Поставщики времени.
Тут открываем политику «Настроить NTP-клиент Windows». Задаем параметры
- NtpServer: 0.ru.pool.ntp.org,0x1 1.ru.pool.ntp.org,0x1 2.ru.pool.ntp.org,0x1 3.ru.pool.ntp.org,0x1
- Type: NTP
- CrossSiteSyncFlags: 2. Двойка означает, если этот параметр равен 2 (Все), можно использовать любого участника синхронизации. Это значение игнорируется, если не задано значение NT5DS. Значение по умолчанию: 2 (десятичное) (0x02 (шестнадцатеричное))
- ResolvePeerBackoffMinutes: 15. Это значение, выраженное в минутах, определяет интервал ожидания службы W32time перед попыткой разрешения DNS-имени в случае неудачи. Значение по умолчанию: 15 минут
- Resolve Peer BAckoffMaxTimes: 7. Это значение определяет число попыток разрешения DNS-имени, предпринимаемых службой W32time перед перезапуском процесса обнаружения. При каждом неудачном разрешении DNS-имени интервал ожидания перед следующей попыткой удваивается. Значение по умолчанию: семь попыток.
- SpecilalPoolInterval: 3600. Это значение параметра NTP-клиента, выраженное в секундах, определяет частоту опроса настроенного вручную источника времени, который использует особый интервал опроса. Если для параметра NTPServer установлен флаг SpecialInterval, клиент использует значение, заданное как SpecialPollInterval, вместо значений MinPollInterval и MaxPollInterval, чтобы определить частоту опроса источника времени. Значение по умолчанию: 3600 секунд (1 час).
- EventLogFlags: 0
Делаем отдельную групповую политику для клиентских рабочих машин, вот с такими параметрами.
- NtpServer: Адрес вашего контроллера домена с ролью PDC.
- Type: NT5DS
- CrossSiteSyncFlags: 2
- ResolvePeerBackoffMinutes: 15
- Resolve Peer BAckoffMaxTimes: 7
- SpecilalPoolInterval: 3600
- EventLogFlags: 0
Далее идем на клиента и обновляем групповые политики gpupdate /force и вводим команду w32tm /query /status
Параметры
Настройка синхронизации данным способом, относительно недавняя, и может использоваться только на Виндовс 10, так-как «Параметры системы» в том виде в котором они представлены есть только на десятке.
1. Зайдите в Параметры Windows 10 и посетите раздел «Время и язык».
2. В первой вкладке активируйте опцию «Установить время автоматически».
5. Перейдите в указанный на скриншоте раздел.
6. Активируйте последнюю вкладку и нажмите «Изменить параметры…».
7. Отметьте флажком пункт «Синхронизировать с сервером…» и выберите сервер из выпадающего списка.
8. Для немедленной синхронизации кликните «Обновить сейчас».
Сервер времени, что это? — компьютер, на который возложена задача отправки пакетов данных со сведениями о времени в регионе, где находятся клиенты.
9. Закройте окошко кнопкой «OK» и примените новые настройки.
Службы
Синхронизация через интернет может не работать, если отключен сервис «Служба времени Windows». Для проверки и запуска службы выполните следующие шаги.
1. Откройте окно управления сервисами операционной системы. Для этого зажмите клавиши Win + R и выполните команду « services.msc » в открывшемся окне.
2. Откройте свойства записи «Служба времени Windows» через контекстное меню, двойным кликом или сочетанием клавиш Alt + Enter.
3. В выпадающем списке «Тип запуска» выберите «Вручную».
Можно указать и «Автоматически», но тогда сервис будет запускаться при каждой загрузке операционной системы, а при варианте «Вручную» — только когда Windows 10 обратится к нему.
4. Кликните «Запустить» и жмите «OK».
Где его посмотреть?
Узнать полное название ПК в локальной сети удастся таким простым способом: нужно одновременно нажать на кнопки «Win» и «Pause/Break». После такого действия появится консоль «Просмотр основных сведений». На ней отображена вся информация о конкретном ПК.
Как посмотреть Computer Name через командную строку:
- через Пуск активировать «Выполнить»;
- написать символы: cmd;
в открывшейся командной строчке ввести: hostname;
появятся активные на данный момент сведения.
Как самостоятельно узнать имя, используя «Панель управления»:
отыскать и активировать «Панель управления»;
в появившемся списке найти подпункт «Система» и кликнуть один раз по нему;
появится окошко «Свойства» с нужной информацией.
Службы
Синхронизация через интернет может не работать, если отключен сервис «Служба времени Windows». Для проверки и запуска службы выполните следующие шаги.
1. Откройте окно управления сервисами операционной системы. Для этого зажмите клавиши Win R и выполните команду «services.msc» в открывшемся окне.
2. Откройте свойства записи «Служба времени Windows» через контекстное меню, двойным кликом или сочетанием клавиш Alt Enter.
3. В выпадающем списке «Тип запуска» выберите «Вручную».
Можно указать и «Автоматически», но тогда сервис будет запускаться при каждой загрузке операционной системы, а при варианте «Вручную» — только когда Windows 10 обратится к нему.
4. Кликните «Запустить» и жмите «OK».
Если со службой все в порядке, остановите ее через контекстное меню, а затем снова запустите.
Особые случаи использования NTP
Например, NTP могут использовать, чтобы усилить трафик в DDoS-атаках. А чтобы избежать столкновения с различными злоупотреблениями, следует ограничить доступ для внешних клиентов. Говоря об ограничениях, то по умолчанию в /etc/ntp.conf файле выставлены такие:
- restrict − 4 default kod notrap nomodify nopeer noquery
- restrict − 6 default kod notrap nomodify nopeer noquery
Такие опции, как nomodify, notrap, nopeer и noquery, не позволяют внешним клиентам менять конфигурации на сервере. Параметр kod (расшифровывается как kiss of death, «смертельный поцелуй») дает дополнительный уровень защиты: клиент, который часто отправляет запросы, получает сперва kod-пакет, являющийся предупреждением о том, что в обслуживании отказано, а потом отключается от сервера.
Для синхронизации машин из локальной сети с сервером NTP в файл конфигурации добавляется такая строчка:
restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap
А для локального хоста устанавливается неограниченный доступ к серверу NTP:
restrict 127.127.1.0
Как я могу проверить текущую конфигурацию NTP системы?
Мне нужно проверить текущую конфигурацию NTP в некоторых системах Windows. В идеале я хотел бы иметь возможность сделать это через командную строку вместо навигации по экранам конфигурации.
(Я работаю над несколькими различными версиями ОС, и экраны конфигурации, как правило, не всегда находятся в одном и том же месте между версиями.)
Я надеюсь найти быструю, запоминающуюся команду, которую я могу просто вставить в консоль CMD, чтобы получить результат. Тем не менее, пакетный файл, который я могу взять с собой, тоже подойдет.
В частности, мне нужно следующее:
- Показать, настроена ли система на получение времени от NTP-сервера.
- Показать серверы NTP, с которых система получает время.
- Показать время последней синхронизации.
- Показать текущее время в системе.
Какая команда (команды) была бы необходима для достижения этих результатов?
Ищите решение, совместимое с Windows XP, 7, Server 2003 и Server 2008.
В командной строке введите
w32tm /query /configuration дает вам конфигурацию, которую вы настроили.
w32tm /query /status дает вам такую информацию, как:
- слой
- индикатор скачка
- точность
- последняя синхронизация
- NTP сервер
- интервал опроса
time /T выводит текущее системное время.
Примечание. w32tm /query Впервые был доступен в клиентских версиях Windows Time для Windows Vista и Windows Server 2008. См. Инструменты и параметры службы времени Windows.
Это отвечает на ваш последний вопрос:
Откройте командную строку и введите точно:
w32tm /stripchart /computer:NTPServerNameOrIP /dataonly /samples:x (сколько вы хотите вернуть)
Возвращает время и разницу времени NTP-сервера. Если он возвращает время, ошибка: 0x80072746, то это не ваш NTP-сервер.
Пример команды ниже:
В другой машине я получил:
Тогда я попробовал:
Тогда я попробовал:
В другой машине я получил страницу помощи, на которой также сказано:
Так что, в основном, сервис не работал. Следуя этим инструкциям, я сделал:
Наконец, все вышеперечисленное будет работать. (примечание: если net start не получается, см. ниже) Тогда мне просто нужно было настроить мой ntp . Я сделал это с:
следуя инструкциям отсюда , но, возможно, это могло быть так просто, как:
как указано здесь . (10.0.0.5 — мой локальный NTP-сервер). Если вы не используете локальный NTP-сервер, вы можете использовать общий:
Наконец, вам может потребоваться сделать следующее, что мне не нужно:
Примечание: если net start w32time с ошибкой 1290 (Запустить службу не удалось , так как один или несколько услуг , в том же процессе , имеют несовместимые настройки типа службы SID) , а затем выполните действия , описанные здесь :
Затем следуйте, как указано выше.
ПРИМЕЧАНИЕ 2: если служба NTP не запускается автоматически при перезагрузке, это может быть связано с ее настройками запуска, как описано здесь : в зависимости от ваших окон, она может быть настроена на запуск только при присоединении к домену. Вы можете проверить с помощью:
Если он настроен на запуск при присоединении к домену, и у вас нет настроенного домена на вашем компьютере, он не запустит службу и не установит время. Вероятно, он не присоединяется к домену, потому что вы этого не хотите. В любом случае просто измените, какой триггер запускает его. Например, для запуска, когда машина имеет сеть (и, следовательно, может получить доступ к серверу), выполните:
голоса
Рейтинг статьи
Настройка гостевых виртуальных машин
Все современные гипервизоры имеют возможность синхронизации системного времени для гостевых машин с помощью встроенных инструментов. Если синхронизация времени в домене включена, гостевые машины будут получать время с физического хоста, на котором они запущены.
В большинстве случаев нужно отключить эту функцию для гостевых машин Windows Server, которые служат в качестве виртуализированных контроллеров домена. Для всех остальных гостей она должна быть включена.
Для настройки синхронизации времени с контроллером домена в гипервизоре Hyper-V откройте диалоговое окно Settings и перейдите на вкладку Integration Services. Снимите или установите флажок Time Synchronization. Для других гипервизоров обратитесь к документации производителя.
Mikrotik: настройка NTP Server и NTP Client для локальной сети
На роутерах Mikrotik есть возможность настроить NTP Server для локальной сети, чтобы хосты выполняли синхронизацию времени операционной системы непосредственно с маршрутизатора.
Для этого необходимо:
- Скачать дополнительный пакет ntp-* для Mikrotik с официального сайта и установить его;
- Настроить NTP Client;
- Настроить NTP Server.
Установка Mikrotik NTP Server
Для начала нам нужно скачать дополнительный пакет для вашей архитектуры процессора. Как определить текущую версию системы и архитектуру процессора подробно описано в статье Mikrotik обновление прошивки RouterOS и установить его.
В данном примере я скачиваю дополнительный пакет для роутера Mikrotik hAP ac lite (архитектура MIPSBE) для версии RouterOS 6.48.
Открываем Winbox, затем переносим пакет ntp-6.48-mipsbe.npk из архива, скаченного в предыдущем шаге. Если все сделали правильно, то увидим окно:
Перезагружаем маршрутизатор Mikrotik.
Настройка NTP Client на Mikrotik
Следующим шагом откроем System => NTP Client и выполним настройку:
Где:
- Enabled – активируем клиент;
- Unicast – указываем метод передачи трафика;
- Primary NTP Server – задаем IP адрес доменного имени 0.ru.pool.ntp.org;
- Secondary NTP Server – назначаем IP адрес доменного имени 1.ru.pool.ntp.org.
Для решения этой проблемы можно:
- Воспользоваться скриптом, который будет проверять текущие IP-адреса заданных серверов, устанавливая их значения в конфигурацию. Скачать скрипт.
- Устанавливать эти значения вручную.
Пример того, как создавать скрипты и запускать их по расписанию можно узнать из статьи: Как сохранить, перенести и восстановить настройки Mikrotik.
Настройка NTP Server на Mikrotik
Следующим шагом активируем NTP Сервер:
System => NTP Server.
Где:
- Enabled – активируем сервер;
- Multicast, Manycast – указываем метод передачи трафика.
Чтобы в Mikrotik открыть 123 порт, создадим правило:
IP => Firewall => «+»;
Разместим правило выше запрещающего:
А также рекомендуем изучить статьи:
- MikroTik настройка firewall;
- Настройка DHCP MikroTik;
- MikroTik удаленный доступ извне.
На этом настройка NTP Сервера на роутере Mikrotik закончена. Надеюсь, данная статья была вам полезна.
Особенности виртуализированных контроллеров домена
Контроллеры домена, работающие в виртуализированной среде, требуют к себе особенного отношения.
- Средства синхронизации времени виртуальной машины и хостовой ОС должны быть выключены. Во всех адекватных системах виртуализации (Microsoft, vmWare и т. д.) присутствуют компоненты интеграции гостевой ОС с хостовой, которые значительно повышают производительность и управляемость гостевой системой. Среди этих компонентов всегда есть средство синхронизации времени гостевой ОС с хостовой, которое очень полезно для рядовых машин, но противопоказано для контроллеров домена. Потому как в этом случае весьма вероятен цикл, при котором контроллер домена и хостовая ОС будут синхронизировать друг друга. Последствия печальны.
- Для корневого PDC синхронизация с внешним источником должна быть настроена всегда. В виртуальной среде часы не настолько точны как в физической, потому как виртуальная машина работает с виртуальным процессором и прерываниями, для которых характерно как замедление, так и ускорение относительно «обычной» частоты. Если не настроить синхронизацию виртуализированного корневого PDC с внешним источником, время на всех компьютерах предприятия может убегать/отставать на пару часов в сутки. Не трудно представить неприятности, которые может принести такое поведение.
Проверка результата
Запустите на любом Windows-компьютере в сети командную строку с правами администратора и введите:
w32tm / query / source
В результате выполнения команды на контроллере домена будет возвращен адрес одного из серверов NTP, которые были заданы в качестве внешних источников времени из Интернета.
На пользовательской рабочей станции команда вернет адрес контроллера домена.
На виртуальной машине Hyper-V с включенной синхронизацией времени вы должны увидеть сообщение: VM IC Time Synchronization Provider.
Если команда сигнализирует, что время определяется по локальным CMOS-часам, синхронизация времени в домене не работает.
Как установить и настроить NTP-сервер
Чтобы синхронизировать время, используют демон ntpd, который может быть как сервером, принимающим время из удаленных хостов, так и клиентом, раздающим время сторонним хостам. Демон ntpd зависит от указанных в файле конфигурации настроек.
Для установки сервера NTP используется стандартный менеджер пакетов $ sudo apt-get install ntp.
После установки все необходимые настройки NTP будут находиться в файле /etc/ntp.conf.
Первая строчка файла конфигурации – driftfile /var/lib/ntp/ntp.drift. В ней указан файл, в котором хранится информация о том, как часто смещается время. В этом же файле содержится и значение, которое было получено из предыдущих изменений времени. Если по каким-то причинам внешние NTP-серверы недоступны, знание берут из этого файла.
После этого нужно указать файл, сохраняющий логи синхронизации – logfile /var/log/ntp.log.
В файле конфигурации нужно указать перечень серверов NTP, с которыми нужно синхронизироваться. По умолчанию этот перечень выглядит вот так:
- server 0.ubuntu.pool.ntp.org
- server 1.ubuntu.pool.ntp.org
- server 2.ubuntu.pool.ntp.org
- server 3.ubuntu.pool.ntp.org
Эти строки означают группу серверов, которые сообщают серверу верное время. Через опцию iburst можно увеличить точность синхронизации, то есть указать то, что на сервер необходимо отправлять несколько пакетов вместо одного:
- server 0.ubuntu.pool.ntp.org iburst
- server 1.ubuntu.pool.ntp.org iburst
- server 2.ubuntu.pool.ntp.org iburst
- server 3.ubuntu.pool.ntp.org iburst
Еще можно донести информацию о нужном сервере через опцию prefer:
server 0.ubuntu.pool.ntp.org iburst prefer
Командаw32tm /query /configuration /verbose
- Может быть выполнена на любом компьютере или контроллере домена.
- Выводит все настройки службы времени windows для текущего компьютера.
- Убедитесь, что в результатах выполнения команды на всех компьютерах и контроллерах домена (кроме PDC) в разделе поле Type имеет значение NT5DS. Если это не так, настройки синхронизации на таких компьютерах надо исправлять (как – см. далее).
- Если у Вас Windows 2003, то Вы не можете выполнить эту команду. Вместо этого Вы можете посмотреть параметры конфигурации службы времени в реестре: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParameters, в частности параметр Type.
Как исправить проблемы с отображением времени в системе Windows 10
Windows 10 использует сетевой протокол времени (NTP) для соединения с серверами времени в Интернете, чтобы обеспечить точное системное время. В противном случае, если часы не синхронизированы правильно, у вас могут возникнуть проблемы с сетью, документами и другими файлами, которые вы создаете, так как для них будут установлены неправильные метки времени.
Хотя сервер времени по умолчанию является достаточно надежным, в некоторых случаях вам может понадобиться изменить его, например, если ваша текущая конфигурация заставляет ваше устройство отображать неправильное время, вы просто предпочитаете использовать другую службу или ваша компания использует определенную конфигурацию.
Независимо от причины, в Windows 10 можно переключать поставщиков времени, и вы даже можете добавлять собственные серверы времени в список по мере необходимости.
В этом руководстве по Windows 10 мы расскажем вам, как использовать разные серверы времени, чтобы убедиться, что ваш компьютер получает правильное время с помощью панели управления.
Контроль состояния службы ntp
Для контроля состояния службы ntp предусмотрена команда ntpq, входящая в пакет сервера.Эта команда получает состояние сервиса с помощью стандартных запросов и выводит сводку на печать.Типичный вызов команды:
ntpq -p |
Типичный вывод команды при нормально работающем сервисе:
Где:
- первый символ в строке — статус выбора:
- * — выбранный север времени;
- + —новый сервер;
- o — PPS-источник (источник секундных импульсов);
- пробел — не работающий источник;
- — x и др. — «забракованные» (ненадежные) источники.
- remote — адрес опрошенного сервера времени;
- refid — источник сигналов времени, с которым синхронизируется опрошенный сервер.Это может быть другой сервер, а могут быть аппаратные часы.В приведённом примере видно, что серверы первого стратума синхронизируются по аппаратным часам;
- st — уровень (стратум) сервера. Может принимать значения от 0 до 16. Чем ниже уровень — тем точнее сервер. Значение стратума 16 скорее всего говорит о том, что сервер признан негодным источником;
- t — тип сервера (u — unucast, m — multicast, l — local, p — pool и т.д.);
- when — время, прошедшее , в секундах, если не указано иное;
- poll — интервал опроса (двоичный логарифм периода опроса в секундах);
- reach — восьмеричное значение сдвигового регистр доступности.Отражает доступность сервера при последних восьми опросах, при 100% доступности проходит значения 0, 1, 3, 7, 17, 37, 77, 177, 377 и далее остаётся равным 377;
- delay — задержка ответа (время между отправкой запроса и получением ответа);
- fset — смещение времени относительно локального сервера;
- jitter- дисперсия (разброс) времени прохождения пакетов при обмене с сервером
Особенности виртуализированных контроллеров домена
Контроллеры домена, работающие в виртуализированной среде, требуют к себе особенного отношения.
- Средства синхронизации времени виртуальной машины и хостовой ОС должны быть выключены. Во всех адекватных системах виртуализации (Microsoft, vmWare и т. д.) присутствуют компоненты интеграции гостевой ОС с хостовой, которые значительно повышают производительность и управляемость гостевой системой. Среди этих компонентов всегда есть средство синхронизации времени гостевой ОС с хостовой, которое очень полезно для рядовых машин, но противопоказано для контроллеров домена. Потому как в этом случае весьма вероятен цикл, при котором контроллер домена и хостовая ОС будут синхронизировать друг друга. Последствия печальны.
- Для корневого PDC синхронизация с внешним источником должна быть настроена всегда. В виртуальной среде часы не настолько точны как в физической, потому как виртуальная машина работает с виртуальным процессором и прерываниями, для которых характерно как замедление, так и ускорение относительно «обычной» частоты. Если не настроить синхронизацию виртуализированного корневого PDC с внешним источником, время на всех компьютерах предприятия может убегать/отставать на пару часов в сутки. Не трудно представить неприятности, которые может принести такое поведение.
Особенности виртуализированных контроллеров домена
Контроллеры домена, работающие в виртуализированной среде, требуют к себе особенного отношения.
- Средства синхронизации времени виртуальной машины и хостовой ОС должны быть выключены. Во всех адекватных системах виртуализации (Microsoft, vmWare и т. д.) присутствуют компоненты интеграции гостевой ОС с хостовой, которые значительно повышают производительность и управляемость гостевой системой. Среди этих компонентов всегда есть средство синхронизации времени гостевой ОС с хостовой, которое очень полезно для рядовых машин, но противопоказано для контроллеров домена. Потому как в этом случае весьма вероятен цикл, при котором контроллер домена и хостовая ОС будут синхронизировать друг друга. Последствия печальны.
- Для корневого PDC синхронизация с внешним источником должна быть настроена всегда. В виртуальной среде часы не настолько точны как в физической, потому как виртуальная машина работает с виртуальным процессором и прерываниями, для которых характерно как замедление, так и ускорение относительно «обычной» частоты. Если не настроить синхронизацию виртуализированного корневого PDC с внешним источником, время на всех компьютерах предприятия может убегать/отставать на пару часов в сутки. Не трудно представить неприятности, которые может принести такое поведение.
Служба времени Windows, несмотря на кажущуюся простоту, является одной из основ, необходимых для нормального функционирования домена Active Directory. В правильно настроенной среде AD служба времени работает следующим образом: компьютеры пользователей получают точное время от ближайшего контроллера домена, на котором они зарегистрировались. Все контроллеры домена в свою очередь получают точное время от DC с «Эмулятор PDC», а контролер PDC синхронизирует свое время с неким . В качестве внешнего источника времени может выступать один или несколько NTP серверов, например time.windows.com или NTP сервер вашего Интернет-провайдера. Также нужно отметить, что по умолчанию клиенты в домене синхронизируют время с помощью службы времени Windows (Windows Time), а не с помощью протокола NTP.
Если вы столкнулись с ситуацией, когда время на клиентах и контроллерах домена различается, возможно, в вашем домене есть проблемы с синхронизацией времени и эта статья будет вам полезна.
В первую очередь выберите подходящий NTP сервер, который вы могли бы использовать. Список общедоступных NTP серверов доступен на сайте http://ntp.org
. В нашем примере мы будем использовать NTP сервера из пула ru.pool.ntp.org:
- 0.ru.pool.ntp.org
- 1.ru.pool.ntp.org
- 2.ru.pool.ntp.org
- 3.ru.pool.ntp.org
Настройка синхронизации времени в домене с помощью групповых политик состоит из двух шагов:
1) Создание GPO для контроллера домена с ролью PDC
2) Создание GPO для клиентов (опционально)
Versions of LANTIME firmware/ntpd that don’t reply to «symmetric active» requests
In June 2018 there has been a change in the source code of to fix a different problem, and this change unintentionally disabled the workaround mentioned above. Once this had been noticed by users, the workaround was enabled again, and thus the subsequent patch release works again as it has been for many years.
The version of where the workaround for clients was unintentionally disabled was shipped with LANTIME firmware versions 6.24.013 and 6.24.014. So this should work properly with all older LANTIME firmware versions, and with LANTIME firmware version 6.24.015 or newer.
Anyway, the proper fix would be to configure the service on the Windows machines in a way that it sends “client” requests to the server, as expected by the NTP standards.
This is described in the next chapter.
Быстрый переход к настройкам даты
Если требуется перевести число в системе, а переходить по вкладкам и окнам не хочется, можно прибегнуть к «ленивому» способу. Его очень легко запомнить:
- Нажать на часы, расположенные в панели задач правой клавишей мыши;
- Выбрать пункт «Настройка даты и времени»;
- Откроется соответствующее окно из Панели управления;
- После выбора нужного числа, месяца и года сделать подтверждение – «ОК»: параметры вступят в силу.
Способов поставить правильную дату в операционной системе много. Каждый по-своему интересен, поэтому сложно назвать какой из них лучше. Помните, что некорректные параметры, могут негативно сказаться на работе онлайн сервисов и программного обеспечения.
Командаw32tm /monitor
- Может быть выполнена на любом компьютере (или контроллере) домена.
- Показывает список всех контроллеров домена (с которыми может выполняться синхронизация времени).
- Для каждого контроллера домена в поле “NTP:” отображает разницу во времени с PDC контроллером домена (который является источником для синхронизации времени во всём домене).
- Для каждого контроллера домена в поле “RefID:” отображается информация об источнике синхронизации времени для этого контроллера домена. Для всех контроллеров домена (кроме КД с ролью PDC) это должен быть либо другой контроллер домена, либо КД с ролью PDC.
При помощи командной строки от имени администратора
Дату и время в Windows также можно настраивать через командную строку. Причём сделать это можно буквально за пару секунд — быстрее, чем через «Панель управления»! Часы данным способом настраиваются так:
- кликнуть правкой кнопкой мыши по «Пуск» и выбрать «Командная строка (Администратор)»;
- ввести пароль (если требуется);
- ввести команду time aa:bb, где aa — это часы, а bb — минуты;
- нажать Enter.
Единственный минус — секунды таким образом указать нельзя.
А чтобы исправить дату, необходимо:
- запустить командную строку от имени Администратора;
- ввести команду data mm-cc-hhhh, где mm — это календарный день, cc — месяц, hhhh — текущий год;
- нажать Enter.
Ещё нюанс: если при каждом включении ПК или ноутбука часы «сбиваются», то это указывает на «подсевшую» батарейку BIOS/UEFI. Решается только её заменой (в большинстве случаев используется источник питания типоразмера CR2032, продаётся в любом магазине компьютерных комплектующих).
Настройка синхронизации времени на клиентах домена
В среде Active Directory по умолчанию клиенты домена синхронизируют свое время с контролерами домена (опция Nt5DS
– синхронизировать время согласно иерархии домена). Как правило, эта схема работает и не требует перенастройки. Однако при наличии проблем с синхронизацией времени на клиентах домена, можно попробовать принудительно назначить сервер времени для клиентов с помощью GPO.
Для этого создайте новую GPO и назначьте ее на контейнеры (OU) с компьютерами. В редакторе GPO перейдите в раздел Computer Configuration -> Administrative Templates -> System -> Windows Time Service -> Time Providers
и включите политику Configure Windows NTP Client
.
В качестве сервера NTP укажите имя или ip адрес PDC, например msk-dc1.сайт,0x9, а в качестве типа синхронизации — NT5DS
Обновите настройки групповых политик на клиентах и проверьте, что клиенты успешно синхронизировали свое время с PDC.
Совет
. Указанная схема применима только к небольшим доменам. Для больших распределенных доменов с большим количеством DC и сайтов придется создать отдельную политику для каждого сайта, чтобы клиенты синхронизировали свое время с DC в сайте.
Операционные системы семейства Windows содержат службу времени W32Time
. Эта служба предназначена для синхронизации времени в пределах организации. W32Time
отвечает за работу как клиентской, так и серверной части службы времени, причем один и тот же компьютер может быть одновременно и клиентом и сервером NTP
(NTP — Network Time Protocol).
По умолчанию служба времени в Windows сконфигурирована следующим образом:
При установке операционной системы Windows запускает клиента NTP, который синхронизируется с внешним источником времени;
При добавлении компьютера в домен тип синхронизации меняется. Все клиентские компьютеры и рядовые сервера в домене используют для синхронизации времени контроллер домена, проверяющий их подлинность;
При повышении рядового сервера до контроллера домена на нем запускается NTP-сервер, который в качестве источника времени использует контроллер с ролью PDC-эмулятор;
PDC-эмулятор, расположенный в корневом домене леса, является основным сервером времени для всей организации. При этом сам он также синхронизируется с внешним источником времени.
Такая схема работает в большинстве случаев и не требует вмешательства. Однако структура сервиса времени в Windows может и не следовать доменной иерархии и надежным источником времени можно назначить любой компьютер.
В качестве примера приведем настройку NTP-сервера в Windows Server 2008 R2, по аналогии можно настроить NTP сервер и в Windows 7.
Первое решение проблемы «no time data was available»
Еще раз обращу внимание, что проблема была в доменных политиках. Команда w32tm /resync выдавала ошибку
Команда w32tm /resync выдавала ошибку
Решено это было следующим образом:
- Start / Run / dsa.msc / OK.
- Right-click the Domain Controllers container and press Properties.
- Select the Group Policy tab.
- Select the Default Domain Controllers Policy and press Edit. If GPMC is implemented, press Open first.
- Expand Computer Configuration / Administrative Templates / System / Windows Time Service.
- Right-click Global Configuration Settings and press Properties.
- Select Not Configured.
- Press Apply and OK.
- Expand Windows Time Service.
- Double-click Enable Windows NTP Client.
- Select Not Configured.
- Press Apply and OK.
- Double-click Configure Windows NTP Client.
- Select Not Configured.
- Press Apply and OK.
- Double-click Enable Windows NTP Server.
- Select Not Configured.
- Press Apply and OK.
- Exit the Group Policy Editor.
- Close any open policy dialog boxes.
- Open a CMD.EXE window.
- Type gpupdate /force and press Enter.
Часто задаваемые вопросы по теме статьи (FAQ)
Есть ли принципиальная разница, что использовать для синхронизации времени, ntp или chrony?
Мне отличия не известны. В общем случае, обе утилиты делают одно и то же. Формат конфигов у них тоже одинаковый. Конечно же, программы имеют отличия, но в общем случае, для типового сервера нет принципиальной разницы.
Нужно ли перезагружать сервер после изменения времени?
Я бы рекомендовал так делать. Если перезагрузиться совсем нельзя, я рекомендую вручную перезапустить основные сервисы. Не все могут автоматически корректно отработать внезапное изменение времени. Может начаться путаница в логах, особенно если время изменилось существенно (на несколько часов).
У меня никак не синхронизируется время на сервере. С чем это может быть связано?
Некоторые провайдеры блокируют порты, необходимые для синхронизации времени. Связано это с тем, что серверы времени могут быть использованы для организации ddos атак. Обычно в таком случае провайдер предоставляет адреса своих внутренних ntp серверов, с которых можно произвести синхронизацию. Так что если у вас никак не работает синхронизация времени на арендованном сервере, рекомендую написать вопрос в тех. поддержку и прояснить этот момент. Подробнее об этом рассказываю в отдельной статье.
Возможна ли одновременная работа chrony и ntpd?
Нет, это не возможно. Да и не имеет практического смысла. Обе эти программы проверяют при запуске, свободен ли udp порт 123 на сетевом интерфейсе. Если он занят другой программой, то запуск завершится с ошибкой.
Как лучше сделать — синхронизировать время всех серверов с внешним источником или настроить сервер времени внутри своей локальной сети?
В общем случае лучше настроить у себя в локальной сети сервер времени и синхронизироваться с него. Так у вас гарантированно у всех серверов будет одинаковое время, даже если по какой-то причине сам сервер времени не будет синхронизироваться с внешним источником. Это лучше, нежели разное время на всех серверах.