Windows

Синхронизация времени windows server 2019 r2: 404 — Содержимое не найдено

01.04.2000

Содержание

Технический справочник по службе времени Windows

  • Статья
  • Чтение занимает 5 мин
  • Участники: 8

Были ли сведения на этой странице полезными?

Да Нет

Хотите оставить дополнительный отзыв?

Отзывы будут отправляться в корпорацию Майкрософт.

Нажав кнопку «Отправить», вы разрешаете использовать свой отзыв для улучшения продуктов и служб Майкрософт. Политика конфиденциальности.

Отправить

В этой статье

применимо к: Windows server 2022, Windows server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows 10 или более поздней версии, Azure Stack хЦи, versions 21h3 и 20h3

Служба времени W32Time обеспечивает синхронизацию сетевых часов для компьютеров без необходимости в расширенной конфигурации. Служба W32Time необходима для успешной работы проверки подлинности Kerberos версии 5 и, следовательно, для проверки подлинности на основе AD DS. Любое приложение, поддерживающее Kerberos, включая большинство служб безопасности, зависит от синхронизации времени между компьютерами, участвующими в запросе проверки подлинности. Контроллеры доменов AD DS также должны иметь синхронизированные часы, чтобы обеспечивать точную репликацию данных.

Примечание

В Windows Server 2003 и Microsoft Windows 2000 Server служба каталогов называется «служба каталогов Active Directory» в Windows server 2008 R2 и Windows server 2008 служба каталогов называется домен Active Directory Services (AD DS). Остальная часть этой статьи относится к AD DS, но эти сведения применимы также и к доменным службам Active Directory в Windows Server 2016.

Служба W32Time реализована в библиотеке динамической компоновки с именем W32Time.dll, которая по умолчанию устанавливается в папку %Systemroot%\System32. Служба W32Time.dll изначально разрабатывалась для Windows 2000 Server и поддержки спецификации протоколом проверки подлинности Kerberos версии 5, требующей синхронизации в сети. Начиная с Windows Server 2003, Служба W32Time.dll обеспечивает более высокую точность синхронизации часов в сети по сравнению с операционной системой Windows Server 2000. Кроме того, в Windows Server 2003 служба W32Time.dll поддерживала широкий набор аппаратных устройств и протоколов сетевого времени через поставщики времени.

Несмотря на то, что изначально планировалось предоставлять синхронизацию часов только для проверки подлинности Kerberos, многие текущие приложения используют метки времени для обеспечения согласованности транзакций, записи времени важных событий и другой критически важной для бизнеса информации, которая зависит от времени. Эти приложения получают преимущества от синхронизации времени между компьютерами, предоставляемыми службой времени Windows.

Важность протоколов времени

Протоколы времени взаимодействуют между двумя компьютерами для обмена сведениями о времени, а затем используют эти сведения для синхронизации часов. При использовании протокола времени службы времени Windows клиент запрашивает сведения о времени с сервера и синхронизирует свои часы на основе полученных данных.

Служба времени Windows использует протокол NTP для синхронизации времени по сети. NTP — это протокол времени в Интернете, включающий алгоритмы правил работы, необходимые для синхронизации часов. NTP является более точным протоколом времени, чем Simple Network Time Protocol (SNTP), который используется в некоторых версиях Windows; однако W32Time продолжает поддерживать SNTP для обратной совместимости с компьютерами, на которых работают службы времени на основе SNTP, такие как Windows 2000.

В этом руководстве не затрагивается настройка службы времени Windows. В Microsoft TechNet и в базе знаний Майкрософт есть несколько разделов, которые описывают процедуры настройки службы времени Windows. Если вам требуется информация о конфигурации, вы сможете найти ее в следующих статьях.

  • Сведения о том, как настроить службу времени Windows для эмулятора основного контроллера домена в корне леса, см. в этих статьях:

  • Сведения о настройке службы времени Windows на любом клиенте- или сервере-члене домена или даже на контроллерах домена, которые не настроены в качестве эмулятора основного контроллера в корне леса, см. в этой статье.

    Предупреждение

    Некоторые приложения могут требовать наличия высокоточных служб времени на компьютерах, где они работают. В этом случае вы можете настроить источник времени, задаваемый вручную, но имейте в виду, что служба времени Windows не предназначена для работы в качестве источника с высокой точностью времени. Убедитесь, что вы знаете об ограничениях поддержки для сред высокой точности, описанных в статье 939322 базы знаний Майкрософт: Support boundary for high-accuracy time (Граница области поддержки для высокоточного времени).

  • Чтобы настроить службу времени Windows на всех клиентских и серверных компьютерах под управлением Windows, которые настроены как члены рабочей группы, а не члены домена, см. статью Configure a Manual Time Source for a Selected Client Computer (Настройка источника времени вручную для выбранного клиентского компьютера).

  • Сведения о настройке службы времени Windows на главном компьютере, на котором выполняется виртуальная среда, см. в статье 816042 базы знаний Майкрософт Как настроить полномочный сервер времени в операционной системе Windows Server. Если вы работаете с продуктом виртуализации не от Майкрософт, обязательно ознакомьтесь с документацией поставщика для этого продукта.

  • Чтобы настроить службу времени Windows на контроллере домена, работающем в виртуальной машине, мы рекомендуем частично отключить синхронизацию времени между хост-системой и гостевой операционной системой, выполняющей роль контроллера домена. Это позволяет гостевому контроллеру домена синхронизировать время для иерархии домена, но предохраняет его от отклонения во времени при восстановлении из сохраненного состояния. Дополнительные сведения см. в статье 976924 базы знаний Майкрософт You receive Windows Time Service event IDs 24, 29, and 38 on a virtualized domain controller that is running on a Windows Server 2008-based host server with Hyper-V (Вы получаете события с кодами 24, 29 или 38 от службы времени Windows на виртуализированном контроллере домена, который выполняется на сервере узла под управлением Windows Server 2008 с Hyper-V) и статье Deployment Considerations for Virtualized Domain Controllers (Рекомендации по развертыванию виртуализованных контроллеров домена).

  • Чтобы настроить службу времени Windows на контроллере домена, работающем в качестве эмулятора основного котроллера в корне леса, который также работает на виртуальном компьютере, следуйте тем же инструкциям, что и для физического компьютера, как описано в статье Configure the Windows Time service on the PDC emulator in the Forest Root Domain (Настройка службы времени Windows для эмулятора основного контроллера домена в корневом домене леса).

  • Чтобы настроить службу времени Windows на рядовом сервере, работающем как виртуальный компьютер, используйте иерархию времени домена, как описано в статье Configure a Client Computer for Automatic Domain Time Synchronization (Настройка клиентского компьютера для автоматической синхронизации времени домена).

Важно!

До Windows Server 2016 служба W32Time не предназначалась для поддержки зависящих от времени потребностей приложений. Не теперь обновления Windows Server 2016 позволяют реализовать в домене решение с точностью 1 мс. дополнительные сведения о см. в разделе Windows 2016. точность и поддержка для настройки службы времени Windows для получения дополнительных сведений о среде с высокой точностью.

Настройка высокой точности в системах

  • Статья
  • Чтение занимает 4 мин
  • Участники: 6

Были ли сведения на этой странице полезными?

Да Нет

Хотите оставить дополнительный отзыв?

Отзывы будут отправляться в корпорацию Майкрософт. Нажав кнопку «Отправить», вы разрешаете использовать свой отзыв для улучшения продуктов и служб Майкрософт. Политика конфиденциальности.

Отправить

В этой статье

применимо к: Windows server 2022, Windows server 2019, Windows Server 2016 и Windows 10 версии 1607 или более поздней, Azure Stack хЦи, версии 21h3 и 20h3

Синхронизация времени в Windows 10 и Windows Server 2016 была значительно улучшена. При разумных условиях работы можно настроить системы для поддержания точности до 1 мс (миллисекунды) или еще точнее (относительно UTC).

Следующие рекомендации помогут настроить системы для достижения высокой точности. В этой статье описаны следующие компоненты:

  • Поддерживаемые операционные системы
  • Конфигурация системы

Предупреждение

Цели точности предыдущих операционных систем
Windows Server 2012 R2 и более ранней версии не может соответствовать тем же самым целям высокой точности. Эти операционные системы не поддерживаются для высокой точности.

В этих версиях служба времени Windows выполняет следующие действия.

  • Предоставляет необходимую точность времени для выполнения требований проверки подлинности Kerberos версии 5.
  • Предоставляет условно точное время для клиентов и серверов Windows, присоединенных к общему лесу Active Directory.

Большая погрешность в версии 2012 R2 и ранних версиях выходит за пределы спецификации службы времени Windows.

Настройка по умолчанию Windows 10 и Windows Server 2016

В то время как мы поддерживаем точность до 1 мс в Windows 10 или Windows Server 2016, большинство клиентов не нуждаются в высокой точности времени.

Таким образом, конфигурация по умолчанию соответствует тем же требованиям, что и предыдущие операционные системы, которые выполняют следующие действия:

  • Предоставляют необходимую точность времени для выполнения требований проверки подлинности Kerberos версии 5.
  • Предоставляют условно точное время для клиентов и серверов Windows, присоединенных к общему лесу Active Directory.

Как настроить высокую точность в системах

Важно!

Примечание относительно поддержки высокоточных систем
Точность времени влечет за собой сквозное распределение точного времени от достоверного источника до конечного устройства. Все, что добавляет асимметрию в измерения по этому пути, негативно влияет на точность, получаемую на конечных устройствах.

Ознакомьтесь со статьей Support boundary for high-accuracy time (Граница области поддержки для высокоточного времени), которая содержит сведения о требованиях к среде, которые также должны быть удовлетворены для получения высокой точности.

Требования к операционной системе

Для конфигураций с высокой точностью требуется Windows 10 или Windows Server 2016. Все устройства Windows в топологии времени должны соответствовать этому требованию, включая более высокие стратумные серверы времени Windows, а также в виртуализированных сценариях узлы Hyper-V, на которых работают виртуальные машины с ограничением по времени. Все эти устройства должны быть как минимум под управлением Windows 10 или Windows Server 2016.

На приведенной ниже иллюстрации показаны виртуальные машины, для которых необходима высокая точность и которые работают под управлением Windows 10 или Windows Server 2016. Аналогично, узел Hyper-V, на котором находятся виртуальные машины, и вышестоящий сервер времени Windows также должны работать под управлением Windows Server 2016.

Совет

Определение версии Windows
Вы можете выполнить команду winver в командной строке, чтобы убедиться, что используется ОС версии 1607 (или выше) и сборка 14393 (или выше), как показано ниже:

Конфигурация системы

Для достижения целей высокой точности требуется настроить систему. Есть множество способов выполнения этой настройки, включая ее выполнение непосредственно в реестре или с помощью групповой политики. дополнительные сведения о каждом из этих параметров можно найти в техническом справочнике по службе времени Windows: Windows средств службы времени.

Тип запуска службы времени Windows

Служба времени Windows (W32time) должна работать постоянно. Для этого в качестве типа запуска службы времени Windows задайте значение «Автоматически».

Совокупная односторонняя задержка сети

Погрешность измерения и «шум» нарастают при увеличении задержки сети. Таким образом, крайне важно, чтобы задержка сети была в пределах разумного. Конкретные требования зависят от целевой точности и описаны в статье Support boundary for high-accuracy time (Граница области поддержки для высокоточного времени).

Чтобы вычислить совокупную одностороннюю задержку сети, добавьте отдельные односторонние задержки между парами узлов NTP-сервера клиента в топологии времени, начиная с целевого объекта и заканчивая источником времени страты 1 с высокой точностью.

Например: рассмотрим иерархию синхронизации времени с высокоточным источником, двумя промежуточными NTP-серверами A и Б, а также целевым компьютером в таком порядке. Чтобы получить совокупную задержку сети между целью и источником, измерьте среднее время циклического прохождения (RTTs) отдельного NTP между:

  • целью и сервером времени Б;
  • сервером времени Б и сервером времени А;
  • сервером времени А и источником.

Эти измерения можно сделать с помощью встроенного средства w32tm.exe. Выполните указанные ниже действия.

  1. Выполните вычисления между целевым объектом и сервером времени Б.

    w32tm /stripchart /computer:TimeServerB /rdtsc /samples:450 > c:\temp\Target_TsB.csv

  2. Выполните вычисления между сервером времени Б и сервером времени А.

    w32tm /stripchart /computer:TimeServerA /rdtsc /samples:450 > c:\temp\Target_TsA.csv

  3. Выполните вычисления между сервером времени А и источником.

  4. Затем добавьте среднее значение RoundTripDelay, измеренное на предыдущем шаге, и разделите на 2, чтобы получить совокупную задержку сети между целевым объектом и источником.

Параметры реестра

MinPollInterval

Настраивает наименьший интервал в log2 в секундах, разрешенный для системного опроса.

Описание Значение
Расположение ключа HKLM:\SYSTEM\CurrentControlSet\Services\W32Time\Config
Параметр 6
Результат Минимальный интервал опроса теперь составляет 64 секунды.

Следующая команда вызывает службу времени Windows для получения обновленных параметров: w32tm /config /update

MaxPollInterval

Настраивает наибольший интервал в log2 в секундах, разрешенный для системного опроса.

Описание Значение
Расположение ключа HKLM:\SYSTEM\CurrentControlSet\Services\W32Time\Config
Параметр 6
Результат Максимальный интервал опроса теперь составляет 64 секунды.

Следующая команда вызывает службу времени Windows для получения обновленных параметров: w32tm /config /update

UpdateInterval

Количество тактов часов между настройками фазовой коррекции.

Описание Значение
Расположение ключа HKLM:\SYSTEM\CurrentControlSet\Services\W32Time\Config
Параметр 100
Результат Количество тактов часов между настройками фазовой коррекции теперь имеет значение — 100.

Следующая команда вызывает службу времени Windows для получения обновленных параметров: w32tm /config /update

SpecialPollInterval

Настраивает интервал опроса в секундах, когда включен флаг SpecialInterval 0x1.

Описание Значение
Расположение ключа HKLM:\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient
Параметр 64
Результат Интервал опроса теперь составляет 64 секунды.

Следующая команда перезапускает службу времени Windows, чтобы получить обновленные параметры: net stop w32time && net start w32time

FrequencyCorrectRate

Описание Значение
Расположение ключа HKLM:\SYSTEM\CurrentControlSet\Services\W32Time\Config
Параметр 2

Синхронизация времени windows server 2008 r2

Синхронизация времени – это достаточно важный и, зачастую, критичный аспект работы всех компьютерных систем в сети. По-умолчанию, клиентские компьютеры в сети Microsoft Windows синхронизируют свое время со своим контроллером домена, а контроллер домена берет время с контроллера домена, выполняющего роль мастера операций. В свою очередь, сервер с ролью мастера операций домена Active Directory (PDC), должен синхронизировать свое время с неким внешним источником времени. Рекомендуется использовать список NTP серверов, перечисленных на сайте NTP Pool Project . Прежде чем приступить к настройке синхронизации времени с внешним сервером, не забудьте открыть на своем межсетевом экране стандартный NTP порт — UDP 123 port (нужно разрешить как входящее, так и исходящее соединение).

  1. Сначала, нужно определить свой PDC сервер с ролью FSMO. Откройте командную строку и наберите в ней: C:>netdom/queryfsmo
  2. Зайдите на найденный контроллер домена и откройте командную строку.
  3. Остановите службу W32Time: C:>net stop w32time
  4. Настройте внешний источник времени: C:> w32tm /config /syncfromflags:manual /manualpeerlist:”0.pool.ntp.org, 1.pool.ntp.org, 2.pool.ntp.org”
  5. Теперь необходимо сделать ваш контроллер домена PDC доступным для клиентов: C:>w32tm/config/reliable:yes
  6. Запустите службу времени w32time: C:>net start w32time
  7. Теперь служба времени Windows должна начать синхронизацию времени с внешним источником. Посмотреть текущий внешний NTP сервер можно при помощи команды: C:>w32tm/query/configuration
  8. Не забудьте проверить журнал событий на наличие ошибок синхронизации.

Настройка внешнего источника времени для домена была протестирована и отработано на контроллере домена под управлением Windows Server 2008 R2 (Build 7600).
Будь в команде сетивых администраторов портал для всех портал для тебя.

Синхронизация времени Windows Server 2008 с внешним NTP-сервером

NTP (англ. Network Time Protocol — протокол сетевого времени) — сетевой протокол для синхронизации внутренних часов компьютера с использованием сетей с переменной латентностью. Протокол был разработан Дэвидом Л. Миллсом [en] , профессором Делавэрского университета, в 1985 году. Версия на 2015 год — NTPv4

Настройка синхронизация времени

Для начало надо убедится, что наш контроллер домена имеет роль PDC. Запускаем командную строку и вводим

Следующим этапом необходимо остановить службу времени

Задаем внешние источники времени

Делаем PDC сервер надежным источником времени для клиентов

И запускаем службу времени

На всякий случай проверяем конфигурацию, в ней должны прописаться источники

Для правильного функционирования доменной среды Windows Server 2008 R2/2012 R2, является корректная работа службы времени Windows (W32Time).

Схема работы синхронизации времени в доменной среде Active Directory:

  • Контроллер корневого домена в лесу AD, которому принадлежит FSMО-роль PDC-эмулятора, синхронизируется с внешними источниками точного времени. Он же является источником времени для всех остальных контроллеров этого домена.
  • Контроллеры дочерних доменов в AD, синхронизируют время с вышестоящих контроллеров домена AD.
  • Рядовые члены домена (сервера и рабочие станции) синхронизируют свое время с ближайшим к ним доступным контроллером домена, соблюдая топологию AD.

Служба времени в Windows (W32Time) не имеет графического интерфейса и настраивается из командной строки (утилита w32tm), с помощью реестра (HKLMSystemCurrentControlSetServicesW32TimeParameters) и посредством Групповой политики (Group Policy Managment)

Включение NTP-сервера

NTP-сервер по-умолчанию включен на всех контроллерах домена, но его можно включить и на рядовых серверах:

Конфигурация NTP-сервера

Задаем тип синхронизации внутренних часов, на использование внешнего источника. (Командная строка/Реестр):

  • w32tm /config /syncfromflags:manual
  • [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParameters] — «Type»=NTP

NoSync — NTP-сервер не синхронизируется с каким либо внешним источником времени. Используются системные часы, встроенные в микросхему CMOS самого сервера.
NTP — NTP-сервер синхронизируется с внешними серверами времени, которые указаны в параметре реестра NtpServer.
NT5DS — NTP-сервер производит синхронизацию согласно доменной иерархии.
AllSync — NTP-сервер использует для синхронизации все доступные источники.

Задание списка внешних источников для синхронизации, с которыми будет синхронизировать время данный сервер. По-умолчанию в этом параметре прописан NTP-сервер Microsoft (time.windows.com, 0×1). (Командная строка/Реестр):

  • w32tm /config /manualpeerlist:»0.ru.pool.ntp.org,0x1 1.ru.pool.ntp.org,0x1 2.ru.pool.ntp.org,0x1″
  • [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParameters] — «NtpServer»=0.ru.pool.ntp.org,0x1 1.ru.pool.ntp.org,0x1 2.ru.pool.ntp.org,0x1

0×1 – SpecialInterval, использование временного интервала опроса.
0×2 – режим UseAsFallbackOnly.
0×4 – SymmetricActive, симметричный активный режим.
0×8 – Client, отправка запроса в клиентском режиме.

Задание интервала синхронизации с внешним источником (для источников помеченных флагом 0×1). По-умолчанию время опроса задано — 3600 сек. (1 час). (Командная строка/Реестр):

  • [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProv >

Объявление NTP-сервера в качестве надежного. (Командная строка/Реестр):

  • w32tm /config /reliable:yes
  • [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeConfig] — «AnnounceFlags»=0000000a

После настройки необходимо обновить конфигурацию сервиса. Выполняем команду:

Отобразить текущую конфигурацию службы времени:

  • w32tm /query /configuration

Получения информации о текущем сервере времени:

Отображение текущих источников синхронизации и их статуса:

Отображение состояния синхронизации контроллеров домена с компьютерами в домене:

  • w32tm /monitor /computers:192.168.1.2

Отобразить разницу во времени между текущим и удаленным компьютером:

  • w32tm /stripchart /computer:192.168.1.2 /samples:5 /dataonly

Удалить службу времени с компьютера:

Регистрация службы времени на компьютере. Создается заново вся ветка параметров в реестре:

Остановка службы времени:

Запуск службы времени:

Конфигурация NTP-сервера/клиента групповой политикой

Для централизованной настройки службы времени Windows, на серверах и рабочих станциях в доменной среде Active Directory, воспользуемся групповой политикой. На примере, выполним настройку для рабочих станций.

Переходим в ветку: Конфигурация компьютера (Computer Configuration) — Политики (Policies) — Административные шаблоны (Administrative Templates) — Система (System) — Служба времени Windows (Windows Time Service) — Поставщики времени (Time Providers).

Открываем параметр: Настроить NTP-клиент Windows (Configure Windows NTP Client)

  • NtpServer — 192.168.1.2 (Адрес контроллера домена с ролью PDC)
  • Type — NT5DS
  • CrossSiteSyncFlags — 2
  • ResolvePeerBackoffMinutes —15
  • Resolve Peer BackoffMaxTimes — 7
  • SpecilalPoolInterval — 3600
  • EventLogFlags — 0

Синхронизация времени AD | ArduinoKit

Настройка и синхронизация времени в домене Windows (Active Directory) на Windows Server 2008 R2.

Настройка, управление временем в домене Active Directory является одной из главных задач системного администратора, небольшое расхождение по времени на контроллерах домена может прибавит головной боли любому сисадмину. Чтобы этого не случилось лучше заранее озаботится теоритическими знаниями в данной области, а может даже по практиковаться на виртуальных машинах..

Вот несколько команд которые помогут настроить синхронизацию времени на контроллере домена и дополнительных контроллерах, на Windows Server 2008 R2, чтобы потом не было мучительно больно.., ну и не возникал вопрос — Как настроить синхронизацию времени на контроллере домена Windows?
Первая команда поможет определить кто является Хозяином схемы, Хозяином именования доменов, PDC, Диспетчером пула RID и Хозяином инфраструктуры:
netdom /query fsmo

После того как узнали кто главный, заходим на этот контроллер через RDP и запускаем консоль от имени Администратора. Далее выполняем команду:
net stop w32time
Тем самым останавливаем службу времени Windows.

Далее указываем контроллеру где он будет искать, т.е синхронизироваться с серверами эталонного времени:
w32tm /config /syncfromflags:manual /manualpeerlist:»0.pool.ntp.org, 1.pool.ntp.org, 2.pool.ntp.org»
Здесь мы указываем целый пул серверов.

Снова запустить остановленную службу времени:
net start w32time

После того как контроллер произведет синхронизацию можно делать его доступным для клиентов домена, для этого запускаем в консоли:
w32tm /config /reliable:yes

можно делать его доступным для клиентов домена, для этого запускаем в консоли:
w32tm /config /reliable:yes

Теперь можно посмотреть как происходит синхронизасия на дополнительных контроллерах:
w32tm /monitor

Еще можно посмотреть источник синхронизации и статус:
w32tm /query /peers

Запуск синхронизации в ручном режиме, т.е. если кто-то не захочет сам — поможем:
w32tm /resync /rediscover

Посмотреть ошибки можно в журнале виндовз.

На всякий случай насильственное применение параметров:
w32tm /config /update

IT Area: Синхронизация времени — Настройка NTP по средствам GPO / Time Syncronization — Configure Windows NTP client via GPO (Windows Server 2008)

Как сделать, чтобы время синхронизировалось чаще

По умолчанию автоматический процесс синхронизации времени в Windows происходит раз в неделю. Если вам необходимо обновлять чаще, то нужно внести правку в системном реестре.

  1. Нажмите на кнопку меню «Пуск».
  2. Откройте окно «Выполнить».
  3. В командной строке наберите regedit и нажмите «OK».
  4. Перейдите в эту ветку реестра: HKEY_LOCAL_MACHINE → SYSTEM → ControlSet001 → Services → W32Time → TimeProviders → NtpClient

Параметр SpecialPollInterval содержит значение 604800. Это количество секунд в одной неделе.

Если вы хотите сверять часы ежедневно, то меняете на соответствующее значение. Рассчитывается оно следующим образом:  24×60×60 = 86400 секунд.

Вот и все. Теперь на вашем компьютере всегда будет точное время.

Включение лога сервиса времени

В особо тяжелых случаях может помочь включение лога для сервиса. Для настройки этого используются три параметра в реестре по пути:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeConfig

Если нижеприведенных ключей там нету, а их нету по умолчанию, то их следует создать

Вместо изменения значений в реестре, можно то же самое сделать из командной строки:

w32tm /debug /enable /file:C:Testw32time_log.txt /size:100000 /entries:0-300

Чтобы выключить логи отладки можно ввести команду:

w32tm /debug /disable

Если Вы перенесли роль PDC Emulator на другой сервер, необходимо дополнительно выполнить настройку старого сервера командой

w32tm /config /syncfromflags:domhier /reliable:no /update

и перезапустить службу времени:

net stop w32time && net start w32time

Включение синхронизации внутренних часов с внешним источником

Объявление NTP-сервера в качестве надежного

Включение NTP-сервера

NTP-сервер по умолчанию включен на всех контроллерах домена, однако его можно включить и на рядовых серверах.

Второе решение проблемы “no time data was available”

Во второй раз с этой же ошибкой с я столкнулся через пару лет. При попытке получить время от нашего cisco роутера, при помощи команды w32tm /resync, видел ошибку:

Sending resync command to local computer…
The computer did not resync because no time data was available.

Или на русском:

Команда синхронизации отправлена на local computer…
Синхронизация не выполнена, поскольку нет доступных данных о времени.

При этом вышеописанные действия уже были совершены.

Служба win32time отсылала “симметрические пакеты”: в снифере wireshark я видел что windows сервер отсылает пакеты “NTP Version 3, symmetric active”, но никакого ответа от CISCO не получал.

В логах службы сообщалось “No response from peer”, а в логах роутера:

252755: Jul  2 11:52:48.456 EEST: NTP message received from 192.168.2.31 on interface 'FastEthernet0/0.5' (192.168.2.10).
252756: Jul  2 11:52:48.456 EEST: NTP Core(DEBUG): ntp_receive: message received
252757: Jul  2 11:52:48.456 EEST: NTP Core(DEBUG): ntp_receive: peer is 0x00000000, next action is 5.
252758: Jul  2 11:52:48.456 EEST: NTP Core (NOTICE): ntp_receive: dropping message: AM_NEWPASS, passive association disabled..

В этой случае мне помогла команда:

w32tm /config /manualpeerlist:192.168.2.10,0x8 /syncfromflags:MANUAL

и перезапуск службы времени.

После этого в wireshark увидел нормальный обмен пакетами:

Выбор компьютера в качестве источника времени

Первое, что необходимо сделать перед настройкой синхронизации времени, – выбрать компьютер, который станет основным источником системного времени в вашем домене.

Как правило, в качестве такого источника выбирается компьютер, который в Active Directory обладает ролью эмулятора первичного контроллера домена (PDC). Согласно официальной документации Microsoft, именно он должен являться главным ресурсом, от которого сеть получает данные о времени. Однако на практике это не всегда возможно.

Машина, которую вы выберете, будет регулярно консультироваться с интернет-источниками, поэтому, если вы находитесь на строго охраняемом объекте с высокими требованиями к информационной безопасности, следует задуматься о делегировании этой роли другому компьютеру.

К примеру, можно создать выделенный сервер, который будет получать информацию о времени из Интернета и передавать ее эмулятору PDC. В этом случае у вас будет несколько компьютеров, служащих источниками времени для машин, включенных в сеть.

Задание интервала синхронизации с внешним источником

Время в секундах между опросами источника синхронизации, по умолчанию 900с = 15мин. Работает только для источников, помеченных флагом 0×1.

Конфигурация ntp-сервера на корневом pdc

Конфигурирование сервера времени в Windows (NTP-сервера) может осуществляться как с помощью утилиты командной строки w32tm, так и через реестр. Где возможно, я приведу оба варианта. Но в начале посмотрите полностью ваши настройки на компьютере, делается это командой:

w32tm /query /configuration

EventLogFlags: 2 (Локально)
AnnounceFlags: 10 (Локально)
TimeJumpAuditOffset: 28800 (Локально)
MinPollInterval: 6 (Локально)
MaxPollInterval: 10 (Локально)
MaxNegPhaseCorrection: 172800 (Локально)
MaxPosPhaseCorrection: 172800 (Локально)
MaxAllowedPhaseOffset: 300 (Локально)

FrequencyCorrectRate: 4 (Локально)
PollAdjustFactor: 5 (Локально)
LargePhaseOffset: 50000000 (Локально)
SpikeWatchPeriod: 900 (Локально)
LocalClockDispersion: 10 (Локально)
HoldPeriod: 5 (Локально)
PhaseCorrectRate: 7 (Локально)
UpdateInterval: 100 (Локально)

[TimeProviders]

NtpClient (Локально)
DllName: C:Windowssystem32w32time.dll (Локально)
Enabled: 1 (Локально)
InputProvider: 1 (Локально)
CrossSiteSyncFlags: 2 (Локально)
AllowNonstandardModeCombinations: 1 (Локально)
ResolvePeerBackoffMinutes: 15 (Локально)
ResolvePeerBackoffMaxTimes: 7 (Локально)
CompatibilityFlags: 2147483648 (Локально)
EventLogFlags: 1 (Локально)
LargeSampleSkew: 3 (Локально)
SpecialPollInterval: 3600 (Локально)
Type: NT5DS (Локально)

NtpServer (Локально)
DllName: C:Windowssystem32w32time.dll (Локально)
Enabled: 1 (Локально)
InputProvider: 0 (Локально)
AllowNonstandardModeCombinations: 1 (Локально)

VMICTimeProvider (Локально)
DllName: C:WindowsSystem32vmictimeprovider.dll (Локально)
Enabled: 1 (Локально)
InputProvider: 1 (Локально)

Настраиваем период синхронизации времени

Инструкция работает на компьютерах которые не включены в домен.

Переходим к редактированию реестра: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32Time TimeProvidersNtpClientSpecialPollInterval – ключ в реестре, задает период обновления синхронизации времени в системе в секундах. Вводим в десятичном формате необходимый период.

После этого перезагружаем компьютер или вводим команду w32tm /config /update

Проверить с какой периодичностью происходит синхронизация времени:

Настройка dhcp

Для того чтобы обеспечить синхронизацию времени с контроллером домена на устройствах, отвечающих за DHCP, в настройках DHCP-сервера установите параметры 004 и 042.

Для записей DHCP вы можете использовать только IP-адреса. Вы можете ввести имя сервера и нажать Resolve, чтобы получить IP-адрес сервера.

Если вы используете DHCP с помощью устройства Cisco, в настройках DHCP введите следующие команды:

option 4 ip [IP-адрес]

option 42 ip [IP-адрес]

IP-адрес следует заменить на фактический IP сервера, служащего источником времени.

Теперь все DHCP-устройства получат настройки времени от сервера при следующем обновлении.

Настройка ntp сервера и клиента групповой политикой

Раз уж у нас с вами домен Active Directory, то глупо не использовать групповые политики, для массовой настройки серверов и рабочих станций, я покажу как настроить ваш NTP сервер в windows и клиента. Открываем оснастку “Редактор групповых политик”. Перед тем как настроить наш NTP сервер в Windows, нам необходимо создать WMI фильтр, который будет применять политику, только к серверу мастера PDC.

Вводим имя запроса, пространство имен, будет иметь значение “rootCIMv2” и запрос “Select * from Win32_ComputerSystem where DomainRole = 5”. Сохраняем его.

Затем вы создаете политику на контейнере Domain Controllers.

В самом низу политики применяете ваш созданный WMI фильтр.

Переходим в ветку: Конфигурация компьютера > Политики > Административные шаблоны > Система > Служба времени Windows > Поставщики времени.

Тут открываем политику “Настроить NTP-клиент Windows”. Задаем параметры

Настройка брандмауэра

Трафик при синхронизации времени с контроллером домена поступает на UDP-порт 123. На компьютере, служащем источником времени, данный порт необходимо открыть для входящих соединений. На всех машинах в сети порт 123 должен быть открыт для исходящих соединений, по крайней мере с контроллером домена.

Настройка других контроллеров домена

Если вы выполните описанные выше шаги для обеспечения синхронизации времени в домене, то почти гарантированно настроите получение корректного времени всеми компьютерами в сети. Поэтому другие контроллеры домена (если у вас их несколько) можно не трогать.

Однако если вы хотите быть уверенными, что они используют правильное время, вы можете отредактировать локальную групповую политику. Перейдите в меню Пуск > Выполнить и введите gpedit.msc. Нажмите ОК.

Затем используйте те же настройки, что приведены в предыдущем разделе. Если контроллер домена, на котором вы хотите работать, управляется Windows Server Core, вы можете сделать это удаленно, при условии, что такая возможность разрешена сетевым экраном.

Просто запустите mmc.exe на компьютере с графическим интерфейсом, откройте пункт меню File > Add/Remove Snap-In, дважды щелкните Group Policy Object Editor и перейдите на компьютер, на котором вы хотите отредактировать групповую политику.

Настройка контроллера домена

Для синхронизации времени с контроллером домена на сервере, выполняющем роль эмулятора PDC, с использованием командной строки должны быть выполнены следующие действия:

1. Проверьте, что контроллер домена, на котором вы работаете, является эмулятором PDC, выполнив команду

netdom query fsmo

2. На сервере-эмуляторе PDC запустите следующие команды синхронизации времени в указанном порядке:

net stop w32time

w32tm /configure /syncfromflags:manual /manualpeerlist:”0.us.pool.ntp.org,0x1 1.us.pool.ntp.org, 0x1 2.us.pool.ntp.org, 0x1 3.us.pool. ntp.org, 0x1″

Настройка сервера времени на домен контроллере | реальные заметки ubuntu & mikrotik

Прочитано: 14 827

Задача: разобрать действия по организации сервиса времени для всей локальной сети дабы рабочие станции, сервера получали точное время и оно везде было одинаковым. Сервис времени организовывается на домен контроллере под управлением операционной системы Windows Server 2021 R2, также действия ниже аналогичны и для Server 2008 R2

Схема: интернет — Mikrotik — DC — Workstations

Открываю на srv-dc консоль командной строки с правами администратора:

Win X — Command Prompt (Admin)

Определяю какой домен контроллер (Windows Server 2021 R2 Std) имеет роль PDC если домен контроллеров несколько в домене:

C:Windowssystem32>netdom query fsmo

  • Schema master srv-dc.polygon.local
  • Domain naming master srv-dc.polygon.local
  • PDC srv-dc.polygon.local
  • RID pool manager srv-dc.polygon.local
  • Infrastructure master srv-dc.polygon.local

The command completed successfully.

Как видно из вывода, это контроллер домена srv-dc.polygon.local, подключаюсь теперь к нему по RDP или VNC соединению для выполнения следующих команд:

C:Windowssystem32>net stop w32time

Настраиваем внешний источник времени:

C:Windowssystem32>w32tm /config /syncfromflags:manual /manualpeerlist:"0.pool.ntp.org"

Cделать ваш контроллер доменаPDCдоступным для клиентов:

C:Windowssystem32>w32tm /config /reliable:yes

Запускаю службу времени:

C:Windowssystem32>net start w32time

Также можно изменения вносить и через реестр в ключе: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParameters

Чтобы после принудительно запросить получение точного времени проделываем:

C:Windowssystem32>W32tm /config /reliable:yes

The command completed successfully.

C:Windowssystem32>W32tm /config /update

The command completed successfully.

C:Windowssystem32>W32tm /resync

Sending resync command to local computer

The command completed successfully.

Вот и все, служба времени Windows начинает синхронизацию времени с внешним источником, посмотреть этот процесс можно так:

C:Windowssystem32>w32tm /query /configuration

После нужно добавить параметр вDHCPоснастку, что сервер времени это наш домен контроллер:

Win X — Control Panel — Administrative Tools — запускаю оснастку DHCP: DHCP → srv-dc.polygon.local → IPv4 → Scope [10.10.10.0] local → и через правый клик мышью по Scope Options вызываю меню Configure Options… где добавляю опцию для всего домена: 042 NTP Servers

Теперь доменные Windows станции будут знать, что сервер времени это домен контроллер, а для моих Ubuntu системы после установке sudo apt-get install ntp -y в файле /etc/ntp.conf нужно будет в параметре server указать IP адрес этого домен контроллера и перезапустить службу времени sudo service ntp restart.

Если же у Вас DHCP сервис развернут не на Windows, то донести до всех где брать точное время можно через групповые политики GPO. Создаем GPO_NTP и предопределяем, что ориентирована она будет на текущий домен и все рабочие станции посредством WMI-фильтра.

Открываю оснастку на srv-dc управления групповыми политиками домена:

Win X — Control Panel — Administrative Tools — Group Policy Management, открываю на редактирование: Group Policy Management → Forest: polygon.local → Domains → polygon.local → и через правый клик мышью по WMI Filters вызываю меню New…

  • Name:W7
  • Decription: Windows 7 x86/x64
  • Queries: → Add
  • Namespace:rootCIMv2
  • Query:Select
    * from WIN32_OperatingSystem where ((Version > "6") and
    (ProductType = 1))

и
нажимаю OK, OK, Save

После перехожу к редактированию групповой политики для рабочих станции домена, через правый клик мышью по GPO_NTP вызываю меню Edit.

Computer Configuration → Policies → Administrative Tools → System → Windows Time Service → Time Providers → Configure Windows NTP Client, включаю ее Enabled и определяю настройки:

NtpServer: srv-dc.polygon.local,0x9

все остальное оставляю по умолчанию.
После нажимаю Apply & OK.

И не забываем к политике добавить WMI фильтр. В конечном итоге политика должна выглядеть так:

После когда политика применится к системам согласно WMI-фильтру можно будет проверить куда смотрит рабочая станции если ей нужно точное время:

C:Usersalektest>w32tm /query /status

Индикатор помех: 0(предупреждений нет)

Страта: 4 (вторичная ссылка - синхронизирована с помощью (S)NTP)

Точность: -6 (15.625ms за такт времени)

Задержка корня: 0.0876923s

Дисперсия корня: 7.8503892s

Идентификатор опорного времени: 0x0A0A0A02 (IP-адрес источника: 10.10.10.2)

Время последней успешной синхронизации: 30.04.2021 16:46:38

Источник: srv-dc.polygon.local

Интервал опроса: 10 (1024s)

C:Usersalektest>w32tm /monitor

srv-dc.polygon.local *** PDC ***[10.10.10.2:123]:

ICMP: 0ms задержка

NTP: 0.0000000s смещение относительно srv-dc.polygon.local

RefID: ground.corbina.net [85.21.78.91]

Страта: 3

Работает.

На замету:Если же в локальной сети появятся рабочие станции под управлениемWindows 8и выше, то нужно будет модифицироватьWMIфильтр.

Но как известно, в случае чего с домен контроллером его роли можно забирать, так может произойти в случае различных проблем. Вот забрали роль PDC и время поехало во всем домене, чтобы этого не произошло нужно создать групповую политику ориентированную только на домен контроллер с рольюPDC: GPO_PDC и WMI фильтр с именем PDC следующего содержания:

Select * from Win32_ComputerSystem where DomainRole = 5

Computer Configuration → Policies → Administrative Tools → System → Windows Time Service → Time Providers → Configure Windows NTP Client, включаю ее Enabled и определяю настройки:

NtpServer:0.pool.ntp.org,0x9

все
остальное оставляю по умолчанию.
После нажимаю Apply & OK.

и Computer Configuration → Policies → Administrative Tools → System → Windows Time Service → Time Providers -> Enable Windows NTP Client включить Enable.

Также параметр Type вместо NT5DS можно использовать и NTP

И не забываем к политике добавить WMI фильтр ← PDC. Теперь не важно кто является домен контроллером, точное время на нем будет.

А раз так, что рабочие станции не обязательно привязывать/создавать к политике назначения точного времени, ведь по умолчанию рабочие станции домена, итак, забирают точное время с контроллера домена по умолчанию.

Подведу итог:

  • Настраиваю GPO и привязываю ее через WMI фильтр к серверу у которого есть роль PDC
  • В оснастке DHCP указываю параметр кто в домене является сервером у которого клиентским рабочим станциям запрашивать точное время.
  • Если DHCP не на базе Windows, то можно настроить GPO и сделать нацеливание на определенную ось.

На заметку:Если домен контроллер развернут на виртуальной системе, то следует проверить, что время берется не с гипервизора, а через настройку этой заметки.

На заметку:если рольPDC была переназначена на другой сервер, то я советую перезагрузить домен контроллер и все остальные также.

На этом у меня все. Задача выполнена и задокументирована, с уважением автор блога Олло Александр aka ekzorchik.

Настройка службы времени на новый источник точного времени

Чтобы установить операционной системе новый источник точого времени, достаточно выполнить команду:

w32tm /config /manualpeerlist:ru.pool.ntp.org /syncfromflags:manual /update

Настройка статических устройств и компьютеров под другими ос

Большинство устройств NAS и SAN имеют возможность ввода информации о сервере-поставщике настроек времени.

Чтобы настроить синхронизацию времени с контроллером домена на устройствах Cisco IOS, в командной строке введите:

ntp server 192.168.25.5

IP-адрес следует заменить на фактический IP сервера, служащего источником времени.

Чтобы настроить синхронизацию времени на компьютере под операционной системой, отличной от Windows, обратитесь к документации операционной системы. Впрочем, для других ОС корректные настройки времени не так важны, как для Windows, поэтому от синхронизации можно даже отказаться.

Особенности виртуализированных контроллеров домена

Контроллеры домена, работающие в виртуализированной среде, требуют к себе особенного отношения.

  • Средства синхронизации времени виртуальной машины и хостовой ОС должны быть выключены. Во всех адекватных системах виртуализации (Microsoft, vmWare и т. д.) присутствуют компоненты интеграции гостевой ОС с хостовой, которые значительно повышают производительность и управляемость гостевой системой. Среди этих компонентов всегда есть средство синхронизации времени гостевой ОС с хостовой, которое очень полезно для рядовых машин, но противопоказано для контроллеров домена. Потому как в этом случае весьма вероятен цикл, при котором контроллер домена и хостовая ОС будут синхронизировать друг друга. Последствия печальны.
  • Для корневого PDC синхронизация с внешним источником должна быть настроена всегда. В виртуальной среде часы не настолько точны как в физической, потому как виртуальная машина работает с виртуальным процессором и прерываниями, для которых характерно как замедление, так и ускорение относительно «обычной» частоты. Если не настроить синхронизацию виртуализированного корневого PDC с внешним источником, время на всех компьютерах предприятия может убегать/отставать на пару часов в сутки. Не трудно представить неприятности, которые может принести такое поведение.

Первое решение проблемы “no time data was available”

Еще раз обращу внимание, что проблема была в доменных политиках.

Команда w32tm /resync выдавала ошибку

The computer did not resync because no time data was available.

Решено это было следующим образом:

Полезные ссылки:

Понравилось? =) Поделись с друзьями:

Помогла ли вам эта статья?

ДАНЕТ

Проверка доступности источника времени

Прежде чем настраивать новый источник времени, рекомендуется предварительно проверить его доступность, это можно сделать при помощи команды:

w32tm /stripchart /computer:ru.pool.ntp.org /dataonly /samples:5

Ниже показан пример проверки:

Подобный результат говорит о том, что источник времени доступен, с ним есть усточивый канал связи и время на машине совпадает с источником времени. Если же источник времени не доступен, то прежде всего стоит проверить сетевую связность или корректность указания имени сервера.

Синхронизация времени в active directory

Среди компьютеров, участвующих в Active Directory работает следующая схема синхронизация времени.

Корневой PDC может синхронизировать свое время как со внешним источником, так и с самим собой, последнее задано конфигурацией по умолчанию и является абсурдом, о чем периодически намекают ошибки в системном журнале.

Синхронизация клиентов корневого PDC может осуществятся как с его внутренних часов, так и с внешнего источника. В первом случае сервер времени корневого PDC объявляет себя как «надежный» (reliable).

Далее я приведу оптимальную с моей точки зрения конфигурацию сервера времени корневого PDC, при которой сам корневой PDC периодически синхронизирует свое время от достоверного источника в интернете, а время обращающихся к нему клиентов синхронизирует со своими внутренними часами.

Вводим netdom query fsmo. В моем примере, роль PDC и NTP сервера, принадлежит контроллеру dc7

Служба времени windows – w32time.exe

Служба времени Windows или W32Time.exe поддерживает синхронизацию даты и времени на всех клиентах и ​​серверах в сети. Если эта служба остановлена, синхронизация даты и времени будет недоступна. Если эта служба отключена, любые службы, которые явно зависят от нее, не запустятся.

Многие записи реестра для службы времени Windows совпадают с параметрами групповой политики с тем же именем. Параметры групповой политики соответствуют записям реестра с тем же именем, расположенным в:

HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services W32Time .

Способ 1: синхронизация времени при помощи сторонних программ

Разберемся, как синхронизировать время через интернет при помощи сторонних программ. Прежде всего, требуется выбрать софт для установки. Одной из лучших программ в этом направлении считается SP TimeSync. Она позволяет синхронизировать время на ПК с любыми атомными часами, доступными в интернете через протокол времени NTP. Разберемся, как её установить и как в ней работать.

Способ 2: синхронизация в окне «дата и время»

Для того, чтобы синхронизировать время, использовав встроенные возможности Windows, требуется выполнить следующий алгоритм действий.

Способ 3: командная строка

Следующий способ для запуска синхронизации времени подразумевает использование командной строки. Основное условие состоит в том, чтобы перед началом процедуры вы вошли в систему под учетным именем с правами администратора.

Типовые наборы параметров команды w32tm

w32tm /query /source

– выводит источник времени, на который настроена служба Windows Time

w32tm /query /status

– выводит текущий статус работы службы времени

w32tm /query /peers 

– выводит список серверов с которых выполняется синхронизация времени и их статус

w32tm /query /configuration

– выводит текущую конфигурацию службы времени

w32tm /monitor

– показывает, насколько отличается время на машине от контроллеров домена и на внешнем источнике времени, на который настроены контроллеры домена

w32tm /tz 

– выводит текущий часовой пояс

w32tm /config /syncfromflags:manual /manualpeerlist:ru.pool.ntp.org

– настройка в качестве источника времени пула ntp-серверов ru.pool.ntp.org

w32tm /config /update

– применение новых параметров указанных для службы времени

w32tm /resync

– выполнение синхронизации времени

w32tm /unregister

– отменяет регистрацию службы и удаляет настройки из реестра

w32tm /register

– регистрирует службу и восстанавливает настройки по умолчанию

Все настройки службы Windows Time можно посмотреть в ветке реестра:

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32Time

Установка минимальной положительной и отрицательной коррекции

Максимальная положительная и отрицательная коррекция времени (разница между внутренними часами и источником синхронизации) в секундах, при превышении которой синхронизация не происходит. Рекомендую значение 0xFFFFFFFF, при котором коррекция сможет производиться всегда.

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeConfig]”MaxPosPhaseCorrection”=dword:FFFFFFFF”MaxNegPhaseCorrection”=dword:FFFFFFFF

Настройка сервера времени на домен контроллере — Реальные заметки Ubuntu & Mikrotik

Прочитано: 21 641

Задача: разобрать действия по организации сервиса времени для всей локальной сети дабы рабочие станции, сервера получали точное время и оно везде было одинаковым. Сервис времени организовывается на домен контроллере под управлением операционной системы Windows Server 2012 R2, также действия ниже аналогичны и для Server 2008 R2

Схема: интернет — Mikrotik — DC — Workstations

Открываю на srv-dc консоль командной строки с правами администратора:

Win + X — Command Prompt (Admin)

Определяю какой домен контроллер (Windows Server 2012 R2 Std) имеет роль PDC если домен контроллеров несколько в домене:

C:\Windows\system32>netdom query fsmo

  • Schema master srv-dc.polygon.local
  • Domain naming master srv-dc.polygon.local
  • PDC srv-dc.polygon.local
  • RID pool manager srv-dc.polygon.local
  • Infrastructure master srv-dc.polygon.local

The command completed successfully.

Как видно из вывода, это контроллер домена srv-dc.polygon.local, подключаюсь теперь к нему по RDP или VNC соединению для выполнения следующих команд:

C:\Windows\system32>net stop w32time

Настраиваем внешний источник времени:

C:\Windows\system32>w32tm /config /syncfromflags:manual /manualpeerlist:"0.pool.ntp.org"

Cделать ваш контроллер домена PDC доступным для клиентов:

C:\Windows\system32>w32tm /config /reliable:yes

Запускаю службу времени:

C:\Windows\system32>net start w32time

Также можно изменения вносить и через реестр в ключе: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters

Чтобы после принудительно запросить получение точного времени проделываем:

C:\Windows\system32>W32tm /config /reliable:yes

The command completed successfully.

C:\Windows\system32>W32tm /config /update

The command completed successfully.

C:\Windows\system32>W32tm /resync

Sending resync command to local computer

The command completed successfully.

Вот и все, служба времени Windows начинает синхронизацию времени с внешним источником, посмотреть этот процесс можно так:

C:\Windows\system32>w32tm /query /configuration

После нужно добавить параметр в DHCP оснастку, что сервер времени это наш домен контроллер:

Win + X — Control Panel — Administrative Tools — запускаю оснастку DHCP: DHCP → srv-dc.polygon.local → IPv4 → Scope [10.10.10.0] local → и через правый клик мышью по Scope Options вызываю меню Configure Options… где добавляю опцию для всего домена: 042 NTP Servers

Теперь доменные Windows станции будут знать, что сервер времени это домен контроллер, а для моих Ubuntu системы после установке sudo apt-get install ntp -y в файле /etc/ntp.conf нужно будет в параметре server указать IP адрес этого домен контроллера и перезапустить службу времени sudo service ntp restart.

Если же у Вас DHCP сервис развернут не на Windows, то донести до всех где брать точное время можно через групповые политики GPO. Создаем GPO_NTP и предопределяем, что ориентирована она будет на текущий домен и все рабочие станции посредством WMI-фильтра.

Открываю оснастку на srv-dc управления групповыми политиками домена:

Win + X — Control Panel — Administrative Tools — Group Policy Management, открываю на редактирование: Group Policy Management → Forest: polygon.local → Domains → polygon.local → и через правый клик мышью по WMI Filters вызываю меню New…

  • Name: W7
  • Decription: Windows 7 x86/x64
  • Queries: → Add
  • Namespace: root\CIMv2
  • Query: Select
    * from WIN32_OperatingSystem where ((Version > "6") and
    (ProductType = 1))

и
нажимаю OK, OK, Save

После перехожу к редактированию групповой политики для рабочих станции домена, через правый клик мышью по GPO_NTP вызываю меню Edit.

Computer Configuration → Policies → Administrative Tools → System → Windows Time Service → Time Providers → Configure Windows NTP Client, включаю ее Enabled и определяю настройки:

NtpServer: srv-dc.polygon.local,0x9

все остальное оставляю по умолчанию.
После нажимаю Apply & OK.

И не забываем к политике добавить WMI фильтр. В конечном итоге политика должна выглядеть так:

После когда политика применится к системам согласно WMI-фильтру можно будет проверить куда смотрит рабочая станции если ей нужно точное время:

C:\Users\alektest>w32tm /query /status

Индикатор помех: 0(предупреждений нет)

Страта: 4 (вторичная ссылка - синхронизирована с помощью (S)NTP)

Точность: -6 (15.625ms за такт времени)

Задержка корня: 0.0876923s

Дисперсия корня: 7.8503892s

Идентификатор опорного времени: 0x0A0A0A02 (IP-адрес источника: 10.10.10.2)

Время последней успешной синхронизации: 30.04.2017 16:46:38

Источник: srv-dc.polygon.local

Интервал опроса: 10 (1024s)

C:\Users\alektest>w32tm /monitor

srv-dc.polygon.local *** PDC ***[10.10.10.2:123]:

ICMP: 0ms задержка

NTP: +0.0000000s смещение относительно srv-dc.polygon.local

RefID: ground.corbina.net [85.21.78.91]

Страта: 3

Работает.

На замету: Если же в локальной сети появятся рабочие станции под управлением Windows 8 и выше, то нужно будет модифицировать WMI фильтр.

Но как известно, в случае чего с домен контроллером его роли можно забирать, так может произойти в случае различных проблем. Вот забрали роль PDC и время поехало во всем домене, чтобы этого не произошло нужно создать групповую политику ориентированную только на домен контроллер с ролью PDC: GPO_PDC и WMI фильтр с именем PDC следующего содержания:

Select * from Win32_ComputerSystem where DomainRole = 5

Computer Configuration → Policies → Administrative Tools → System → Windows Time Service → Time Providers → Configure Windows NTP Client, включаю ее Enabled и определяю настройки:

NtpServer: 0.pool.ntp.org,0x9

все
остальное оставляю по умолчанию.
После нажимаю Apply & OK.

и Computer Configuration → Policies → Administrative Tools → System → Windows Time Service → Time Providers -> Enable Windows NTP Client включить Enable.

Также параметр Type вместо NT5DS можно использовать и NTP

И не забываем к политике добавить WMI фильтр ← PDC. Теперь не важно кто является домен контроллером, точное время на нем будет.

А раз так, что рабочие станции не обязательно привязывать/создавать к политике назначения точного времени, ведь по умолчанию рабочие станции домена, итак, забирают точное время с контроллера домена по умолчанию.

Подведу итог:

  • Настраиваю GPO и привязываю ее через WMI фильтр к серверу у которого есть роль PDC
  • В оснастке DHCP указываю параметр кто в домене является сервером у которого клиентским рабочим станциям запрашивать точное время.
  • Если DHCP не на базе Windows, то можно настроить GPO и сделать нацеливание на определенную ось.

На заметку: Если домен контроллер развернут на виртуальной системе, то следует проверить, что время берется не с гипервизора, а через настройку этой заметки.

На заметку: если роль PDC была переназначена на другой сервер, то я советую перезагрузить домен контроллер и все остальные также.

На этом у меня все. Задача выполнена и задокументирована, с уважением автор блога Олло Александр aka ekzorchik.

Сбивается время на виртуальном контроллере домена ~ IT-Spectrum

Простое решение проблемы ухода времени на контроллере домена, установленного на виртуальную машину Hyper-V под управлением Windows Server 2008/2012.

Во время работы контроллера домена под управлением Windows Server 2008 R2/2012, установленного на виртуальную машину Hyper-V, было замечен постоянный уход времени – за месяц время могло уйти чуть ли не на полчаса. Нужно ли говорить, насколько важно точное время на контроллере домена, ведь по нему синхронизируется весь парк компьютеров домена.

1. Отключить синхронизацию времени с хост-машиной

Для начала нужно отключить синхронизацию времени гостевой машины по времени хост-машины, иначе мы получаем казус. Если хост-машина является членом домена, хост синхронизируется по контроллеру на гостевой машине, а гостевая машина синхронизируется по хосту – получаем замкнутый цикл, который скорее всего и приводит к постоянному смещению времени внутри себя. Смещение получается буквально на какие-то доли секунды, но постепенно складываясь за каждый цикл синхронизации набегает весьма ощутимый сдвиг часов.

В параметрах виртуальной машины НастройкаСлужбы интеграцииСинхронизации времени – снять птичку

2. Настроить синхронизацию по NTP-серверу

Инструментарий

Для настройки воспользуемся утилитой командой строки w32tm. Основные параметры утилиты, которые применяются для настройки и управления временем:

w32tm /query
позволяет опросить текущие настройки клиента и сервера NTP
w32tm /config
используется для настройки службы времени
w32tm /resync
используется для инициализации синхронизации времени
w32tm /dumpreg
используется для отображения текущих параметров реестра связанных с службой времени
w32tm /debug
используется для включения журнала отладки службы времени

Настройка

Выполняется настройка синхронизации времени на контроллере домена под управлением Windows Server 2008 R2 с ролью FSMO «Эмулятор PDC»:

w32tm /query /configuration
смотрим текущие параметры службы времени
w32tm /config /syncfromflags:manual
выбираем источник (заданный нами список) для синхронизации времени
w32tm /config /manualpeerlist:"server1.ntp.org server2.ntp.org"
устанавливаем заданный вручную список узлов для синхронизации. Узлы представляют собой DNS-имена или IP-адреса, разделённые пробелами. При указании нескольких узлов, все значения узлов заключаются в кавычки. Можно, конечно ограничится и одним привычным time.windows.com
w32tm /config /reliable:yes
задаем параметр, что данная машина является надёжным источником времени и может обслуживать клиентов
w32tm /config /update
информируем службу времени, что были внесены изменения (можно перезапустить службу)
w32tm /query /configuration
проверяем внесенные изменения в параметры службы
w32tm /resync
выполняем синхронизацию (можно поиграться, менять время и проверять, будет ли выполнена синхронизация)

Для большей надежности можно еще и перезапустить Службу времени командами net stop w32time и net start w32time.

Для удобства, перечисленные команды хорошо собрать в один cmd-файлик и решать вопрос в один клик:

w32tm /config /syncfromflags:manual 
w32tm /config /manualpeerlist:time.windows.com 
w32tm /config /reliable:yes 
w32tm /config /update 
w32tm /query /configuration 
pause 
w32tm /resync

Просмотры: 8 388

Поделиться статьей:

Настройка систем для обеспечения высокой точности

  • Статья
  • 4 минуты на чтение
  • 6 участников

Полезна ли эта страница?

да Нет

Любая дополнительная обратная связь?

Отзыв будет отправлен в Microsoft: при нажатии кнопки отправки ваш отзыв будет использован для улучшения продуктов и услуг Microsoft.Политика конфиденциальности.

Представлять на рассмотрение

В этой статье

Применяется к: Windows Server 2022, Windows Server 2019, Windows Server 2016 и Windows 10 версии 1607 или более поздней версии, Azure Stack HCI, версии 21h3 и 20h3

Синхронизация времени в Windows 10 и Windows Server 2016 существенно улучшена.При разумных условиях эксплуатации системы могут быть настроены на поддержание точности в 1 мс (миллисекунду) или выше (относительно UTC).

Следующее руководство поможет вам настроить ваши системы для достижения высокой точности. В этой статье рассматриваются следующие требования:

  • Поддерживаемые операционные системы
  • Конфигурация системы

Предупреждение

Предыдущие цели точности операционных систем
Windows Server 2012 R2 и более ранние версии не могут соответствовать тем же требованиям высокой точности.Эти операционные системы не поддерживают высокую точность.

В этих версиях служба времени Windows удовлетворяла следующим требованиям:

  • Обеспечена необходимая точность времени для удовлетворения требований проверки подлинности Kerberos версии 5.
  • Указано приблизительно точное время для клиентов и серверов Windows, присоединенных к общему лесу Active Directory.

Более высокие допуски в 2012 R2 и более ранних версиях выходят за рамки спецификации дизайна службы времени Windows.

Конфигурация по умолчанию для Windows 10 и Windows Server 2016

Хотя мы поддерживаем точность до 1 мс в Windows 10 или Windows Server 2016, большинству клиентов не требуется высокая точность времени.

Таким образом, конфигурация по умолчанию предназначена для удовлетворения тех же требований, что и предыдущие операционные системы, а именно:

  • Обеспечьте точность времени, необходимую для удовлетворения требований проверки подлинности Kerberos версии 5.
  • Предоставляет приблизительно точное время для клиентов и серверов Windows, присоединенных к общему лесу Active Directory.

Как настроить системы для обеспечения высокой точности

Важно

Примечание относительно возможности поддержки высокоточных систем
Точность времени предполагает сквозное распределение точного времени от авторитетного источника времени до конечного устройства. Все, что вносит асимметрию в измерения на этом пути, негативно влияет на точность, которая может быть достигнута на ваших устройствах.

По этой причине мы задокументировали границы поддержки для настройки службы времени Windows для высокоточных сред с изложением требований к среде, которые также должны быть выполнены для достижения целей высокой точности.

Требования к операционной системе

Для высокоточных конфигураций требуется Windows 10 или Windows Server 2016. Все устройства Windows в топологии времени должны соответствовать этому требованию, включая серверы времени Windows более высокого уровня, а в виртуализированных сценариях — узлы Hyper-V, на которых работают виртуальные машины, чувствительные ко времени. Все эти устройства должны иметь как минимум Windows 10 или Windows Server 2016.

На приведенном ниже рисунке виртуальные машины, требующие высокой точности, работают под управлением Windows 10 или Windows Server 2016.Аналогично, узел Hyper-V, на котором находятся виртуальные машины, и вышестоящий сервер времени Windows также должны работать под управлением Windows Server 2016.

Наконечник

Определение версии Windows
Вы можете запустить команду winver в командной строке, чтобы убедиться, что версия ОС — 1607 (или выше), а сборка ОС — 14393 (или выше), как показано ниже:

Конфигурация системы

Для достижения целей с высокой точностью требуется конфигурация системы.Существует множество способов выполнить эту настройку, в том числе непосредственно в реестре или с помощью групповой политики. Дополнительные сведения о каждом из этих параметров можно найти в Техническом справочнике службы времени Windows: Инструменты службы времени Windows.

Служба времени Windows Тип запуска

Служба времени Windows (W32Time) должна работать непрерывно. Для этого настройте тип запуска службы времени Windows на «Автоматический».

Совокупная односторонняя задержка сети

Неопределенность измерения и «шум» появляются по мере увеличения задержки в сети.Таким образом, крайне важно, чтобы сетевая задержка находилась в разумных пределах. Конкретные требования зависят от вашей целевой точности и изложены в статье Границы поддержки для настройки службы времени Windows для высокоточных сред.

Чтобы вычислить совокупную одностороннюю задержку сети, добавьте отдельные односторонние задержки между парами узлов клиент-сервер NTP в топологии времени, начиная с целевого объекта и заканчивая высокоточным источником времени уровня 1.

Например: рассмотрим иерархию синхронизации времени с высокоточным источником, двумя промежуточными серверами NTP A и B и целевой машиной в указанном порядке. Чтобы получить совокупную задержку в сети между целью и источником, измерьте среднее время приема-передачи NTP (RTT) между:

  • Сервер цели и времени B
  • Сервер времени B и сервер времени A
  • Сервер времени А и Источник

Это измерение можно получить с помощью почтового ящика w32tm.exe-инструмент. Для этого:

  1. Выполнить расчет с сервера цели и времени B.

    w32tm /stripchart /computer:TimeServerB /rdtsc /samples:450 > c:\temp\Target_TsB.csv

  2. Выполнить расчет с сервера времени b по сравнению с сервером времени a (указанный на него).

    w32tm /stripchart /computer:TimeServerA /rdtsc /samples:450 > c:\temp\Target_TsA.csv

  3. Выполнить расчет с сервера времени a по источнику.

  4. Затем добавьте среднее значение RoundTripDelay, измеренное на предыдущем шаге, и разделите на 2, чтобы получить совокупную задержку в сети между целью и источником.

Параметры реестра

МинПолИнтервал

Настраивает наименьший интервал в log2 секунд, разрешенный для опроса системы.

Описание Значение
Ключевое место HKLM:\SYSTEM\CurrentControlSet\Services\W32Time\Config
Настройка 6
Исход Минимальный интервал опроса теперь составляет 64 секунды.

Следующая команда сообщает Windows, что время забрать обновленные настройки: w32tm /config /update

Максполлинтервал

Настраивает наибольший интервал в log2 секунд, разрешенный для опроса системы.

Описание Значение
Ключевое место HKLM:\SYSTEM\CurrentControlSet\Services\W32Time\Config
Настройка 6
Исход Максимальный интервал опроса теперь составляет 64 секунды.

Следующая команда сообщает Windows, что время забрать обновленные настройки: w32tm /config /update

Интервал обновления

Количество тактов часов между корректировками фазовой коррекции.

Описание Значение
Ключевое место HKLM:\SYSTEM\CurrentControlSet\Services\W32Time\Config
Настройка 100
Исход Количество тактов часов между корректировками фазовой коррекции теперь равно 100 тактам.

Следующая команда сообщает Windows, что время забрать обновленные настройки: w32tm /config /update

Спецполлинтервал

Настраивает интервал опроса в секундах, если установлен флаг SpecialInterval 0x1.

Описание Значение
Ключевое место HKLM:\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient
Настройка 64
Исход Интервал опроса теперь составляет 64 секунды.

Следующая команда перезапускает Windows Time для получения обновленных настроек: net stop w32time && net start w32time

Частота КорректРате

Описание Значение
Ключевое место HKLM:\SYSTEM\CurrentControlSet\Services\W32Time\Config
Настройка 2

Параметры службы времени Windows не сохраняются — Windows Server

  • Статья
  • 7 минут на чтение
  • 5 участников

Полезна ли эта страница?

да Нет

Любая дополнительная обратная связь?

Отзыв будет отправлен в Microsoft: при нажатии кнопки отправки ваш отзыв будет использован для улучшения продуктов и услуг Microsoft.Политика конфиденциальности.

Представлять на рассмотрение

В этой статье

В этой статье описывается проблема, из-за которой параметры службы времени Windows отключаются в реестре после обновления до Windows Server 2016 или Windows 10 версии 1607.

Применяется к:   Windows Server 2016, Windows Server 2012 R2, Windows 10 – все выпуски
Исходный номер базы знаний:   3201265

Симптомы

При выполнении обновления на месте по следующим путям обновления операционных систем служба времени Windows не сохраняет свою конфигурацию.Вместо этого он показывает значения по умолчанию для сервера рабочей группы или рабочей станции.

Обновление с Обновление до
Windows Server 2012 или Windows Server 2012 R2 Windows Server 2016
Windows 7, Windows 8 или Windows 8.1 Windows 10 версии 1607

Затронутые роли

После завершения обновления на месте могут быть затронуты следующие роли.

Контроллеры домена

Контроллеры домена (DC), на которых размещена роль эмулятора PDC, являются уполномоченным сервером времени по умолчанию для домена. Как правило, он настроен на синхронизацию с высокоточным источником времени. Все остальные контроллеры домена в домене синхронизируют свое время с основным контроллером домена.

После обновления на месте PDC теряет соединение с внешним сервером времени, с которым он настроен для синхронизации. Он также больше не объявляет, что это сервер времени.

Все остальные контроллеры домена в домене больше не объявляют себя серверами времени и больше не используют иерархию домена для синхронизации своего времени.Поэтому их настройки времени могут больше не синхронизироваться с настройками их одноранговых узлов, а члены домена больше не могут синхронизировать свое время.

Вы можете заметить следующее предупреждение в выходных данных DCDIAG:

Предупреждение: не рекламируется как сервер времени

Вы также можете заметить, что контроллер домена не отвечает на запросы клиентов NTP. Сюда входят сбои, возникающие при проверке доступности сервера NTP с помощью средства w32tm.exe /stripchart .Например, текстовый вывод может выглядеть следующим образом:

.

c:>w32tm /stripchart /computer: Tracking [10.1.1.100:123]. Текущее время 28.10.2016 9:00:00. 09:00:00 ошибка: 0x800705B4:

Члены домена

Рядовые серверы домена и обновленные компьютеры больше не настроены на использование иерархии домена для синхронизации своего времени. Вместо этого они будут синхронизировать свое время с веб-сайтом time.windows.com .

Авторитетный сервер времени

Компьютеры Windows, настроенные вручную как полномочный сервер времени, теряют свою конфигурацию. Поэтому устройства, которые настроены на использование этих компьютеров для синхронизации своего времени, могут не синхронизироваться.

Вы также можете заметить, что полномочный сервер NTP не отвечает на запросы клиентов NTP. Сюда входят сбои, возникающие при проверке доступности сервера NTP с помощью средства w32tm.exe /stripchart . Например, текстовый вывод может выглядеть следующим образом:

.

c:>w32tm /stripchart /computer: Отслеживание [10.1.1.100:123]. Текущее время . ошибка: 0x800705B4:

Примечание

Эта проблема не должна возникать при обновлении на месте следующих операционных систем:

  • Windows 10 версии 1507 до Windows 10 версии 1511
  • Windows 10 версии 1511 — Windows 10 версии 1607
  • Windows Server 2016 Technical Preview 5 (TP5) до Windows Server 2016 (окончательная первоначальная версия)

Причина

Это известная проблема в путях обновления Windows, перечисленных в разделе «Проблема».Эта проблема возникает из-за того, что значения реестра для службы времени Windows не сохраняются во время обновления. Таким образом, все значения службы времени Windows возвращаются к состоянию по умолчанию членского сервера рабочей группы или автономного компьютера.

Обходной путь

Важно

В этом разделе, методе или задаче содержатся инструкции по изменению реестра. Однако при неправильном изменении реестра могут возникнуть серьезные проблемы. Поэтому убедитесь, что вы внимательно выполните следующие действия.Для дополнительной защиты создайте резервную копию реестра перед его изменением. Затем вы можете восстановить реестр, если возникнет проблема. Дополнительные сведения о резервном копировании и восстановлении реестра см. в следующей статье базы знаний Майкрософт:
322756 Как выполнить резервное копирование и восстановление реестра в Windows

.

Примечание

На контроллерах домена и компьютерах, присоединенных к домену, служба Netlogon должна быть запущена до запуска службы W32time. После обновления системы убедитесь, что Netlogon запущен, прежде чем пытаться использовать любой из этих обходных путей.

Чтобы обойти эту проблему, используйте один из следующих методов.

Метод 1

Перед обновлением до Windows 10 версии 1607 или Windows Server 2016 вручную создайте резервную копию содержимого в разделе реестра w32time . Для этого выполните следующие действия:

  1. Откройте окно Выполнить , нажав клавишу с логотипом Windows‌+R.

  2. Введите regedit и нажмите Enter.

  3. Найдите и выберите следующую запись реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\

  4. Выберите Файл > Экспорт .

  5. В диалоговом окне Экспорт файла реестра выберите место, где вы хотите сохранить резервную копию, а затем введите имя файла резервной копии в поле Имя файла .

  6. Выбрать Сохранить .

  7. Сохраните конфигурацию W32time для проверки, выполнив следующие команды в командной строке с повышенными привилегиями:

      Net start w32time w32tm /query/configuration/verbose > PreUpgradeW32timeConfiguration.текст
      

Теперь вы можете обновить компьютер до Windows Server 2016 или Windows 10 версии 1607. После завершения обновления выполните следующие действия, чтобы восстановить содержимое раздела реестра w32time:

  1. Откройте окно Выполнить , нажав клавишу с логотипом Windows‌+R.

  2. Введите regedit и нажмите Enter.

  3. Откройте окно Выполнить , нажав клавишу с логотипом Windows‌+R.

  4. Введите regedit и нажмите Enter.

  5. В редакторе реестра выберите Файл > Импорт .

  6. В диалоговом окне Импорт файла реестра выберите место, где вы сохранили резервную копию, выберите файл резервной копии, а затем выберите Открыть .

  7. Выйти из редактора реестра.

  8. Выполните следующую команду, чтобы удалить устаревший триггер службы:

      reg удалить HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TriggerInfo\1 /f
      
  9. Перезапустите службу W32time, чтобы она могла использовать новую конфигурацию.Для этого выполните следующие команды в командной строке с повышенными привилегиями:

    .
      чистая остановка w32time
    
    чистый старт w32time
      

Метод 2

Если у вас возникли проблемы, влияющие на службу времени Windows после обновления до Windows Server 2016 или Windows 10 версии 1607, выполните следующие действия, чтобы перерегистрировать w32tm.exe .

Примечание

Эта процедура восстанавливает параметры по умолчанию, соответствующие роли компьютера.Никакие настройки, сделанные администратором, не восстанавливаются.

В командной строке с повышенными привилегиями выполните следующую последовательность команд:

  чистая остановка w32time

w32tm.exe /отменить регистрацию

w32tm.exe /регистр

чистый старт w32time
  

Метод 3

Если у вас возникли проблемы, влияющие на службу времени Windows после обновления до Windows Server 2016 или Windows 10 версии 1607, выполните следующие действия, чтобы восстановить настройки из файла Windows.старая папка.

Важно

Следующие шаги должны выполняться только опытными пользователями.

  1. Экспорт раздела реестра из папки Windows.old.

    1. Откройте окно «Выполнить» Windows, нажав клавишу с логотипом Windows + R.

    2. Введите regedit и нажмите Enter.

    3. Найдите и щелкните HKEY_LOCAL_MACHINE .

    4. В меню File щелкните Load Hive .

    5. Найдите и щелкните файл C:\Windows.old\Windows\System32\Config\System , а затем щелкните Открыть .

    6. В диалоговом окне Load Hive введите Offline и нажмите OK .

    7. Расширить Автономно .

    8. Найдите и щелкните следующий подраздел реестра: ControlSet001\Services\W32Time\

    9. Щелкните Файл > Экспорт .

    10. В диалоговом окне Экспорт файла реестра выберите место на локальном жестком диске, где вы хотите сохранить реестр, а затем введите имя файла резервной копии в поле Имя файла .

    11. Нажмите Сохранить .

    12. Найдите и щелкните следующий подраздел реестра: HKEY_LOCAL_MACHINE\Не в сети

    13. В меню Файл щелкните Выгрузить куст , а затем щелкните Да в диалоговом окне Подтвердить выгрузку куста .

    14. Выйти из редактора реестра.

  2. Перезагрузите компьютер в режиме восстановления.

    1. Выберите Пуск > Настройки > Обновление и безопасность > Восстановление
    2. На правой панели щелкните Перезагрузить сейчас в разделе Расширенный запуск .
    3. После перезагрузки компьютера выберите Устранение неполадок , а затем выберите Командная строка .
    4. Выберите локального администратора и введите пароль.

    Примечание

    Это перезагружает компьютер в режиме восстановления и открывает окно командной строки.

  3. Импорт сохраненного раздела реестра из шага 1.

    1. В командной строке введите regedit и нажмите Enter

    2. Найдите и выберите HKEY_LOCAL_MACHINE

    3. Вкл. в меню Файл щелкните Загрузить куст .

    4. Найдите и выберите файл C:\Windows\System32\Config\System , а затем щелкните Открыть .

    5. В диалоговом окне Load Hive введите Offline и нажмите OK

    6. Расширить Автономно .

    7. Найдите и щелкните следующий подраздел реестра: ControlSet001\Services\W32Time\

    8. Щелкните Файл > Импорт .

    9. В диалоговом окне Импорт файла реестра выберите место, где вы сохранили резервную копию, выберите файл резервной копии и нажмите Открыть .

    10. Найдите и щелкните следующий подраздел реестра: HKEY_LOCAL_MACHINE\Не в сети

    11. В меню Файл щелкните Выгрузить куст , а затем щелкните Да в диалоговом окне Подтвердить выгрузку куста .

    12. Выйдите из редактора реестра и перезагрузите компьютер в обычном режиме.

Проверка результатов обходного пути

Чтобы убедиться, что служба времени Windows теперь может сохранять свою конфигурацию, выполните следующие действия:

  1. Запустите DCDiag.exe на контроллерах домена, чтобы убедиться, что они рекламируются как сервер времени.

  2. Убедитесь, что контроллеры домена или полномочные серверы NTP отвечают на запросы клиентов NTP без ошибок. Например, вывод команды выглядит следующим образом:

    .

    c:
    Отслеживание [10.1.1.100:123].
    Текущее время .
    d:+00.0013494s o:-00.0891868s [ * ]

  3. Для опытных пользователей запросите конфигурацию W32time и убедитесь, что поставщики времени настроены должным образом. Если вы использовали метод 1 в качестве обходного пути, вы можете сравнить конфигурацию после обновления с сохраненными данными предварительной конфигурации. Например, вывод команды выглядит следующим образом:

    .

    c:\ >w32tm /query/configuration/verbose > PostUpgradeW32timeConfiguration.текст

Каталожные номера

Для получения дополнительных сведений о связанных проблемах входа в сеть щелкните следующий номер статьи базы знаний Майкрософт:
3201247 Служба входа в сеть не сохраняет параметры после обновления до Windows Server 2016

Технический справочник службы времени Windows

  • Статья
  • 5 минут на чтение
  • 8 участников

Полезна ли эта страница?

да Нет

Любая дополнительная обратная связь?

Отзыв будет отправлен в Microsoft: при нажатии кнопки отправки ваш отзыв будет использован для улучшения продуктов и услуг Microsoft.Политика конфиденциальности.

Представлять на рассмотрение

В этой статье

Применяется к: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows 10 или более поздней версии, Azure Stack HCI, версии 21h3 и 20h3

Служба W32Time обеспечивает синхронизацию сетевых часов для компьютеров без необходимости сложной настройки.Служба W32Time необходима для успешной работы проверки подлинности Kerberos V5 и, следовательно, для проверки подлинности на основе AD DS. Любое приложение, поддерживающее Kerberos, включая большинство служб безопасности, зависит от синхронизации времени между компьютерами, участвующими в запросе проверки подлинности. Контроллеры домена AD DS также должны иметь синхронизированные часы, чтобы обеспечить точную репликацию данных.

Примечание

В Windows Server 2003 и Microsoft Windows 2000 Server служба каталогов называется службой каталогов Active Directory.В Windows Server 2008 R2 и Windows Server 2008 служба каталогов называется доменными службами Active Directory (AD DS). Остальная часть этого раздела относится к AD DS, но информация также применима к доменным службам Active Directory в Windows Server 2016.

Служба W32Time реализована в динамической библиотеке с именем W32Time.dll, которая по умолчанию устанавливается в %Systemroot%\System32 . W32Time.dll изначально была разработана для Windows 2000 Server для поддержки спецификации протокола проверки подлинности Kerberos V5, которая требовала синхронизации часов в сети.Начиная с Windows Server 2003, W32Time.dll обеспечивает повышенную точность синхронизации сетевых часов по сравнению с операционной системой Windows Server 2000. Кроме того, в Windows Server 2003 W32Time.dll поддерживал различные аппаратные устройства и сетевые протоколы времени с использованием поставщиков времени.

Хотя изначально они были разработаны для обеспечения синхронизации часов для проверки подлинности Kerberos, многие современные приложения используют метки времени для обеспечения согласованности транзакций, записи времени важных событий и другой важной для бизнеса информации, зависящей от времени.Эти приложения выигрывают от синхронизации времени между компьютерами, предоставляемой службой времени Windows.

Важность протоколов времени

Протоколы времени взаимодействуют между двумя компьютерами для обмена информацией о времени, а затем используют эту информацию для синхронизации своих часов. С протоколом времени службы времени Windows клиент запрашивает информацию о времени с сервера и синхронизирует свои часы на основе полученной информации.

Служба времени Windows использует протокол NTP для синхронизации времени в сети.NTP — это интернет-протокол времени, который включает в себя алгоритмы дисциплины, необходимые для синхронизации часов. NTP является более точным протоколом времени, чем простой протокол сетевого времени (SNTP), который используется в некоторых версиях Windows; однако W32Time продолжает поддерживать SNTP для обеспечения обратной совместимости с компьютерами, на которых запущены службы времени на основе SNTP, такие как Windows 2000.

В этом руководстве , а не обсуждается настройка службы времени Windows. В Microsoft TechNet и в базе знаний Microsoft есть несколько разделов, в которых объясняются процедуры настройки службы времени Windows.Если вам требуется информация о конфигурации, следующие разделы помогут вам найти соответствующую информацию.

  • Чтобы настроить службу времени Windows для эмулятора основного контроллера домена (PDC) корня леса, см.:

  • Чтобы настроить службу времени Windows на любом клиенте или сервере, являющемся членом домена, или даже на контроллерах домена, которые не настроены в качестве эмулятора основного контроллера домена корня леса, см. раздел Настройка клиентского компьютера для автоматической синхронизации времени домена.

    Предупреждение

    Некоторым приложениям может потребоваться, чтобы на их компьютерах были высокоточные службы времени. В этом случае вы можете настроить источник времени вручную, но имейте в виду, что служба времени Windows не предназначена для работы в качестве высокоточного источника времени. Убедитесь, что вы знаете об ограничениях поддержки для сред с высокой точностью времени, как описано в статье 939322 базы знаний Майкрософт Границы поддержки для настройки службы времени Windows для сред с высокой точностью.

  • Чтобы настроить службу времени Windows на любых клиентских или серверных компьютерах под управлением Windows, настроенных как члены рабочей группы, а не как члены домена, см. раздел Настройка источника времени вручную для выбранного клиентского компьютера.

  • Чтобы настроить службу времени Windows на хост-компьютере, на котором работает виртуальная среда, см. статью 816042 базы знаний Майкрософт, Как настроить полномочный сервер времени в Windows Server. Если вы работаете с продуктом виртуализации, произведенным не Microsoft, обязательно ознакомьтесь с документацией поставщика по этому продукту.

  • Чтобы настроить службу времени Windows на контроллере домена, работающем на виртуальной машине, рекомендуется частично отключить синхронизацию времени между хост-системой и гостевой операционной системой, выступающей в роли контроллера домена. Это позволяет вашему гостевому контроллеру домена синхронизировать время для иерархии домена, но защищает его от перекоса времени, если он восстанавливается из сохраненного состояния. Дополнительные сведения см. в статье 976924 базы знаний Майкрософт. Вы получаете идентификаторы событий службы времени Windows 24, 29 и 38 на виртуализированный контроллер домена, работающий на хост-сервере под управлением Windows Server 2008 с Hyper-V, и рекомендации по развертыванию для виртуализированных Контроллеры домена.

  • Чтобы настроить службу времени Windows на контроллере домена, выступающем в качестве эмулятора основного контроллера домена корня леса, который также работает на виртуальном компьютере, выполните те же инструкции для физического компьютера, которые описаны в разделе Настройка службы времени Windows на эмуляторе основного контроллера домена в Корневой домен леса.

  • Чтобы настроить службу времени Windows на рядовом сервере, работающем как виртуальный компьютер, используйте иерархию времени домена, как описано в разделе Настройка клиентского компьютера для автоматической синхронизации времени домена.

Настройка W32Time с учетом огромного смещения времени — Windows Server

  • Статья
  • 11 минут на чтение
  • 3 участника

Полезна ли эта страница?

да Нет

Любая дополнительная обратная связь?

Отзыв будет отправлен в Microsoft: при нажатии кнопки отправки ваш отзыв будет использован для улучшения продуктов и услуг Microsoft.Политика конфиденциальности.

Представлять на рассмотрение

В этой статье

В этой статье описывается, как настроить службу времени Windows на большое смещение времени.

Применяется к:   Windows 10 – все выпуски, Windows Server 2012 R2
Исходный номер базы знаний:   884776

Введение

Операционные системы Windows включают средство службы времени (служба W32Time), используемое протоколом проверки подлинности Kerberos.Аутентификация Kerberos будет работать, если временной интервал между соответствующими компьютерами находится в пределах максимально допустимого временного перекоса. По умолчанию 5 минут. Вы также можете отключить инструмент службы времени. Затем вы можете установить стороннюю службу времени.

Назначение службы времени — убедиться, что все компьютеры в организации, работающие под управлением Microsoft Windows 2000 или более поздних версий операционных систем Windows, используют общее время. Чтобы обеспечить надлежащее общее использование времени, служба времени использует иерархические отношения, которые контролируют полномочия.По умолчанию компьютеры под управлением Windows используют следующую иерархию:

.
  • Все клиентские настольные компьютеры назначают контроллер домена, выполняющий проверку подлинности, в качестве официального источника времени.

  • В домене все серверы следуют тому же процессу, что и клиентские настольные компьютеры.

  • Все контроллеры домена в домене назначают хозяина операций основного контроллера домена (PDC) в качестве источника времени.

  • Все мастера операций PDC следуют иерархии доменов при выборе источника времени.Однако мастера операций PDC могут использовать родительский контроллер домена, основанный на нумерации слоев.

    Примечание

    Номер слоя определяет, насколько близко сервер времени находится к основному источнику ссылок.

Чем меньше число, тем ближе сервер к основному источнику времени. В этой иерархии хозяин операций PDC в корне леса становится авторитетным сервером времени для организации. Мы настоятельно рекомендуем вам настроить полномочный сервер времени для сбора времени из аппаратного источника.Когда вы пытаетесь настроить полномочный сервер времени для синхронизации с источником времени в Интернете, проверка подлинности не выполняется. Мы также рекомендуем уменьшить настройки коррекции времени для серверов и автономных клиентов. При соблюдении этих рекомендаций домену предоставляется более точное время.

Дополнительная информация

Обзор откатов времени показал, что компьютеры могут переводить время в дни, месяцы, годы и даже на десятки лет в будущее или в прошлое.Следующие проблемы могут возникнуть, когда компьютеры выполняют откат вперед или назад во времени:

  • Пароли учетных записей компьютеров, учетных записей пользователей и доверительных отношений могут быть обновлены преждевременно.
  • Карантины могут быть идентифицированы событием репликации NTDS 2042 в репликации службы каталогов Active Directory.
  • Принудительно восстанавливается несоответствие паролей для учетных записей компьютеров, учетных записей пользователей или доверительных отношений. Восстановление после таких несоответствий может потребовать ручного сброса паролей для всех затронутых учетных записей и доверительных отношений.

Как защититься от перемотки времени вперед и отката времени

При перезапуске компьютеров и выключении питания BIOS сохраняет время в локальной памяти EPROM, расположенной на материнской плате компьютера. При запуске Windows ядро ​​берет текущее время из BIOS. Это текущее время используется в качестве начального времени, пока служба W32Time не сможет синхронизироваться с другим источником времени.

Служба времени Windows 32 поддерживает две записи реестра: MaxPosPhaseCorrection и MaxNegPhaseCorrection .Эти записи ограничивают выборки, которые служба времени принимает на локальном компьютере, когда эти выборки отправляются с удаленного компьютера.

Когда компьютер, работающий в стабильном состоянии, получает выборку времени из своего источника времени, выборка проверяется на соответствие границам фазовой коррекции, заданным записями реестра MaxPosPhaseCorrection и MaxNegPhaseCorrection . Если выборка времени попадает в пределы, установленные двумя записями реестра, эта выборка принимается для дополнительной обработки.Если выборка времени не попадает в эти пределы, выборка времени игнорируется, и служба времени регистрирует следующее сообщение в личном файле журнала W32Time:

.

СЛИШКОМ БОЛЬШОЙ

Если администраторы уменьшат значение для положительных и отрицательных фазовых поправок, администраторы могут уменьшить угрозу того, что компьютеры получат время из недопустимых выборок времени для компьютера под управлением Windows. С другой стороны, если администраторы уменьшат это значение, администраторы могут запретить компьютерам опережать или отставать от текущего времени больше, чем накладывают эти значения.

Примечание

Если значения записи реестра для положительных и отрицательных исправлений уменьшены, время будет увеличено или уменьшено.

Значением по умолчанию для записей реестра MaxPosPhaseCorrection и MaxNegPhaseCorrection в Windows 2000, Windows XP, Windows Server 2003 и Windows Vista является следующее значение:
0xFFFFFFF

Это значение позволяет компьютеру получать время, содержащееся в любом отсчете времени, независимо от погрешности.

В Windows Server 2008 было принято новое значение по умолчанию для записей реестра MaxPosPhaseCorrection и MaxNegPhaseCorrection. Это новое значение по умолчанию составляет 48 часов. Это 48-часовое значение может быть представлено одним из следующих значений:

.
  • 2a300 (шестнадцатеричный)
  • 172800 (десятичный)

Рекомендуется установить для записей реестра MaxPosPhaseCorrection и MaxNegPhaseCorrection значение, отличное от следующего:
MAX (0xFFFFFFFF)

Примечание

При установке значения, отличного от MAX (0xFFFFFFFF), можно запретить компьютерам принимать время, которое является очень неточным, в сценариях, когда компьютер перезагружается или подключение к внешним источникам времени нарушено.Например, рассмотрим случай, когда записи реестра MaxPosPhaseCorrection и MaxNegPhaseCorrection установлены на 48 часов на всех контроллерах домена в лесу. Если какой-либо отдельный контроллер домена испытывает необычный скачок времени более чем на 48 часов, значение, заданное для записей реестра MaxPosPhaseCorrection и MaxNegPhaseCorrection, предотвратит такой же скачок времени на других компьютерах. Таким образом, компьютеры, которые не синхронизированы, могут храниться отдельно от других компьютеров, пока администратор не проверит ситуацию и не примет меры по исправлению положения.

Точность времени особенно важна для основного контроллера домена корня леса (PDC). Поскольку PDC является корневым источником времени для домена, неточные изменения времени на PDC могут привести к скачку времени во всем домене. Если вы накладываете ограничения коррекции фазы на основной контроллер домена, вы можете запретить другим контроллерам домена в лесу принимать новое время.

Значение по умолчанию 48 часов вместо значения по умолчанию 5 минут или 15 минут основано на следующих причинах:

  • Вывод утилиты W32TM плохо читается.
  • W32TM в настоящее время не определяет время на рядовых компьютерах и рядовых серверах.
  • Ошибки и события, регистрируемые операционной системой Windows и автономными сторонними приложениями, крайне несовместимы. Возможные ошибки включают коды возврата, похожие на следующий:
    • доступ запрещен
    • Сервер RPC недоступен

    Примечание

    Эти ошибки имеют низкую корреляцию с рассогласованием времени, поскольку причина может препятствовать принятию точного значения времени компьютерами под управлением Windows.

  • Ошибки перехода на летнее время могут привести к разнице во времени в 1 час.
  • Неправильная конфигурация AM или PM может привести к 12-часовой разнице во времени.
  • Ошибки в дате или дате могут привести к 24-часовой разнице во времени.

Таким образом, 48 часов были следующим очевидным смещением времени после 25 или 36 часов. Администраторы также могут уменьшить значение с помощью правильных инструментов, которые сообщают об инфраструктуре и тестировании.

Конкретные рекомендации в зависимости от версии операционной системы и роли компьютера описаны в следующих разделах.

Windows XP Professional и все версии Windows Server 2003

Серверы домена

Корневой PDC леса (авторитетный сервер времени)

Настоятельно рекомендуется настроить полномочный сервер времени для сбора времени из аппаратного источника. Когда вы настраиваете авторитетный сервер времени для синхронизации с источником времени в Интернете, проверка подлинности не выполняется. Необходимо перенастроить следующие записи реестра:

  • MaxPosPhaseCorrection
  • MaxNegPhaseCorrection

Значение по умолчанию для этих двух записей реестра — 0xFFFFFFFF.Это значение по умолчанию означает «Принимать любое изменение времени». Мы рекомендуем значение, равное 48 часам. Он представлен в реестре как 2a300 (шестнадцатеричный) или 172800 (десятичный). Мы рекомендуем установить для параметра реестра MaxPollInterval значение 10 или меньше или значение параметра SpecialPollInterval для параметра реестра равным 3600 (1 час) или меньше.

Контроллеры домена и рядовые серверы внутри домена

Записи реестра MaxPosPhaseCorrection и MaxNegPhaseCorrection имеют значение по умолчанию 0xFFFFFFFF.Это значение по умолчанию означает «Принимать любое изменение времени». Мы рекомендуем установить это значение на 48 часов на всех контроллерах домена. Значение 48 часов также можно установить на рядовых серверах, на которых выполняются приложения, зависящие от времени.

Автономные клиенты

Записи реестра MaxPosPhaseCorrection и MaxNegPhaseCorrection имеют значение по умолчанию 54 000 (15 часов). Из соображений безопасности мы рекомендуем уменьшить это значение по умолчанию. Мы также рекомендуем вам установить значение 3600 (1 час) или даже меньшее значение, в зависимости от источника времени, состояния сети, интервала опроса и требований безопасности.

Записи реестра службы времени Windows Server 2003 и Windows XP

Тип Детали
Запись в реестре MaxPosPhaseCorrection
Тип значения двойное слово
Подключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
Примечания Эта запись указывает наибольшую положительную коррекцию времени в секундах, которую может сделать служба.Если служба определяет, что изменение больше, чем требуется, вместо этого она регистрирует событие. Особый случай: 0xFFFFFFFF означает всегда делать коррекцию времени. Значение по умолчанию для членов домена — 0xFFFFFFFF. Значение по умолчанию для автономных клиентов и серверов — 54 000 (15 часов).
Запись в реестре MaxNegPhaseCorrection
Тип значения двойное слово
Подключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
Примечания Эта запись указывает наибольшую отрицательную коррекцию времени в секундах, которую может сделать служба.Если служба определяет, что требуется большее изменение, вместо этого она регистрирует событие. Особый случай: -1 означает, что время всегда корректируется. Значение по умолчанию для членов домена — 0xFFFFFFFF. Значение по умолчанию для автономных клиентов и серверов — 54 000 (15 часов).
Запись в реестре Максполлинтервал
Тип значения двойное слово
Подключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
Примечания Эта запись указывает наибольший интервал в секундах, разрешенный для интервала опроса системы.Обратите внимание, что хотя система должна опрашивать в соответствии с запланированным интервалом, провайдер может отказаться производить образцы, когда образцы запрошены. Значение по умолчанию для членов домена — 10. Значение по умолчанию для автономных клиентов и серверов — 15.
Запись в реестре Спецполлинтервал
Тип значения двойное слово
Подключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient
Примечания Эта запись указывает специальный интервал опроса в секундах для ручных одноранговых узлов.Когда флаг SpecialInterval 0x1 включен, W32Time использует этот интервал опроса вместо интервала опроса, который определяет операционная система. Значение по умолчанию для членов домена — 3600. Значение по умолчанию для автономных клиентов и серверов — 604 800.

Примечание

Для развертывания этих параметров рекомендуется использовать редактор объектов глобальной политики. Дополнительные сведения о службе времени Windows в лесу на базе Windows Server 2003 см. в разделе Служба времени Windows (W32Time).

Значения параметров службы времени Windows по умолчанию, определенные в объекте групповой политики (GPO), могут не соответствовать значениям по умолчанию, определенным в реестре контроллеров домена под управлением Windows Server 2003. При развертывании значений MaxPosPhaseCorrection и MaxNegPhaseCorrection на контроллерах домена Windows Server 2003 с помощью объекта групповой политики убедитесь, что объект групповой политики не изменяет значения других параметров службы времени Windows в реестре. Другие значения параметров службы времени Windows также могут быть изменены в объекте групповой политики, чтобы они соответствовали значениям реестра по умолчанию в контроллерах домена.

Все версии Windows 2000 с пакетом обновления 4 (SP4)

Серверы домена

Корневой PDC леса (авторитетный сервер времени)

Настоятельно рекомендуется настроить полномочный сервер времени для сбора времени из аппаратного источника. При настройке авторитетного сервера времени для синхронизации с источником времени в Интернете проверка подлинности в ручном режиме не выполняется. Вы можете перенастроить запись реестра MaxAllowedClockErrInSecs . Значение по умолчанию — 43 200.Рекомендуемое значение — 900 (15 минут) или даже меньшее значение, в зависимости от источника времени, условий сети и требований безопасности. Это также зависит от интервала опроса. Мы рекомендуем установить значение интервала опроса на один час каждые 24 часа.

Контроллеры домена и рядовые серверы внутри домена

Тип синхронизации — NT5DS. Служба времени синхронизируется с иерархией домена, и служба времени принимает постоянные изменения. Поскольку NT5DS принимает любое изменение времени без учета смещения времени, важно настроить надежный корневой источник времени леса в подсети синхронизации времени.

Примечание

Значение NT5DS указывает, что тип синхронизации получен из записи реестра.

Автономные клиенты

Запись реестра MaxAllowedClockErrInSecs имеет значение по умолчанию 43 200 (12 часов). Из соображений безопасности мы рекомендуем уменьшить это значение по умолчанию. Мы рекомендуем вам установить значение 3600 (1 час) или даже меньшее значение, в зависимости от источника времени, условий сети, интервала опроса и требований безопасности.

Запись реестра Windows Server 2000 SP 4

Тип Детали
Запись в реестре Максалловедклокерринсекс
Тип значения двойное слово
Подключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
Примечания Задает максимально допустимое изменение часов в секундах.Когда событие регистрируется, время не корректируется на основе значения. Это происходит для защиты от любых подозрительных действий с отметками времени. Значение по умолчанию для членов домена — 43 200.

Граница поддержки для высокоточного времени

  • Статья
  • 3 минуты на чтение
  • 5 участников

Полезна ли эта страница?

да Нет

Любая дополнительная обратная связь?

Отзыв будет отправлен в Microsoft: при нажатии кнопки отправки ваш отзыв будет использован для улучшения продуктов и услуг Microsoft.Политика конфиденциальности.

Представлять на рассмотрение

В этой статье

Применяется к: Windows Server 2022, Windows Server 2019, Windows Server 2016 и Windows 10 версии 1607 или более поздней версии, Azure Stack HCI, версии 21h3 и 20h3

В этой статье описываются границы поддержки службы времени Windows (W32Time) в средах, требующих высокой точности и стабильности системного времени.

Поддержка высокой точности для Windows 8.1 и 2012 R2 (или более ранней версии)

Более ранние версии Windows (до Windows 10 1607 или Windows Server 2016 1607) не могут гарантировать высокую точность времени. Служба времени Windows в этих системах:

.
  • Обеспечена необходимая точность времени для удовлетворения требований проверки подлинности Kerberos версии 5

  • Предоставлено приблизительно точное время для клиентов и серверов Windows, присоединенных к общему лесу Active Directory

Более жесткие требования к точности выходят за рамки спецификации дизайна службы времени Windows в этих операционных системах и не поддерживаются.

Windows 10 и Windows Server 2016

Точность времени в Windows 10 и Windows Server 2016 значительно улучшена, при этом сохранена полная обратная совместимость NTP со старыми версиями Windows. При правильных условиях эксплуатации системы под управлением Windows 10 или Windows Server 2016 и более поздних версий могут обеспечивать точность в 1 секунду, 50 мс (миллисекунды) или 1 мс.

Важно

Высокоточные источники времени
Полученная точность времени в вашей топологии сильно зависит от использования точного, стабильного корневого источника времени (слой 1).Сторонние поставщики продают высокоточное, совместимое с Windows оборудование источника времени NTP на базе Windows и не на базе Windows. Пожалуйста, уточните у вашего поставщика точность их продуктов.

Важно

Точность времени
Точность времени подразумевает сквозное распределение точного времени от высокоточного авторитетного источника времени до конечного устройства. Все, что вносит асимметрию в сеть, негативно влияет на точность, например, физические сетевые устройства или высокая загрузка ЦП целевой системы.

Требования к высокой точности

В остальной части этого документа излагаются требования к окружающей среде, которые должны быть выполнены для поддержки соответствующих целей высокой точности.

Точность цели: 1 секунда (1 с)

Чтобы достичь точности 1 с для конкретной целевой машины по сравнению с высокоточным источником времени:

  • Целевая система должна работать под управлением Windows 10, Windows Server 2016.

  • Целевая система должна синхронизировать время с иерархией серверов времени NTP, что приведет к высокоточному, совместимому с Windows источнику времени NTP.

  • Все операционные системы Windows в упомянутой выше иерархии NTP должны быть настроены, как описано в документации «Настройка систем для высокой точности».

  • Совокупная односторонняя задержка в сети между целью и источником не должна превышать 100 мс. Совокупная задержка в сети измеряется путем сложения отдельных односторонних задержек между парами узлов NTP клиент-сервер в иерархии, начиная с цели и заканчивая источником.Для получения дополнительной информации ознакомьтесь с документом о высокоточной синхронизации времени.

Точность цели: 50 миллисекунд

Применяются все требования, изложенные в разделе Точность цели: 1 секунда , за исключением случаев, когда в этом разделе оговаривается более строгий контроль.

Другие требования для достижения точности 50 мс для конкретной целевой системы:

  • Целевой компьютер должен иметь задержку в сети не менее 5 мс между источником времени.

  • Целевая система должна находиться не дальше уровня 5 от высокоточного источника времени

    Примечание

    Запустите «w32tm /query /status» из командной строки, чтобы просмотреть слой.

  • Целевая система должна находиться в пределах 6 или менее сетевых переходов от высокоточного источника времени

  • Среднедневная загрузка ЦП на всех слоях не должна превышать 90%

  • Для виртуализированных систем однодневная средняя загрузка ЦП хоста не должна превышать 90%

Точность цели: 1 миллисекунда

Применяются все требования, изложенные в разделах Точность цели: 1 секунда и Точность цели: 50 миллисекунд , за исключением случаев, когда в этом разделе указаны более строгие правила.

Другие требования для достижения точности 1 мс для конкретной целевой системы:

  • На целевом компьютере задержка сети между источником времени должна быть не менее 0,1 мс

  • Целевая система должна находиться не дальше уровня 5 от высокоточного источника времени

    Примечание

    Запустите `w32tm /query/status’ из командной строки, чтобы увидеть слой

  • Целевая система должна находиться в пределах 4 или менее сетевых переходов от высокоточного источника времени

  • Среднедневная загрузка ЦП на каждом уровне не должна превышать 80%

  • Для виртуализированных систем однодневная средняя загрузка ЦП хоста не должна превышать 80%

Рекомендация. Настройте корневой основной контроллер домена с помощью авторитетного источника времени и избегайте широко распространенного перекоса времени

  • Статья
  • 3 минуты на чтение
  • 3 участника

Полезна ли эта страница?

да Нет

Любая дополнительная обратная связь?

Отзыв будет отправлен в Microsoft: при нажатии кнопки отправки ваш отзыв будет использован для улучшения продуктов и услуг Microsoft.Политика конфиденциальности.

Представлять на рассмотрение

В этой статье

Зачем рассматривать это

Ваш корневой эмулятор PDC не настроен на использование сервера протокола сетевого времени (NTP). Многие функции Windows и сети зависят от надежной синхронизации времени по сети. Сбои синхронизации времени могут вызывать различные проблемы, в первую очередь сбои при входе в систему.Аутентификация Kerberos и единый вход на основе утверждений могут завершиться ошибкой из-за разницы во времени.

Посмотрите, как инженер по работе с клиентами объясняет проблему

Контекст и лучшие практики

По умолчанию все компьютеры и устройства в домене синхронизируют системное время с использованием иерархии домена. Члены домена синхронизируют время с контроллерами домена, которые, в свою очередь, синхронизируют время с контроллером домена, выполняющим роль эмулятора основного контроллера домена. Эмулятор PDC корневого домена леса находится на вершине иерархии домена, поэтому настройка этого контроллера домена для синхронизации времени с иерархией домена недопустима.Служба времени Windows предупреждает вас об этом условии, записывая событие с идентификатором 12 в журнал событий Windows из источника событий W32Time.

В некоторых сценариях эмулятор основного контроллера домена получает время от часов BIOS. Однако этот подход имеет недостатки. Если время и дата не установлены точно в BIOS эмулятора PDC, настройки времени и даты будут неправильными во всем домене. Кроме того, если эмулятор PDC отключится, члены домена не смогут синхронизировать время. Лучше настроить эмулятор основного контроллера домена для прямой синхронизации времени с внешним источником времени.Кроме того, вы можете настроить другое устройство в своем домене для синхронизации времени с внешней службой времени, а затем настроить эмулятор основного контроллера домена для использования внутреннего сервера времени в качестве авторитетного источника времени.

Официальные внешние источники времени — это службы с выходом в Интернет, обычно поддерживаемые государственными, научными или образовательными учреждениями, которые позволяют синхронизировать системное время с помощью протокола сетевого времени (NTP). Например, NIST предоставляет серверы времени в различных местах США.

Предлагаемые действия

Вы можете настроить контроллер домена с ролью PDCE на использование NTP-сервера для синхронизации времени. Существует несколько подходов:

Чтобы настроить синхронизацию времени через командную строку, в эмуляторе PDC откройте административную командную строку и используйте следующие команды:

w32tm.exe/config/syncfromflags:manual/manualpeerlist:131.107.13.100,0×8/reliable:yes/update

w32tm.exe/config/update

**Примечание. **IP-адрес в примере — это сервер времени Национального института стандартов и технологий (NIST) в Microsoft в Редмонде, штат Вашингтон.Замените этот IP-адрес службой времени по вашему выбору.

Чтобы настроить синхронизацию времени через редактирование реестра на эмуляторе PDC, выполните следующие действия:

  1. Открыть Редактор реестра ( regedit.exe )
  2. Перейдите к следующему разделу реестра: HKLM\System\CurrentControlSet\Services\W32Time\Parameters
  3. Чтобы использовать определенный источник NTP, измените значение Type на NTP
  4. .
  5. Измените значение NtpServer , чтобы оно содержало сервер NTP для синхронизации времени, за которым следует 0x8, например 131.107.13.100,0×8 . Несколько серверов NTP должны быть разделены пробелами, например 131.107.13.100,0×8 24.56.178.140,0×8
  6. Откройте административную командную строку и выполните следующую команду: w32tm /config /update

Для настройки синхронизации времени с помощью групповой политики

  1. Открыть Консоль управления групповыми политиками
  2. Создать новый объект групповой политики
  3. Откройте объект групповой политики и перейдите к Параметры компьютера -> Административные шаблоны -> Система -> Служба времени Windows -> Поставщики времени
  4. Дважды щелкните Настройка Windows NTP-клиента.
  5. Установить состояние Включено
  6. Настройте тип на NTP
  7. Настройте NTPServer так, чтобы он указывал на IP-адрес сервера времени, за которым следует ,0x8 , например: 131.107.13.100,0×8
  8. Закрыть редактор групповой политики
  9. В панели Security Filtering консоли управления групповой политикой удалите Прошедших проверку пользователей для вновь созданной политики и добавьте машину, которая содержит роль эмулятора PDC
  10. Связать объект групповой политики с контроллерами домена OU

Устранение неполадок

Чтобы просмотреть текущую конфигурацию службы времени Windows, используйте следующую команду в командной строке с повышенными привилегиями:

w32tm/запрос/конфигурация

, чтобы увидеть текущий источник синхронизации времени, используйте следующую команду:

w32tm /запрос/источник

Узнать больше

Дополнительные сведения о том, как синхронизировать контроллеры домена с внешним источником времени, см. в разделе Синхронизация сервера времени для контроллера домена с внешним источником на сайте https://technet.microsoft.com/library/cc784553.aspx.

Для получения дополнительной информации об Интернет-службе времени NIST см. Интернет-службу времени NIST (ITS) по адресу https://www.nist.gov/pml/div688/grp40/its.cfm.

Дополнительные сведения о службе времени Windows см. в статье «Как работает служба времени Windows» по адресу https://docs.microsoft.com/windows-server/networking/windows-time-service/how-the-windows-time-service. -работает

Чтобы получить общий отзыв о Центре ресурсов или содержимом, отправьте свой ответ в UserVoice.Для конкретных запросов и обновлений контента, касающихся Services Hub, свяжитесь с нашей службой поддержки, чтобы отправить запрос.

Как отключить синхронизацию времени с компьютерами домена Windows Server 2019 contro

spicehead-yxc90 написал:

при незаконном изменении времени в клиентской системе

Добро пожаловать в Spiceworks и ее сообщество.

  • Как вы можете незаконно изменить время на клиенте, присоединенном к домену?

Мне неизвестно о законе, регулирующем изменение времени в клиентских системах, присоединенных к домену.Даже те строго регулируемые бизнес-сферы, с которыми я работал, регулировали такие детали не законом, а делегировали такие детали стандартам. Я думаю, что может быть одна сфера бизнеса, где изменение времени может регулироваться законом, но я еще не работал в этой сфере бизнеса. Так что только там такие изменения могут быть признаны незаконными и санкционируемыми. В других сферах бизнеса с регламентом о времени и изменении времени оно определяется не законом, а судебными решениями и связано с оценкой обязательств.

Возможно, вы имели в виду несанкционированные или несанкционированные изменения времени на клиентских системах, присоединенных к домену, а не незаконные изменения. Но, насколько я понял OP, организация, похоже, не нуждается в утверждении, и многие вещи разрешены, включая системные привилегии для тех пользователей, не являющихся администраторами, которые запрашивают их. Так что для организации ОП это не кажется ни несанкционированным, ни неутвержденным. Я не могу рекомендовать такую ​​политику. Но если организация OP решит иначе, это будет риск.

spicehead-yxc90 написал:

да, вы можете изменить другой часовой пояс.

В этом разница между NTP и службой времени Windows. NTP всегда работает в формате UTC, независимо от часового пояса и настроек отображения времени пользователей. Для службы времени Windows у вас могут быть аппаратные часы, работающие либо в формате UTC, либо в местном времени. Это стало настраиваемым, хотя такая конфигурация UTC задокументирована за пределами ресурсов Mircosoft.

  • Итак, вы имеете в виду изменение часового пояса для аппаратных часов или отображаемого времени?
Был ли этот пост полезен? палец вверх thumb_down .

Добавить комментарий

Ваш адрес email не будет опубликован.