Sinhronizirajte čas s krmilnikom domene. Nastavitev sinhronizacije časa

Sinhronizacija sistemskega časa v domeni Active Directory je pomembna za pravilno delovanje številnih funkcij na delovnih postajah v sistemu Windows. Neuspela sistemska ura lahko vpliva na zmožnost uporabnika, da se prijavi, prekine premikanje pošte v Exchangeu in ustvarja vrsto drugih težav, ki jih je težko odkriti. V zapletenih primerih standardne metode za sinhronizacijo časa v omrežju niso 100% zanesljive ali celo predvidljive. Na primer, če ura fizičnega gostitelja Hyper-V preneha sinhronizirati, to običajno vpliva na vse navidezne naprave, včasih katastrofalne. Na srečo ni potrebno nobenega napora za popravljanje napak pri sinhronizaciji časa.


Izbira računalnika kot časovnega vira

Prva nastavitev časovne sinhronizacije je, da izberete računalnik, ki bo postal glavni vir sistemskega časa v vaši domeni. Običajno je računalnik, ki izbere računalnik v vlogi Active Directory kot vlogo glavnega emulatorja krmilnika domene (PDC). Po uradni dokumentaciji Microsofta je glavni vir, iz katerega omrežje prejme časovne podatke. Vendar to v praksi ni vedno mogoče. Stroj, ki ga izberete, se bo redno posvetoval z internetnimi viri, zato, če ste na strogo zaščitenem objektu z visokimi zahtevami glede informacijske varnosti, je vredno razmisliti o prenosu te vloge na drug računalnik.


Na primer,lahko ustvarite namenski strežnik, ki bo prejel informacije o času iz interneta in ga prenesel v emulator PDC. V tem primeru boste imeli več računalnikov, ki bodo služili kot viri časa za stroje, vključene v omrežje.

Konfiguriranje požarnega zidu

Promet ob sinhronizaciji s krmilnikom domene prejme UDP pristanišče 123. Pri izvornem računalniku morajo biti ta vrata odprta za dohodne povezave. Na vseh strojih v omrežju morajo biti vrata 123 odprta za odhodne povezave, vsaj pri krmilniku domene.

Konfiguriranje krmilnika domene

Če želite sinhronizirati čas z krmilnikom domene na strežniku, ki igra vlogo emulatorja PDC, morate z ukazno vrstico izvesti naslednje korake: 1. Preverite, ali je krmilnik domene, v katerem delate, emulator PDC. z izvajanjem ukaza netdom query fsmo 2. Na emulacijskem strežniku PDC izvedite naslednje ukaze za sinhronizacijo v določenem vrstnem redu: net stop w32time w32tm /configure /syncfromflags: manual /manualpeerlist:"0.us.pool.ntp.org .pool.ntp.org, 0x1 2.us.pool.ntp.org, 0x1 3.us.pool. ntp.org, 0x1 "Zunanji privzeti časovni vir za Windows Server je strežnik time.windows.com. Najboljša možnost je sinhronizacija z več časovnimi strežniki. V zgornjem ukazu uporabljamo časovne strežnike, ki jih podpira NTP Pool Project. 3. Če ima Active Directory več krmilnikov domene, zaženite naslednji ukaz v ukaznem pozivu: w32tm /config /syncfromflags: domhier /update 4. Preverite, ali so nastavitve časa strežnika pravilne. PDC emulacija: w32tm /query /status: 5. Preverite pravilno konfiguracijona vseh drugih krmilnikih domene: w32tm /query /status:

Konfiguriranje DHCP

Za sinhronizacijo časa s krmilnikom domene na napravah, odgovor za DHCP, nastavitve DHCP strežnika na 004 in 042.
Za zapise DHCP lahko uporabljate samo naslove IP. Vnesete lahko ime strežnika in kliknite Razreši, da dobite naslov IP strežnika. Če uporabljate DHCP z napravo Cisco, v nastavitve DHCP vnesite naslednje ukaze: možnost 4 ip [IP naslov] možnost 42 ip [naslov IP] IP naslov mora zamenjati dejanski strežnik IP, ki služi kot vir časa. Zdaj bodo vse naprave DHCP od strežnika prejele nastavitve časa z naslednjo nadgradnjo.

Konfiguriranje statičnih naprav in računalnikov v drugih operacijskih sistemih

Večina naprav NAS in SAN ima možnost vnašanja podatkov o ponudniku časovnih nastavitev. Če želite konfigurirati sinhronizacijo časa s krmilnikom domene na napravah Cisco IOS, vnesite v ukazno vrstico: strežnik ntp 19216825.5 Naslov IP naj bo zamenjan z dejanskim strežnikom IP, ki služi kot časovni vir. Če želite konfigurirati sinhronizacijo časa v računalniku v operacijskem sistemu, ki ni Windows, glejte dokumentacijo operacijskega sistema. Vendar pa za druge operacijske sisteme pravilne nastavitve časa niso tako pomembne kot Windows, zato lahko sinhronizacijo celo zavrnete.

Konfiguriranje virtualnih strojev za goste

Vsi sodobni hipervizorji imajo možnost sinhronizirati sistemski čas za gostujoče stroje z vgrajenimi orodji. ČeČasovna sinhronizacija v domeni je omogočena, gostinski stroji bodo prejeli čas od fizičnega gostitelja, na katerem delujejo. V večini primerov morate to funkcijo izklopiti za gostujoče strežnike Windows Server, ki služijo kot virtualizirani krmilniki domene. Za vse ostale goste je treba vključiti.
Če želite konfigurirati sinhronizacijo časa s krmilnikom domene v hipervizorju Hyper-V, odprite pogovorno okno Možnosti in se pomaknite na zavihek Storitve integracije. Izberite ali počistite potrditveno polje Časovna sinhronizacija. Za druge hipervizorje glejte dokumentacijo proizvajalca.

Konfiguriranje pravilnika skupine

Da bi resnično prepričali svoje računalnike v operacijskem sistemu Windows, da uporabijo nastavitve časa, ki jih je izvedel krmilnik domene, morate konfigurirati pravilnike skupine. Če želite namestiti novo skupinsko politiko, odprite orodje za upravljanje pravilnikov v krmilniku domene ali v računalniku, na katerem so nameščena orodja za upravljanje oddaljenega strežnika. Razširite domeno. Z desno tipko miške kliknite na postavko predmetov pravilnika skupine, kliknite Novo. Novemu pravilniku dajte ime in kliknite V redu.
Z desno miškino tipko kliknite novo politiko in kliknite Uredi. S tem boste zagnali okno urejevalnika pravilnika skupine. Pojdite v konfiguracijo računalnika & gt; Pravilniki & gt; Skrbniške predloge & gt; Sistem - & gt; Windows Time Service & gt; Ponudniki časa. V desnem podoknu dvokliknite Omogoči odjemalca NTP za Windows. Nastavite možnost na Omogočeno, kliknite V redu. Nato dvokliknite Konfiguriraj odjemalca NTP za Windows. Prilagodite nastavitve, kot je prikazano na spodnji sliki, tako da v polje NtpServer dodate 0x1.yourdc.yourdomain.tld, 0x1.
Ko shranite pravilnik skupine, zaprite urejevalnik. Vrnili se boste v okno nadzorne konzole glavne smernice skupine. Če je v vaši domeni veliko pravilnikov, z desno miškino tipko kliknite novo načelo in pojdite na status GPO & gt; Nastavitve konfiguracije uporabnika onemogočene. To bo pospešilo obdelavo vsake politike. Zdaj z desno miškino tipko kliknite objekt Active Directory, za katerega želite uporabiti to načelo, in kliknite povezava obstoječega GPO. Označite novo politiko in kliknite V redu. Po potrebi ponovite korake za druge predmete.
Ne pozabite, da ugnezdeni objekti podedujejo skupinske pravilnike od svojih staršev, če dedovanje ni blokirano ali podrejeni objekt nima lastne povezane skupine s konfliktnimi nastavitvami.

Nastavljanje drugih krmilnikov domene

Če sledite zgornjim korakom, da zagotovite časovno sinhronizacijo za vašo domeno, je skoraj zagotovljeno, da nastavite pravi čas za vse računalnike v omrežju. Zato se drugih krmilnikov domene (če imate več kot enega) ni mogoče dotakniti. Če želite biti prepričani, da uporabljajo pravi čas, lahko uredite pravilnik lokalne skupine. Pojdite v meni »Start« & gt; Zaženite vnesite gpedit.msc. Kliknite V redu. Nato uporabite enake nastavitve kot v prejšnjem razdelku. Če krmilnik domene, na katerem želite delati, upravlja Windows Server Core, lahko to storite na daljavo, če je ta možnost omogočena na omrežnem zaslonu. Samo zaženite mmc.exeračunalnik z grafičnim vmesnikom, odprite točko menija Datoteka & gt; Dodaj /odstrani snap-in, dvokliknite urejevalnik predmetov pravilnika skupine, pomaknite se do računalnika, na katerem želite urediti pravilnik skupine.

Preverjanje rezultata

Zaženite kateri koli ukazni ukaz na katerem koli računalniku z operacijskim sistemom Windows in vnesite: gpupdate w32tm /query /source Kot rezultat izvajanja ukaza na krmilniku domene, naslov enega od NTP strežnikov so bili navedeni kot zunanji viri časa iz interneta. Na delovni postaji uporabnika ukaz vrne naslov krmilnika domene. Na navideznem računalniku Hyper-V, kjer je omogočena sinhronizacija, se prikaže sporočilo: VM IC Time Synchronization Provider. Če ukaz signalizira, da je določena z lokalno uro CMOS, sinhronizacija časa v domeni ne deluje.

Sorodne publikacije