Настройка синхронизации времени Windows Server 2016

Обновлено: 01.07.2024

Служба времени Windows является основой для нормального функционирования домена Active Directory. Kerberos, основной протокол проверки подлинности AD, для правильной работы использует службу времени W32Time (Windows Time). В среде AD синхронизация времени осуществляется в соответствии со строгой иерархией: компьютеры и серверы, присоединенные к домену, получают время от ближайшего контроллера домена, на котором они зарегистрированы, все контроллеры домена синхронизируют свое время с одним контроллером домена, которому принадлежит PDC. Роль эмулятора FSMO.

Как служба времени Windows работает в домене?

Все версии Windows имеют службу W32Time. Эта служба используется для синхронизации времени в организации AD. Компьютер может быть как клиентом, так и сервером NTP. По умолчанию клиенты в домене синхронизируют время с помощью службы времени Windows, а не с помощью NTP.

По умолчанию служба времени Windows настроена следующим образом:

  • После выполнения чистой установки Windows на компьютере запускается NTP-клиент, который синхронизируется с внешним источником времени;
  • Если вы присоединили компьютер к домену, тип синхронизации изменится. Все клиентские компьютеры и рядовые серверы в домене используют контроллер домена для синхронизации времени.
  • При повышении уровня рядового сервера до контроллера домена на нем запускается NTP-сервер, который использует в качестве источника времени контроллер домена с ролью эмулятора PDC;
  • Эмулятор PDC — это основной сервер времени для всей организации. При этом также синхронизируется с внешним источником времени, либо с аппаратными часами сервера в CMOS (данный способ синхронизации времени не рекомендуется);
  • Эта схема работает в большинстве случаев и не требует вмешательства администратора. Однако структура службы времени в Windows может не соответствовать иерархии доменов.

Если вы столкнулись с проблемой, когда время на клиентах и ​​контроллерах домена отличается, скорее всего, в вашем домене проблема с синхронизацией времени и тогда эта статья может быть вам очень полезна.

Настройка синхронизации времени домена с помощью групповой политики состоит из двух шагов:

  1. Создайте объект групповой политики для контроллера домена с ролью PDC;
  2. Создайте объект групповой политики для клиентских компьютеров Windows в домене AD.

Настройка NTP-сервера на PDC

Прежде всего необходимо настроить PDC и включить на нем службу NTP. Откройте командную строку и выполните:

Если вы видите в выводе:

  • Локальные часы CMOS — источником времени на этом сервере являются его локальные аппаратные часы;
  • VM IC Time Synchronization Provider — тогда ваш контроллер домена с ролью PDC является виртуальной машиной, которая синхронизирует время с хостом.

Отключить синхронизацию времени с хостом через реестр:

  • Установите для параметра Enabled значение 0 в разделе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider

или в настройках виртуальной машины (на снимке экрана ниже показано, как отключить синхронизацию времени ВМ с хостом Hyper-V с помощью параметра Синхронизация времени в разделе Службы интеграции).

ntp gpo

Если вы используете виртуализированный контроллер домена на VMware vSphere/ESXi, вы можете отключить синхронизацию времени в настройках виртуальной машины (Правка настроек > Параметры VM > Инструменты VMware > Время, снимите флажок Синхронизировать время гостя с хостом).< /p>

ширина сервера времени групповой политики

Или добавьте следующие параметры в расширенную конфигурацию ВМ:

Примечание. Эмулятор виртуального основного контроллера домена всегда должен синхронизировать время с внешним источником, а синхронизация времени с хостом должна быть отключена. Это также относится к любым другим виртуальным машинам, присоединенным к домену.

Убедитесь, что служба NTP включена на контроллере домена. Для этого откройте редактор реестра, перейдите в раздел реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer и убедитесь, что значение параметра Enabled равно 1.

gpo ntp

Настройка параметров NTP на контроллере домена PDC с помощью GPO

На этом этапе вам необходимо настроить контроллер домена с ролью эмулятора PDC для синхронизации времени с внешним источником. Роль эмулятора PDC можно передавать между контроллерами домена, поэтому нам нужно убедиться, что GPO применяется только к текущему держателю роли основного контроллера домена.Для этого запустите консоль управления групповыми политиками (GPMC.msc). Выберите раздел «Фильтры WMI» и создайте новый фильтр WMI с именем «Эмулятор фильтра PDC» и следующий запрос WMI в пространстве имен root\CIMv2. Выберите * из Win32_ComputerSystem, где DomainRole = 5.

групповая политика ntp

Создайте новый объект групповой политики и свяжите его с OU под названием «Контроллеры домена».

групповая политика ntp

Выберите этот объект групповой политики и переключитесь в режим редактирования. Перейдите в следующий раздел консоли редактора групповой политики: Конфигурация компьютера > Административные шаблоны > Система > Служба времени Windows > Поставщики времени.

Включите следующие параметры политики:

  • Настроить клиент Windows NTP: включено (параметры политики описаны ниже);
  • Включить клиент Windows NTP: включено;
  • Включить Windows NTP-сервер: включено.

gpo ntp server

Укажите следующие параметры в политике Настройка Windows NTP-клиента:

Примечание. Не забудьте правильно настроить брандмауэр и разрешить вашему PDC доступ к внешним NTP-серверам по протоколу NTP (UDP-порт 123).

Вы можете открыть порт NTP в брандмауэре Защитника Windows с помощью PowerShell:

сервер времени gpo

Назначьте фильтр WMI Filter PDC Emulator, созданный ранее, объекту групповой политики.

заставить клиентов синхронизировать время с контроллер домена gpo

Совет. Вы можете найти текущий сервер PDC с помощью команды:

Выполните ручную синхронизацию времени с источником NTP:

И проверьте текущие настройки NTP:

Выполните команду:

При выполнении на контроллере домена эта команда показывает, насколько отличается время между другими контроллерами домена и внешним источником времени, для которого настроен основной контроллер домена.

Совет. Если что-то не работает, попробуйте перезапустить службу времени Windows и сбросить ее настройки:

Кроме того, вы можете настроить PDC на использование внешнего источника времени с помощью инструмента w32tm.exe:

После указания списка NTP-серверов необходимо сообщить службе времени для обновления настроек:

Настройка параметров синхронизации времени клиента с помощью объекта групповой политики

По умолчанию в Active Directory клиенты домена синхронизируют свое время с контроллерами домена (опция Nt5DS — синхронизировать время с иерархией домена). Как правило, это поведение не требует перенастройки. Однако, если есть проблемы с синхронизацией времени на клиентах вашего домена, вы можете попробовать указать сервер времени непосредственно на клиентах с помощью GPO.

Для этого создайте новый объект групповой политики и назначьте его организационной единице с компьютерами. В редакторе GPO перейдите в следующий раздел «Конфигурация компьютера» > «Административные шаблоны» > «Система» > «Служба времени Windows» > «Поставщики времени» и включите политику «Настроить клиент Windows NTP».

gpo set ntp server

В качестве NTP-сервера укажите имя или IP-адрес PDC:

Тип набора:

Примечание. Возможные значения параметра Type:

NoSync — сервер NTP не синхронизируется с каким-либо внешним источником времени. Используются системные часы, встроенные в микросхему CMOS сервера;

NTP — сервер NTP синхронизируется с внешними серверами времени, которые указаны в параметре реестра NtpServer (это поведение по умолчанию на отдельном компьютере);

NT5DS — сервер NTP выполняет синхронизацию в соответствии с иерархией домена (используется по умолчанию на присоединенных к домену компьютерах;

AllSync — сервер NTP использует все доступные источники для синхронизации времени.

Обновите параметры групповой политики на клиентах и ​​проверьте параметры синхронизации полученного времени, как описано выше.

Как вручную настроить Windows-клиент для синхронизации времени с NTP-сервером?

В этом разделе мы опишем, как вручную настроить синхронизацию времени на клиентах Windows. Это руководство можно использовать для настройки синхронизации времени на компьютерах Windows, не входящих в домен.

Сначала сбросьте все настройки службы времени и удалите службу:

gpo time sync

Перезагрузите компьютер, а затем повторно зарегистрируйте службу времени:

Запустите службу w32Time:

Настройте синхронизацию клиента Windows с сервером NTP (вашим основным контроллером домена):

ntp server gpo

Перезапустите службу:

Обновите настройки конфигурации времени:

Синхронизировать время:

Проверьте статус:

Включить автоматический запуск службы времени с помощью PowerShell:

Подсказка. Если вам нужно быстро синхронизировать ваше устройство Windows с сервером точного времени, запустите:

Мне нравится технология и разработка веб-сайтов. С 2012 года я веду несколько собственных веб-сайтов и делюсь полезным контентом по гаджетам, администрированию ПК и продвижению веб-сайтов.

Служба времени Windows — это компонент, использующий модель подключаемых модулей для поставщиков синхронизации времени клиента и сервера. В Windows есть два встроенных поставщика клиентов, а также доступны сторонние подключаемые модули. Один провайдер использует NTP (RFC 1305) или MS-NTP для синхронизации локального системного времени с эталонным сервером, совместимым с NTP и/или MS-NTP. Другой поставщик предназначен для Hyper-V и синхронизирует виртуальные машины (ВМ) с хостом Hyper-V. Если существует несколько поставщиков, Windows сначала выберет лучшего поставщика, используя уровень слоя, затем корневую задержку, корневую дисперсию и, наконец, смещение по времени.

Чтобы получить краткий обзор службы времени Windows, посмотрите этот обзорный видеоролик высокого уровня.

В этой теме мы обсуждаем . эти темы, поскольку они связаны с включением точного времени:

  • Улучшения
  • Измерения
  • Рекомендации

Дополнение, на которое ссылается статья о точном времени Windows 2016, можно загрузить здесь. В этом документе содержится более подробная информация о наших методиках тестирования и измерения.

Модель подключаемого модуля поставщика времени Windows задокументирована на TechNet.

Иерархия доменов

Домен и отдельная конфигурация работают по-разному.

Члены домена используют безопасный протокол NTP, который использует аутентификацию для обеспечения безопасности и подлинности эталонного времени. Члены домена синхронизируются с главными часами, определяемыми иерархией домена и системой подсчета очков. В домене существует иерархический слой временных слоев, посредством которого каждый контроллер домена указывает на родительский контроллер домена с более точным временным слоем. Иерархия разрешается в основной контроллер домена или контроллер домена в корневом лесу или контроллер домена с флагом домена GTIMESERV, который обозначает сервер хорошего времени для домена. См. раздел [Указание локальной службы точного времени с помощью GTIMESERV ниже.

Поскольку гости Hyper-V будут иметь по крайней мере два поставщика времени Windows на выбор, время хоста и NTP, вы можете увидеть различное поведение с доменом или автономным режимом при работе в качестве гостя.

Дополнительную информацию об иерархии доменов и системе оценки см. в разделе "Что такое служба времени Windows?" сообщение в блоге.

Уровень — это понятие, используемое как поставщиками NTP, так и поставщиками Hyper-V, и его значение указывает на расположение часов в иерархии. Уровень 1 зарезервирован для часов самого высокого уровня, а слой 0 зарезервирован для оборудования, которое считается точным и имеет небольшую задержку или вообще не имеет ее. Уровень 2 общается с серверами уровня 1, уровень 3 — с серверами уровня 2 и так далее. Хотя более низкий слой часто указывает на более точные часы, можно найти расхождения. Кроме того, W32time принимает время только из слоя 15 или ниже. Чтобы просмотреть уровень клиента, используйте w32tm /query /status.

Важнейшие факторы точного времени

В любом случае для точного времени важны три фактора:

Для устройств с батарейным питанием, как мобильных, так и портативных, необходимо использовать разные стратегии. В соответствии с нашей рекомендацией, для поддержания точного времени требуется, чтобы часы синхронизировались раз в секунду, что соответствует частоте обновления часов. Эти настройки будут потреблять больше энергии аккумулятора, чем ожидалось, и могут мешать режимам энергосбережения, доступным в Windows для таких устройств. У устройств с батарейным питанием также есть определенные режимы питания, которые останавливают работу всех приложений, что мешает способности W32time дисциплинировать часы и поддерживать точное время. Кроме того, часы на мобильных устройствах могут быть не очень точными. Окружающие условия влияют на точность часов, и мобильное устройство может переходить из одного состояния окружающей среды в другое, что может повлиять на его способность точно отображать время. Поэтому корпорация Майкрософт не рекомендует настраивать портативные устройства с батарейным питанием с параметрами высокой точности.

Почему время важно?

Существует много разных причин, по которым вам может понадобиться точное время.Типичным случаем для Windows является Kerberos, для которого требуется 5-минутная точность между клиентом и сервером. Однако есть много других областей, на которые может повлиять точность времени, в том числе:

Сначала проверьте текущие настройки:

image

Это все параметры командной строки:

w32tm[/? | /регистр | /отменить регистрацию ]
? – это справочный экран.
register — зарегистрируйтесь для запуска в качестве службы и добавьте конфигурацию по умолчанию
в реестр.
unregister — отменить регистрацию службы и удалить всю информацию о конфигурации
из реестра.

w32tm /monitor [/domain: ]
[/computers: [, [, …]]]
[/threads: ] [/ipprotocol: ] [/nowarn]
domain – указывает, какой домен отслеживать. Если доменное имя
не указано или не указан ни домен, ни компьютеры,
используется домен по умолчанию. Эту опцию можно
использовать более одного раза.
компьютеры – отслеживает заданный список компьютеров.
Имена компьютеров разделяются запятыми без пробелов. Если имя имеет
префикс «*», оно рассматривается как AD PDC. Эта опция
может быть использована более одного раза.
threads — сколько компьютеров анализировать одновременно.
Значение по умолчанию: 3. Допустимый диапазон: 1–50.
ipprotocol — укажите используемый IP-протокол. По умолчанию
используется все доступное.
nowarn — пропустить предупреждающее сообщение.

w32tm /ntte
Преобразование системного времени NT с интервалами (10^-7) с от 0 часов 1 января 1601 года
в удобочитаемый формат.

w32tm /ntpte
Преобразование времени NTP с интервалами (2^-32) с от 0 ч с 1 января 1900 года в
удобочитаемый формат.

w32tm /resync [/computer: ] [/nowait] [/rediscover] [/soft]
Сообщите компьютеру, что он должен повторно синхронизировать свои часы,
как можно скорее, выбрасывая все накопившиеся ошибки статистика.
компьютер: — компьютер, который должен повторно синхронизироваться. Если
не указано, локальный компьютер будет повторно синхронизирован.
nowwait — не ждать повторной синхронизации;
Немедленно вернуться. В противном случае дождитесь
завершения повторной синхронизации перед возвратом.
повторное обнаружение — повторное определение конфигурации сети и повторное обнаружение
сетевых источников, а затем повторная синхронизация.
soft — повторная синхронизация с использованием существующей статистики ошибок. Бесполезно,
предусмотрено для совместимости.

w32tm /stripchart /computer: [/period: ]
[/dataonly] [/samples: ] [/packetinfo] [/ipprotocol: ]
Отображение ленточной диаграммы смещения между этим компьютером и
другой компьютер.
компьютер: – компьютер для измерения смещения.
период: – время между выборками в секундах.
по умолчанию установлено значение 2 с.
только данные — отображать только данные, без графики.
образцы: – соберите образцы, затем остановитесь. Если
не указано, образцы будут собираться до тех пор, пока не будет нажата Ctrl-C.
packetinfo – распечатать ответное сообщение NTP-пакета.
ipprotocol — укажите используемый IP-протокол. По умолчанию
используется все доступное.

w32tm /config [/computer: ] [/update]
[/manualpeerlist:

] [/syncfromflags: ]
[/LocalClockDispersion: ]
[/reliable:(YES|NO)]
[/largephaseoffset: ]
компьютер: — настраивает конфигурация . Если
не указано, по умолчанию используется локальный компьютер.
обновление — уведомляет службу времени о
изменении конфигурации, в результате чего изменения вступают в силу.
руководство:

– устанавливает ручной список одноранговых узлов на

,
который представляет собой разделенный пробелами список DNS и/или IP-адресов.
При указании нескольких пиров этот переключатель должен быть заключен в
кавычки.
syncfromflags: — устанавливает, из каких источников клиент NTP должен
синхронизировать. должен быть разделенным запятыми списком
этих ключевых слов (без учета регистра):
MANUAL — синхронизация с одноранговыми узлами в ручном списке одноранговых узлов
DOMHIER — синхронизация с AD DC в иерархии домена
/>НЕТ — синхронизация ни с одного узла
ВСЕ — синхронизация с одноранговыми узлами вручную и домена. />время из настроенных источников.
reliable:(YES|NO) – укажите, является ли эта машина надежным источником времени.
Этот параметр имеет смысл только на контроллерах домена.
ДА – эта машина не является надежной службой времени
НЕТ – эта машина не является надежной службой времени
largephaseoffset: – устанавливает разницу во времени между
местным и сетевым временем, которое будет рассмотрите всплеск.

w32tm /tz
Отображение текущих настроек часового пояса.

w32tm /dumpreg [/subkey: ] [/computer: ]
Отображение значений, связанных с данным разделом реестра.
Ключ по умолчанию — HKLM\System\CurrentControlSet\Services\W32Time
(корневой ключ для службы времени).
подключ: — отображает значения, связанные с подразделом
ключа по умолчанию.
компьютер: — запрашивает настройки реестра для компьютера.

w32tm /query [/computer: ]

[/verbose]
Отображение информации службы времени Windows на компьютере.
компьютер: – запросить информацию о . Если
не указано, по умолчанию используется локальный компьютер.
источник: отображение источника времени.
configuration: отображение конфигурации времени выполнения и
откуда берутся настройки. В подробном режиме также отображать неопределенные
или неиспользуемые настройки.
пиры: отображение списка пиров и их статуса.
статус: отображение статуса службы времени Windows.
Подробный: установите подробный режим для отображения дополнительной информации.

w32tm /debug [/truncate]>>
Включить или отключить частный журнал службы времени Windows на локальном компьютере.
отключить: отключить личный журнал.
включить: включить личный журнал.
файл: — укажите абсолютное имя файла.
size: — укажите максимальный размер для циклического логирования.
записи: – содержит список флагов, указанных числом и
разделенных запятыми, которые определяют типы информации, которая
должна быть зарегистрирована. Допустимые числа: от 0 до 300. Диапазон чисел
допустим, в дополнение к отдельным числам, например 0-100,103,106.
Значение 0-300 предназначено для регистрации всей информации.
truncate: обрезать файл, если он существует.

Теперь, когда вы настроили сервер для правильной синхронизации, вы можете использовать его в качестве внутреннего NTP-сервера для других устройств.

СОВЕТ:

Не забудьте установить правила UDP 123 брандмауэра для принятия.

Несомненно, точное время в вашей среде, установленное в критически важных системах инфраструктуры, является обязательным. Многие критически важные для бизнеса приложения и инфраструктурные системы полагаются на точную синхронизацию времени между ними, чтобы гарантировать, что система работает должным образом. Перекос времени может вызвать всевозможные странности, когда он неправильно настроен или не синхронизирован между разными серверами/системами. Это особенно верно в домене Windows Server Active Directory. Важно иметь точное время между клиентским компьютером и контроллерами домена. Давайте посмотрим, как настроить ntp-сервер Windows 2016 или Windows 2019, чтобы увидеть, как это можно легко сделать.

Что такое NTP?

Когда дело доходит до синхронизации времени в большинстве сред, сетевой протокол времени (NTP) – это протокол, который используется для обеспечения точного времени в вашей среде. В большинстве сред настроены серверы NTP, специальные серверы времени, которые предоставляют внешний источник времени, с которым ваши внутренние серверы могут синхронизироваться.

  • NTP-сервер — это специализированный сервер, который может определять точное время по внешнему эталону времени, такому как GPS, и передавать эти точные значения времени в вашу сеть.
  • Смещение — это разница во времени между внешним сервером времени и временем на локальном клиентском компьютере. Чем больше смещение, тем более неточным является источник синхронизации.
  • Задержка. Это значение времени приема-передачи (задержки) сообщения синхронизации между клиентом и сервером и обратно.

Как время синхронизируется в домене Windows Server

В домене Windows Microsoft использует конфигурацию по умолчанию, которая обеспечивает большую часть конфигурации NTP. Начиная с Windows 2000 Server, клиенты Windows настраиваются как клиенты NTP. При настройке в качестве клиента NTP компьютеры Windows пытаются связаться только с контроллером домена для синхронизации NTP или с указанным вручную сервером NTP.

Microsoft сделала контроллер домена контроллером домена по умолчанию в домене Windows, поскольку вполне логично, что у клиентов уже установлен безопасный канал с контроллерами домена для других типов связи. Кроме того, точное и синхронизированное время между контроллерами домена и клиентами особенно важно для самых разных вещей, таких как вход в систему, синхронизация групповой политики и другие задачи/операции.

Порядок операций или иерархия в домене Windows следующий:

  • Члены домена пытаются синхронизировать время с любым контроллером домена, расположенным в домене
  • Контроллеры домена синхронизируются с более авторитетным контроллером домена
  • Первый контроллер домена, установленный в среде, автоматически настраивается как надежный источник времени.
  • За исключением первого установленного контроллера домена, эмулятор основного контроллера домена (если роль была перенесена с первого установленного контроллера домена) обычно занимает позицию лучшего источника времени.

Важным моментом, который следует учитывать, когда мы думаем о том, почему мы устанавливаем ntp-сервер в Windows 2016 или Windows 2019, является то, что полномочный контроллер домена также должен иметь надежный источник для синхронизации. Обычно это внешний сервер времени вне иерархии домена.

Теперь, когда мы знаем, как настроена иерархия домена для времени, как настроен внешний источник времени на контроллере домена, настроенный как надежный источник времени?

Настройка службы времени Windows с помощью W32tm.exe

Что касается сред Windows Server, таких как Windows Server 2016 или Windows Server 2019, существует специальная служба Windows, которая управляет синхронизацией времени ваших хостов Windows. Это служба времени Windows.

Microsoft предоставляет инструмент командной строки для взаимодействия со службой времени Windows под названием W32tm.exe. Это было включено в операционные системы Windows, начиная с Windows XP/Windows 2003 и более поздних версий. Его можно использовать для настройки параметров службы времени Windows, а также для диагностики проблем со службой времени. Как правило, это средство выбора, когда речь идет о настройке, мониторинге и администрировании времени Windows.

Использование утилиты W32tm.exe довольно просто. Его можно использовать как из обычной командной строки, так и из командной строки PowerShell. Включено несколько параметров команды, которые позволяют не только настраивать серверы NTP, которые вы хотите запрашивать, но также параметры, позволяющие просматривать конфигурацию реестра нижнего уровня, а также состояние синхронизации.

Однако есть несколько команд, которые я хотел бы показать вам для настройки контроллера домена, который должен быть надежным источником времени (эмулятор PDC) для вашего домена.

Читайте также: