none
Синхронизация времени в домене - букет проблем

    Question

  • Доброго времени суток!

    Кратко из истории вопроса: Был "старый" КД (PDC, 2003)- назовём его для определённости "КД-олд". На нём работал NTP, нормально синхронился с time.windows.com. Затем был поднят второй КД - его назовём "КД-нью", на него были переданы все роли. Сервер времени со старого на новый не переносился - ветка HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters на старом=>NTP, на новом=>NT5DS . В таком видя я получил сеть. (Там много ещё чего, но сейчас интересует именно вопрос работы служб времени в домене).

    Планируя реконструкцию всей сети я поднял ещё один КД на 2008R2. Для приведения в порядок общей ситуации указанная ветка реестра была переведена на КД-олд в NT5DS,  на КД-нью - в NTP, на нём же указан внешний сервер (time.windows.com,0x1) для синхронизации. На ФВ был для адреса КД-нью открыт UDP123. НО! Команда w32tm /resync на КД-нью сообщала об отсутствии данных о времени, бла-бла. При этом на КД-олд синхронизация с внешним источником идёт "на ура", что подтверждается его логами. Долго и много читал в инете, штудировал мануалы, экспериментировал с флагами и настройками - воз и ныне там. Прописал на КД-нью в качестве внешнего источника КД-олд. Теперь resync выполняется. Но это решение а. временное (т.к. КД-олд должен быть убит вапче), б.неправильное. Кроме того, видимо, в процессе экспериментов были задеты ещё какие-то настройки, в рез-те свежий КД2008 не синхронится воопще. 

    Прошу помощи. В голове уже полная каша. Нужна внешняя воля для её, каши, структурирования. 

    Thursday, November 08, 2012 10:19 AM

Answers

  • Добрый день.

    Посмотрите наше обсуждение тут. Я вкратце обрисовал, что нужно сделать после передачи роли PDC.- Роль вы передаете, а параметр извольте ручками включить -он вместе с ролью не приедет, W32Time, к слову, делает тоже самое.

    Поэтому схема действий будет такая.

    Проверяем, кто держит роль PDC: netdom query fsmo. Далее, проверяем у него параметр NT5DS (возможно после всех ваших манипуляций лучше выполнить  w32tm  /unregister, и затем register. - она просто сбросит параметры реестра в дефолт.

    Проверяете настройки w32tm /monitor , убеждаетесь, что вывод показывает на ваш PDC как на надежный источник.

    • Marked as answer by ekotik Friday, November 09, 2012 5:30 AM
    Thursday, November 08, 2012 1:39 PM

All replies

  • Тот сервер, который является эмулятором PDC в домене должен быть настроен на синхронизацию времени от внешнего источника. Остальные сервера и рабочие станции должны быть настроены на NT5DS.

    Чтобы компьютер мог синхронизироваться с внешним источником, нужно чтобы от него в СЕТЬ пропускались UDP-пакеты с/на порт 123 и к нему ИЗ СЕТИ пропускались UDP-пакеты с/на 123 порт. Одного внешнего источника времени мало, нужно брать 2..3.

    И не нужно конфигурировать службу времени через реестр, для настройки есть утилита w32tm.exe. Ей же можно мониторить состояние времени на всех DC домена.


    Сергей Панченко

    Thursday, November 08, 2012 12:21 PM
  • По порядку:

    Я и пытаюсь настроить эмулятор PDC на синхронизацию от внешнего источника. Только он к нему не цепляется! На файерволле сделал специальное правило, в котором для PDC открыл порт UDP123 в обе стороны. Запросы от PDC наружу ВИЖУ на ФВ,они проходят. Только вот, что странно - текущий PDC мне говорит, что НЕТ источников времени, а когда я прошу _бывший_ PDC взять точное время - НЕ ВОПРОС! Успешно завершена команда! При этом никакого правила для старого КД на ФВ НЕТ!!! Сейчас поробую ещё глянуть на его запросы в сеть.

    На текущем PDC из серверов времени остался один, было восемь, что лишь увеличивало количество ошибок в Эвентах. Если до одного достучится, то и до всех потОм сможет.

    Первоначально действовал согласно этому источнику: _http://argon.pro/blog/2010/05/ad-time-sync/ , там приведены оба способа и декларируется, что они равнозначны. Использовал и то, и другое. С реестром как-то проще - видны все параметры.

    Thursday, November 08, 2012 12:44 PM
  • Запросы от PDC наружу ВИЖУ на ФВ,они проходят. Только вот, что странно - текущий PDC мне говорит, что НЕТ источников времени

    Вы видите запросы, уходящие наружу. А приходящие снаружи видите?

    Посмотрите на обмен NTP старого сервера. Может, у Вас новый сервер не попадает в NAT, или ещё что...

    Если Вы не видите правил на брандмауэре для старого сервера, это не значит, что их нет. Неужто у Вас старый DC сиял в сеть белым адресом?


    Сергей Панченко

    Thursday, November 08, 2012 1:00 PM
  • Добрый день.

    Посмотрите наше обсуждение тут. Я вкратце обрисовал, что нужно сделать после передачи роли PDC.- Роль вы передаете, а параметр извольте ручками включить -он вместе с ролью не приедет, W32Time, к слову, делает тоже самое.

    Поэтому схема действий будет такая.

    Проверяем, кто держит роль PDC: netdom query fsmo. Далее, проверяем у него параметр NT5DS (возможно после всех ваших манипуляций лучше выполнить  w32tm  /unregister, и затем register. - она просто сбросит параметры реестра в дефолт.

    Проверяете настройки w32tm /monitor , убеждаетесь, что вывод показывает на ваш PDC как на надежный источник.

    • Marked as answer by ekotik Friday, November 09, 2012 5:30 AM
    Thursday, November 08, 2012 1:39 PM
  • Нет повести печальнее на свете, чем повесть о... том "старом" КД. Он висел второй картой в инете, на нём был ломаный Керио, почтовик, 1С и вдогонку - файловый сервер. Всё это - на SBS... До сих пор при рестарте логин надо ждать 25 минут 8(   ) Сейчас ничего этого на нём уже нету, остался только этот недосервер времени...  То есть, всё, чего было делать нельзя - было сделано моим предшественником.

    Всё.Высказался - полегчало.

    Теперь по сути - входящих ответов ни от одного из серверов не вижу. Вижу только запросы от них. Правило для старого - в дефолтовой полиси на ФВ.

    Thursday, November 08, 2012 2:03 PM
  • Добрый день, Дмитрий!

    Вашу ветку прочитал вдоль и поперёк - всё повторил, и не раз.Сейчас у меня уже что-то получилось - хотя не так, как мне хотелось бы, но снхронизации на всех КД я добился. К сожалению, сейчас продолжить не могу - напишу подробно завтра. Всё ещё надеюсь на конечный ПРАВИЛЬНЫЙ результат с Вашей помощью.

    Thursday, November 08, 2012 2:06 PM
  • Да нет проблем, все вместе поможем. Я-то думал, кстати, что мы закрыли ту тему, а ее не пометили как ответ)) Вот так бывает ))) По поводу multihomed контроллеров, все прозаично - меняете порядок сетевых интерфейсов, ставя внутренний первым. Это еще не рекорд, когда  и экс 2003 еще рядом свистит, то рестарт машины и подъем длился 2 с половинкой часа в одном очень маленьком зеленом банке)

    Завтра проверяйте кто есть кто у вас, и делайте нужные настройки. Грабли очень распостраненные, все никак не пну себя написать статью по этому поводу)

    Thursday, November 08, 2012 2:42 PM
  • Дмитрий, всё склеилось!
    Недаром говорят, что утро отличается от вечера в лучшую сторону ;)

    И всё - благодаря обсуждению здесь. Ключевым словом оказалось слово "NAT". Когда сделал правило, то не включил в нём трансляцию. С вечера оно (слово) у меня в голове гвоздём торчало. Сейчас поправил правило, поменял peer, и - ву а ля! Остальное - дело техники. Теперь ничто не удерживает меня от убиения страдальца SBSника. Земля ему пухом.

    Ещё раз - спасибо и до скорого. Следующей задачей будет "расчленение" почтовика и КД и убиение вычлененного КД (эмулятора PDC) ))) Тоже задачка из нетривиальных. Есть какой-нть практический опыт в этом деле?

    С уважением, Евгений.


    • Edited by ekotik Friday, November 09, 2012 5:31 AM
    Friday, November 09, 2012 5:31 AM
  • Конечно,есть. Создаете новую тему,  кратко ссылаетесь на эту, обрисовывате ситуацию,, как она у вас есть. Коротко если- поднимается новый почтарь, переносятся ящики пользователей, проверяется работоспособность, убивается сначала старый почтовик, а затем и КД. Ну там вам насоветуем, как соберетесь.))

    Friday, November 09, 2012 5:36 AM
  • Спасибо!

    Friday, November 09, 2012 6:16 AM
  • Нет щщастья в жизни. Руку вылечил - нога отвалилась.

    Вопщем, полез в эвенты наслаждаться голубыми цветами - ан нет. КраснО там всё.

    Во первых - в Системных появилась тройка ошибок от "SideBySide":

    Type: Error
    Source: SideBySide
    Event ID: 32
    Event Time: 09.11.2012 11:03:16
    User: n/a
    Computer: DC01
    Description:
    Зависимая сборка Microsoft.Windows.Common-Controls не может быть найдена, последняя ошибка Указанная сборка не установлена в системе.

     Type: Error
    Source: SideBySide
    Event ID: 59
    Event Time: 09.11.2012 11:03:16
    User: n/a
    Computer: DC01
    Description:
    Resolve Partial Assembly завершилась не удачно для Microsoft.Windows.Common-Controls.
    Соответствующее сообщение об ошибке: Указанная сборка не установлена в системе.
    .

    Type: Error
    Source: SideBySide
    Event ID: 59
    Event Time: 09.11.2012 11:03:16
    User: n/a
    Computer: DC01
    Description:
    Generate Activation Context завершилась не удачно для C:\WINDOWS\system32\timedate.cpl.
    Соответствующее сообщение об ошибке: Указанная сборка не установлена в системе.
    .

    Нечто похожее нашёл тут _http://social.technet.microsoft.com/Forums/ru-RU/ws2008r2ru/thread/712f503c-d6a4-4873-aefe-81f4f8d9e78d/ и тут _http://forum.ru-board.com/topic.cgi?forum=62&topic=13178 

    Причём, во втором источнике больше похоже на мою ситуацию - тьфу-тьфу-тьфу - у меня ещё сервер не зависал... но иногда замечал, что он тупит, это было.

    Ещё во втором источнике упомянуто, со ссылкой на M$ Support, что "...PDC не рекомендуется синхронизировать с внешними источниками, а просто сервера в домене - должны забирать время с PDC."

    Проверил - запускаю правым кликом "Настройка даты/времени" из систем трея, закрываю (ничего не делая), и вижу в сис-евентс представленную выше тройку ошибок. Но самая первая серия появилась БЕЗ моей помощи. 

    WTF?

    Friday, November 09, 2012 7:33 AM
  • Но и это ещё не всё... В AppEvents с интервалом ровно в 5 минут идут парами ошибки вида:

    Type: Error
    Source: Userenv
    Event ID: 1030
    Event Time: 09.11.2012 11:31:55
    User: NT AUTHORITY\система
    Computer: DC01
    Description:
    Не удалось запросить данный список объектов групповой политики. Проверьте в журнале событий наличие сообщений, описывающих причины сбоя.

    Type: Error
    Source: Userenv
    Event ID: 1097
    Event Time: 09.11.2012 11:31:55
    User: NT AUTHORITY\система
    Computer: DC01
    Description:
    Не удалось найти учетную запись компьютера, Часы на клиентском компьютере и сервере несогласованны. .

    О каком ещё "несогласовании" времени - и на котором компьютере - идёт речь???

    Эта ошибка дико скребёт уже измученную нерву.

    Friday, November 09, 2012 7:44 AM
  • Хотфикс примените попробуйте, возможно это решит ошибки. По поводу синхронизации- плохо читали статью товарища Аргона, там все очень детально расписано ))
    Friday, November 09, 2012 7:44 AM
  • на котором компьютере- на том, на каком смотрите. w32 /monitor в студию.
    Friday, November 09, 2012 7:46 AM
  • Хотфикса для моей версии (2003R2 x64 RU) у МС нет, ставить нЕчего. Но, в конце концов, не буду дёргать панельку, и бог с ней.

    Ув. Аргона читал крайне внимательно и вдумчиво. Даже распечатал.

    Если не ошибаюсь, команда w32tm /monitor не привязана к компьютеру, она везде одинакая.

    Вот её выдача:

    dc-###.###.ru[192.168.0.1:123]:
        ICMP: 0ms задержка
        NTP: -0.0012682s смещение относительно dc01.###.ru
            RefID: dc01.###.ru [192.168.0.5]
            Страта: 3
    dataserver.###.ru[192.168.0.3:123]:
        ICMP: 0ms задержка
        NTP: +0.0005640s смещение относительно dc01.###.ru
            RefID: dc01.###.ru [192.168.0.5]
            Страта: 3
    dc01.###.ru *** PDC ***[192.168.0.5:123]:
        ICMP: 0ms задержка
        NTP: +0.0000000s смещение относительно dc01.###.ru
            RefID: n44.time1.d6.hsdnsrv.net [91.226.136.138]
            Страта: 2
    DC02.###.ru[192.168.0.6:123]:
        ICMP: 0ms задержка
        NTP: -0.0175354s смещение относительно dc01.###.ru
            RefID: dc01.###.ru [192.168.0.5]
            Страта: 3

    Упомянутые в пред.посте ошибки идут на ***PDC***. SidebySide за последний час не появлялась, а вот в AppsEvents каждые 5 минут пары  ошибок идут, как часы )) Будь они неладны.

    Friday, November 09, 2012 8:33 AM
  • Возможно, у Вас за время отсутствия синхронизации часы разбежались на 5 минут (вроде столько по дефолту максимальный разбег)?

    Сергей Панченко

    Friday, November 09, 2012 9:29 AM
  • Нашёл ещё одно "разночтение" между рекомендациями МС и тов. Аргоном.

    В реестре ...Win23Time\Config есть параметр AnnounceFlags. Этот параметр у Аргона без вариантов рекомендовано ставить в 0ха (10), а у МС этот флаг разнесён на два варианта. Первый - в случае, если НЕТ синхронизации PDC  с внешним источником, надо ставить его в "10", а в случае, если ЕСТЬ синхронизация с внешним источником, ставить в "5". Где я что-то не так понял? У меня на DC01 (PDC) стояло "5". Сейчас поменял на "10", рестартанул службу, сказал /resync. Внешне  ничего не переменилось.

    Цитата:

    Метод 1:

    Чтобы служба времени на компьютере, являющемся хозяином операций PDC, не использовала внешний источник времени, необходимо изменить параметр реестра AnnounceFlags. Хозяином PDC называется сервер, исполняющий роль эмулятора PDC корневого домена леса. Данное изменение конфигурации предписывает хозяину PDC сообщать о себе как о надежном источнике времени и использовать часы, встроенные в микросхему CMOS. Чтобы служба времени хозяина PDC использовала в качестве источника времени внутренние часы компьютера, выполните следующие действия.

      • Выберите в меню Пуск пункт Выполнить, введите команду regedit и нажмите кнопку ОК.
      • Найдите и выделите следующий раздел реестра:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags
      • В правой области щелкните правой кнопкой мыши параметр AnnounceFlags и выберите команду Изменить.
      • В появившемся окне Изменение параметра DWORD в поле Значение введите символ A и нажмите кнопку ОК.
      • Закройте редактор реестра.
      • Для того, чтобы перезапустить службу времени, введите в командной строке следующую команду и нажмите клавишу Ввод:
        net stop w32time && net start w32time

    Метод 2.

    Чтобы настроить внутренний сервер времени для синхронизации с внешним источником показаний времени, выполните следующие действия.

    1. Измените тип сервера на NTP. Для этого выполните следующие действия.
      1. Выберите в меню Пуск пункт Выполнить, введите команду regedit и нажмите кнопку ОК.
      2. Найдите и выделите следующий раздел реестра:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type
      3. В правой области щелкните правой кнопкой мыши параметр Тип,а затем выберите команду Изменить.
      4. В появившемся окне Изменение строкового параметра в поле Значение введите NTP и нажмите кнопку ОК.
    2. Присвойте параметру
      AnnounceFlags
      значение 5. Для этого выполните следующие действия.
      1. Найдите и выделите следующий раздел реестра:
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags
      2. В правой области щелкните правой кнопкой мыши параметр AnnounceFlags, а затем выберите команду Изменить.
      3. В появившемся окне Изменение параметра DWORD в поле Значение введите 5 и нажмите кнопку ОК.
    Friday, November 09, 2012 9:37 AM
  • Эти параметры подробно объяснены в библиотеке, даже и добавить нечего. Недавние обострения времени лечили тут и тут, можете для спавки посмотреть.

    Friday, November 09, 2012 10:31 AM
  • Я  опять зверски попиарю доклад Олега и маасковский МСР клуб ) , посмотрите видео, очень поможет уложить в голове, как что и почему из статей и референсов. Олег очень интересно рассказывал, а мы ему интересные вопросы старались еще задавать) , там и про рекомендации, и про всех-всех-всех. Надеюсь, поможет правильно все уложить в голову.

    Friday, November 09, 2012 7:38 PM