none
synchronizace času v doméně

    Dotaz

  • Ahoj/Dobrý den všem,

    vím, že je tady spousta vláken s tímto tématem, ale některá jsou už docela stará a ani řešení podle nich mi nepomohlo :-(

    Problém je v synchronizaci času u počítačů (99% z nich je s Win10) v doméně. Fyzický server běží na Windows Server 2012 R2, a na něm domenový s AD je virtualizovaný (HyperV) a taktéž na Windows Server 2012 R2.

    Podle všeho co jsem nalezl zde na fórech i jinde jsem se snažil nastavit tuto synchronizaci. Problém je, že virtualizovaný server se nezaktualizuje s například ntp.nic.cz, což beru jako jednu část ale ani nastavení přes GP neprojde a nesesynchronyzují se počítače v doméně se serverem.

    Příkazy typu net start w32time, w32tm /register atd.. tam vše projde v pořádku.

    Mohu poskytnout samozřejmě další informace.. Napadá někoho nějaká myšlenka ? Co jsem hledal na internetu různě, mohl by být problém, že Active Directory je virtualizované ? Je to možné ? 

    Děkuji za případné odpovědi.

    Jakub

    6. září 2016 13:28

Odpovědi

  • určitě :-)

    omlouvám se za zpoždění..

    Problém dělal hlavní switch, který blokoval tyto pakety (konkrétně: v nastavení switche "Security"->DoS attack prevention) a synchronizace neproběhla. Zjistil jsem, že ani na počítači (u jakéhokoliv uživatele v doméně) když mu v nastavení času dám "synchronizovat s časovým serverem v Internetu" tak se čas nesesynchronizuje. Proto jsem si myslel, že to bude blokovat firewall.. vytvořil jsem si proto záložní stroj, který jsem používal jako firewall a testoval jsem vše mimo vnitřní síť a tam vše běhalo.. Proto jsem šel po dalších síťových prvcích..

    JakubJV


    9. září 2016 12:11

Všechny reakce

  • Ahoj,

    zkus v konzoli Hyper-V u virtualizovaného serveru na záložce Integrační služby (integration services) vypnout synchronizaci času. (Defaultně zapnuto)

    Správně by se vše mělo synchronizovat z doménového řadiče. A doménový řadič synchronizovat z nějakého spolehlivého NTP serveru. Lze nastavit pomocí w32tm /register..

    Radek

    6. září 2016 13:51
  • Ahoj,

    děkuji za reakci :-)

    Tuto možnost jsem měl ze začátku zapnutou ale v současné době ji mám vypnutou - našel jsem to na nějakém foru, že ji mám vypnout..

    Bohužel, jsem toho prošel strašně moc a už nemám žádnou myšlenku.

    Jakub

    6. září 2016 13:54
  • No pokud je host presne synchronizovany, tak by synchronizace pres Hyper-V nemela vadit. I kdyz ... mam zakaznika, kde vadila (nefungoval mu sitovy HASP klic)

    Normalni je toto:

    (POZUE!) PDC FSMO si bere cas ze zdroje presneho casu (NTP, GPS...). Napr. w32tm /config /manualpeerlist:cz.pool.ntp.org,0x8 /syncfromflags:MANUAL Over pomoci prikazu w32tm /resync a w32tm /query /source  - pozor na firewall (UDP!) Zbytek uz resi sluzba Windows Time.

    Viz https://technet.microsoft.com/cs-cz/library/cc794937%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396 , http://www.sysadminlab.net/windows/configuring-ntp-on-windows-server-2012 ...

    MP







    6. září 2016 14:12
    Moderátor
  • přes w32tm /query /source mi vypíše : Local CMOS Clock.

    Myslím to přávě tak, že například příkaz : w32tm /config /manualpeerlist:10.X.X.X /syncfromflags:MANUAL .... - projde úspěšně, ale stejně je čas lokálně a synchronizace s externím NTP serverem neproběhne..


    6. září 2016 14:23
  • po příkazu : w32tm /config /manualpeerlist:cz.pool.ntp.org,0x8 /syncfromflags:MANUAL

    The command completer succesfully.

    po příkazu: w32tm /resync

    The computer did not resync because no time data was available.

    a po : w32tm /query /source

    Local CMOS Clock

    6. září 2016 14:32
  • Pokud je ntp nedostupny, nepouzije se

    restartni sluzbu windows time
    over, ze mas ntp povolene ve firewallu
    zkontroluj eventlog

    MP


    6. září 2016 19:19
    Moderátor
  • na počítači u uživatele když si zobrazím log "Výsledná sada zásad" je vidět, že politika je na tento počítač aplikovaná ale čas samozřejmě synchronizován není..

    v logu na témže počítači se píše:

    Time-Service - The time provider 'VMICTimeProvider' has indicated that the current hardware and operating environment is not supported and has stopped. This behavior is expected for VMICTimeProvider on non-HyperV-guest environments. This may be the expected behavior for the current provider in the current operating environment as well.

    JakubV

    7. září 2016 7:13
  • Jaka politika?

    Pocitac je virtualizovan?

    MP

    7. září 2016 7:56
    Moderátor
  • mám vytvořenou politiku v Group Polici management na synchronizaci času v doméně. Chtěl jsem tím říct, že politika (na tuto synchronizaci) je v pořádku aplikovaná ale přesto se čas nesesynchronizuje.

    Počítačem jsem myslel fyzický stroj, který používá jeden z uživatelů a je v doméně.

    JakubV

    7. září 2016 8:08
  • Proc mas vytvorenou politiku na synchrnizaci casu v domene? Menis neco defaultniho? Synchronizace normalne NEPOTREBUJE zadna nastaveni, krom vyse uvedeneho nastaveni PDC (aby si bral presny cas z NTP). Pak uz to pada dal ZCELA SAMO:

    "But how do I configure time in my Active Directory?

    Well, it’s simple! Normally it should be set correctly if we don’t modify it in purpose"

    Hlaska Time-Service - The time provider 'VMICTimeProvider' has indicated  znamena, ze je na pocitaci nainstalovana synchronizace pres Hype-V integracni sluzby. Proc?

    MP


    P.S. na https://support.microsoft.com/en-gb/kb/3160312 ses dival?
    7. září 2016 8:14
    Moderátor
  • Děkuji moc za rady ! Už mi to funguje :-)

    Díky !

    Jakub

    8. září 2016 10:42
  • Nene. To bys to mel moc snadne.

    Ted se prosim zase snaz trochu ty a napis, co bylo spatne / zbytecne / navic /chybelo atd. a co presne jsi musel zmenit, aby synchrinizace fungovala. Toto forum funguje jako znalostni baze a budouci hledajici musi byt schopen tve reseni zreprodukovat.

    MP


    8. září 2016 12:16
    Moderátor
  • určitě :-)

    omlouvám se za zpoždění..

    Problém dělal hlavní switch, který blokoval tyto pakety (konkrétně: v nastavení switche "Security"->DoS attack prevention) a synchronizace neproběhla. Zjistil jsem, že ani na počítači (u jakéhokoliv uživatele v doméně) když mu v nastavení času dám "synchronizovat s časovým serverem v Internetu" tak se čas nesesynchronizuje. Proto jsem si myslel, že to bude blokovat firewall.. vytvořil jsem si proto záložní stroj, který jsem používal jako firewall a testoval jsem vše mimo vnitřní síť a tam vše běhalo.. Proto jsem šel po dalších síťových prvcích..

    JakubJV


    9. září 2016 12:11