none
Не удается настроить синхронизацию времени в доменее RRS feed

  • Вопрос

  • Имеется домен, в нем 2 контроллера домена.

    1 (dks-7) на Windows Server 2012 r2, на нем же все роли, включая PDC

    2 (dks-virtual) на Windows Server 2008 r2. Второй контроллер домена.

    Имеются проблемы с синхронизацией времени в домене.

    Если на рядовом доменном ПК дать команду w32tm /query /peers, то ответ стандартный:

    Узел партнера: dks-7.dikom.local
    Состояние: Активный
    Осталось времени: 435.5003790s
    Режим: 3 (Клиент)
    Страта: 2 (вторичная ссылка - синхронизирована с помощью (S)NTP)
    ОдноранговыйИнтервал опроса: 10 (1024s)
    УзелИнтервал опроса: 10 (1024s)

    На dks-7 ответ другой: Он почему-то берет время у второго, хотя сам является PDC и реестре прописаны настройки внешних NTP [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time

    Узел партнера: dks-virtual.dikom.local
    Состояние: Активный
    Осталось времени: 19.6620847s
    Режим: 1 (Симметричный активный)
    Страта: 1 (основная ссылка - синхронизирована по радиочасам)
    ОдноранговыйИнтервал опроса: 6 (64s)
    УзелИнтервал опроса: 6 (64s)

    На самом же 2-м контроллере домена (dks-virtual) ответ на команду w32tm /query /peers

    Узел партнера:
    Состояние: В ожидании
    Осталось времени: 55483.1835938s
    Режим: 0 (зарезервировано)
    Страта: 0 (не указан)
    ОдноранговыйИнтервал опроса: 0 (не указан)
    УзелИнтервал опроса: 0 (не указан)

    В реестре на этом сервере прописаны внешние источники.

    При всем при этом на dks-7 (PDC) время опережает время на всех остальных ПК, включая второй КД, с которого вроде как берет время, на полминуты. Но все равно, оно не эталонное.

    Ну и сразу предвижу вопрос про dks-virtual. Да, он крутится на Hyper-V, но в настройках службы интеграции синхронизация времени отключена.

    Вывод: Время в домене отстает от эталонного и никто его не получает, хотя фаервол этому не мешает. Есть сервер, который не в домене и он прекрасно синхронизируется с NTP в интернете.

    Главный контроллер домена с ролью PDC судя по команде w32tm /query /peers берет время у второго КД, но реальное время другое. Рядовые ПК судя по той же команде берут время у PDC, но их время отличается от него и больше похоже, что они берут его у второго КД, однако в настройках этого нет.

    Если на клиентских пк принудительно синхронизировать время w32tm /resync /rediscover, то ответ следующий:

    "Отправка команды синхронизации на локальный компьютер
    Синхронизация не выполнена, поскольку нет доступных данных о времени"


    • Изменено Диком 7 февраля 2017 г. 8:22
    7 февраля 2017 г. 8:00

Ответы

Все ответы

  • Здравствуйте. Когда роль PDC передавали на 2012R2, ничего не забыли?
    • Предложено в качестве ответа Dmitriy Razbornov 7 февраля 2017 г. 12:11
    7 февраля 2017 г. 9:13
  • Возможно забыл. Старый PDC вышел из строя, поэтому я захватывал все роли на новом контроллере принудительно. То есть я смогу исправить ситуацию, не имея доступа к старому контроллеру?
    7 февраля 2017 г. 9:25
  • Все сделал, но похоже ничего не изменилось. Главный КД с ролью PDC все равно получает время со второго КД

    7 февраля 2017 г. 9:33
  • На PDC команду в конце статьи выполнили?

    w32tm /config /manualpeerlist:time.windows.com /syncfromflags:manual /reliable:yes /update

    Перезапустите службу времени и подождите пару минут.

    Не поможет- давайте вывод с обоих двух DC.

    w32tm /query /configuration

    7 февраля 2017 г. 9:40
  • Перезапуск делал, это не помогло.

    Вот данные с главного контроллера dks-7 (PDC)

    C:\Windows\system32>w32tm /query /configuration
    [Настройка]

    EventLogFlags: 2 (Локально)
    AnnounceFlags: 5 (Локально)
    TimeJumpAuditOffset: 28800 (Локально)
    MinPollInterval: 6 (Локально)
    MaxPollInterval: 10 (Локально)
    MaxNegPhaseCorrection: 172800 (Локально)
    MaxPosPhaseCorrection: 172800 (Локально)
    MaxAllowedPhaseOffset: 300 (Локально)

    FrequencyCorrectRate: 4 (Локально)
    PollAdjustFactor: 5 (Локально)
    LargePhaseOffset: 50000000 (Локально)
    SpikeWatchPeriod: 900 (Локально)
    LocalClockDispersion: 10 (Локально)
    HoldPeriod: 5 (Локально)
    PhaseCorrectRate: 7 (Локально)
    UpdateInterval: 100 (Локально)


    [TimeProviders]

    NtpClient (Локально)
    DllName: C:\Windows\system32\w32time.dll (Локально)
    Enabled: 1 (Локально)
    InputProvider: 1 (Локально)
    CrossSiteSyncFlags: 2 (Политика)
    AllowNonstandardModeCombinations: 1 (Локально)
    ResolvePeerBackoffMinutes: 15 (Политика)
    ResolvePeerBackoffMaxTimes: 7 (Политика)
    CompatibilityFlags: 2147483648 (Локально)
    EventLogFlags: 0 (Политика)
    LargeSampleSkew: 3 (Локально)
    SpecialPollInterval: 3600 (Политика)
    Type: NT5DS (Политика)

    NtpServer (Локально)
    DllName: C:\Windows\system32\w32time.dll (Локально)
    Enabled: 1 (Локально)
    InputProvider: 0 (Локально)
    AllowNonstandardModeCombinations: 1 (Локально)

    VMICTimeProvider (Локально)
    DllName: C:\Windows\System32\vmictimeprovider.dll (Локально)
    Enabled: 0 (Локально)
    InputProvider: 1 (Локально)

    7 февраля 2017 г. 10:20
  • Вот данные со второго dks-virtual:

    EventLogFlags: 2 (Локально)
    AnnounceFlags: 5 (Локально)
    TimeJumpAuditOffset: 28800 (Локально)
    MinPollInterval: 6 (Локально)
    MaxPollInterval: 10 (Локально)
    MaxNegPhaseCorrection: 172800 (Локально)
    MaxPosPhaseCorrection: 172800 (Локально)
    MaxAllowedPhaseOffset: 300 (Локально)

    FrequencyCorrectRate: 4 (Локально)
    PollAdjustFactor: 5 (Локально)
    LargePhaseOffset: 50000000 (Локально)
    SpikeWatchPeriod: 900 (Локально)
    LocalClockDispersion: 10 (Локально)
    HoldPeriod: 5 (Локально)
    PhaseCorrectRate: 7 (Локально)
    UpdateInterval: 100 (Локально)


    [TimeProviders]

    NtpClient (Локально)
    DllName: C:\Windows\system32\w32time.dll (Локально)
    Enabled: 1 (Локально)
    InputProvider: 1 (Локально)
    CrossSiteSyncFlags: 2 (Политика)
    AllowNonstandardModeCombinations: 1 (Локально)
    ResolvePeerBackoffMinutes: 15 (Политика)
    ResolvePeerBackoffMaxTimes: 7 (Политика)
    CompatibilityFlags: 2147483648 (Локально)
    EventLogFlags: 0 (Политика)
    LargeSampleSkew: 3 (Локально)
    SpecialPollInterval: 3600 (Политика)
    Type: NT5DS (Политика)

    NtpServer (Локально)
    DllName: C:\Windows\system32\w32time.dll (Локально)
    Enabled: 1 (Локально)
    InputProvider: 0 (Локально)
    AllowNonstandardModeCombinations: 1 (Локально)

    VMICTimeProvider (Локально)
    DllName: C:\Windows\System32\vmictimeprovider.dll (Локально)
    Enabled: 1 (Локально)
    InputProvider: 1 (Локально)

    7 февраля 2017 г. 10:22
  • Сделал настройка второго КД w32tm /config /syncfromflags:domhier /reliable:no /update

    Он наконец то встал на правильный путь и показывет источник времени - dks-7 (PDC)

    C:\Windows\system32>w32tm /query /peers
    #Узлы: 1

    Узел партнера: dks-7.dikom.local
    Состояние: Активный
    Осталось времени: 37.2841797s
    Режим: 1 (Симметричный активный)
    Страта: 0 (не указан)
    ОдноранговыйИнтервал опроса: 0 (не указан)
    УзелИнтервал опроса: 6 (64s)

    Но теперь не получается заставить dks-7 получить точное время с NTP-серверов. Он берет время с CMOS. Вот вывод команд:

    C:\Windows\system32>w32tm /resync /rediscover
    Отправка команды синхронизации на локальный компьютер
    Синхронизация не выполнена, так как нет доступных данных о времени.

    C:\Windows\system32>w32tm /query /status
    Индикатор помех: 0(предупреждений нет)
    Страта: 1 (основная ссылка - синхронизирована по радиочасам)
    Точность: -6 (15.625ms за такт времени)
    Задержка корня: 0.0000000s
    Дисперсия корня: 10.0000000s
    Идентификатор опорного времени: 0x4C4F434C (имя источника:  "LOCL")
    Время последней успешной синхронизации: 07.02.2017 13:58:33
    Источник: Local CMOS Clock
    Интервал опроса: 6 (64s)

    7 февраля 2017 г. 11:01
  • Type: NT5DS (Политика) Посмотрите, как где, и зачем Вы меняете настройки службы времени в групповых политиках. Откатите эти изменения, и все будет хорошо.

    7 февраля 2017 г. 11:16
  • Я пока ковырялся менял в редакторе групповых политик настройки службы времени. Вернул их в дефолтное состояние. Время на контроллерах домена пришло в норму. Второй контроллер домена правильно смотрит на первый (PDC), а первый на NTP в интернете.

    Теперь осталась проблема с клиентами. Они почему то смотрят на второй КД

    7 февраля 2017 г. 11:37
  • Клиенты тоже придут в норму, как только скачают и применят Ваши изменения.

    7 февраля 2017 г. 11:41
  • иии.... секунду, они (клиенты) и должны смотреть не на PDC, а на второй контроллер, все верно.

     
    изучите ссылки, которые были даны в статье.
    7 февраля 2017 г. 11:44
  • Нет, они на PDC должны смотреть. Все правильно, изменения вроде пошли, время наладилось.

    Вопрос можно сказать решился. Вам спасибо огромное!

    • Помечено в качестве ответа Диком 7 февраля 2017 г. 11:59
    7 февраля 2017 г. 11:59
  • Нет. Корневой PDC леса смотрит на внешний источник, остальные контроллеры на него, рядовые серверы и клиенты- на любой кд в своем домене. Все это написано в ссылке выше, Вы не правы.
     И называется это- иерархия службы времени в домене.
    7 февраля 2017 г. 12:11
  • Domain Hierarchy-Based Synchronization

    Synchronization that is based on a domain hierarchy uses the AD DS domain hierarchy to find a reliable source with which to synchronize time. Based on domain hierarchy, the Windows Time service determines the accuracy of each time server. In a Windows Server 2003 forest, the computer that holds the primary domain controller (PDC) emulator operations master role, located in the forest root domain, holds the position of best time source, unless another reliable time source has been configured. The following figure illustrates a path of time synchronization between computers in a domain hierarchy.

    https://technet.microsoft.com/en-us/windows-server-docs/identity/ad-ds/get-started/windows-time-service/how-the-windows-time-service-works?f=255&MSPPError=-2147217396#all-available-synchronization-mechanisms

    7 февраля 2017 г. 12:15
  • Если мой ответ Вам помог, то наверное, надо пометить его как ответ.
    • Помечено в качестве ответа Диком 7 февраля 2017 г. 12:33
    7 февраля 2017 г. 12:16
  • Да, пардон, согласен, рядовые клиенты смотрят на любой КД
    7 февраля 2017 г. 12:34