none
Вопросы по синхронизации времени в AD. RRS feed

  • Вопрос

  • Здравствуйте. Делал относительно статьи: Тык.

    Сделал только групповую политику на PDC:

    Часовой пояс нагуглил этот как самый быстрый и оптимизированный.

    1. В статье стоит 0x1

    0x1 –  SpecialInterval, использование специального интервала опроса ;
    0x2 – режим UseAsFallbackOnly;
    0x4 – SymmetricActive, симметричный активный режим;
    0x8 – Client, отправка запроса в клиентском режиме.

    По умолчанию 0x8

    Как это работает, какая разница ?

    2. В статье Type: NTP

    На картинке NT5DS

    NoSync - NTP-сервер не синхронизируется с каким либо внешним источником времени. Используются системные часы, встроенные в микросхему CMOS самого сервера (в свою очередь эти часы могут синхронизироваться от источника NMEA по RS-232 например);
    NTP — NTP-сервер синхронизируется с внешними серверами времени, которые указаны в параметре реестра NtpServer;
    NT5DS —  NTP-сервер производит синхронизацию согласно доменной иерархии;
    AllSync - NTP-сервер использует для синхронизации все доступные источники.

    NTP как я понял для PDC, NT5DS для компов домена, так ?

    Обязательно ли применять GPO для ПК, если они и так автоматически подхватывают время с PDC ?

    Хватит ли конечной GPO такой, как у меня на скрине, всё корректно ?

    19 июля 2018 г. 12:47

Ответы

  • Добрый день.
    GPO/реестр на клиентах точно не нужно трогать, единственное что нужно настроить - это синхронизацию PDC с внешним надежным источником. И доступ по NTP от клиентов до PDC/других DC.

    Описано, например, здесь.
    И по теме настроек времени при виртуализации, здесь, возможно есть более актуальные статьи.
    19 июля 2018 г. 13:37

Все ответы

  • Добрый день.
    GPO/реестр на клиентах точно не нужно трогать, единственное что нужно настроить - это синхронизацию PDC с внешним надежным источником. И доступ по NTP от клиентов до PDC/других DC.

    Описано, например, здесь.
    И по теме настроек времени при виртуализации, здесь, возможно есть более актуальные статьи.
    19 июля 2018 г. 13:37
  • У меня параметры выставлены так:

    Биты суммируются, то есть мои 0x9= 0x1 + 0x8

    0х1 - задаешь самостоятельно интервалы синхронизации и описываешь их ниже - там же есть поле SpecialPollInterval.

    0x2 означает, что сервер резервный и сначала будут опрошены все сервера из списка и только потом будет предпринята операция по выравниванию времени

    0x4 сложно объяснить, но смысл в том, что это контроллеры, которые наиболее близко расположены к конечным клиентам времени, типа контроллеры доменов относительно контроллеров леса.

    0x8 сервер времени отправляет запрос на получение времени в клиентском режиме, тут должно быть понятно по смыслу.

    Тут интересная статья про время

    NT5DS означает, что компьютер, на который будет применяться политика времени, будет действовать согласно иерархии - компьютеры и серверы синхронизируются с ближайшим контроллером, контроллеры синхзронизируются с PDC. Переключение в NTP означает, что сервер будет синхронизироваться с серверами, указанными в списке поставщиков услуг времени - то есть NtpServer поле.

    П.С. Никогда. Ни при каких обстоятельствах. Нельзя. Ничего. Править. Групповыми политиками. Относительно. Времени. В домене. Потому что как только начинают руками в это лезть происходит капец! И потом оооочень много времени тратится на выяснение причин почему так происходит.

    В идеале - контроллер, несущий роль PDC в лесу синхронизируется с внешним поставщиком времени согласно твоей политике, которую ты настраиваешь. Все остальные сервера, компьютеры, другие контроллеры - все они должны быть настроены на работу согласно доменной иерархией - то есть в реестре у всех NT5DS и баста!

    П.П.С. Как только начинается свистопляска с временем в сети, а у меня так было пару раз, делается так:

    1. Проверяется, что виртуальные машины не синхронизируются с хостом.

    2. Просматриваются все политики на предмет шаловливых ручонок, которые что-то впихнули по синхронизации кого-то с кем-то. Выпиливается напрочь до основания. Оставить можно исключительно политику на PDC

    3. На проблемных машинах затирается ветка реестра:

    HKLM\System\CurrentControlSet\services\W32Time

    4. Рестартуется служба времени:

    net stop w32time && net start w32time

    5. Проверяется, что в реестре параметр

    HKLM\System\CurrentControlSet\services\W32Time\Parameters\Type

    Установлен в значение NT5DS

    И все! Оно само разберется как ему лучше.


    ППП.С. =)

    Главное! Как только появляется умник, который хочет прикрутить какое-либо подобие СКУДа ко времени в сети, как только у этого товарища появляется идея о точной синхронизации времени везде чуть ли не с секундной точностью, надо брать дрын и давать ему по голове. Виндовые сервера ничего никогда принудительно не толкают. Сервер времени не синхронизирует часы с удаленным поставщиком времени, он выравнивает, то есть подгоняет свои часы к удаленным. Видит, что разброс, например, в 3,5978349 секунды - он сделает выравнивание на 3,5 своих часов, но никогда ни при каких обстоятельствах он не копирует удаленные часы в свои. Просто "подгоняет", поэтому время будет всегда колебаться в районе тех удаленных часов. И именно поэтому в kerberos по-умолчанию заложена разница во времени в 5 минут - для винды это нормально! Так что гнать таких выдумщиков тряпками!

    19 июля 2018 г. 13:50
  • Atulyakov, вы правильно описали траблшутинг, многие новички, всегда пропускают галку с синхронизацией с физического хоста, виртульных контроллеров домена. От себя могу порекомендовать почитать еще заметку про NTP в AD, я ей часто пользуюсь, как напоминалкой параметров, надеюсь вам пригодится.
    19 июля 2018 г. 14:44
  • Спасибо ребят, я понимаю. Но есть вопросы.

    Евгений, Вас я понял.

    atulyakov - Нам нужно в AD сделать политику. Редактировать реестр нельзя.

    Тут я Вас не понимаю:

    П.С. Никогда. Ни при каких обстоятельствах. Нельзя. Ничего. Править. Групповыми политиками. Относительно. Времени. В домене. Потому что как только начинают руками в это лезть происходит капец! И потом оооочень много времени тратится на выяснение причин почему так происходит.

    Вы про что?

    Так же я не понял, почему у Вас идет суммирование, что есть 0x9, где определение ? Разве после запятой задаются не конкретные статичные шаблоны в виде битов  01, 02, 04, 08 ?

    NT5DS означает, что компьютер, на который будет применяться политика времени, будет действовать согласно иерархии - компьютеры и серверы синхронизируются с ближайшим контроллером, контроллеры синхзронизируются с PDC. Переключение в NTP означает, что сервер будет синхронизироваться с серверами, указанными в списке поставщиков услуг времени - то есть NtpServer поле.

    Как я понял, это уже есть по умолчанию на ПК в доменах.

    19 июля 2018 г. 18:18
  • Спасибо ребят, я понимаю. Но есть вопросы.

    Евгений, Вас я понял.

    atulyakov - Нам нужно в AD сделать политику. Редактировать реестр нельзя.

    Тут я Вас не понимаю:

    П.С. Никогда. Ни при каких обстоятельствах. Нельзя. Ничего. Править. Групповыми политиками. Относительно. Времени. В домене. Потому что как только начинают руками в это лезть происходит капец! И потом оооочень много времени тратится на выяснение причин почему так происходит.

    Вы про что?

    Так же я не понял, почему у Вас идет суммирование, что есть 0x9, где определение ? Разве после запятой задаются не конкретные статичные шаблоны в виде битов  01, 02, 04, 08 ?

    NT5DS означает, что компьютер, на который будет применяться политика времени, будет действовать согласно иерархии - компьютеры и серверы синхронизируются с ближайшим контроллером, контроллеры синхзронизируются с PDC. Переключение в NTP означает, что сервер будет синхронизироваться с серверами, указанными в списке поставщиков услуг времени - то есть NtpServer поле.

    Как я понял, это уже есть по умолчанию на ПК в доменах.

    Никогда нельзя применять политику времени на весь парк серверов и компьютеров. Максимум - только на PDC, так как это может привести к всякого рода колизиям, включая "разгон" времени из-за синхронизации, например, друг с другом (два сервера сверяют часы друг с другом и понеслось).

    Смотреть и править реестр надо только на проблемных серверах и компьютерах. При старте службы времени, ветка реестра создается со стандартными параметрами. Это позволит исключить ошибку, доставшейся в наследство от корявой политики или скриптов или ещё чего другого, что натворили чьи-то другие руки.

    0x1 + 0x8 = 0x9, не надо писать через запятую.

    Ну например. У меня есть контроллер, который находится где-нибудь в Антарктиде и связь с ним устанавливается всего лишь раз в три дня. То есть он резервный сервер-поставщик времени, он сам должен синхронизироваться и поэтому опрашивает все удаленные сервера времени раз в три дня. Поэтому я должен выставить флаг 0x1 + 0x2 = 0x3 и в политике указываю именно 0x3, а не через запятую 0x1,0x2.

    То, что есть по-умолчанию на компьютерах в домене не означает, что это так и есть на текущий момент в текущей конфигурации, потому что кто-то давным давно мог что-то натворить и параметры могут отличаться.

    И ещё раз акцентирую - ничего не надо трогать, пусть работает само. PDC засинхронизировали и достаточно.
    • Изменено atulyakov 20 июля 2018 г. 7:09
    20 июля 2018 г. 7:08
  • atulyakov, а у меня сервер в Москве. Посоветуйте мне биты. Я просто особо не понял, какая между ними будет разница.

    В данный момент так:

    И нормально ли то, что в cmd, в источнике он мне приписывает в конце запятую, это не ошибка, это вполне нормально ? Покажите для теста у Вас пожалуйста, что выведет команда, мне просто интересно сравнить, как в целом, так и точней ли Ваш источник. И Я полагаю, мне все же нужно добавить более одного, если мой единственный выйдет из строя, да ?

    UPD: Было ntp4.stratum.ru, 0x8, было как на скрине, убрал пробел перед 0x8, стало показывать этот бит. То есть еще и пробелов нигде не должно быть, так как пробел, это это новый пояс он считает, так ?

    21 июля 2018 г. 15:07
  • atulyakov, а у меня сервер в Москве. Посоветуйте мне биты. Я просто особо не понял, какая между ними будет разница.

    В данный момент так:

    И нормально ли то, что в cmd, в источнике он мне приписывает в конце запятую, это не ошибка, это вполне нормально ? Покажите для теста у Вас пожалуйста, что выведет команда, мне просто интересно сравнить, как в целом, так и точней ли Ваш источник. И Я полагаю, мне все же нужно добавить более одного, если мой единственный выйдет из строя, да ?

    UPD: Было ntp4.stratum.ru, 0x8, было как на скрине, убрал пробел перед 0x8, стало показывать этот бит. То есть еще и пробелов нигде не должно быть, так как пробел, это это новый пояс он считает, так ?

    Верно, пробелов быть не должно.

    В идеале должно быть так:

    1. На обычном компьютере - синхронизация с любым доступным контроллером

    2. Контроллер домена (не PDC) - синхронизация с PDC

    3. PDC с удаленным сервером времени

    23 июля 2018 г. 9:01
  • Благодарю Вас.

    Подскажите пожалуйста.

    1. PDC:

    Всё нормально, пишет мой ntp сервер.

    2. Допустим файловый сервер:

    Всё огонь, синхронизировался с PDC.

    3. RDS:

    Откуда взялся pool? Службу перезапускал, время resync делал, GPO какого-то дополнительного нет, тогда бы и на fileserver не корректно стало бы. Сервер перезапускал на худой конец. Что же не так ?

    23 июля 2018 г. 9:55
  • Я прописал команду: w32tm /configure /reliable: yes /update

    И стало нормально. А потом я прочитал:

    reliable:(YES|NO) — определяет, является ли этот компьютер надежным источником времени. Этот параметр имеет значение только для контроллеров домена.

    Я технически не верно сделал, да ? Это только для КД. Что-то у меня не так.


    23 июля 2018 г. 10:10
  • Я прописал команду: w32tm /configure /reliable: yes /update

    И стало нормально. А потом я прочитал:

    reliable:(YES|NO) — определяет, является ли этот компьютер надежным источником времени. Этот параметр имеет значение только для контроллеров домена.

    Я технически не верно сделал, да ? Это только для КД. Что-то у меня не так.


    Этот параметр имеет значение только если это контроллер домена.

    Если есть проблемы с RDS, то есть он неверно получает время, то пункты что делать я уже озвучил выше:

    1. Проверяется, что виртуальные машины не синхронизируются с хостом.

    2. Просматриваются все политики на предмет шаловливых ручонок, которые что-то впихнули по синхронизации кого-то с кем-то. Выпиливается напрочь до основания. Оставить можно исключительно политику на PDC

    3. На проблемных машинах затирается ветка реестра:

    HKLM\System\CurrentControlSet\services\W32Time

    4. Рестартуется служба времени:

    net stop w32time && net start w32time

    5. Проверяется, что в реестре параметр

    HKLM\System\CurrentControlSet\services\W32Time\Parameters\Type

    Установлен в значение NT5DS

    23 июля 2018 г. 11:49
  • 1. Не синхронизируется.

    2. С политиками все нормально.

    3. Ветка есть.

    4. Рестартил.

    5. NT5DS

    Но я теперь не узнаю в чем беда, так как команда w32tm /configure /reliable: yes /update

    каким-то образом исправила положение.

    23 июля 2018 г. 12:22
  • 1. Не синхронизируется.

    2. С политиками все нормально.

    3. Ветка есть.

    4. Рестартил.

    5. NT5DS

    Но я теперь не узнаю в чем беда, так как команда w32tm /configure /reliable: yes /update

    каким-то образом исправила положение.

    П.3 - ветку реестра надо удалть и перезапустить службу времени, все параметры создадутся заново с дефолтными значениями
    23 июля 2018 г. 14:05
  • То есть лучше удалить, да ?
    23 июля 2018 г. 16:14
  • То есть лучше удалить, да ?

    Удалить и перезапустить службу времени

    П.С. Можно не удалять, а просто переименовать

    • Изменено atulyakov 24 июля 2018 г. 8:38
    24 июля 2018 г. 8:21
  • Здравствуйте. В чем может быть проблема ?

    sd001 PDC, sd002 второй КД.

    Все синхронизируются на второй КД.

    На PDC я повесил политику, на клиентах в реестре NT5DS.

    И вопрос, кто-то понимает или знает, алгоритм синхронизации клиента с PDC? От чего и как это работает ?

    Как проанализировать это по порядку ?


    3 октября 2018 г. 9:15
  • В идеале в доменной структуре иерархия такова. PDC настраивается на синхронизацию времени с внешнего источника. После этого он объявляет себя доверенным источником времени. Далее, если у вас не один контроллер AD, то он(и) становятся тоже доверенными источниками времени и с них уже все остальные клиенты получают время, так как у клиентских компов по-умолчанию синронизация так настроена. Если у вас один контроллер домена, то сервером времени можно обозначить и рядовой сервер.  Посмотрите, я вот по этой ссылке обычно вспоминаю что и как..  И да, настроить надо только PDC, все остальные просто не трогать - все и так работает.
    3 октября 2018 г. 9:55
  • В идеале в доменной структуре иерархия такова. PDC настраивается на синхронизацию времени с внешнего источника.

    Так и настроено.

    После этого он объявляет себя доверенным источником времени. Далее, если у вас не один контроллер AD, то он(и) становятся тоже доверенными источниками времени и с них уже все остальные клиенты получают время, так как у клиентских компов по-умолчанию синронизация так настроена.

    То есть, то, что клиент тянет время со второго КД, а не первого PDC - это нормально ?

    3 октября 2018 г. 10:15
  • В общем так и не ясно, нормально ли то, что клиент может брать с любого КД время или нет. Как я понял, какой-то документации на этот счет нет ?

    Перезагрузил hyper-v, время сбилось.

    После принудительной синхронизации восстановилось. Но при этом еще и ошибку пишет, что не так ?

    Как это нет доступных данных о времени ?

    2 ноября 2018 г. 7:56
  • если ещё ключ force добавить?
    2 ноября 2018 г. 8:17
  • Трудно сказать, выполнилось то успешно, но и просто без force теперь успешно. То ли оно стало корректно после force, то после после первой синхронизации с ошибкой в скрине ?

    Вы знаете что-нибудь, синхронизация с PDC только должна быть или со всеми КД ?
    2 ноября 2018 г. 8:24
  • Схема проста:  клиент <- любой КД из сайта <- PDC <- внешний источник
    2 ноября 2018 г. 8:31
  • В общем так и не ясно, нормально ли то, что клиент может брать с любого КД время или нет. Как я понял, какой-то документации на этот счет нет ?

    Перезагрузил hyper-v, время сбилось.

    После принудительной синхронизации восстановилось. Но при этом еще и ошибку пишет, что не так ?

    Как это нет доступных данных о времени ?

    Может вот это?

    2 ноября 2018 г. 8:56
  • Отключено.
    2 ноября 2018 г. 11:54
  • Отключено.
    Быть может закрыт 123 UDP на контроллере-поставщике времени?
    2 ноября 2018 г. 13:10
  • Весь исходящий трафик открыт.
    2 ноября 2018 г. 13:31
  • Весь исходящий трафик открыт.
    На вход 123 порт UDP открыт на контроллере?
    6 ноября 2018 г. 12:29
  • Входящий нет. А зачем можете объяснить ? Разве это не исходящий трафик ? И очень странно тогда работает, сегодня перезапускал сервак, время то не сбилось.
    6 ноября 2018 г. 19:41
  • Входящий нет. А зачем можете объяснить ? Разве это не исходящий трафик ? И очень странно тогда работает, сегодня перезапускал сервак, время то не сбилось.
    Клиент обращается к серверу "дай время", запрос отправляется на 123 порт по протоколу UDP. Если порт закрыт - hasta la vista и палец кверху.
    7 ноября 2018 г. 6:20
  • Входящий нет. А зачем можете объяснить ? Разве это не исходящий трафик ? И очень странно тогда работает, сегодня перезапускал сервак, время то не сбилось.

    Клиент обращается к серверу "дай время", запрос отправляется на 123 порт по протоколу UDP. Если порт закрыт - hasta la vista и палец кверху.

    Я попробую открыть. Ну а с закрытым то как работает щас ?
    7 ноября 2018 г. 15:28

  • Я попробую открыть. Ну а с закрытым то как работает щас ?
    Так работает или нет?:)
    8 ноября 2018 г. 6:00
  • Ну работает ) Я просто не понял, почему при одной перезагрузке сбилось время и не была произведена синхронизация. И почему ошибка выскочила при принудительной синхронизации, хоть и всё равно синхронизировало. Но порты по прежнему закрыта ))
    9 ноября 2018 г. 9:11
  • Ну работает ) Я просто не понял, почему при одной перезагрузке сбилось время и не была произведена синхронизация. И почему ошибка выскочила при принудительной синхронизации, хоть и всё равно синхронизировало. Но порты по прежнему закрыта ))
    Если порт закрыт, то и время синхронизироваться не будет. Значит порт открыт.
    9 ноября 2018 г. 11:04
  • Ну работает ) Я просто не понял, почему при одной перезагрузке сбилось время и не была произведена синхронизация. И почему ошибка выскочила при принудительной синхронизации, хоть и всё равно синхронизировало. Но порты по прежнему закрыта ))

    Если порт закрыт, то и время синхронизироваться не будет. Значит порт открыт.

    Закрыт.
    9 ноября 2018 г. 12:49
  • Ну работает ) Я просто не понял, почему при одной перезагрузке сбилось время и не была произведена синхронизация. И почему ошибка выскочила при принудительной синхронизации, хоть и всё равно синхронизировало. Но порты по прежнему закрыта ))

    Если порт закрыт, то и время синхронизироваться не будет. Значит порт открыт.


    Закрыт.
    Так тут и 53 TCP/UDP не описан, а DNS работает скорее всего? Есть, значит, стандартные правила, которые в этом виде не отображаются.
    12 ноября 2018 г. 7:26
  • Вы о чем ? Я запрещаю всё и разрешаю только, что нужно. Зачем 53 ? Разве не первое правило защиты любой сети, запретить всё снаружи и открыть только нужные порты ? А почему DNS не должен работать ?

    Стандартные правила удалены. Это всё.

    12 ноября 2018 г. 7:52
  • Вы о чем ? Я запрещаю всё и разрешаю только, что нужно. Зачем 53 ? Разве не первое правило защиты любой сети, запретить всё снаружи и открыть только нужные порты ? А почему DNS не должен работать ?

    Стандартные правила удалены. Это всё.

    Что значит снаружи? Это пограничный файерволл/маршрутизатор и компьютер удаленно на внешний ИП адрес пытается подключаться за получением времени?
    13 ноября 2018 г. 11:13
  • Не понимаю я в общем.
    13 ноября 2018 г. 11:54
  • Не понимаю я в общем.

    Входящие Правила на микротике влияют только на клиентов, которые подключаются из интеренета. Например, если я буду пытаться подключиться к твоему контроллеру домена.

    Если у тебя клиенты внутри сеть - фаерволл тут вообще не при чём.


    Die Meinung, die von mir geäußert wurde, ist keine offizielle Position von Microsoft.

    13 ноября 2018 г. 12:17
    Модератор
  • Не понимаю я в общем.

    Входящие Правила на микротике влияют только на клиентов, которые подключаются из интеренета. Например, если я буду пытаться подключиться к твоему контроллеру домена.

    Если у тебя клиенты внутри сеть - фаерволл тут вообще не при чём.


    Die Meinung, die von mir geäußert wurde, ist keine offizielle Position von Microsoft.

    Я понял. 123 порт открыт.

    C:\Windows\system32>w32tm /resync
    Отправка команды синхронизации на локальный компьютер
    Команда выполнена успешно.

    Щас работает. Но был то один косяк после перезапуска. Кароче, у меня всё работает. Я счастлив.

    13 ноября 2018 г. 12:34