none
Служба времени Windows RRS feed

  • Общие обсуждения

  • Есть единственный DC (W2k3 SP2), клиенты WinXP SP2 и SP3. И все работает нормально в плане синхронизации времени. Но вот просто инетерсны следующие моменты:
    1. Почему если на клиенте при выполнении команды net time /querysntp, ответом является time.windows.com,0x1 на сколько я понимаю там должно быть имя контроллера. Если же я выполняю просто net time то тогда мне показывается именно время и дата на контроллере.
    2. Если в Default Domain Policy в Админ. шаблоны -> Система -> Служба времени Windows -> Поставщики времени включаю Windows NTP клиента и его настройки, почему эти параметры не применяются на клиентах?

    24 марта 2009 г. 14:33

Все ответы

  • Default Domain Policy лучше не трогай, создай рядом политику и настраивай ее, так будет лучше, поверь.
    После прописывания в политике настроек, на клиенте нужно обновить политику и перезапустить службу времени.

    SNTP упрощенная реализация NTP под нее отдельные сервера можно прописать. Но не суть на /querysntp можешь спокойно не обращать внимания при корректной настройке клиентов через политики.

    24 марта 2009 г. 15:12
  • Evgeniy A. Yarosh написал:

    Default Domain Policy лучше не трогай, создай рядом политику и настраивай ее, так будет лучше, поверь.

    Ну какая разница чего политика, пусть не Default Domain Policy, а к примеру какойто OU.

    После прописывания в политике настроек, на клиенте нужно обновить политику и перезапустить службу времени.

    Я пробовал перезагружать клиента несколько раз, и перелогинивался, только как проверить результаты того что политика применилась? Я и думаю что /querysntp как раз должна быть одним из показателей того что политика работает, и время берется с контроллера.

    24 марта 2009 г. 20:04
  • Life, на компьютерах, присоединенных к домену, синхронизация времени службой "w32time" отличается своим поведением. В ветви реестра "HKLM:\SYSTEM\CurrentControlSet\Services\W32Time\Parameters" существует параметр "NtpServer", который содержит в себе имя хоста авторитетного сервера точного времени и специальный флаг. Значение этого флага указывает службе "w32time", каким образом синхронизировать время, быть ли ей в роли сервера точного времени (и в каком режиме). Ну, да не в этом суть. На "доменных" компьютерах синхронизацией времени заведует процесс "netlogon", который и указывает сервер точного времени, основываясь, в первую очередь, на сведениях, полученных с DNS сервера.


    Спасибо моей работе, TechNet'у, блогам специалистов, моей жене Кате, Козлову С.В., Муравлянникову Н.А., Шапиро Л.В. за мои знания!
    24 марта 2009 г. 21:04
    Отвечающий

  • 2Life13: выполни команду rsop.msc и проверь что указанные настройки из политики применились

    p.s. политика не суть какая, но в Default Domain Policy лучше не добавлять новых настроек.
    25 марта 2009 г. 5:51
  • Коллеги, попытаюсь внести свою лепту в ответ, ветку реестра смотрите правильно, НО на клиентах синхронизация времени идет с контроллера домена, поэтому в нашем случае важен парамет Type который при компьютере который входит в состав домена равен NT5DS в это случае служба Netlogon будет синхронизировать время с контроллером домена не зависимо от того какой сервер времени вы используете. Если же компьютер не в домене и доверенных поставщиков времени нет (как то - контроллер домена), то будет использоваться внешний источник т.е. сервер времени, по умолчанию time.microsoft.com. Параметр же Type в данном случае будет равен NTP.


    lokise
    25 марта 2009 г. 6:21
  •  
    Evgeniy A. Yarosh написал:

    2Life13: выполни команду rsop.msc и проверь что указанные настройки из политики применились

    Спасибо, вот теперь понятно как посмотреть. Хотя если я меняю Административные шаблоны в OU, то rsop.msc, почему то не показывает изменений (ждал минут 10, несколько раз перелогинивался), касастельно настроек времени, как только меняю в Default Domain Policy, настройки тут же отображаются.

    lokise написал:

    Коллеги, попытаюсь внести свою лепту в ответ, ветку реестра смотрите правильно, НО на клиентах синхронизация времени идет с контроллера домена, поэтому в нашем случае важен парамет Type который при компьютере который входит в состав домена равен NT5DS в это случае служба Netlogon будет синхронизировать время с контроллером домена не зависимо от того какой сервер времени вы используете. Если же компьютер не в домене и доверенных поставщиков времени нет (как то - контроллер домена), то будет использоваться внешний источник т.е. сервер времени, по умолчанию time.microsoft.com. Параметр же Type в данном случае будет равен NTP.

    Т.е. насколько я правильно понял, параметр NT5DS указывает на то, что время в любом случае не зависимо от того, что указано в параметре NtpServer будет браться с PDC?

    Я так понимаю что нет необходимости в груповой политике, на контроллере включать Windows NTP сервер, т.к. у нас работает SNTP, впринципе так же и нет необходимости включать в политике NTP клиентов и их настройки, по той же причине. Но тогда появляется еще один вопрос, где можно настраивать SNTP. Например вчерашние эксперементы показали, что на свеже включенном в домен ноутбуке, время синхронизируется при входе в систему, а потом если его изменить вручную, еще через 15 минут. Где можно менять эти параметры? И соответственно если все же включить NTP то он заменит собой SNTP, или они будут работать паралельно? Совсем что то все запуталось =))))))
    25 марта 2009 г. 8:38
  • Да, поняли правильно. Подробнее о синхронизации
    http://www.windowsnetworking.com/articles_tutorials/Configuring-Windows-Time-Service.html
    lokise
    25 марта 2009 г. 13:05
  • Life13, а я объяснил не так понятно, как lokise? :(
    Спасибо моей работе, TechNet'у, блогам специалистов, моей жене Кате, Козлову С.В., Муравлянникову Н.А., Шапиро Л.В. за мои знания!
    25 марта 2009 г. 18:01
    Отвечающий
  •  
    Dmitry Ponomarev написал:

    Life13, а я объяснил не так понятно, как lokise? :(


    Да нет тоже вполне понятно, спасибо =))

    Но тем неменее вопросы мои после прочтения http://www.windowsnetworking.com/articles_tutorials/Configuring-Windows-Time-Service.html остались примерно теже.

    Вот что я нашел кстати в библиотеке технета:
  • Group Policy settings for the Windows Time service can be configured on Windows Server 2003 domain controllers and can be applied only to computers running Windows Server 2003.
  • Насколько я понимаю из вышенаписанного то политика может быть применена только для Win2003? Соответственно политикой клиентов с ХР настроить нельзя (( Хотя в самом окне настройки политики в W2k3 SP2 у меня написано следующее: Поддерживается: не ниже Mocrosoft Windows XP Professional или Wi... Так что либо я что тоне так понял, либо....

    Кстати, прмерно к такому же выводу привели меня мои эксперименты = )) В моем случае политика применяется (проверял rsop.msc), если она выставлена в Default Domain Policy, если все тоже выставляю в настройках OU то rsop.msc не показывает ничего, ну об этом я писал выше. Но если все же из Default Domain Policy она и применяется, то настройки реестра на клиенте не меняются, а остаются прежними.

26 марта 2009 г. 10:02
  •  Так чего не понятно то, Контроллер домена можно заставить синхронизироваться по атомным часам каким нить, а если компьютер ХР не в домене, то можно к нему применить эту политику локально.
    lokise
    26 марта 2009 г. 13:13
  • Я не знаю как более доходчиво написать, чем мой предыдущий пост. Попробую еще раз, я хочу применять политику к компам которые в домене, но она не применяется.

    26 марта 2009 г. 13:36
  • У меня сделано так:
    default domain policy - computer configuration - administrative template - system - windows time service - time providers

    windows NTP Client - enable
    windows NTP Server - enable

    configure windows NTP Client

    NTP Server - ntp.ru,0x1
    type - all type
    2
    15
    7
    3600


    И точное время на всех машинках.... надо только чтобы NTP (UDP) порт был открыт в инет

    mcsa
    26 марта 2009 г. 14:15
  • 2Life13: убедитесь что политика прилинкована к контейнеру, в котором располагаются учетки компьютеров, проверте настройки безопасности политики(возможность уз компьютера читать политику и применять ее).
    Для анализа можно в rsop.msc на разделе конфигурация компьютера по правой мыши вызвать свойства, далее проверить что нужна политики не представлена в списке, выбрать галочку "отображать все GPO и состояния фильтрации" проверить нет ли ее там и каково состояние фильтрации.
    Далее по ситуации.
    26 марта 2009 г. 14:28
  • Evgeniy A. Yarosh написал:

    2Life13: убедитесь что политика прилинкована к контейнеру, в котором располагаются учетки компьютеров, проверте настройки безопасности политики(возможность уз компьютера читать политику и применять ее).
    Для анализа можно в rsop.msc на разделе конфигурация компьютера по правой мыши вызвать свойства, далее проверить что нужна политики не представлена в списке, выбрать галочку "отображать все GPO и состояния фильтрации" проверить нет ли ее там и каково состояние фильтрации.
    Далее по ситуации.

    Большое спасибо узнал много нового. Теперь политика применяется, но значения в реестре на клиенте не изменяются ((

    Maksim Beliaev написал:

    У меня сделано так:
    default domain policy - computer configuration - administrative template - system - windows time service - time providers

    windows NTP Client - enable
    windows NTP Server - enable

    configure windows NTP Client

    NTP Server - ntp.ru,0x1
    type - all type
    2
    15
    7
    3600


    Ну это все дофолтные настройки, кроме сервера времени, а если к примеру поменять ResolvePeerBackoffMinutes с 15 к примеру на 10, а потом посмотреть данную ветку раздела реестра, изменилось ли это значение там?

    И как мне кажется значение, windows NTP Server - enable нужно включать только на контроллере, ну или на компьютере который является сервером времени, а в вашем случае вообще не нужно, так как время берется из внешнего источника.
    27 марта 2009 г. 8:25
  • Если прочитать этот документ
    http://technet.microsoft.com/en-us/library/cc773013.aspx
    то станет понятно, что изменять параметры службы времени целесообразно только на PDC эмуляторе в корневом домене.

    29 марта 2009 г. 6:32
    Отвечающий
  • Именно на нем я и изменяю. У меня всего один контроллер.

    30 марта 2009 г. 6:39
  • Если политика применятся, то значения меняются.
    Учтите что примененные значения смотреть надо в ветке HKLM\Software\Policies\Microsoft\W32Time
    А проверить с чем синхронизирутся можно в event логе System при старте службы туда пишется событие с кодом 35 "Служба времени выполняет синхронизацию..."

    30 марта 2009 г. 7:44
  • Если политика применятся, то значения меняются.
    Учтите что примененные значения смотреть надо в ветке HKLM\Software\Policies\Microsoft\W32Time
    А проверить с чем синхронизирутся можно в event логе System при старте службы туда пишется событие с кодом 35 "Служба времени выполняет синхронизацию..."

    Да действительно в реестре прописывается, я просто думал что должны меняться значения в ветке HKLM\System\CurrentControlSet\Services\W32Time
    В журнале пишется что синхронизируется с контроллером, собственно так и есть.

    Вообще первоначальный смысл этого топика был в том, что бы понять как управлять всей этой синхронизацией в домене. Но из всего, что я прочел и узнал за это время я делаю вывод, что при параметре NT5DS, управлять ничем нельзя, все происходит автоматически.
    31 марта 2009 г. 8:02