En simpel løsning på plejeproblemet tid på domænecontroller installeret på virtuelle bil Hyper-V under kontrol Windows Server 2008/2012.

Under arbejdet domænecontroller under kontrol Windows Server 2008 R2/2012 installeret på en virtuel maskine Hyper-V, blev det bemærket konstant tiden går– på en måned kunne tiden være gået næsten en halv time. Behøver jeg at sige, hvor vigtigt det er? præcis tid på domænecontrolleren, fordi på den synkroniseret hele flåden af ​​computere i domænet.

1. Deaktiver tidssynkronisering med værtsmaskinen

Først skal du deaktivere tidssynkronisering gæstemaskine samtidig med værtsmaskinen, ellers får vi problemer. Hvis værtsmaskinen er medlem af et domæne, synkroniseres værten med controlleren på gæstemaskinen, og gæstemaskine synkroniseret af værten - vi får en lukket sløjfe, som højst sandsynligt fører til en konstant tidsforskydning i sig selv. Skiftet opnås bogstaveligt talt i nogle brøkdele af et sekund, men gradvist lægges sammen over hver synkroniseringscyklus, akkumuleres et meget mærkbart clockskift.

I parametre virtuel maskine Indstillinger → Integrationstjenester → Tidssynkronisering – fjern markeringen

2. Opsæt synkronisering via NTP-server

Værktøjer

For at konfigurere bruger vi kommandolinjeværktøjet w32tm. De vigtigste parametre for hjælpeprogrammet, der bruges til at konfigurere og administrere tid: w32tm /query giver dig mulighed for at forespørge aktuelle indstillinger NTP-klient og server w32tm /config bruges til at konfigurere tidstjenesten w32tm /resync bruges til at initialisere tidssynkronisering w32tm /dumpreg bruges til at vise de aktuelle registreringsindstillinger forbundet med tidstjenesten w32tm /debug bruges til at aktivere tidstjenestens fejlretning log

Indstillinger

Du er ved at opsætte tidssynkronisering på en domænecontroller under Windows kontrol Server 2008 R2 med FSMO's rolle"PDC Emulator": w32tm /query /configuration se på de aktuelle parametre for tidstjenesten w32tm /config /syncfromflags:manual vælg kilden (den liste, vi specificerede) til tidssynkronisering w32tm /config /manualpeerlist:"server1.ntp.org server2.ntp.org" opsætter vi en manuelt specificeret liste over noder til synkronisering. Værter er DNS-navne eller IP-adresser adskilt af mellemrum. Når du angiver flere noder, er alle nodeværdier omgivet af anførselstegn. Du kan selvfølgelig begrænse dig til en velkendt time.windows.com w32tm /config /reliable:ja vi indstiller parameteren, at denne maskine er en pålidelig kilde til tid og kan betjene klienter w32tm /config /update vi informerer tidstjenesten at der er foretaget ændringer (du kan genstarte tjenesten) w32tm /query /configuration check foretaget ændringer i w32tm /resync-tjenesteparametrene udfører vi synkronisering (du kan lege, ændre tidspunktet og kontrollere, om synkronisering vil blive udført)

For større pålidelighed kan du også genstarte tidstjenesten ved hjælp af kommandoerne net stop w32time og net start w32time .

For nemheds skyld er det godt at samle de angivne kommandoer i en cmd-fil og løse problemet med et enkelt klik:

W32tm /config /syncfromflags:manual w32tm /config /manualpeerlist:time.windows.com w32tm /config /reliable:yes w32tm /config /update w32tm /query /configuration pause w32tm /resync

Anvendelseseksempler

08.12.2014

NetPing-enheder bruger NTP-protokollen til at synkronisere tid. Ved hjælp af denne protokol justerer alle enheder på netværket deres tid efter til den angivne server. NetPing-enheder forbundet til internettet kan bruge en offentlig NTP-server, som anbefalet i artikel. Hvis adgang til Internet netværk nej, så kan du konfigurere en lokal NTP-server. En sådan server kan være enhver computer, der kører Windows OS med en konfigureret tjeneste W32 Tid (« Windows Time Service »). Denne service ikke har GUI og konfigureres enten via kommandolinjen eller ved at redigere registreringsdatabasenøgler.

Instruktioner til opsætning af en NTP-server på Windows 7/8/2008/2012

Lad os se på opsætning af en tidstjeneste ved at redigere registreringsdatabasen. Opsætningen er den samme for Windows-versioner 7/8, Windows Server 2008, Windows Server 2012.

For denne indstilling skal du have Windows OS-administratorrettigheder.

Åbn registreringseditoren enten gennem dialogboksen " Udfør", forårsaget af tastekombinationen" Vinde» + « R", eller gennem søgeformularen, hvor vi skriver " regedit».

I den editor, der åbnes, i træmenuen til venstre, åbn "grenen" " HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\W32Time\TimeProviders\NtpServer", hvor vi leder efter nøglen med navnet " Aktiver" Klik højreklik musen og vælg "Rediger". Skift nøgleværdien fra 0 på 1 .

Ved at ændre denne parameter, angav vi, at denne computer fungerer som en NTP-server. Computeren forbliver samtidig en klient og kan synkronisere sin tid med andre servere på internettet eller lokale netværk. Hvis du ønsker, at det interne hardwareur skal fungere som en datakilde, skal du ændre værdien af ​​nøgleparameterenAnnoncer flag på 5 i tråden" HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config».

For at ændringerne træder i kraft, skal vi genstarte tjenesten. Tjenester tilgås via " Kontrolpanel» fra menuen « Starte» -> « Kontrolpanel» -> « Administration» -> « Tjenester" Den findes også i søgeformularen, når du indtaster " services.msc" På listen over tjenester, der vises, finder vi den, vi er interesseret i " Windows Time Service" og gennem menuen kaldet op med højre museknap, vælg punktet " Genstart».

I denne artikel vil vi se på, hvordan man konfigurerer NTP i Windows Server 2012. Denne artikel dækker ikke detaljeret opsætning tidssynkronisering i et domænemiljø, og opsætning af en enkelt domænecontroller med rollen som en PDC emulator, som er den eneste server i miljøet, der synkroniserer med ekstern kilde tid.

Opsætningen er meget enkel. Alt du skal gøre er at køre følgende kommandoer i PowerShell:

w32tm /config /manualpeerlist:pool.ntp.org /syncfromflags:MANUAL
Stop-Service w32time
Start-Service w32time

Hvis controlleren er virtualiseret ved hjælp af Hyper-V, skal du huske at deaktivere tidssynkronisering ved hjælp af Hyper-V. Åbn indstillingerne for den virtuelle maskine -> Administration -> Integrationstjenester og fjern markeringen i afkrydsningsfeltet Tidssynkronisering.

Det er alt! Vil du vide mere? Er der noget, der ikke virker? Så lad os se nærmere på det...

W32tm er hovedkommandoen vi bruger. Der er også muligheder, der bruger "nettotid", men faktisk er der ingen grund til at bruge denne konstruktion. Nogle artikler nævner også direkte redigering registreringsdatabasen, men Microsoft fraråder at gøre dette under alle omstændigheder, men kun hvis der absolut ikke er noget andet alternativ. Men hvis du virkelig ønsker at redigere registreringsdatabasen, er den filial, du har brug for, her: HKLM\System\CurrentControlSet\Services\W32Time.

Hvilken NTP-server skal jeg bruge? Eller er det bedre at have flere?

pool.ntp.org er en round-robin af tilfældige NTP-servere. For slutbrugere denne adresse er mere end nok. Men hvis det er nødvendigt, kan du manuelt angive flere servere:

w32tm /config /manualpeerlist:"ntp1.sp.se ntp2.sp.se" /syncfromflags:MANUAL

Du skal blot tilføje de servere, du har brug for, med et mellemrum mellem dem.

Glem ikke firewallen

Hvis du har en firewall mellem værten og internettet, kan den konfigureres til at blokere udp/123, som er der NTP-protokollen fungerer. Sådan ser det ud på min Cisco ASA FW:

Derfor oprettede jeg en separat regel, der tillader denne trafik.

Detaljeret information og logning

Denne kommando viser nyttige oplysninger om opsætning af synkronisering, listen over servere og tidspunktet for sidste synkronisering.

Typisk, når en server ikke kan hente tid fra en NTP-server, skrives følgende information til loggen:

Lognavn: System
Begivenheds-id: 47
Niveau: Advarsel
Beskrivelse: Tidsudbyder NtpClient: Der er ikke modtaget noget gyldigt svar fra manuelt konfigureret peer pool.ntp.org efter 8 forsøg på at kontakte den. Denne peer vil blive kasseret som en tidskilde, og NtpClient vil forsøge at opdage en ny peer med dette DNS-navn. De fejl var: Peer er uopnåelig.

Når alt er i orden, ser beskeden således ud:

Lognavn: System
Kilde: Microsoft-Windows-Time-Service
Begivenheds-id: 35
Niveau: Information
Beskrivelse: Tidstjenesten synkroniserer nu systemtiden med tidskilden pool.ntp.org (ntp.m|0×0|0.0.0.0:123->85.10.240.253:123).

Oplever du stadig problemer? Du kan nemt inkludere debug-output i en logfil, som i mit tilfælde er begrænset til 10 megabyte og inkluderer alle debug-indgange.

w32tm /debug /enable /file:C:\Temp\w32tmdebug.log /size:10485760 /entries:0-300

Når fejlretningen er fuldført, skal du deaktivere den:

I tilfælde af problemer i loggen vil du se stort antal information. For mig, når alt fungerer, signalerer følgende post dette:

- Tilgængelighed: peer pool.ntp.org (ntp.m|0×0|0.0.0.0:123->129.70.132.35:123) er tilgængelig.
- Logoplysninger: NtpClient modtager i øjeblikket gyldige tidsdata fra pool.ntp.org (ntp.m|0×0|0.0.0.0:123->129.70.132.35:123).

Og da min firewall blokerede pakkerne, modtog jeg følgende beskeder.

- Logningsfejl: NtpClient er blevet konfigureret til at hente tid fra en eller flere tidskilder, men ingen af ​​kilderne er tilgængelige i øjeblikket, og der vil ikke blive forsøgt at kontakte en kilde i 1 minut. NTPCLIENT HAR INGEN KILDE TIL NØJAGTIG TID.

Tvunget synkronisering

Hvis du skal tvinge klienten til at synkronisere, skal du køre kommandoen:

w32tm/resync
Sender resync-kommando til lokal computer
Kommandoen blev gennemført.

Hvis du har modtaget følgende fejl, betyder det, at computeren ikke kan nå NTP-serveren.

Computeren synkroniserede ikke igen, fordi der ikke var tilgængelige tidsdata.

Lad os starte fra begyndelsen

Hvis du er fuldstændig forvirret i konfigurationerne, proppet for meget og ikke længere forstår, hvad der sker, så start fra begyndelsen. Disse kommandoer nulstilles fuldstændigt NTP-indstillinger til standardtilstand:

Stop-Service w32time
w32tm/afregistrer
w32tm/register

Indstilling af tiden i Windows-serveroperativsystemer ved hjælp af NTP-protokollen er afgørende for mange tjenester. Uden den korrekt konfigurerede tid, eller rettere sagt, hvis urene på serveren og arbejdsstationerne ikke stemmer overens, kan mange protokoller ikke fungere korrekt Active Directory og synkroniseringstjenester. At indstille og vedligeholde et ur ved hjælp af NTP er en simpel opgave, men det kommer nogle gange med nogle komplikationer, som vi vil forsøge at behandle i denne artikel.

For eksempel vil vi bruge et ikke helt nyere system - Windows Server 2012. Det er det mest almindelige, og på samme tid gælder for mange andre systemer, herunder Windows Server 2008, Windows Server 2016, lignende kommandoer og regler. Det skal bemærkes, at beskrivelsen vedrører en miljøopsætning med en enkelt master PDC controller. Mere komplekse muligheder ikke overvejes.

Nulstil NTP-indstillinger

For at sætte NTP-tjenesten i "standard"-tilstand, skal du køre følgende kommandoer:

Stop- Service w32time w32tm / afmeld w32tm / tilmeld

Stop-Service w32time w32tm /afregistrer w32tm /registrer

I i dette tilfælde de stopper tjenesten, afregistrerer tjenesten og registrerer den i systemet igen. Du bør kun køre disse kommandoer, når det er absolut nødvendigt. Som regel er der ikke behov for dem - NTP er konfigureret, hvis andre systemforhold tages i betragtning.

Normale NTP-installationskommandoer

For at konfigurere netværkstidsprotokollen til Windows controller Server, først og fremmest skal du deaktivere synkronisering via Hyper-V, hvis controlleren er virtualiseret ved hjælp af denne teknologi. For at gøre dette skal du gå til indstillingerne og fjerne markeringen af ​​punktet Tidssynkronisering i afsnittet Administration -> Integrationstjenester

For dem, der ikke bruger Hyper-V, kan det forrige trin udelades.

w32tm /config /manualpeerlist:"0.de.pool.ntp.org 1.de.pool.ntp.org" /syncfromflags:MANUAL

UDP-protokol til NTP- og firewall-blokering

Tidsprotokollen bruger UDP-portnummer 123 til sin kommunikation i sin standardkonfiguration. Du skal sikre dig, at firewallen ikke blokerer denne port. Hvis der opstår blokering, vil der være en masse information i ntp-logfilerne om, at forbindelsen er umulig:

Lognavn: System
Kilde: Microsoft-Windows-Time-Service
Begivenheds-id: 47
Niveau: Advarsel
Beskrivelse: Tidsudbyder NtpClient: Der er ikke modtaget noget gyldigt svar fra manuelt konfigureret peer pool.ntp.org efter 8 forsøg på at kontakte den. Denne peer vil blive kasseret som en tidskilde, og NtpClient vil forsøge at opdage en ny peer med dette DNS-navn. Fejlen var: Peer er uopnåelig.

For at sikre, at dette er problemet, kan du aktivere output af yderligere fejlfindingsoplysninger. Vi konfigurerer Windows Server-logfiler, så alle nødvendige oplysninger, men de voksede ikke mere end 20 megabyte:

w32tm /debug /deaktiver

Låse ntp Firewallen fanger følgende sætning ved fejlretning:

— Logningsfejl: NtpClient er blevet konfigureret til at hente tid fra en eller flere tidskilder, men ingen af ​​kilderne er tilgængelige i øjeblikket, og der vil ikke blive gjort forsøg på at kontakte en kilde i 1 minut. NTPCLIENT HAR INGEN KILDE TIL NØJAGTIG TID.

I dette tilfælde (ja, generelt, med det samme til verifikationsformål), skal du kontrollere reglen i firewallen

Og om nødvendigt ændre reglen eller tilføje den.

Tjek at ntp fungerer korrekt

For at kontrollere, om alt fungerer korrekt, kan du starte synkronisering manuelt:

w32tm/resync

Hvis alt gik godt, vil du modtage følgende besked:

Sender resync-kommando til lokal computer
Kommandoen blev gennemført.

Hvis der er problemer, meddelelse:

Computeren synkroniserede ikke igen, fordi der ikke var tilgængelige tidsdata.

I det andet tilfælde skal du kontrollere alt først: firewallen, korrektheden af ​​de angivne servere (om du har lavet en fejl i navnet). Hvis der er noget, har vi allerede givet oplysninger om nulstilling af indstillingerne.

Operativsystemer Windows familie indeholde W32Time-tidstjenesten. Denne service er designet til at synkronisere tid i en organisation. W32Time er ansvarlig for driften af ​​både klient- og serverdelen af ​​tidstjenesten, og den samme computer kan være både en klient og en NTP-server (Network Time Protocol) på samme tid.

Som standard er Windows-tidstjenesten konfigureret som følger:

Ved installation af operationsstue Windows-systemer starter en NTP-klient, der synkroniserer med en ekstern tidskilde;

Når du føjer en computer til et domæne, ændres synkroniseringstypen. Alle klientcomputere og medlemsservere i domænet bruger en domænecontroller til at synkronisere tid, som bekræfter deres ægthed;

Når en medlemsserver forfremmes til en domænecontroller, startes en NTP-server på den, som bruger en controller med PDC-emulatorrollen som tidskilde;

PDC-emulator placeret i roddomæne skove, er den vigtigste tidsserver for hele organisationen. Samtidig er det også selv synkroniseret med en ekstern tidskilde.

Denne ordning fungerer i de fleste tilfælde og kræver ikke indgriben. Strukturen af ​​tidstjenesten i Windows følger muligvis ikke domænehierarkiet, og enhver computer kan udpeges som en pålidelig tidskilde.

Lad os som et eksempel se på opsætning af en NTP-server i Windows Server 2008 R2 analogt, du kan opsætte en NTP-server i Windows 7.

Starter NTP-serveren

Windows Server Time Service har ikke en GUI og kan konfigureres fra begge kommandolinje, eller ved direkte at redigere systemregistret. Lad os overveje den anden metode:

NTP-serveren skal startes. Åbn registreringsdatabasen gren:

HKLM\System\CurrentControlSet\services\W32Time\TimeProviders\NtpServer.

For at aktivere NTP-serveren skal parameteren Enabled indstilles til 1. Derefter genstarter vi tidstjenesten med kommandoen netstop w32time && netstart w32time.

Efter genstart af NTP-tjenesten er serveren allerede aktiv og kan betjene klienter. Du kan bekræfte dette ved at bruge kommandoen w32tm /query /configuration. Denne kommando udsender fuld liste serviceparametre. Hvis NtpServer-sektionen indeholder linjen Enabled:1 , så er alt i orden, tidsserveren kører.

For at NTP-serveren kan betjene klienter, skal du åbne UDP-port 123 for indgående og udgående trafik.

Grundlæggende NTP-serverindstillinger

Åbn registreringsdatabasen:

HKLM\System\CurrentControlSet\services\W32Time\Parameters.

NoSync - NTP-serveren er ikke synkroniseret med nogen ekstern tidskilde. Systemuret bruges, indbygget i selve serverens CMOS-chip (til gengæld kan dette ur f.eks. synkroniseres fra en NMEA-kilde via RS-232);

NTP - NTP-serveren synkroniserer med eksterne tidsservere, der er angivet i NtpServer-registreringsparameteren;

NT5DS - NTP-server synkroniserer i henhold til domænehierarkiet;

AllSync - NTP-serveren bruger alle tilgængelige kilder til synkronisering.

Standardværdien for en computer, der er en del af et domæne, er NT5DS, for separat stående computer- NTP.

NtpServer-parameteren angiver de NTP-servere, som tiden vil blive synkroniseret med denne server. Som standard indeholder denne parameter Microsoft NTP-serveren (time.windows.com, 0×1 om nødvendigt, du kan tilføje flere NTP-servere ved at indtaste deres DNS-navne eller IP-adresser adskilt af et mellemrum). I slutningen af ​​hvert navn kan du tilføje et flag (f.eks. ,0×1), der bestemmer tilstanden for synkronisering med tidsserveren.

Følgende tilstandsværdier er tilladt:

0×1 - SpecialInterval, brug af pollingtidsinterval;

0×2 – UseAsFallbackOnly-tilstand;

0×4 – SymmetriskAktiv, symmetrisk aktiv tilstand;

0×8 – Klient, sender en anmodning i klienttilstand.

En anden vigtigt parameter AnnounceFlags er placeret i registreringsdatabasenøglen:

HKLM\System\CurrentControlSet\services\W32Time\Config.

Den er ansvarlig for, hvordan NTP-serveren annoncerer sig selv. For at erklære en medlemsserver (ikke en domænecontroller) som en pålidelig tidskilde, kræves flag 5.

Hvis serveren, der konfigureres, til gengæld er en NTP-klient (modtager f.eks. tid fra en GPS-modtager via NTP), kan du konfigurere intervallet mellem opdateringer. Denne parameter kan også være relevant for klient-pc'er. SpecialPollInterval-nøglen, der er placeret i registreringsdatabasen, er ansvarlig for opdateringstiden:

HKLM\System\CurrentControlSet\services\W32Time\TimeProviders\NtpClient.

Den er angivet i sekunder og som standard er dens værdi 604800, hvilket er 1 uge. Det er meget, så Det er værd at reducere SpecialPollInterval-værdien til en rimelig værdi - 1 time (3600).

Efter opsætningen skal du opdatere tjenestekonfigurationen. Dette kan gøres med kommandoen w32tm /config /update.

Og et par flere kommandoer til konfiguration, overvågning og diagnosticering af tidstjenesten:

w32tm /monitor – med denne mulighed kan du finde ud af hvor meget system tid af denne computer forskellig fra tiden på domænecontrolleren eller andre computere. For eksempel: w32tm/monitor/computers:time.nist.gov

w32tm /resync - ved at bruge denne kommando kan du tvinge computeren til at synkronisere med den tidsserver, den bruger.

w32tm /stripchart – viser tidsforskellen mellem den aktuelle og fjerncomputer. Hold w32tm /stripchart /computer:time.nist.gov /samples:5 /dataonly vil foretage 5 sammenligninger med den angivne kilde og vise resultatet i tekstform.

w32tm /config er hovedkommandoen, der bruges til at konfigurere NTP-tjenesten. Med dens hjælp kan du indstille listen over brugte tidsservere, typen af ​​synkronisering og meget mere. For eksempel kan du tilsidesætte standardværdierne og konfigurere tidssynkronisering med en ekstern kilde ved hjælp af kommandoen w32tm /config /syncfromflags:manual /manualpeerlist:time.nist.gov /update

w32tm /query - viser de aktuelle serviceindstillinger. For eksempel vil kommandoen w32tm /query /source vise den aktuelle tidskilde, og w32tm /query /configuration vil vise alle tjenesteparametre.

netstop w32time - stopper tidstjenesten, hvis den kører.

w32tm /unregister - fjerner tidstjenesten fra computeren.

w32tm /register – registrerer tidstjenesten på computeren. I dette tilfælde oprettes hele grenen af ​​parametre i registreringsdatabasen på ny.

net start w32time - starter tjenesten.

Funktioner bemærket i Windows 7 - Tidstjenesten starter ikke automatisk, når Windows opstart. Rettet i SP1 til Windows 7.