The Windows Time service is the basis for the normal functioning of the Active Directory domain. The W32Time service is essential for successful operationing of Kerberos authentication in AD. In the AD environment, the time synchronization is performed according to a domain hierarchy: domain-joined computers and servers get the time from the nearest domain controller on which they are logged on, all domain controllers synchronize their time with a single DC that holds the PDC Emulator FSMO role.
You need to configure your PDC Emulator (Primary Domain Controller) to sync time with a reliable external time source. The external time source is usually one or more public NTP (Network Time Protocol) servers, like time.windows.com or the NTP server of your provider.
Настраивать время в домене нужно как только мы развернули новый лес, или же если мы передали роль PDC другому контроллеру домена в существующем лесу.
Стандартная схема синхронизации времени в домене довольно проста:
Есть контроллер домена, который держит роль FSMO – PDC (Primary Domain Controller). Его нужно настроить на синхронизацию времени с каким-либо внешним NTP сервером. Есть другие контроллеры домена, которые в стандартной схеме синхронизируются с вышестоящим контроллером домена в иерархии Active Directory.
Контроллеры наивысшего уровня синхронизируются с PDC эмулятором. Рядовые серверы AD и клиентские компьютеры синхронизируют время с соответствующим контроллером домена своего сайта.
Настраиваем контроллер домена с ролью PDC
The command completed successfully.
Настраиваем члена домена, не держащего роли PDC, на работу в стандартной доменной схеме Хочу отметить, что данную процедуру нужно проводить в том случае, если настройки времени на текущем компьютере домена перед этим менялись на нестандартные. Таким образом мы вернем все в дефолтные настройки.
Sending resync command to local computer
Основные настройки NTP сервера
Открываем ветку реестра:
NoSync
– NTP-сервер не синхронизируется с каким либо внешним источником времени. Используются системные часы, встроенные в микросхему CMOS самого сервера (в свою очередь эти часы могут синхронизироваться от источника NMEA по RS-232 например);
NTP
— NTP-сервер синхронизируется с внешними серверами времени, которые указаны в параметре реестра NtpServer
;
NT5DS
– NTP-сервер производит синхронизацию согласно доменной иерархии;
AllSync
– NTP-сервер использует для синхронизации все доступные источники.
Значение по умолчанию для компьютера, входящего в домен – NT5DS, для отдельно стоящего компьютера – NTP.
В параметре NtpServer
указываются NTP-сервера, с которыми будет синхронизировать время данный сервер. По умолчанию в этом параметре прописан NTP-сервер Microsoft (time.windows.com, 0×1), при необходимости можно добавить еще несколько NTP-серверов, введя их DNS имена или IP адреса через пробел. В конце каждого имени можно добавлять флаг (напр. ,0×1) который определяет режим для синхронизации с сервером времени.
Допускаются следующие значения режима:
SpecialPollInterval,
находящийся в ветке реестра:
Он задается в секундах и по умолчанию его значение равно 604800, что составляет 1 неделю. Это очень много, поэтому стоит уменьшить значение SpecialPollInterval до разумного значения – 1 часа (3600).
После настройки необходимо обновить конфигурацию сервиса. Сделать это можно командой w32tm /config /update.
И еще несколько команд для настройки, мониторинга и диагностики службы времени:
w32tm /monitor
– при помощи этой опции можно узнать, насколько системное время данного компьютера отличается от времени на контроллере домена или других компьютерах. Например: w32tm /monitor /computers:time.nist.gov
w32tm /resync
– при помощи этой команды можно заставить компьютер синхронизироваться с используемым им сервером времени.
w32tm /stripchart
– показывает разницу во времени между текущим и удаленным компьютером. Команда w32tm /stripchart /computer:time.nist.gov /samples:5 /dataonly
произведет 5 сравнений с указанным источником и выдаст результат в текстовом виде.
w32tm /config
– это основная команда, используемая для настройки службы NTP. С ее помощью можно задать список используемых серверов времени, тип синхронизации и многое другое. Например, переопределить значения по умолчанию и настроить синхронизацию времени с внешним источником, можно командой w32tm /config /syncfromflags:manual /manualpeerlist:time.nist.gov /update
w32tm /query
– показывает текущие настройки службы. Например команда w32tm /query /source
покажет текущий источник времени, а w32tm /query /configuration выведет все параметры службы.
net stop w32time
– останавливает службу времени, если запущена.
w32tm /unregister
– удаляет службу времени с компьютера.
w32tm /register
– регистрирует службу времени на компьютере. При этом создается заново вся ветка параметров в реестре.
net start w32time
– запускает службу.
Особенности, замеченные в Windows 7 – служба времени не запускается автоматически при старте Windows. Исправлено в SP1 для Windows 7.
A Windows computer’s time must be in sync with the domain in order to function properly in an Active Directory. This is especially important for Kerberos authentication to work. Windows constantly synchronizes the time with the NTP servers. Domain controllers act as NTP servers for the computers that join the Active Directory domain.
On a Windows computer that is not part of an Active Directory domain, the computer’s time is synchronized with one of two Internet time sources by default:
It also shows the date of the last successful synchronization and the current time server FQDN.
To synchronize the time immediately, click the Sync Now button.
The list of Internet time servers that are currently in use is stored in the Windows registry under the HKLMSOFTWAREMicrosoftWindowsCurrentVersionDateTimeServers key.
Time synchronization works differently on computers that are joined an Active Directory domain.
Features of time synchronization in Active Directory domains:
The Windows Time Service (W32Time) is responsible for time synchronization. First of all, make sure this service is running on a Windows client computer using Get-Service cmdlet:
You can check with which NTP server (NTP source) if your computer is currently synchronizing the time by using the command:
More information on the status of time synchronization on the client device:
w32tm /query /status
In an AD domain, you can list the domain controllers with which time synchronization can be performed:
In this example, there are three domain controllers available for the client to synchronize time with.
w32tm /config /syncfromflags:domhier /update
net stop w32time && net start w32time
The Windows Time service parameters are stored under the HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParameters registry key. The synchronization mode is set using the Type parameter. If you change the Type value to NoSync, you completely disable time synchronization in Windows.
Configuring PDC Domain Controller to Sync Time with External NTP Server
First of all, you need to configure the PDC and enable the NTP service on it. To locate the name of the server with the PDC role in the domain, run the command:
netdom /query fsmo
Connect to the specified DC, open a command prompt, and run:
If you see in the output:
Disable time synchronization with the host via the registry:
or in the settings of the virtual machine (the screenshot below shows how to disable the time synchronization of the VM with the Hyper-V host using the Time Synchronization option in the Integration Services section).
The virtual PDC emulator must always synchronize the time with an external source, and the time synchronization with the host must be disabled. This also applies to any other VMs joined to the domain.
The best approach is to configure the PDC emulator to synchronize the time directly with an external time source.
Check that the external NTP servers you have chosen are accessible from the primary domain controller (outbound port UDP 123 must be open to the target server). Get the current time from an external NTP server using the command:
w32tm /stripchart /computer:0.us.pool.ntp.org
In this example, the specified NTP server is available and you have successfully obtained the current time from it.
You can manually configure the time synchronization of the PDC host with an external NTP source using the w32tm.exe tool:
net stop w32time
w32tm /config /syncfromflags:manual /manualpeerlist:”1.us.pool.ntp.org,0x8 1.us.pool.ntp.org,0x8 2.us.pool.ntp.org,0x8 3.us.pool.ntp.org,0x8″
w32tm /config /reliable:yes
w32tm /config /update
net start w32time
Check your current configuration:
Configure External NTP Source on PDC Domain Controller Using GPO
Create a new GPO and link it to the AD OU named Domain Controllers.
- CrossSiteSyncFlags: 2;
- Resolve Peer BAckoffMaxTimes: 7;
- SpecilalPoolInterval: 3600;
- EventLogFlags: 0.
Do not forget to configure your firewall properly and allow your PDC to access the external NTP servers over the NTP protocol (UDP port 123).
You can open the NTP port on Windows Defender Firewall using PowerShell:
New-NetFirewallRule -Name ‘NTP_Server_123UDP’ -DisplayName ‘NTP Server Port’ -Description ‘Allow Inbound Connections to NTP Server’ -Profile Any -Direction Inbound -Action Allow -Protocol UDP -Program Any -LocalAddress Any -LocalPort 123
Assign a WMI filter “Filter PDC Emulator“ that you created earlier to the GPO.
It remains to update the Group Policy settings on PDC using gpupdate command:
Perform a manual time synchronization with your NTP source:
And check the current NTP settings:
When running on a domain controller, this command shows how much time is different between other domain controllers and the external time source for which the PDC is configured.
Tip. If something does not work, try to restart the Windows Time service and reset its configuration:
net stop w32time
w32tm.exe /unregister
w32tm.exe /register
net stop w32tim
Configure Client Time Sync Settings Using GPO
By default in Active Directory, domain clients synchronize their time with domain controllers (option Nt5DS — synchronize time to domain hierarchy). Typically, this behavior does not need to be reconfigured. However, if there are problems with time sync on your domain clients, you can try to specify the time server directly on clients using GPO.
As an NTP server specify the name of your domain (preferred) or IP address/FQDN of the PDC:
NTP Server: lon-dc1.adatum.com,0x9
Set Type: NT5DS
CrossSiteSyncFlags: 2
ResolvePeerBackoffMinutes: 15
ResolvePeerBackoffMaxTimes: 7
SpecialPollInterval: 3600
EventLogFlags: 0
Possible values for the Type parameter:
Update Group Policy settings on the clients and check the received time sync settings as described above.
Настройка политики синхронизации NTP на контролере домена PDC
Этот шаг предполагает настройку контроллера домена с ролью эмулятора PDC на синхронизацию времени с внешним NTP сервером. Т.к. теоретически роль эмулятора PDC может перемещаться между контроллерами домена, нам нужно сделать политику, которая применялась бы только к текущему владельцу роли PDC. Для этого в консоли управления Group Policy Management Console
(GPMC.msc), создадим новый . Для этого в разделе WMI Filters
создадим фильтр и именем PDC Emulator
и WMI запросом: Select * from Win32_ComputerSystem where DomainRole = 5
Затем создайте новую GPO и назначьте ее на контейнер Domain Controllers.
Нас интересуют три политики:
В настройках политики Configure Windows NTP Client
укажите следующие параметры:
- CrossSiteSyncFlags
: 2 - Resolve Peer BAckoffMaxTimes
: 7 - SpecilalPoolInterval
: 3600 - EventLogFlags
: 0
Совет
. Не забудьте настроить межсетевой экран таким образом, чтобы сервер PDC мог получить доступ к внешним NTP серверам по протоколу NTP (UDP порт 123).
Примените созданный ранее фильтр PDC Emulator
к данной политике.
Совет
. Найти имя сервера с ролью PDC можно с помощью команды: netdom query fsmo
Осталось обновить политики на контроллере PDC:
gpupdate /force
Вручную запустите синхронизацию времени:
w32tm /resync
Проверьте текущие настройки NTP:
w32tm /query /status
Совет
. В том случае, если время не синхронизировалось, перезагрузите использование времени Windows и сбросьте текущие настройки:
чистая остановка w32time
w32tm.exe /отменить регистрацию
w32tm.exe /регистр
чистый стоп w32tim
Проблемы с синхронизацией времени на компьютерах, присоединенных к домену Windows
UDP-порт 123 используется для синхронизации времени в Windows. Если этот порт недоступен на контроллере домена, клиентский компьютер не сможет синхронизировать время.
Вы можете получить ошибку при попытке синхронизировать время командой w32tm /resync:
Отправка команды повторной синхронизации на локальный компьютерКомпьютер не выполнил повторную синхронизацию, так как данные о времени были недоступны.
В этом случае нужно проверить, что служба w32time запущена на контроллере домена:
Служба w32time должна прослушивать UDP-порт 123. Убедитесь, что этот порт прослушивает контроллер домена.
Убедитесь, что правило контроллера домена Active Directory — W32Time (NTP-UDP-In) включено.
Вы также можете проверить статус правила брандмауэра Защитника Windows с помощью PowerShell:
Если правило отключено, необходимо включить его:
Если правило отсутствует (случайно удалено), создайте новое правило, позволяющее клиентам подключаться к службе времени Windows на контроллере домена:
брандмауэр netsh advfirewall add rule name=”NTP Server” dir=out protocol=udp localport=123 profile=any enable=yes action=allow
брандмауэр netsh advfirewall добавить правило name=”NTP Server” dir=in protocol=udp localport=123 profile=any enable=yes action=allow
Вы также можете вручную синхронизировать время с другим контроллером домена. Используйте команду:
чистое время \ny-dc01 /set /y
Эта команда должна возвращать «Команда выполнена успешно».
Конфигурация NTP-сервера на корневом PDC
Конфигурация сервера времени (NTP-сервера) может развиваться как с помощью утилиты командной строки w32tm, так и через реестр. Где возможно, я веду обе моды.
Включение синтеза внутренних часов со структурой звука
Объявление NTP-сервера в качестве надежного
NTP-сервер по умолчанию включен на всех контроллерах домена, однако его можно включить и на рядовых серверах.
Задание списка внешних источников для выявления
Флаг 0×8 на конце означает, что синхронизация должна присутствовать в протоколе клиента NTP, через предложенные этим сервером интервалы времени. Для того, чтобы увеличить свой интервал, необходимо использовать флажок 0×1.
Задание интервала образования образования с образованием
Время в секундах между опросами источника подключения, по умолчанию 900с = 15мин. Работает только для источников, помеченных флагом 0×1.
Установка минимальной положительной и отрицательной коррекции
. Рекомендованное значение 0xFFFFFFFF, если коррекция будет выполнена всегда.
Все количество строк
w32tm.exe /config /manualpeerlist:”time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 pool.ntp.org,0x8″/ syncfromflags:manual /reliable:yes/update
Полезные команды
Эта служба W32Time в Windows используется для синхронизации времени в организации AD. Компьютер может быть как клиентом, так и сервером NTP. По умолчанию компьютеры домена синхронизируют время с помощью службы времени Windows вместо NTP.
Если вы столкнулись с проблемой, когда время на клиентах и контроллерах домена отличается, скорее всего в вашем домене проблема с синхронизацией времени и тогда эта статья может быть вам очень полезна.
Прежде всего, необходимо выбрать сервер NTP, который вы хотите использовать. Список общедоступных серверов атомных часов NTP доступен на http://ntp.org. В нашем примере мы будем использовать 0.us.pool.ntp.org, 1.us.pool.ntp.org, 2.us.pool.ntp.org и 3.us.pool.ntp.org.
Настройка синхронизации времени домена с помощью групповой политики состоит из 2 шагов:
Запуск сервера NTP
Служба времени в Windows Server не имеет графического интерфейса
и настраивается либо из командной строки, либо путем прямого исправления системного реестра. Рассмотрим второй способ:
Используется сервер NTP. Открываем ветку реестра:
Для включения сервера NTP параметру Enabled
необходимо установить значение 1. Затем перезапускаем команду времени net stop w32time && net start w32time.
После перезапуска службы NTP, сервер уже активен и может обслуживать клиентов. Убедиться в этом можно с помощью команды w32tm /query /configuration
. Эта команда выводит полный список параметров службы. Если раздел NtpServer содержит строку Enabled:1
, то все в порядке, сервер времени работает.
Для того, чтобы NTP-сервер мог обслуживать клиентов, в брандмауэре необходимо открыть UDP порт 123 для входящего и исходящего трафика.
Особенности виртуализированных контроллеров домена
Контроллеры домена, работающие в виртуализированной среде, требуют к себе особенного отношения.
Служба времени Windows, несмотря на кажущуюся простоту, является одной из основ, необходимых для нормального функционирования домена Active Directory. В правильно настроенной среде AD служба времени работает следующим образом: компьютеры пользователей получают точное время от ближайшего контроллера домена, на котором они зарегистрировались. Все контроллеры домена в свою очередь получают точное время от DC с «Эмулятор PDC
», а контролер PDC синхронизирует свое время с неким . В качестве внешнего источника времени может выступать один или несколько NTP серверов, например time.windows.com или NTP сервер вашего Интернет-провайдера. Также нужно отметить, что по умолчанию клиенты в домене синхронизируют время с помощью службы времени Windows (Windows Time), а не с помощью протокола NTP.
Если вы столкнулись с ситуацией, когда время на клиентах и контроллерах домена различается, возможно, в вашем домене есть проблемы с синхронизацией времени и эта статья будет вам полезна.
В первую очередь выберите подходящий NTP сервер, который вы могли бы использовать. Список общедоступных NTP серверов доступен на сайте http://ntp.org
. В нашем примере мы будем использовать NTP сервера из пула ru.pool.ntp.org:
Настройка синхронизации времени в домене с помощью групповых политик состоит из двух шагов:
1) Создание GPO для контроллера домена с ролью PDC
2) Создание GPO для клиентов (опционально)
Windows Time Synchronization in an Active Directory Domain
On all computers joined to the Active Directory domain the closest domain controller is used as the default time source. In this case, the Type parameter must be set to NT5DS. If NTP is specified here, then your computer synchronizes time with an external time source (possibly on the Internet). In this case, the external time source for your computer (NTP server) will be specified in the NtpServer registry parameter.
You must set the Type parameter to NT5DS to enable automatic time synchronization of a Windows client with a domain controller.
When the NT5DS time synchronization type is used, the time source specified in the NtpServer parameter is ignored and Windows synchronizes the time with the domain controller (in accordance with the Active Directory sites and subnets).
You can manually change this parameter by using the Registry Editor (regedit.exe) or with PowerShell:
Set-ItemProperty HKLM:SYSTEMCurrentControlSetservicesW32TimeParameters -Name “Type” -Value “NT5DS”
Restart Windows Times service:
Restart-Service -Name w32time
The screenshot below shows that Windows is now synchronizing with DC (Source).
How to Manually Configure a Windows Client to Sync Time with NTP Server?
In this section, we will describe how to manually sync time to domain controller on Windows clients. You can use this guide to configure time synchronization on non-domain Windows computers.
First, reset all settings for the time service and remove the service:
Restart the computer and then re-register the time service:
Start the w32Time service:
Configure the synchronization of the Windows client with the NTP server (your PDC):
w32tm /config /manualpeerlist:”lon-dc01.adatum.com,0x9″ /syncfromflags:manual /reliable:yes /update
Restart the service:
Update the time configuration settings:
Synchronize the time:
Check the status:
Enable automatic startup of the Time Service using PowerShell:
Set-Service –Name w32tm–StartupType Automatic
Hint. If you need to quickly synchronize your Windows device with an accurate time server, run:
net time \your_ntp_server_name /set /y
Cyril Kardashevsky
Настройка синхронизации времени в домене Active Directory
Много теории и немного практики о:
Топология синхронизации времени среди участников Active Directory
Среди компьютеров, участвующих в Active Directory работает следующая схема синхронизация времени.
Контроллер корневого домена в лесу AD, которому принадлежит FSMО-роль эмулятора PDC (назовем его корневым PDC), является источником времени для всех остальных контроллеров этого домена. Контроллеры дочерних доменов синхронизируют время с вышестоящих по топологии AD контроллеров домена. Рядовые члены домена (сервера и рабочие станции) синхронизируют свое время с ближайшим к ним доступным контроллером домена, соблюдая топологию AD.
Корневой PDC может синхронизировать свое время как со внешним источником, так и с самим собой, последнее задано конфигурацией по умолчанию и является абсурдом, о чем периодически намекают ошибки в системном журнале.
Синхронизация клиентов корневого PDC может осуществятся как с его внутренних часов, так и с внешнего источника. В первом случае сервер времени корневого PDC объявляет себя как «надежный» (reliable).
Далее я приведу оптимальную с моей точки зрения конфигурацию сервера времени корневого PDC, при которой сам корневой PDC периодически синхронизирует свое время от достоверного источника в интернете, а время обращающихся к нему клиентов синхронизирует со своими внутренними часами.
Конфигурация NTP-сервера на корневом PDC
Включение синхронизации внутренних часов с внешним источником “Type”=”NTP” w32tm /config /syncfromflags:manual
“AnnounceFlags”=dword:0000000a w32tm /config /reliable:yes Подробности – в библиотеке TechNet.
“Enabled”=dword:00000001 Задание списка внешних источников для синхронизации “NtpServer”=”time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 ru.pool.ntp.org,0x8″ w32tm /config /manualpeerlist:”time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 ru.pool.ntp.org,0x8”
Флаг 0x8 на конце означает, что синхронизация должна происходить в режиме клиента NTP, через предложенные этим сервером интервалы времени. Для того, чтобы задать свой интервал синхронизации, необходимо использовать флаг 0x1. Все остальные флаги описаны в библиотеке TechNet.
Задание интервала синхронизации с внешним источником Время в секундах между опросами источника синхронизации, по умолчанию 900с = 15мин. Работает только для источников, помеченных флагом 0x1.
Установка минимальной положительной и отрицательной коррекции Максимальная положительная и отрицательная коррекция времени (разница между внутренними часами и источником синхронизации) в секундах, при превышении которой синхронизация не происходит. Рекомендую значение 0xFFFFFFFF, при котором коррекция сможет производиться всегда.
Все необходимое одной строкой
Применение внесенных в конфигурацию службы времени изменений
Принудительная синхронизация от источника
w32tm /resync /rediscover
Отображение состояния синхронизации контроллеров домена в домене
Отображение текущих источников синхронизации и их статуса
w32tm /query /peers
Особенности виртуализированных контроллеров домена
Средства синхронизации времени виртуальной машины и хостовой ОС должны быть выключены. Во всех адекватных системах виртуализации (Microsoft, vmWare и т. д.) присутствуют компоненты интеграции гостевой ОС с хостовой, которые значительно повышают производительность и управляемость гостевой системой. Среди этих компонентов всегда есть средство синхронизации времени гостевой ОС с хостовой, которое очень полезно для рядовых машин, но противопоказано для контроллеров домена. Потому как в этом случае весьма вероятен цикл, при котором контроллер домена и хостовая ОС будут синхронизировать друг друга. Последствия печальны.
Для корневого PDC синхронизация с внешним источником должна быть настроена всегда. В виртуальной среде часы не настолько точны как в физической, потому как виртуальная машина работает с виртуальным процессором и прерываниями, для которых характерно как замедление, так и ускорение относительно «обычной» частоты. Если не настроить синхронизацию виртуализированного корневого PDC с внешним источником, время на всех компьютерах предприятия может убегать/отставать на пару часов в сутки. Не трудно представить неприятности, которые может принести такое поведение.
Особенности настройки времени для виртуальных контроллеров домена
Сегодня речь пойдет о некоторых особенностях настройки службы времени на виртуальных контроллерах домена. Обычно схема синхронизации времени в домене Active Directory выглядит следующим образом:
Все рядовые сервера и рабочие станции синхронизируют свое время с ближайшим доступным контроллером домена;
Все контроллеры домена синхронизируются с контроллером, которому принадлежит роль PDC-эмулятор;
PDC-эмулятор является главным источником времени в домене и поэтому должен быть настроен на синхронизацию с надежным внешним источником времени.
Например так выглядят настройки времени на нашем виртуальном контроллере домена. Как видите, на нем с помощью групповых политик настроена синхронизация с внешним источником pool.ntp.org
.
Однако если проверить текущий источник времени, то можно довольно сильно удивиться, т.к. в качестве источника выступает непонятная сущность с названием VM IC Time Synchronization Provider
.
Дело в том, что по умолчанию виртуальные машины Hyper-V синхронизируют свое время с хостом, причем вне зависимости от настроек службы времени внутри машины. В результате может получиться довольно странная ситуация, когда хост является членом домена и синхронизируется с контроллером, который в свою очередь является виртуальной машиной и синхронизируется с хостом.
Для того, чтобы избежать подобной ситуации, для виртуальных контроллерах домена необходимо отключить синхронизацию времени с хостом. Сделать это можно двумя способами.
Способ первый — отключить синхронизацию в свойствах ВМ. Для этого надо в оснастке Hyper-V Manager открыть свойства виртуальной машины, перейти в раздел «Integration Services» и снять галку с пункта «Time synchronization».
Или то же самое с помощью PowerShell. Например такой командой выведем состояние службы для ВМ:
Get-VMIntegrationService -VMName SRV1 -Name ″Time synchronization″
А такой отключим синхронизацию:
Способ второй — отредактировать реестр внутри виртуальной машины. Для отключения синхронизации надо выставить значение 0
для параметра Enabled
, находящегося в разделе HKLMSYSTEMCurrentControlSetServicesW32TimeTimeProvidersVMICTimeProvider.
Эту настройку можно произвести из командной строки, выполнив команду:
reg add HKLMSYSTEMCurrentControlSetServicesW32TimeTimeProvidersVMICTimeProvider /v Enabled /t reg_dword /d 0
После отключения синхронизации любым из описанных способов необходимо хорошенько пнуть службу времени, чтобы она перестроилась на новый источник. На контроллере домена с ролью PDC-emulator необходимо рестартовать службу и запустить синхронизацию:
net stop w32time & net start w32time
w32tm /resync /force
На остальных контроллерах дополнительно надо выполнить команду:
w32tm/config /syncfromflags:DOMHIER /update
Это заставит службу времени выбрать в качестве источника PDC-emulator согласно доменной иерархии. Таким образом мы получим правильную схему синхронизации времени в домене.
Настройка синхронизации времени на клиентах домена
В среде Active Directory по умолчанию клиенты домена синхронизируют свое время с контролерами домена (опция Nt5DS
– синхронизировать время согласно иерархии домена). Как правило, эта схема работает и не требует перенастройки. Однако при наличии проблем с синхронизацией времени на клиентах домена, можно попробовать принудительно назначить сервер времени для клиентов с помощью GPO.
В качестве сервера NTP укажите имя или ip адрес PDC, например msk-dc1.сайт,0x9, а в качестве типа синхронизации — NT5DS
Обновите настройки групповых политик на клиентах и проверьте, что клиенты успешно синхронизировали свое время с PDC.
Совет
. Указанная схема применима только к небольшим доменам. Для больших распределенных доменов с большим количеством DC и сайтов придется создать отдельную политику для каждого сайта, чтобы клиенты синхронизировали свое время с DC в сайте.
Configuring NTP Client on Windows Using GPO
Операционные системы семейства Windows содержат службу времени W32Time
. Эта служба предназначена для синхронизации времени в пределах организации. W32Time
отвечает за работу как клиентской, так и серверной части службы времени, причем один и тот же компьютер может быть одновременно и клиентом и сервером NTP
(NTP – Network Time Protocol).
По умолчанию служба времени в Windows сконфигурирована следующим образом:
При установке операционной системы Windows запускает клиента NTP, который синхронизируется с внешним источником времени;
При добавлении компьютера в домен тип синхронизации меняется. Все клиентские компьютеры и рядовые сервера в домене используют для синхронизации времени контроллер домена, проверяющий их подлинность;
При повышении рядового сервера до контроллера домена на нем запускается NTP-сервер, который в качестве источника времени использует контроллер с ролью PDC-эмулятор;
PDC-эмулятор, расположенный в корневом домене леса, является основным сервером времени для всей организации. При этом сам он также синхронизируется с внешним источником времени.
Такая схема работает в большинстве случаев и не требует вмешательства. Однако структура сервиса времени в Windows может и не следовать доменной иерархии и надежным источником времени можно назначить любой компьютер.
В качестве примера приведем настройку NTP-сервера в Windows Server 2008 R2, по аналогии можно настроить NTP сервер и в Windows 7.
Похожее:
Получить подробную информацию о конфигурации относительно w32tm и установить надлежащий сервер протокола сетевого времени и синхронизацию в среде Active Directory 
W32tm rediscover and How do I force sync the time on Windows 
Настройка синхронизации времени в домене 
Windows com time 0x09 и настройка сервера времени win server 2016