NET TIME — синхронизация часов компьютера | IT блоги – Windows, *nix, vmWare, Hyper-V, NetApp, SEO, HTML, видеонаблюдение

Net time системная ошибка 5 отказано в доступе

Часто спрашивают, почему появляется «Системная ошибка 5. Отказано в доступе» при использовании команды Net time. Отвечаю, все в правах пользователя под которым запускается команда. В качестве примера пробовал запустить команду сначала с правами локального администратора на Windows 10 — получил ошибку, далее запустил с правами администратора домена — результат на рисунке ниже.

Включение ntp-сервера

На всех контроллерах домена включен сервер NTP, но он может быть включен и на других узлах сервера.

Включение синхронизации внутренних часов с внешним источником

В библиотеке TechNet появились подробности о публикации материалов в электронной версии издания.

Задание интервала синхронизации с внешним источником

Время в секундах между опросами источника синхронизации, по умолчанию 900с = 15мин. Работает только для источников, помеченных флагом 0x1.

Конфигурация ntp-сервера на корневом pdc

Для создания NTP-сервера можно использовать либо реестр, либо командную строку. Я буду предоставлять оба варианта, когда это возможно.

Объявление ntp-сервера в качестве надежного

TechNet предоставит информацию о том, как компьютерная графика отображается на экранах.

Особенности виртуализированных контроллеров домена

Особое внимание следует уделить контроллерам домена, работающим в виртуальной среде.

  • Функции синхронизации времени виртуальной машины и операционной системы хоста должны быть отключены. Все соответствующие системы виртуализации (Microsoft, vmWare и т.д.) включают компоненты для интеграции гостевой операционной системы с операционной системой хоста, что значительно повышает производительность и управляемость гостевой системы. Эти компоненты всегда включают синхронизацию времени между гостевой операционной системой и операционной системой хоста, что очень полезно для стандартных машин, но не рекомендуется для контроллеров домена. Потому что в этом случае очень вероятен цикл, в котором контроллер домена и операционная система хоста синхронизированы друг с другом. Последствия этого печальны.
  • Для корневого CDP всегда должна быть настроена синхронизация с внешним источником. В виртуальной среде часы не так точны, как в физической среде, поскольку виртуальная машина работает с виртуальным процессором и прерываниями, для которых характерно замедление и ускорение по сравнению с “нормальной” частотой. Если виртуализированный корневой CDP не синхронизирован с внешним источником, время на всех компьютерах в компании может отставать/замедляться на несколько часов в день. Нетрудно представить, к каким проблемам может привести такое поведение.

Примеры команды net time

  • Net help time – отображает справку для указанной команды net;
  • Net time PC1 – отображает текущее время сервера для PC1;
  • Net time /querysntp – отображает имя сервера NTP для локального компьютера;
  • Net time Proton /set – синхронизирует часы локального компьютера с временем компьютера Proton.

Синтаксис команды net time

  1. Net time [{имя_компьютера | /domain[:имя_домена] | /rtsdomain[:имя_домена]}] [/set]
  2. Net time [имя_компьютера] [/querysntp]
  3. Net time [имя_компьютера] [/setsntp[:список_серверов_NTP]], где
  • Имя_компьютера – указывает имя сервера, время которого должно быть проверено или с которым должны быть синхронизированы часы.
  • /domain[:имя_домена] – указывает имя домена, с которым синхронизируются часы.
  • /rtsdomain[:имя_домена] – указывает домен сервера надежного времени (RTS), с которым должны быть синхронизированы часы.
  • /set – синхронизирует часы со временем указанного компьютера или домена.
  • /querysntp – выводит имя сервера сетевого протокола времени (NTP), настроенного для локального компьютера или компьютера, указанного в параметре имя_компьютера.
  • /setsntp[:list_NTP_servers] – задает список серверов времени NTP, которые будут использоваться на локальном компьютере.

Служба времени windows (w32time)

Служба времени Windows (Windows Time Service; имя службы W32Time) обеспечивает синхронизацию системных часов. В доменах Active Directory точность времени особенно важна потому, что клиенты работающие под управлением систем Windows 2000 и выше, и контроллеры домена при аутентификации используют протокол Kerberos V5, для нормальной работы которого необходимо, чтобы показания часов на компьютерах отличались не более чем на 5 минут.
В составе стека протоколов TCP/IP имеется протокол NTP (Network Time Protocol, RFC 1119), который служит для синхронизации системных часов компьютеров, связанных сетью TCP/IP. Клиент протокола NTP синхронизирует показания своих часов сервера NTP.
Примечание:
Работа службы времени определяется параметрами реестра, расположенными в разделе HKLMSYSTEMCurentControlSetServicesW32Time.

:/>  Настраиваем Windows Server так, чтобы у вас все было, при этом вам за это ничего не было / Блог компании Parallels / Хабр

По умолчанию служба времени Windows синхронизируется от внешнего сервера времени (поскольку параметр TimeProvidersNtpClientEnable равен 1), при этом параметр ParametersType имеет значение NTP, с которым происходит синхронизация. Параметр TimeProvidersNtpServerEnabled изначально равен 0, и компьютер не может выполнять функции сервера времени.
В случае подключения компьютера к домену параметр ParametersType изменяет свое значение на NT5DS, и синхронизация времени осуществляется только от контроллеров домена. (Для систем Windows Server 2008 также можно использовать значение AllSync — тогда компьютер может получать точное время как от контроллеров домена, так и от внешних серверов времени). то же самое происходит и при повышении роли рядового сервера до контроллера домена (при этом параметр TimeProvidersNtpServerEnabled становится равным 1, поскольку каждый контроллер домена может выполнять функции сервера времени).
Примечание:
После каждого изменения параметров в реестре службы времени Windows ее следует перезапустить с помощью оснастки Службы (Service) или в окне консоли (используя команду net stop w32time && net start w32time). Если для настройки параметров используется утилита w32tm.exe, то новые значения начинают действовать только после выполнения команды:
w32tm /config /update

Клиенты автоматически синхронизируют свое время с контроллерами домена Active Directory в Windows 2000/XP, Windows Server 2003 и более поздних версиях. Контроллер, выполняющий роль эмулятора PDC (PDA Emulator), или любые другие компоненты родительского домена используются контроллерами домена для проверки времени. Эмулятор родительского домена (или корневой лес домена) или любые серверы в нем служат источником времени для эмулятора PDC. Внешний сервер NTP должен предоставлять время эмулятору PDC леса корневого домена. В данном случае эталонными часами являются системные часы эмулятора PDC для этого домена.

Настройка синхронизации с источником времени
В общем случае имя или IP-адрес внешнего сервера времени можно задать с помощью команды:
net time /SETSNTP:
а команда
net time /QUERYSNTP
показывает, какой внешний сервер (серверы) времени используются в данный момент.
Примечание:
В качестве внешних можно использовать различные NTP-серверы времени, имеющиеся в Интернете, их примерный список имеется в статье КВ262680 базы знаний Microsoft.

Эту задачу можно выполнить с помощью двух команд:
w32tm /config /syncfromflags:MANUAL /manualpeerlist:
w32tm /config /update

По умолчанию все компьютеры, работающие под управлением Windows, в качетсве сервера времени используют веб-узел time.windows.com
Для того чтобы часы компьютера синхронизировались только в соответствии с иерархической структурой доменов (чтобы параметр ParametrsType изменил назначение на NT5DS), нужно выполнить команду:
w32tm /config /syncfromflags:DOMHIER /update
Команда:
w32tm /config /syncfromflags:ALL /update
позволяет получение точного времени от контроллеров домена и внешних серверов времени (при этом параметр ParametrsType изменит значение на AllSync).

Запуск NTP сервера
Служба времени в Windows Server (начиная с 2000 и выше) не имеет графического интерфейса и настраивается либо из командной строки, либо путем прямой правки системного реестра.
Итак, первым делом нам надо запустить сервер NTP. Открываем ветку реестра
HKLMSystemCurrentControlSetservicesW32TimeTimeProvidersNtpServer.
Здесь для включения сервера NTP параметру Enabled надо установить значение 1.
NET TIME — синхронизация часов компьютера | IT блоги - Windows, *nix, vmWare, Hyper-V, NetApp, SEO, HTML, видеонаблюдение

Затем перезапускаем службу времени командой:
net stop w32time && net start w32time
NET TIME — синхронизация часов компьютера | IT блоги - Windows, *nix, vmWare, Hyper-V, NetApp, SEO, HTML, видеонаблюдение

После перезапуска службы NTP сервер уже активен и может обслуживать клиентов. Убедиться в этом можно с помощью команды 
w32tm /query /configuration
Эта команда выводит полный список параметров службы. Если раздел NtpServer содержит строку Enabled:1, то все в порядке, сервер времени работает.
NET TIME — синхронизация часов компьютера | IT блоги - Windows, *nix, vmWare, Hyper-V, NetApp, SEO, HTML, видеонаблюдение

Для того, чтобы NTP-сервер мог обслуживать клиентов и выполнять заказы по сети UD P порт 123.

:/>  Microsoft Server App-V — что это, и с чем его едят / Хабр

Основные настройки NTP сервера
NTP сервер включили, теперь надо его настроить. Открываем ветку реестра HKLMSystemCurrentControlSetservicesW32TimeParameters. Здесь в первую очередь нас интересует параметр Type, который задает тип синхронизации. Он может принимать следующие значения:

NoSync — NTP-сервер не синхронизируется с каким либо внешним источником времени. Используются часы, встроенные в микросхему CMOS самого сервера;
NTP — NTP-сервер синхронизируется с внешними серверами времени, которые указаны в параметре реестра NtpServer;
NT5DS —  NTP-сервер производит синхронизацию согласно доменной иерархии;
AllSync — NTP-сервер использует для синхронизации все доступные источники.

Значение по умолчанию для компьютера, входящего в домен — NT5DS, для отдельно стоящего компьютера —  NTP.

Кроме того, параметр NtpServer указывает NTP-серверы, которые будет использовать этот сервер. Если есть возможность, к параметру Microsoft NTP-server (time.windows.com, 0x1) можно добавить еще пару-тройку NTp/server: file и IP-адресов с пробелами. Список доступных серверов времени можно найти, например, здесь.

Вы можете добавить к концу имени флаг (например, 0x1), чтобы указать режим соединения с сервером времени:

0x1 –  SpecialInterval, использование специального интервала опроса ;
0x2 – режим UseAsFallbackOnly;
0x4 – SymmetricActive, симметричный активный режим;
0x8 – Client, отправка запроса в клиентском режиме.

При использовании флага SpecialInterval необходимо установить значение интервалов в ключе SPEccionPoll. При значении флага UseAsFallbackOnly служба времени сообщает, что данный сервер используется как резервный. Симметричный активный режим используется NTP-серверами по умолчанию, а клиентский можно задействовать при возникновении проблем с синхронизацией. — как это делается в Microsoft, либо не морочиться и просто ставить совместимые программы.

NET TIME — синхронизация часов компьютера | IT блоги - Windows, *nix, vmWare, Hyper-V, NetApp, SEO, HTML, видеонаблюдение

В разделе HKLMSystemMySms есть дополнительный параметр AnnounceFlag. Он может принимать следующие значения и управляет тем, как сервер NTP называет себя:

0x0 (Not a time server) — сервер не объявляет себя через NetLogon, как источник времени. Он может отвечать на NTP запросы, но соседи не смогут распознать его, как источник времени;
0x1 (Always time server) — сервер будет всегда объявлять о себе вне зависимости от статуса;
0x2 (Automatic time server) — сервер будет объявлять о себе только, если он получает надежное время от другого соседа (NTP или NT5DS);
0x4 (Always reliable time server) — сервер будет всегда заявлять себя, как надежный источник времени;
0x8 (Automatic reliable time server) — контроллер домена автоматически объявляется надежным если он PDC-эмулятор корневого домена леса. Этот флаг позволяет главному PDC леса заявить о себе как об авторизованном источнике времени для всего леса даже при отсутствии связи с вышестоящими NTP-серверами. Ни один другой контроллер или рядовой сервер (имеющие по умолчанию флаг 0x2) не может заявить о себе, как надежном источнике времени, если он не может найти источник времени для себя.

Общее количество флагов, составляющих AnnounceFlags – это то, что есть.

Если сервер NTP получает собственное время от надежного источника или является корневым доменом PDC, он объявляет себя источником времени. У всех членов домена и автономных серверов установлен флаг 10.

5=1 4 — NTP-сервер всегда заявляет о себе как о надежном источнике времени. Например, чтобы заявить рядовой сервер (не домен-контроллер) как надежный источник времени, нужен флаг 5.

NET TIME — синхронизация часов компьютера | IT блоги - Windows, *nix, vmWare, Hyper-V, NetApp, SEO, HTML, видеонаблюдение

Теперь обновление, предшествовавшее обновлению, будет продолжено. Ключ SpecialPollInterval, который можно найти в окне XHRMUB32TimeProvidersNtpClient, находится в ветви реестра HKLMSDSystemCurrent Control. Длина набора составляет 604800, или 1 неделя, в цифрах. Учитывая, насколько это много, стоит установить значение SpecialPollInterval равным 3600.

NET TIME — синхронизация часов компьютера | IT блоги - Windows, *nix, vmWare, Hyper-V, NetApp, SEO, HTML, видеонаблюдение

Обновление конфигурации после настройки службы. Элементы для настройки, наблюдения и анализа службы времени: w32tm /config /update

w32tm /monitor – при помощи этой опции можно узнать, насколько системное время данного компьютера отличается от времени на контроллере домена или других компьютерах. Например: w32tm /monitor /computers:time.nist.gov
w32tm /resync – при помощи этой команды можно заставить компьютер синхронизироваться с используемым им сервером времени.
w32tm /stripchart–  показывает разницу во времени между текущим и удаленным компьютером, причем может выводить результат в графическом виде. Например, команда w32tm /stripchart /computer:time.nist.gov /samples:5 /dataonly произведет 5 сравнений с указанным источником и выведет результат в текстовом виде.

:/>  Командная строка - команда Cipher

w32tm /config – это основная команда, используемая для конфигурирования службы NTP. С ее помощью можно задать список используемых серверов времени, тип синхронизации и многое другое. Например, переопределить значения по умолчанию и настроить синхронизацию времени с внешним источником, можно командой w32tm /config /syncfromflags:manual /manualpeerlist:time.nist.gov /update
w32tm /query — показывает текущие настройки службы. Например команда w32tm /query /source  покажет текущий источник времени, а w32tm /query /configuration  выведет все параметры службы.

Ну и на крайний случай
w32tm /unregister — удаляет службу времени с компьютера.
w32tm /register – регистрирует службу времени на компьютере.  При этом создается заново вся ветка параметров в реестре.

Смена часового пояса в Windows
Для смены часового пояса в операционных системах семейства Windows используется специальная утилита командной строки tzutil.exe (Windows Time Zone Utility), устанавливается в виде отдельного обновления KB 2556308. Исполняемый файл утилиты хранится в каталоге %WINDIR%System32.
Запускаем командную строку (cmd.exe). Чтобы узнать текущий часовой пояс и его идентификатор (TimeZoneID), выполните команду:
tzutil /g

Выведем список всех часовых поясов с их названием и идентификаторами так:
tzutil /l

Для быстрого вывода всех доступных часовых поясов, например, со сдвигом UTC 5, используем следующую команду:
tzutil /l | find /I «utc 05»

Изменим текущий часовой пояс на (UTC 05:00) Ашхабад, Ташкент (West Asia Standart Time). Для этого нужно указать идентификатор часового пояса.
tzutil /s «West Asia Standard Time»

Проверим, что пояс сменился другим способом:
reg query HKLMSYSTEMCurrentControlSetControlTimeZoneInformation

Чтобы отключить переход на летнее время для конкретного пояса, указываем идентификатор часового пояса с суффиксом _dstoff, например
tzutil /s “West Asia Standard Time_dstoff”

После выполнения данной команды Мы изменим часовой пояс рабочей станции или сервера и отключим сезонный перевод часов.
Выведем информацию о часовом поясе и настройках сезонного перевод часов:
w32tm /tz

Режим учета времени можно использовать для управления временем в консоли PowerShell.

Получаем настройки текущего часового пояса в консоли PowerShell, выполняем следующую команду
[TimeZoneInfo]::Local
Или
Get-TimeZone

Чтобы посмотреть все возможные часовые пояса, доступные в Windows можно использовать команду Powershell:
[System.TimeZoneInfo]::GetSystemTimeZones()
Или
Get-TimeZone -ListAvailable

Для смены часового пояса из PowerShell, выполните команду:
Set-TimeZone -Name «West Asia Standard Time»

Топология синхронизации времени среди участников active directory

В Active Directory используется следующая схема синхронизации времени.

Идея о том, что корневой PDC может синхронизировать свое время с внешним источником, абсурдна и не связана ни с одной из его возможностей.

. Сервер времени корневого PDC идентифицирует себя как “надежный” во втором сценарии.

Далее я приведу оптимальную для меня конфигурацию сервера времени корневого PDC, в которой сам корневой pdc периодически синхронизирует свое время от достоверного источника интернет-рекламы и его внутренние часы.

Установка минимальной положительной и отрицательной коррекции

Максимальная положительная и отрицательная коррекция времени в секундах, при превышении которой происходит сдвиг (разница между внутренними часами и источником синхронизации). Я советую использовать значение 0xFF FF, при котором коррекция происходит всегда.

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeConfig]”MaxPosPhaseCorrection”=dword:FFFFFFFF”MaxNegPhaseCorrection”=dword:FFFFFFFF

Оставьте комментарий

Adblock
detector