Получить подробную информацию о конфигурации относительно w32tm и установить надлежащий сервер протокола сетевого времени и синхронизацию в среде Active Directory

Отключение синхронизации

Чтобы операционная система периодически не сверяла время с тем, что установлено на выбранном сервере, выполните такие шаги.

1. Откройте «Настройки даты и времени», кликнув правой кнопкой мыши по часам внизу дисплея.

2. Перенесите первый переключатель в положение «Откл.» и закройте окно.

В данное окно можете попасть через Параметры Windows 10 (см. 1-й раздел статьи) или Панель управления (см. 2-й раздел).

Второй способ: остановите и отключите автоматический запуск сервиса «Служба времени Windows», о чем рассказано в 3-м разделе.

Не забудьте проверить правильность указанного часового пояса.

Как проверить, работает ли синхронизация времени в домене?

До того, как что-либо «ломать» (и в процессе настройки, чтобы проверять эффективность вносимых изменений) необходимо производить диагностику текущего состояния, а также анализировать текущую конфигурацию службы времени. Этому призваны помочь несколько команд, указанных ниже.

Команда w32tm /monitor

• Может быть выполнена на любом компьютере (или контроллере) домена.
• Показывает список всех контроллеров домена (с которыми может выполняться синхронизация времени).
• Для каждого контроллера домена в поле «NTP:» отображает разницу во времени с PDC контроллером домена (который является источником для синхронизации времени во всём домене).
• Для каждого контроллера домена в поле «RefID:» отображается информация об источнике синхронизации времени для этого контроллера домена. Для всех контроллеров домена (кроме КД с ролью PDC) это должен быть либо другой контроллер домена, либо КД с ролью PDC.

Команда w32tm /query /Source или w32tm /query /peers

• Может быть выполнена на любом компьютере или контроллере домена.
• Показывает источник для синхронизации времени (с каким компьютером синхронизируется время того компьютера, на котором запущена эта команда). Для любых компьютеров/серверов это должен быть один из контроллеров домена, для любого контроллера домена (кроме PDC) это должен быть другой КД (обычно — с ролью PDC), для КД с ролью PDC это должен быть внешний источник синхронизации времени (интернет). Если в результатах выполнения команды отобразилось сообщение «VM IC Time Synchronization Provider» — значит, эта виртуальная машина синхронизируется с хостом виртуализации. Если эта виртуальная машина — один из контроллеров домена, такую настройку следует изменить!

Команда w32tm /query /Configuration /verbose

• Может быть выполнена на любом компьютере или контроллере домена.
• Выводит все настройки службы времени windows для текущего компьютера.
• Если у Вас Windows 2003, то Вы не можете выполнить эту команду. Вместо этого Вы можете посмотреть параметры конфигурации службы времени в реестре: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParameters, в частности параметр Type.

Команда w32tm /query /status /verbose

Сравнивает время (и отображает разницу во времени) на текущем компьютере с компьютером, указанном в аргументе /computer. Компьютер-источник для сравнения времени может быть как в интернете, так и в локальном домене. Примеры команды: w32tm /stripchart /computer:»ntp.org» /samples:3 /dataonly или w32tm /stripchart /computer:»dc1.domain.local» /samples:3 /dataonly

Параметры

Настройка синхронизации данным способом, относительно недавняя, и может использоваться только на Виндовс 10, так-как «Параметры системы» в том виде в котором они представлены есть только на десятке.

2. В первой вкладке активируйте опцию «Установить время автоматически».

3. Про скрольте вниз, до надписи: «Сопутствующие параметры», и перейдите по ссылке «Формат даты, времени и региона».

5. Перейдите в указанный на скриншоте раздел.

8. Для немедленной синхронизации кликните «Обновить сейчас».

9. Закройте окошко кнопкой «OK» и примените новые настройки.

Синхронизация через Net time

Так же можно воспользоватся вспомогательной службой net time для синхронизации времени.

Немного теории

Синхронизация времени в домене может (теоретически) работать сама, безо всяких настроек. Выглядит это обычно так:

• Компьютеры домена и серверы синхронизируют свое время с контроллерами домена (с ближайшими к ним).
• Контроллеры домена синхронизируют свое время с контроллером домена, которому назначена FSMO роль PDC (в терминах windows 2000 — «первичный контроллер домена»).
• Контроллер домена (КД) с ролью PDC синхронизирует время с внешним источником.

А дальше — начинаются ньюансы:

Просмотр параметров (/query)

• w32tm /query /computer: — Информация о стутусе синхронизации определенной станции (если имя не указано — используется локальный компьютер).
• w32tm /query / Source – Показать источник времени.
• w32tm /query / Configuration — Вывод всех настроек службы времени Windows.
• w32tm /query / Peers – Показать источники времени и их состояние.
• w32tm /query / Status – Статус службы времени.
• w32tm /query / Verbose – Подробный вывод всей информации о работе службы.

Командная строка

Рассмотрим, как синхронизировать время на компьютере с интернетом при помощи командной строки.

2. Выполните команду « w32tm /resync » для немедленной синхронизации с выбранным сервером.

Если компьютер расположен в домене, команда будет следующей: « net time /domain ».

Синтаксис команды NET TIME

• \имя_компьютера — указывает имя сервера, время на котором нужно проверить или с которым нужно синхронизировать таймер.
• /set — синхронизирует часы с временем указанного компьютера или домена.
• /querysntp — выводит имя сервера NTP (Network Time Protocol), сконфигурированного для локального компьютера, или компьютера, указанного в параметре \имя_компьютера.

Примеры команды NET TIME

• net help time — отображение справки для указанной команды net;
• net time \PC1— вывод на экран текущего времение сервера в сети для компьютера PC1;
• net time /querysntp — отображение на экране имени сервера NTP для локальнго компьютера;
• net time \Proton /set — синхронизация часов локального компьютера с временем компьютера Proton.

Net time системная ошибка 5 отказано в доступе

Часто спрашивают, почему появляется «Системная ошибка 5. Отказано в доступе» при использовании команды Net time. Отвечаю, все в правах пользователя под которым запускается команда. В качестве примера пробовал запустить команду сначала с правами локального администратора на Windows 10 — получил ошибку, далее запустил с правами администратора домена — результат на рисунке ниже.

Видео — NET TIME ознакомление с командой

Давайте перейдем от теории к практике. Начнем с того, что выясним кто из контроллеров является эмулятором PDC и эталоном времени для домена. Это можно сделать на любом контроллере домена командой:

netdom query fsmo

В выводе будут показаны все хозяева операций, нас интересует только эмулятор PDC.

Затем перейдем на указанный контроллер и узнаем источник времени для него, для этого выполните команду:

w32tm /query /source

Если в выводе вы увидите:

Local CMOS Clock
Free-Running System Clock

то источником времени являются аппаратные часы. А если там будет:

VM IC Time Synchronization Provider

то вы имеете дело с виртуальной машиной, которая синхронизирует время с хостом.

Данную настройку следует исправить, это можно сделать в настройках виртуальной машины, отключив синхронизацию времени с хостом, либо в самой системе, для этого откройте ветвь реестра:

и установите для параметра Enabled значение 0.

После данного изменения следует перезапустить Службу времени Windows как показано ниже или перезагрузить компьютер.

net stop w32time
net start w32time

Далее будет показана быстрая настройка NTP клиента на сервере и более расширенная.

Что делать, если синхронизация часов не работает

Если после всех описанных способов при попытке настройки локального времени происходит ошибка, то можно сделать еще несколько действий:

• Указать другой NTP-сервер, как это сделать – написано в параметрах.
• Проверить ПК антивирусом, так как порой наличие вредоносного ПО нарушает работу NTP.
• Подключиться к другому интернет-соединению.
• Удалить программы-активаторы, которые переводят системное время.

Синхронизация времени в Active Directory

Среди компьютеров, участвующих в Active Directory работает следующая схема синхронизация времени.

• Контроллер корневого домена в лесу AD, которому принадлежит FSMО-роль эмулятора PDC (назовем его корневым PDC), является источником времени для всех остальных контроллеров этого домена.
• Контроллеры дочерних доменов синхронизируют время с вышестоящих по топологии AD контроллеров домена.
• Рядовые члены домена (сервера и рабочие станции) синхронизируют свое время с ближайшим к ним доступным контроллером домена, соблюдая топологию AD.

Корневой PDC может синхронизировать свое время как со внешним источником, так и с самим собой, последнее задано конфигурацией по умолчанию и является абсурдом, о чем периодически намекают ошибки в системном журнале.

Синхронизация клиентов корневого PDC может осуществятся как с его внутренних часов, так и с внешнего источника. В первом случае сервер времени корневого PDC объявляет себя как «надежный» (reliable).

Далее я приведу оптимальную с моей точки зрения конфигурацию сервера времени корневого PDC, при которой сам корневой PDC периодически синхронизирует свое время от достоверного источника в интернете, а время обращающихся к нему клиентов синхронизирует со своими внутренними часами.

Для того, чтобы понять кто у вас в сети является NTP сервером из контроллеров домена, прочитайте вот эту статью, многие вопросы отпадут сами собой

Вводим netdom query fsmo. В моем примере, роль PDC и NTP сервера, принадлежит контроллеру dc7

Особенности виртуализированных контроллеров домена

Контроллеры домена, работающие в виртуализированной среде, требуют к себе особенного отношения.

• Средства синхронизации времени виртуальной машины и хостовой ОС должны быть выключены. Во всех адекватных системах виртуализации (Microsoft, vmWare и т. д.) присутствуют компоненты интеграции гостевой ОС с хостовой, которые значительно повышают производительность и управляемость гостевой системой. Среди этих компонентов всегда есть средство синхронизации времени гостевой ОС с хостовой, которое очень полезно для рядовых машин, но противопоказано для контроллеров домена. Потому как в этом случае весьма вероятен цикл, при котором контроллер домена и хостовая ОС будут синхронизировать друг друга. Последствия печальны.
• Для корневого PDC синхронизация с внешним источником должна быть настроена всегда. В виртуальной среде часы не настолько точны как в физической, потому как виртуальная машина работает с виртуальным процессором и прерываниями, для которых характерно как замедление, так и ускорение относительно «обычной» частоты. Если не настроить синхронизацию виртуализированного корневого PDC с внешним источником, время на всех компьютерах предприятия может убегать/отставать на пару часов в сутки. Не трудно представить неприятности, которые может принести такое поведение.

W32tm Настройка синхронизации времени через cmd

В Windows есть отличное средство управления синхронизацией времени — w32tm. Управление которым осуществляется как через cmd, так и через реестр и даже групповые политики в домене Windows. В этой статье — мы рассмотрим только первый вариант.

Команда w32tm /stripchart /computer

Конфигурирование сервера времени в Windows (NTP-сервера) может осуществляться как с помощью утилиты командной строки w32tm, так и через реестр. Где возможно, я приведу оба варианта. Но в начале посмотрите полностью ваши настройки на компьютере, делается это командой:

EventLogFlags: 2 (Локально) AnnounceFlags: 10 (Локально) TimeJumpAuditOffset: 28800 (Локально) MinPollInterval: 6 (Локально) MaxPollInterval: 10 (Локально) MaxNegPhaseCorrection: 172800 (Локально) MaxPosPhaseCorrection: 172800 (Локально) MaxAllowedPhaseOffset: 300 (Локально)

FrequencyCorrectRate: 4 (Локально) PollAdjustFactor: 5 (Локально) LargePhaseOffset: 50000000 (Локально) SpikeWatchPeriod: 900 (Локально) LocalClockDispersion: 10 (Локально) HoldPeriod: 5 (Локально) PhaseCorrectRate: 7 (Локально) UpdateInterval: 100 (Локально)

NtpClient (Локально) DllName: C:Windowssystem32w32time.dll (Локально) Enabled: 1 (Локально) InputProvider: 1 (Локально) CrossSiteSyncFlags: 2 (Локально) AllowNonstandardModeCombinations: 1 (Локально) ResolvePeerBackoffMinutes: 15 (Локально) ResolvePeerBackoffMaxTimes: 7 (Локально) CompatibilityFlags: 2147483648 (Локально) EventLogFlags: 1 (Локально) LargeSampleSkew: 3 (Локально) SpecialPollInterval: 3600 (Локально) Type: NT5DS (Локально)

NtpServer (Локально) DllName: C:Windowssystem32w32time.dll (Локально) Enabled: 1 (Локально) InputProvider: 0 (Локально) AllowNonstandardModeCombinations: 1 (Локально)

VMICTimeProvider (Локально) DllName: C:WindowsSystem32mictimeprovider.dll (Локально) Enabled: 1 (Локально) InputProvider: 1 (Локально)

Включение синхронизации внутренних часов с внешним источником

Объявление NTP-сервера в качестве надежного

NTP-сервер по умолчанию включен на всех контроллерах домена, однако его можно включить и на рядовых серверах.

Задание списка внешних источников для синхронизации

Флаг 0×8 на конце означает, что синхронизация должна происходить в режиме клиента NTP, через предложенные этим сервером интервалы времени. Для того, чтобы задать свой интервал синхронизации, необходимо использовать флаг 0×1.

Задание интервала синхронизации с внешним источником

Время в секундах между опросами источника синхронизации, по умолчанию 900с = 15мин. Работает только для источников, помеченных флагом 0×1.

Установка минимальной положительной и отрицательной коррекции

Максимальная положительная и отрицательная коррекция времени (разница между внутренними часами и источником синхронизации) в секундах, при превышении которой синхронизация не происходит. Рекомендую значение 0xFFFFFFFF, при котором коррекция сможет производиться всегда.

Все необходимое одной строкой

w32tm.exe /config /manualpeerlist:»time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 pool.ntp.org,0x8″ /syncfromflags:manual /reliable:yes /update

Полезные команды

• Применение внесенных в конфигурацию службы времени изменений w32tm /config /update
• Принудительная синхронизация от источника w32tm /resync /rediscover
• Отображение состояния синхронизации контроллеров домена в домене w32tm /monitor
• Отображение текущих источников синхронизации и их статуса w32tm /query /peers

Как исправить настройки синхронизации времени

• Проверьте, что на всех виртуальных машинах — контроллерах домена отключена синхронизация времени с хостами виртуализации. Для этого (в Hyper-V) можно зайти в свойства виртуальной машины, раздел средств интеграции и отключить синхронизацию времени. После чего конфигурацию службы времени (на виртуальном контроллере домена) нужно обновить.
• Обновите конфигурацию на всех проблемных компьютерах / контроллерах домена (кроме КД с ролью PDC): w32tm /config /syncfromflags:DOMHIER /update
• Выполните принудительную синхронизацию времени, дав команду заново найти источники синхронизации времени: w32tm /resync /rediscover
• Если вышеуказанные действия не помогают, перезагрузите службу времени (на проблемных компьютерах) net stop w32time net start w32time и заново выполните пункты 3 и 4.
• Если вышеуказанные действия не помогли решить проблему с синхронизацией времени, необходима перерегистрация службы времени на проблемных компьютерах (и повторная настройка параметров). net stop w32time w32tm /unregister w32tm /register net start w32time

Настройка синхронизации времени на контроллере домена с ролью PDC

Настройки времени на КД с ролью PDC принципиально отличаются от настроек на всех остальных компьютерах в домене (включая остальные контроллеры домена). PDC является источником времени во всём домене, именно его время будет использовано (прямо или косвенно — через другие контроллеры домена) всеми остальными компьютерами.

• Если контроллер домена с ролью PDC — виртуальная машина, убедитесь, в настройках этой виртуальной машины отключена синхронизациия времени с хостом, на котором она находится!
• Убедитесь, что групповые политики синхронизации времени во всем домене (если они у Вас есть) не применяются к КД с ролью PDC! У этого компьютера источник времени — в интернете, и тип синхронизации времени (в отличие от всего остального домена) не NT5DS, а NTP!
• Если есть сомнения в том, что синхронизация времени на КД с ролью PDC выполняется правильно, проще всего выполнить перерегистрацию и повторную настройку службы времени.

Перерегистрация службы времени на контроллере домена с ролью PDC

Для отмены регистрации и повторной регистрации службы времени выполните следующие команды:

net stop w32time w32tm /unregister w32tm /register net start w32time

Наш КД с ролью PDC необходимо настроить на синхронизацию с внешним источником (в интернете). Для этой цели не подходит тип синхронизации NT5DS и синхронизации в соответствии с иерархией домена (DOMHIER). Поэтому на нашем КД с ролью PDC мы используем тип синхронизации NTP и синхронизация будет настроена вручную (MANUAL). Источники синхронизации (peers) указываются в кавычках, а если таких источников несколько, то они перечисляются через запятую. Кроме того, мы даем указание считать данный источник синхронизации (КД с ролью PDC) надежным источником времени (reliable):

w32tm /config /syncfromflags:manual /manualpeerlist:»0.pool.ntp.org, 1.pool.ntp.org, 2.pool.ntp.org» /reliable:yes /update

Теперь можно ускорить применение параметров и синхронизацию времени, перезагрузив службу времени и форсировав синхронизацию:

net stop w32time net start w32time w32tm /resync /force или w32tm /resync /rediscover

После выполнения этих команд (сделав паузу в несколько минут на применение параметров и выполнение синхронизации) сравните время на контроллере домена с временем в интернете:

w32tm /stripchart /computer:»0.ru.pool.ntp.org» /samples:3 /dataonly

Не забудьте проверить, что на всех контроллерах домена время синхронизировалось с PDC. Для этого наберите команду:

Всё должно заработать!

P.S.: Обратите внимание, что применение параметров команды w32tm требует времени. Поэтому после каждого обновления конфигурации рекомендуем делать паузу в 1-5 минут, а потом уже проверять, обновилась ли конфигурация службы времени, и как всё работает.

Источники информации для данной статьи:

Статья опубликована: 20.08.2017, обновлена 31.01.2020

PowerShell

Запускается сервис и через PowerShell.

3. Ищите сроку «Status»: если её значение «Stopped», выполните « Start-Service W32Time » для запуска службы.

4. В ином случае выполните « Restart-Service W32Time » для перезапуска службы.

Никаких уведомлений по окончании выполнения операций в случае их успешного завершения не будет.

5. Для изменения адреса сервера примените команду: w32tm /config /syncfromflags:manual /manualpeerlist:»time.google.com» , где в последних кавычках пропишите свою ссылку.

6. Для запуска синхронизации введите « w32tm /config /reliable:yes » и жмите «Enter».

Windows server 2019 синхронизация времени с сервером

Добрый день уважаемые читатели и гости блога pyatilistnik.org, как много люди говорят о времени, что оно быстро или медленно бежит, и все понимают, что оно бесценно и важно. Так и в инфраструктуре Active Directory, она является одним из важнейших факторов, правильного функционирования домена. В домене все друг другу доверяют, и один раз авторизовавшись и получив все тикеты от Kerberos, пользователь ходит куда угодно, ограничиваясь лишь своими доступными правами. Так вот если у вас не будет точного времени на ваших рабочих станциях к контроллеру домена, то можете считать, что у вас начинаются серьезные проблемы, о которых мы поговорим ниже и рассмотрим как их устранить с помощью настройки NTP сервера в Windows.

Настройка NTP сервера и клиента групповой политикой

Раз уж у нас с вами домен Active Directory, то глупо не использовать групповые политики, для массовой настройки серверов и рабочих станций, я покажу как настроить ваш NTP сервер в windows и клиента. Открываем оснастку “Редактор групповых политик”. Перед тем как настроить наш NTP сервер в Windows, нам необходимо создать WMI фильтр, который будет применять политику, только к серверу мастера PDC.

Вводим имя запроса, пространство имен, будет иметь значение “rootCIMv2” и запрос “Select * from Win32_ComputerSystem where DomainRole = 5”. Сохраняем его.

Затем вы создаете политику на контейнере Domain Controllers.

В самом низу политики применяете ваш созданный WMI фильтр.

Тут открываем политику “Настроить NTP-клиент Windows”. Задаем параметры

• NtpServer: 0.ru.pool.ntp.org,0x1 1.ru.pool.ntp.org,0x1 2.ru.pool.ntp.org,0x1 3.ru.pool.ntp.org,0x1
• Type: NTP
• CrossSiteSyncFlags: 2. Двойка означает, если этот параметр равен 2 (Все), можно использовать любого участника синхронизации. Это значение игнорируется, если не задано значение NT5DS. Значение по умолчанию: 2 (десятичное) (0x02 (шестнадцатеричное))
• ResolvePeerBackoffMinutes: 15. Это значение, выраженное в минутах, определяет интервал ожидания службы W32time перед попыткой разрешения DNS-имени в случае неудачи. Значение по умолчанию: 15 минут
• Resolve Peer BAckoffMaxTimes: 7. Это значение определяет число попыток разрешения DNS-имени, предпринимаемых службой W32time перед перезапуском процесса обнаружения. При каждом неудачном разрешении DNS-имени интервал ожидания перед следующей попыткой удваивается. Значение по умолчанию: семь попыток.
• SpecilalPoolInterval: 3600. Это значение параметра NTP-клиента, выраженное в секундах, определяет частоту опроса настроенного вручную источника времени, который использует особый интервал опроса. Если для параметра NTPServer установлен флаг SpecialInterval, клиент использует значение, заданное как SpecialPollInterval, вместо значений MinPollInterval и MaxPollInterval, чтобы определить частоту опроса источника времени. Значение по умолчанию: 3600 секунд (1 час).

Делаем отдельную групповую политику для клиентских рабочих машин, вот с такими параметрами.

• NtpServer: Адрес вашего контроллера домена с ролью PDC.
• Type: NT5DS
• ResolvePeerBackoffMinutes: 15

Далее идем на клиента и обновляем групповые политики gpupdate /force и вводим команду w32tm /query /status

w32tm /query /configuration

w32tm.exe /config /manualpeerlist:”time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 pool.ntp.org,0x8″ /syncfromflags:manual /reliable:yes /update

Расширенная настройка NTP на Windows Server 2016

Расширенная настройка нашего эмулятора PDC на работу с внешними источниками точного времени. Все изменения также будут вноситься через реестр. Прежде всего изменим тип сервера на NTP, для этого откроем ветку

и для параметра Type укажем строковое значение NTP. А для параметра NtpServer зададим адреса серверов точного времени, после каждого из которых, через запятую укажем 0x8, если мы хотим работать как стандартный NTP-клиент или 0x1 если будем использовать собственные параметры, например:

ntp1.stratum2.ru,0x1 ntp2.stratum2.ru,0x1 ntp4.stratum2.ru,0x1

После чего в

Затем перейдем в

и установим для параметра AnnounceFlags значение A.

Значение «AnnounceFlags» может составлять сумму его флагов, например:

10=2+8 — NTP-сервер заявляет о себе как о надежном источнике времени при условии, что сам получает время из надежного источника либо является PDC корневого домена. Флаг 10 задается по умолчанию как для членов домена, так и для отдельно стоящих серверов.

5=1+4 — NTP-сервер всегда заявляет о себе как о надежном источнике времени. Например, чтобы заявить рядовой сервер (не контроллер домена) как надежный источник времени, нужен флаг 5;

Следующие параметры будут работать, только если мы при указании серверов добавили 0x1, иначе будут использоваться настройки, предлагаемые сервером. Чтобы задать период синхронизации откройте ветку

и для параметра SpecialPollInterval укажите десятичное значение в секундах.

И зададим максимальное время опережения и отставания часов, после которых синхронизация производиться не будет. Для этого используются параметры MaxPosPhaseCorrection (опережение) и MaxNegPhaseCorrection (отставание) для которых также следует задать десятичное значение в секундах. По умолчанию стоит 48 часов. Это значит, что если время на эмуляторе PDC уйдет от точного источника более чем на 48 часов в любую сторону, то синхронизация производиться не будет.

Если вы хотите, чтобы время синхронизировалось всегда, то установите в оба параметра шестнадцатеричное значение FFFFFFFF.

Выполнив настройки перезапустите Службу времени Windows, это также можно сделать в командной строке:

После чего еще раз выполним команду чтобы показать источники времени и их состояние

w32tm /query /peers

выполняем еще команду

и убедимся, что источником времени для эмулятора PDC является внешний сервер.

Затем выполним данную команду на рядовых контроллерах домена, в качестве источника времени там должен быть указан эмулятор PDC, и на обычных ПК, где в выводе будет присутствовать любой из контроллеров домена. Обязательно выполните контроль для виртуальных машин, чтобы быть уверенным, что они используют время домена, а не хоста виртуализации.

Настройка синхронизации времени в домене

Синхронизация через интернет может не работать, если отключен сервис «Служба времени Windows». Для проверки и запуска службы выполните следующие шаги.

1. Откройте окно управления сервисами операционной системы. Для этого зажмите клавиши Win + R и выполните команду « services.msc » в открывшемся окне.

2. Откройте свойства записи «Служба времени Windows» через контекстное меню, двойным кликом или сочетанием клавиш Alt + Enter.

3. В выпадающем списке «Тип запуска» выберите «Вручную».

Можно указать и «Автоматически», но тогда сервис будет запускаться при каждой загрузке операционной системы, а при варианте «Вручную» — только когда Windows 10 обратится к нему.

4. Кликните «Запустить» и жмите «OK».

Быстрая настройка NTP на Windows Server 2016

На вашем Windows Server 2016 нажмите кнопку Windows и введите: PowerShell, щелкните правой кнопкой мыши и выберите «Запуск от имени администратора».

Введите следующие команды

Конечно, вы можете взять любой NTP-сервер, какой захотите. Я брал отсюда

Теперь проверьте, правильно ли настроен сервер времени на вашем сервере Server 2016, набрав:

Синхронизировать время используя командную строку

1. Откройте командную строку от имени администратора: один из способов – нажмите на меню “Пуск” правой клавишей мыши и выберите “Командная строка (Администратор)”.

2. Если ваш компьютер находится в домене – введите команду net time /domain и нажмите Enter, если компьютер находится в обычной сети – введите команду w32tm /resync и нажмите клавишу Enter.

После выполнения команды закройте командную строку.

На сегодня всё, если вы знаете другие способы – пишите в комментариях! Удачи Вам 🙂

Синхронизировать время с сервером времени в Интернете

В Windows 10 вы можете изменить отображаемое время сами или настроить его автоматическую синхронизацию с сервером времени в Интернете, что позволит вашим часам всегда отображать правильное время. В сегодняшней статье рассмотрим как включить (отключить) синхронизацию времени с сервером времени в Интернете.

Добавление новых серверов

В Windows 10 предусмотрена смена NTP-серверов и добавление сторонних, отсутствующих в списке. Делается это двумя способами.

Настройка времени по Интернету

1. Чтобы не повторяться, перейдите к первому разделу «Параметры» и выполните из него 6 первых шагов.

3. Кликните по форме с выпадающим списком ниже.

4. Введите адрес сервера без www и https, например, time.google.com .

5. Сохраните настройки кнопкой «OK».

Для немедленной проверки жмите «Обновить сейчас».

После настройки и проверки появится оповещение об успешном завершении синхронизации часов со ссылкой на NTP-сервер.

Редактор реестра

1. Для запуска утилиты «Выполнить» воспользуйтесь комбинацией клавиш Win + R.

2. Введите в текстовую строку « regedit » и жмите «OK» либо «Enter».

3. Разверните ветку HKLM.

4. Перейдите вниз по пути: SOFTWAREMicrosoftWindowsCurrentVersionDateTime.

5. В подразделе Servers создайте новый строковый параметр через его контекстное меню либо правый клик по свободной области в левой части окна.

6. В качестве параметра укажите число, следующее за последней записью в списке (скорее всего, будет 3), в поле «Значение» вставьте ссылку на нужный сервер и кликните «OK».

Для сверки реального времени с сервером необходимо выполнить 6 шагов из раздела «Параметры» и щелкнуть «Обновить сейчас».

Панель управления

1. Откройте Панель управления.

2. Посетите ее раздел под названием «Часы, язык и регион».

3. Перейдите в подраздел «Дата и время».

4. Активируйте «Время по интернету» и переходите к 7-му шагу предыдущей инструкции.

Синхронизация времени — важный и во многом достаточно критичный аспект работы Active Directory, особенно сегодня, когда широко используется взаимодействие с внешними системами и работа с сотрудниками, которые могут находиться в различных часовых поясах. Применение систем виртуализации вносит дополнительные особенности, которые также следует учитывать. Поэтому данный вопрос может оказаться не столь простым, как кажется, а синхронизация с внешним источником точного времени становится одной из актуальных задач.

Прежде всего вспомним, как происходит синхронизация времени в Active Directory. В качестве эталона времени выступает контроллер, владеющий ролью эмулятора PDC. Это FSMO-роль и эмулятором PDC может являться только один контроллер в каждом домене. С ним синхронизируют время остальные контроллеры домена. Доменные ПК и рядовые серверы сверяют часы с ближайшим контроллером домена.

Сам эмулятор PDC в качестве источника точного времени может использовать либо аппаратные часы материнской платы, либо внешний источник точного времени, при нахождении в виртуальной среде также может быть использовано время хоста виртуализации.

О последней поговорим более подробно. Раньше все было довольно просто, источником времени в домене обычно служили аппаратные часы эмулятора PDC, ну отстали или убежали на пару минут, в конце концов можно и подвести. Когда добавилось требование взаимодействия с внешними системами критичными к точному времени (например, использующих криптографию), то в качестве источника времени стал выступать внешний сервер. От него получал время эмулятор PDC, с ним синхронизировались контроллеры, а от них точное время расходилось на остальных участников домена.

Работа PDC эмулятора

С приходом виртуализации все изменилось, появился еще один источник времени — время хоста виртуализации. Многие гипервизоры по умолчанию имеют включенной настройку синхронизации времени гостевых систем и при попадании в виртуальную среду контроллера может возникнуть следующая коллизия: контроллер синхронизирует время с хостом, но сам хост, являясь членом домена, в свою очередь синхронизируется с контроллером.

Еще хуже, если в виртуальную среду попадает эмулятор PDC, в силу особенностей таймера виртуальных машин, время внутри может достаточно сильно плавать, поэтому виртуальный эмулятор PDC всегда должен синхронизировать время с внешним источником, а синхронизация времени с хостом должна быть отключена, последнее касается и всех остальных виртуальных членов домена.

Раз уж у нас с вами домен Active Directory, то глупо не использовать групповые политики, для массовой настройки серверов и рабочих станций, я покажу как настроить ваш NTP сервер в windows и клиента. Открываем оснастку «Редактор групповых политик». Перед тем как настроить наш NTP сервер в Windows, нам необходимо создать WMI фильтр, который будет применять политику, только к серверу мастера PDC.

Вводим имя запроса, пространство имен, будет иметь значение «rootCIMv2» и запрос «Select * from Win32_ComputerSystem where DomainRole = 5». Сохраняем его.

Тут открываем политику «Настроить NTP-клиент Windows». Задаем параметры

• NtpServer: 0.ru.pool.ntp.org,0x1 1.ru.pool.ntp.org,0x1 2.ru.pool.ntp.org,0x1 3.ru.pool.ntp.org,0x1
• Type: NTP
• CrossSiteSyncFlags: 2. Двойка означает, если этот параметр равен 2 (Все), можно использовать любого участника синхронизации. Это значение игнорируется, если не задано значение NT5DS. Значение по умолчанию: 2 (десятичное) (0x02 (шестнадцатеричное))
• ResolvePeerBackoffMinutes: 15. Это значение, выраженное в минутах, определяет интервал ожидания службы W32time перед попыткой разрешения DNS-имени в случае неудачи. Значение по умолчанию: 15 минут
• Resolve Peer BAckoffMaxTimes: 7. Это значение определяет число попыток разрешения DNS-имени, предпринимаемых службой W32time перед перезапуском процесса обнаружения. При каждом неудачном разрешении DNS-имени интервал ожидания перед следующей попыткой удваивается. Значение по умолчанию: семь попыток.
• SpecilalPoolInterval: 3600. Это значение параметра NTP-клиента, выраженное в секундах, определяет частоту опроса настроенного вручную источника времени, который использует особый интервал опроса. Если для параметра NTPServer установлен флаг SpecialInterval, клиент использует значение, заданное как SpecialPollInterval, вместо значений MinPollInterval и MaxPollInterval, чтобы определить частоту опроса источника времени. Значение по умолчанию: 3600 секунд (1 час).

Далее идем на клиента и обновляем групповые политики gpupdate /force и вводим команду w32tm /query /status

За настройку NTP через политики надо больно бить по рукам.
1. В доменной среде ничего не надо делать, контроллеры берут время с PDC, клиенты с контроллера.
2. Точности времени секунда в секунду не добьетесь.
Больная тема для меня. Предыдущие админы нахреначили синхронизацию чуть ли не в 10 разных политиках, до сих пор натыкаюсь и с матами удаляю.
Есть проблема с синхронизацией времени?
На всех контроллерах:
1. Убиваем службу w32time
2. Грохаем ветку реестра HKLMSystemCurrentControlSetservicesW32Time3. Регистрируем службу заново
4. Проверяем, что параметр TYPE в HKLMSystemCurrentControlSetservicesW32TimeParameters равен NT5DS

Конфигурация NTP-сервера
Задаем тип синхронизации внутренних часов, на использование внешнего источника.
NoSync — NTP-сервер не синхронизируется с каким либо внешним источником времени. Используются системные часы, встроенные в микросхему CMOS самого сервера.
NTP — NTP-сервер синхронизируется с внешними серверами времени, которые указаны в параметре реестра NtpServer.
NT5DS — NTP-сервер производит синхронизацию согласно доменной иерархии.
AllSync — NTP-сервер использует для синхронизации все доступные источники.

На PDC настраиваем синхронизацию с внешним поставщиком времени
5. И ничего б*ть не трогаем!=) Через какое-то время время стабилизируется.
Для понимания — время не импортируется, оно сверяется и подгоняется под эталон.
Не забываем, что для керберос разница в 5 минут не критична.
Хитрожопых кадровиков и безопасников, желающих снихронить свои убогие СКУДы с виндовыми тачками слать надолго и подальше.
Всё, я кончил =)
===

ПК не знает и никак не узнает, что PDC сменился. Так что политика обязательно должна быть!
===
А ему не надо знать. Он кричит в сеть «PDC!!!», а те сами знают, кому из них отозваться. У них DNS для этого есть.

Включить (отключить) синхронизацию времени в параметрах системы

1. Откройте меню “Пуск” и зайдите в “Параметры”.

2. Откройте “Время и язык”, нажмите с левой стороны на “Дата и время”. Чтобы включить синхронизацию времени – нажмите на переключатель возле “Установить время автоматически”, чтобы он стал в положение “Вкл.” (соответственно, если вы хотите выключить синхронизацию времени – нужно нажать на переключатель, чтобы он стал в положение “Откл.).

3. Вы можете выбрать с каким сервером будет синхронизироваться время, для этого немного ниже нажмите на “Дополнительные параметры даты и времени, региональные параметры”.

4. Нажмите на “Дата и время”.

5. Перейдите во вкладку “Время по интернету” и нажмите на “Изменить параметры”.

После выбора нужных параметров закройте все открытые окна.

Похожее:

Настройка синхронизации времени в домене Сервер времени w32tm и как настроить сервер NTP и синхронизацию времени в домене Active Directory Синхронизация времени в Linux: NTP, Chrony и systemd-timesyncd / Хабр IT Area: Синхронизация времени – Настройка NTP по средствам GPO / Time Syncronization – Configure Windows NTP client via GPO (Windows Server 2008)