Сразу оговорим важные вещи:
- Работа по настройке точного времени на участниках домена через GPO часто делят на 2 части: настройки сервера/-ов и настройки клиентских машин.
- Настройку клиентских машин на получение точного времени некоторые администраторы делают через политики (в частности правкой политики Default Domain Policy), но я так не делаю, ибо все входящие в домен машины «автоматически узнают», что сервер времени для них — контроллер домена. Клиентские машины я только проверяю на правильное соединение с нашим сервером NTP.
Для начала определяю какой контроллер домена Windows Server 201x имеет роль PDC (если я этого не знаю )) ), если контроллеров домена несколько, как в моём случае. Для этого на любом компьютере или сервере, входящем в домен! , запускаю командную строку от имени Администратора:
1 |
netdom query fsmo |
Не будем обсуждать распределение ролей между контролерами, в тестовом домене у меня все роли принадлежат одному контроллеру, и перейдя на сервер ADDC01 (в моём случае) — начнем его настройку.
1. Для начала создадим WMI-фильтр, который будет применять нашу новую политику только к серверу с ролью эмулятора PDC
1 |
Select * from Win32_ComputerSystem where DomainRole = 5 |
2. Создадим новую групповую политику и применим к ней фильтр WMI, созданный нами выше.
Нас интересует путь: Computer Configuration — Administrative Templates — System — Windows Time Service — Time Providers (Конфигурация компьютера -> Политики -> Административные шаблоны -> Система -> Служба времени Windows -> Поставщики времени)
Здесь нам нужно включить три политики:
Enable Windows NTP Client: Enabled
Enable Windows NTP Server: Enabled
Configure Windows NTP Client: Enabled
Пункт Configure Windows NTP client имеет следующие настройки:
Я использовал следующий список серверов точного времени:
1 |
0.ru.pool.ntp.org,0x9 1.ru.pool.ntp.org,0x9 2.ru.pool.ntp.org,0x9 3.ru.pool.ntp.org,0x9 |
3. Создав политику не забываем применить к ней фильтр WMI:
4. Пришло время обновить политики на сервере времени и синхронизировать время. Запускаем командную строку от имени Администратора.
Обновляем политики на контроллере PDC:
1 |
gpupdate /force |
Запускаем ручную синхронизацию времени:
1 |
w32tm /resync |
Проверяем текущие настройки NTP:
1 |
w32tm /query /status |
Делаем наш контроллер PDC в качестве надежного источника времени для клиентов:
1 |
w32tm /config /reliable:yes |
Всё, служба времени Windows Server должна: 1 — работать, 2 — успешно синхронизировать время с внешним источником и убедиться в этом можно выполнив команду:
1 |
w32tm /query /configuration |
Проверка второго контроллера домена ADDC02 на успешную синхронизацию времени:
Так же, в командной строке от имени Администратора выполним на втором контроллере домена
1 |
w32tm /query /status |
Выполним те же команды, но на клиентской машине:
В том случае, если время не синхронизировалось, перезапустите службу времени Windows и сбросьте текущие настройки:
>> net stop w32time
>> w32tm.exe /unregister
>> w32tm.exe /register
>> net start w32time