Конечно служба не NTP, а служба синхронизации времени, но не суть.
Зачем нужна эта служба?
Она синхронизирует время между серверами \ клиентами вне сети и внутри сети.
Особенно актуально это для домена, по скольку токены выдаются с отметками времени и полученные ответы так же содержат отметку времени клиента.
Если эти отметки расходятся на больше чем N секунд, то контроллер домена может отказать в авторизации.
В маленькой сети это не критично, но в крупной, если вдруг у контроллера домена начнут спешить или отставать часы например на 10 минут, это тихий абзац;)
В сети, содержащей контроллер домена на win200х существует два способа синхронизации времени:
1.Внутри домена
2.С помощью внешнего сервера
Так же внутри домена есть своя иерархия серверов, которые могут предоставлять время клиентам, а именно:
1.Явно указанный внешний NTP сервер
2.Эмулятор PDC в лесу корневого домена
3.Другие контроллеры домена в лесу
4.Эмуляторы PDC в дочерних доменах
5.Рабочие станции и рядовые сервера в лесу корневого домена
2.Эмулятор PDC в лесу корневого домена
3.Другие контроллеры домена в лесу
4.Эмуляторы PDC в дочерних доменах
5.Рабочие станции и рядовые сервера в лесу корневого домена
6.Контроллеры домена в дочернем домене
7.Другие рядовые сервера в дочерних доменах
7.Другие рядовые сервера в дочерних доменах
Информация взята с сайта Windowsnetworking.com
Параметры службы
И так, конкретно в моем случае основным сервером синхронизации времени в домене стал Эмулятор PDC, tolsty. Теперь на нем нужно сконфигурировать службу сервера и клиента.
Основное место, где хранятся параметры службы - реестр, а именно:
HKLM \ System \ CurrentControlSet \ Services \ W32Time.
Параметры делятся на:
1.Глобальные параметры
2.Параметры клиента
3.Параметры сервера
К глобальным параметрам относятся такие параметры, как частота обновления времени, максимальное время расхождения, частота смены интервалов времени и тд.
К параметрам клиента относятся настройки подробности логов, адреса сервера, протокола взаимодействия и тд
К параметрам сервера относятся прочие не особо интересые параметры которые лично я никогда не использовал и в Групповой Политики нет возможности их настройки.
Обратите внимание, что большинство клиентов на Windows 7 (мы используем рабочие станции от HP с предустановленной Win7) используют по умолчанию внешний NTP сервер Microsoft.
На ОС WinXP\2003 список серверов для синхронизации можно посмотреть с помощью команды:
Net Time /querysntp
На ОС Win7\2008 :
w32tm /query /source
При чем консольная утилита w32tm в ОС Win7 была доработана, появился параметр query, который помогает легко проводить диагностику и получать всю необходимую информацию. В то же время, команда net time в более новых ОС уже не доступна.
Вернусь к конфигурации эмулятора PDC.
По скольку наша компания распологается в России, а именно в Санкт-Петербурге, я решил использовать один из четырех серверов N.ru.pool.ntp.org где N - число от 0 до 3.
Судя по отзывам в просторах интрнета, они наиболее адекватные.
В первую очередь включаем службу сервера NTP в W32Time -> TimeProviders -> NtpServer параметр Enabled ставим "1". Так же проверяем, чтобы в TimeProviders -> NtpClient параметр Enabled стоял "1"
В W32Time -> Parameters параметр Type = "NTP" , параметр NTPServer = "0.ru.pool.ntp.org, 1.ru.pool.ntp.org,0x1 2.ru.pool.ntp.org,0x2 3.ru.pool.ntp.org,0x2"
Обратите внимание, что первый сервер указан без дополнительного флага, у остальных он есть.
Флаг 0х1 означает, что запрос к этому серверу будет отправляться через время, указанное в значении параметра SpecialPollInterval ,а флаг 0х2 означает, что обращаться к эту серверу NTP клиент будет только в случае недоступности основных серверов.
Подробности в статье Microsoft.
В W32Time -> Config параметр AnnounceFlags = "5" по умолчанию "10".
"5" - надежный поставщик времени
"10" - ненадежный поставщик времени.
В W32Time -> TimeProviders -> NtpClient параметру SpecialPollInterval ставим значение "900".
Этот параметр отвечает за частоту проведения опросов к серверу NTP для синхронизации времени и указывается в милисекундах.
Соответсвтенно, если мы хотим, чтобы с PDC синхронизировали время другие клиенты, мы говорим о том, что он надежный поставщик времени.
Теперь делаем w32tm /config /update && w32tm /resync /rediscover
Первая команда обновит конфигурацию службы, а вторая проведет синхронизацию с поиском нового NTP-сервера из списка, содержащегося в конфигурации.
Можно просто перезапустить службу
net stop w32time && net start w32time
net stop w32time && net start w32time
Лично у меня все клиенты в домене, по этому было бы неплохо сделать так, чтобы абсолютно все клиенты синхронизировались либо с контроллером домена либо с эмулятором PDC.
Я выбрал синхронизацию с эмулятором PDC.
Настройка синхронизации времени с помощью групповой политки
Во-первых нужно создать GPO, в котором укажем необходимые нам параметры. Во-вторых нужно применить его ко всем Компьютерам в домене, т.е. группе Domain Computers (по скольку к серверам и контроллерам домена эта политика не будет иметь отношения).
Я создал GPO, назвал его "Настройка синхронизации времени клиентов"
Сomputer Configuration -> Windows Settings -> Security Settings -> System Services служба Windows Time поставил в режим Automatic.
Чтобы служба на каджом клиенте запускалась автоматически и не было проблем с авторизацией изза разницы во времени.
Сomputer Configuration -> Administrative Templates -> System -> Windows Time Service здесь находятся все настройки реестра службы W32Time. Здесь параметры делятся как раз на те, которые я уже описывал: Глобальные и параметры Клиента, только параметров сервера здесь нет.
В данной ветке есть настройки "Global Configuration Settings" которые отвечают за общие настройки, а в Сomputer Configuration -> Administrative Templates -> System -> Windows Time Service -> Time Providers есть настройки "Configure Windows NTP client" , которые отвечают за параметры клиента.
Вот как выглядят настройки у меня:
Вот как выглядят настройки у меня:
Далее я все это дело сохранил. Применил эту политику ко всему домену, а в "Security Filtering" удаляю Domain Users, добавляю Domain Computers, по скольку эта политика должна применяться к рабочим местам, входящих в домен.
Вуаля!
Полезные ссылки:
http://forum.oszone.net/thread-152127.html недавно нашел эту тему, в ней очень много полезных ссылок на различные ресурсы.
http://support.microsoft.com/kb/816042/ru описание от Microsoft, как по их мнению нужно настраивать NTP сервер
http://technet.microsoft.com/ru-ru/library/cc773263%28WS.10%29.aspx подробное описание параметров утилиты w32tm и ключей реестра.
Комментариев нет:
Отправить комментарий