Синхронизация времени Active Directory - идентификатор события сервиса времени 50

Here is my recommended configuration for Windows Domain Time Synchronization, pieced together from several Microsoft TechNet articles and blog posts.

1. If your servers are virtualized, do not use any of the VMware tools time sync features. Just let the Windows Time Service (w32time) do its job. VMware even says so. I assume the same is true for Hyper-V. Furthermore, if you have the both the VM tools and the Windows Time Service attempting to manage the system clock, you can end up with a "tug-of-war" situation where your clock will keep jumping around and never be accurate.

2. Your Primary Domain Controller Emulator should be manually configured to sync with multiple external NTP servers (four is a good number). Using multiple NTP source provides redundancy and serves as a sanity check in case one server starts sending bad time data (it has happened before). The Active Directory assumes your PDCe is the central authoritative time source for your network. Everything else in your domain should sync from the PDCe (including the other domain controllers).

3. I recommend that your PDCe is a physical server (if possible). Every other server can be a VM. I feel more comfortable with the PDCe being a physical server, for two reasons:

   3a. A physical server is less prone to time drift. VM time drift is a well-documented phenomenon. A virtualized server can see its clock drift by several minutes per day. Not a good choice for a time source! (Note that even on a physical server, the Real Time Clock will still drift by ~2 seconds a day without an external source. That's why you need NTP.)

   3b. I know the date/time of a physical server will come up correctly after a cold power-on. I had a situation a few years ago where on a complete power down of the server room, the VMs came up with their time set to UTC instead of the local time zone. I think they pulled time from the ESX host (which was in UTC) and did not adjust for time zone properly. That caused all kinds of fun with services failing to start. Had to manually correct time and reboot everyone.

   If your PDCe is currently a VM and you have a physical domain controller available, it is relatively easy to transfer the roles over.

4. Microsoft (and others) recommend you use Stratum 2 or Stratum 3 NTP servers as the time source for your PDCe.

5. While public Stratum 1 servers exist, there are a limited number of them and they get overloaded a lot. Using Stratum 1 servers as a time source when you don't really need it makes you a jerk. (Yes, there are people who really need Stratum 1. You're probably not one of them. If you really want to use a Stratum 1 source, buy a GPS clock for your local network.)

6. All of your external NTP sources should be in the same Stratum. Suppose you have one Stratum 2 source and a few Stratum 3 sources. The Windows Time Service will favor the Stratum 2 source. Your PDCe will become a Stratum 3 server. w32time will ignore the Stratum 3 servers (because they are no better than your PDCe). Windows will not let your server degrade to a higher/worse stratum without manual intervention (e.g. restarting the time service). So, if your Stratum 2 source goes offline, you will be stuck with no fallback.

7. Because the Windows Time Service is picky about the Stratum of your time source, I do not recommend using pool.ntp.org (at least not for a PDCe). There is no guarantee about the stratum of the server you get served from the pool.

8. Instead, I recommend you pick four Stratum 2 servers from the ntp.org list. Try to pick ones that are physically close to you (network latency hurts NTP). Verify the servers are still valid and alive (this list does change over time). Note the Microsoft default time.windows.com is notorious for problems. I would not trust my domain to it.

9. If you have been playing around with the Windows Time Service before now, or you inherited this network from someone else, it is probably a good idea to reset w32time to the default settings before you start re-configuring it. Run the following commands on your domain controllers, starting with the PDCe.

   net stop w32time
   w32tm / unregister <- Если вы получили сообщение «Доступ запрещен», перезагрузитесь.
   w32tm / регистрация
   чистый старт w32time
   

   Я рекомендую вам перезагрузить сервер 1-2 раза после выполнения этих команд и убедиться, что служба времени Windows присутствует, установлена ​​в автоматический режим и запущена. Я встречал ситуации, когда команда / unregister не вступала в силу до следующей перезагрузки. Затем у вас будет сюрприз, когда вы перезагрузитесь после выполнения исправлений Windows, и служба w32time внезапно исчезнет!

10. Чтобы настроить службу времени Windows на вашем PDCe, я рекомендую вам создать объект групповой политики, специфичный для PDCe, который использует фильтр WMI для DomainRole = 5, и поместите сюда все настройки вашего NTP-клиента. В противном случае вы можете использовать команду w32tm или настроить реестр вручную. См. Здесь примеры всех трех методов.

11. Настройте PDCe для использования NTP вместо NT5DS (Type = NTP в конфигурации службы времени Windows). В противном случае PDCe попытается синхронизироваться с самим собой, что выиграет. t работает очень хорошо.

12. Введите список серверов NTP в конфигурации службы времени Windows (в GPO, реестре или w32tm), убедитесь, что вы вводите список серверов в следующем формате: server1.whatever. com, 0x9 server2.otherplace.com, 0x9 server3.another.com, 0x9 . Флаги 0x9 в конце каждого сервера указывают на использование интервала опроса, указанного в SpecialPollInterval (0x1), и на то, что синхронизация времени выполняется только для клиента, а не для двусторонней синхронизации (0x8).

13. При настройке PDCe NTP клиент, проверьте значение SpecialPollInterval . Если ваш PDCe - физический ящик, установите его на 3600 секунд (один раз в час). Если ваш PDCe - виртуальная машина, выбирайте что-то более агрессивное, например каждые 15 минут, для борьбы с дрейфом времени виртуальной машины.

14. В общем, вам не нужно возиться с AnnounceFlags . Значение по умолчанию 10 подходит для всех контроллеров домена (PDCe или других). Если необходимо, он будет автоматически объявлен как источник времени.

15. Я рекомендую, чтобы все контроллеры домена (PDCe и другие) имели включенный сервер NTP. Я бы создал объект групповой политики для контроллеров домена и включил его там. Если вы не хотите использовать групповую политику, вы можете сделать это в реестре по адресу HKLM \ SYSTEM \ CCS \ Services \ W32Time \ TimeProviders \ NtpServer \ Enabled = 0x1.

16. Убедитесь, что для MaxPosPhaseCorrection и MaxNegPhaseCorrection установлено значение вменяемое значение на всех ваших контроллерах домена! Это защитит ваш домен на случай, если один из ваших внешних источников NTP отключится и передаст крайне неточную временную метку ( это произошло ). Если у вас Win2008 или новее, эти ограничения должны быть установлены по умолчанию на 48 часов, но в Win2003 они установлены на неограниченное количество раз. Вы можете установить их в ранее упомянутом объекте групповой политики контроллеров домена или сделать это напрямую в реестре (HKLM \ SYSTEM \ CCS \ Services \ W32Time \ Config).

17. Для контроллеров домена я также рекомендую установить EventLogFlags = 0x3. Это даст вам дополнительную информацию о ходе синхронизации с течением времени. Обратите внимание, что необходимо установить два значения EventLogFlags. Один находится в HKLM \ SYSTEM \ CCS \ Services \ W32Time \ Config (для всех контроллеров домена). Другой находится в HKLM \ SYSTEM \ CCS \ Services \ W32Time \ TimeProviders \ NtpClient (актуально только для PDCe). Оба могут управляться из групповой политики. Я установил для них оба значения 0x3. (Обратите внимание, что я обнаружил некоторые расхождения в описании этого параметра между TechNet и описанием групповой политики.)

18. За исключением одного PDCe, все остальные компьютеры с Windows в домене должны быть настроены на использование иерархии доменов NT5DS для синхронизации времени. Сюда входят все остальные контроллеры домена, любые другие серверы и рабочие станции. NT5DS используется по умолчанию для компьютеров, присоединенных к домену, поэтому вам не нужно возиться с ним.

19. Обратите внимание, что единственные настройки времени, которые у меня есть в моем домене, это (1) объект групповой политики клиента NTP PDCe с фильтром WMI и (2) GPO контроллеров домена, который включает сервер NTP, устанавливает максимальные значения коррекции фазы и флаги EventLogFlags. Все параметры времени групповой политики можно найти в разделе Конфигурация компьютера \ Административные шаблоны \ Система \ Служба времени Windows. У меня нет явной конфигурации в реестре или с помощью команды w32tm. Я рекомендую использовать для этого групповую политику, чтобы она выходила за рамки реального сервера. Если вы в будущем добавите новый контроллер домена или замените PDCe, все будет «просто работать». В противном случае вы должны не забыть вручную настроить новый сервер.

Некоторые дополнительные примечания к приведенной выше конфигурации:

• Хотя возможно обойти доменную иерархию и явно настроить синхронизацию ваших клиентов с определенный сервер, мне не повезло с этим. Я рекомендую вам просто оставить все, кроме PDCe, в NT5DS и позволить службе времени работать так, как задумано Microsoft.

• Помните, что служба времени Windows предназначена для небольших периодических корректировок системных часов. Предполагается, что часы вашего сервера были установлены правильно с самого начала, и w32time сохранит их таким образом. Если ваш сервер слишком сильно рассинхронизируется с вашими внешними источниками NTP, он в значительной степени «сдастся». Если вы следовали приведенным выше рекомендациям, вам следует внимательно следить за своими внешними источниками времени. Однако, если у вас есть виртуальная среда с действительно плохим дрейфом времени (перегруженный хост виртуальной машины, постоянные моментальные снимки), вы все равно можете потерять синхронизацию. Если это так, есть несколько настроек для «обнаружения всплесков», которые вы можете настроить. Хотя, вероятно, это повязка на другую проблему в вашем окружении. Убедитесь, что вы выполнили все вышеперечисленные рекомендации, прежде чем углубляться в настройки!

Применение изменений конфигурации и проверка всего:

• Если вы использовали групповую политику для настройки службы времени, изменение должно распространиться на всех ваши контроллеры домена в ближайшее время. Вы можете запустить команду gpupdate / force на каждом контроллере домена (начиная с PDCe), чтобы это произошло немедленно.

• Если вы решите не использовать групповую политику и вручную настроить службу времени с помощью w32tm или редактируя реестр, убедитесь, что вы запустили w32tm / config / update на каждом затронутом сервере, а затем перезапустите службу (начиная с PDCe). В противном случае ваши настройки не вступят в силу!

• Затем запустите w32tm / resync / rediscover на PDCe. Подождите несколько минут, а затем проверьте, нет ли проблем в средстве просмотра событий. Могут быть некоторые сообщения об ошибках / предупреждениях от отмены регистрации / регистрации службы времени, но после этого все должно быть золотым. Вы должны увидеть сообщения о получении действительных данных времени от ваших серверов NTP. Убедившись, что PDCe в порядке, перейдите на другие контроллеры домена и выполните те же команды.

• После того, как служба времени синхронизируется на всех контроллерах домена, вы можете выполнить w32tm / monitor . Убедитесь, что контроллеры домена указаны в списке, а их RefID и Stratum выглядят правильно. Если вы используете серверы Stratum 2, ваш PDCe должен быть Stratum 3. Вы также можете запустить w32tm / query / status / verbose (только Win2008 или новее) и посмотреть время последнего обновления. Убедитесь, что он обновляется должным образом.

• После того, как контроллеры домена будут в порядке, запустите w32tm / resync / rediscover на некоторых рабочих станциях и рядовых серверах. Проверьте программу просмотра событий на наличие ошибок. Если вы испортили службу времени на других рабочих станциях, возможно, вам придется запустить на них команды w32tm unregister / register.

Follow Up:

• Для полноты, вы должны убедиться, что все ваши клиенты NTP, отличные от Windows (маршрутизаторы, коммутаторы, серверы печати и т. д.), направлены на контроллеры домена в качестве источника времени. Я рекомендую настроить DNS-запись CNAME для ntp.yourdomain.com, которая указывает на yourdomain.com. Таким образом, вам не нужно явно указывать имена контроллеров домена или IP-адреса на всех ваших устройствах, что поможет при добавлении / отключении серверов в будущем. Ваши клиенты NTP, отличные от Windows, будут использовать любой контроллер домена, включенный в циклический DNS. (Обратите внимание, что это работает только в том случае, если вы включили сервер NTP на всех контроллерах домена.)

• Кроме того, на вашем сервере (ах) DHCP убедитесь, что параметр области 42 настроен для указания на контроллеры домена. Любое устройство с настройкой DHCP, поддерживающее опцию 42, автоматически синхронизирует время с контроллерами домена.

Источники моей информации:

• Хороший обзор настройки PDCe
• Технический справочник службы времени Windows
• Другой пример GPO PDCe
• Как задать список серверов NTP и использовать SpecialPollInterval Часть 1
• Как установить список серверов NTP и используйте SpecialPollInterval Часть 2
• Настройки реестра W32Time
• Настройки групповой политики W32Time
• MaxPosPhaseCorrection и MaxNegPhaseCorrection
• Отладка W32Time
• Информация о AnnounceFlags
• Блог с большим, чем вы когда-либо хотели чтобы узнать о w32time
• Вот дерьмо, плохой сервер NTP вызвал откат времени! Часть 1
• Вот дерьмо, плохой сервер NTP вызвал откат времени! Часть 2
• Рекомендации VMware для хронометража в Windows
• Информация VMware по виртуализации контроллера домена