2012 R2 - [решено] Правильная ли схема синхронизации времени в домене?

User001 · Отправлено: **10:53, 24-04-2015** | #2

Цитата wiznv:

насколько я знаю, не требуют настройки через GPO тк по умолчанию синхронизируются с DC1. »

Кто такой DC1? Источником времени в вашем домене будет владелец роли PDC Emulator. Посмотрите здесь и здесь. Он должен синхронизироваться с внешним источником времени.

wiznv · Отправлено: **11:09, 24-04-2015** | #3

Цитата User001:

Кто такой DC1? Источником времени в вашем домене будет владелец роли PDC Emulator. Посмотрите здесь и здесь. Он должен синхронизироваться с внешним источником времени. »

DC1 это первичный контроллер домена. получается что он же и PDC Emulator. А если я НЕ ХОЧУ чтобы PDC Emulator был подключен к интернету ?

nokogerra · Отправлено: **11:20, 24-04-2015** | #4

pdc эмулятор это fsmo роль КД, так что pdc эмулятором по-любому является один из КД, но он вовсе не обязан быть источником времени для машин домена, хотя обычно именно так и бывает, это так сказать наиболее общая практика. Вы вполне можете поднять NTP-сервер на машине WSUS, или еще проще - разверните NTP на маршрутизаторе (уверен что ваша железка поддерживает такой функционал), или можете поднять, скажем маленький виртуальный linux и на нем развернуть ntp сервер. И любой из этих NTP может служить "внешним" источником времени для ваших КД, т.е. КД не нужно будет "смотреть в интернет".
Посмотрите эти статьи:
http://windowsnotes.ru/windows-serve...era-v-windows/
http://blogs.msdn.com/b/w32time/arch...-reliable.aspx

wiznv · Отправлено: **11:29, 24-04-2015** | #5

Цитата nokogerra:

pdc эмулятор это fsmo роль КД, так что pdc эмулятором по-любому является один из КД, но он вовсе не обязан быть источником времени для машин домена, хотя обычно именно так и бывает, это так сказать наиболее общая практика. Вы вполне можете поднять NTP-сервер на машине WSUS, или еще проще - разверните NTP на маршрутизаторе (уверен что ваша железка поддерживает такой функционал), или можете поднять, скажем маленький виртуальный linux и на нем развернуть ntp сервер. И любой из этих NTP может служить "внешним" источником времени для ваших КД, т.е. КД не нужно будет "смотреть в интернет". »

я сделал так:
создал gpo для контроллеров домена с настройкой их как NTP сервер и клиент, а в качестве источника указал IP адрес wsus сервера. Политика применяется принудительно.
Потом создал GPO для WSUS где его также настроил как NTP клиент и сервер с внешним источником синхронизации времени. Политика также применяется принудительно.
пока что не работает. На wsus в cmd запустил синхронизацию и ошибка -

nokogerra · Отправлено: **11:42, 24-04-2015** | #6

1. На WSUS ntp сервер enabled (HKLM\System\CurrentControlSet\services\W32Time\TimeProviders\NtpServer Enabled=1)?
2. Покажите w32tn /query /configuration и w32tm /query /source (хотя я замечал что последняя команда часто выдает не соответствующий истине источник если не перезагрузить службу времени).
3. Ну и udp 123 должен быть открыт.

User001 · Отправлено: **11:43, 24-04-2015** | #7

Цитата wiznv:

На wsus в cmd запустил синхронизацию и ошибка »

Смотрите ошибки в журнале событий, включите отладку.

wiznv · Отправлено: **11:54, 24-04-2015** | #8

Кстати всё работает на виртуальных машинах сервера VMWare. Догадываюсь что нужно отключить синхронизацию виртуальных машин с серверов vmware..

Цитата nokogerra:

1. На WSUS ntp сервер enabled (HKLM\System\CurrentControlSet\services\W32Time\TimeProviders\NtpServer Enabled=1)? »

Было отключено... поставил 1.

Цитата nokogerra:

2. Покажите w32tn /query /configuration и w32tm /query /source (хотя я замечал что последняя команда часто выдает не соответствующий истине источник если не перезагрузить службу времени). »

Код:

C:\Windows\system32>w32tm /query /configuration
[Настройка]

EventLogFlags: 2 (Локально)
AnnounceFlags: 5 (Локально)
TimeJumpAuditOffset: 28800 (Локально)
MinPollInterval: 10 (Локально)
MaxPollInterval: 15 (Локально)
MaxNegPhaseCorrection: 4294967295 (Локально)
MaxPosPhaseCorrection: 4294967295 (Локально)
MaxAllowedPhaseOffset: 300 (Локально)

FrequencyCorrectRate: 4 (Локально)
PollAdjustFactor: 5 (Локально)
LargePhaseOffset: 50000000 (Локально)
SpikeWatchPeriod: 900 (Локально)
LocalClockDispersion: 10 (Локально)
HoldPeriod: 5 (Локально)
PhaseCorrectRate: 1 (Локально)
UpdateInterval: 30000 (Локально)


[TimeProviders]

NtpClient (Локально)
DllName: C:\Windows\system32\w32time.dll (Локально)
Enabled: 1 (Локально)
InputProvider: 1 (Локально)
CrossSiteSyncFlags: 2 (Политика)
AllowNonstandardModeCombinations: 1 (Локально)
ResolvePeerBackoffMinutes: 15 (Политика)
ResolvePeerBackoffMaxTimes: 7 (Политика)
CompatibilityFlags: 2147483648 (Локально)
EventLogFlags: 0 (Политика)
LargeSampleSkew: 3 (Локально)
SpecialPollInterval: 3600 (Политика)
Type: NT5DS (Политика)

NtpServer (Локально)
DllName: C:\Windows\system32\w32time.dll (Локально)
Enabled: 1 (Локально)
InputProvider: 0 (Локально)
AllowNonstandardModeCombinations: 1 (Локально)

VMICTimeProvider (Локально)
DllName: C:\Windows\System32\vmictimeprovider.dll (Локально)
Enabled: 1 (Локально)
InputProvider: 1 (Локально)

Цитата nokogerra:

w32tm /query /source »

вы были правы. после перезапуска службы показал контролер домена, причем не основной

Код:

DC02.domen.local

Цитата nokogerra:

3. Ну и udp 123 должен быть открыт. »

открыл

nokogerra · Отправлено: **12:07, 24-04-2015** | #9

Ну так измените источник времени для WSUS на внешний, и сделайте для службы update или перезапустите ее. Более того, нужно изменить type с NT5DS на NTP, иначе указанный источник будет игнорироваться и WSUS будет ориентироваться на КД. Будьте добры, прочитайте хотя бы первую статью из тех, что я привел, чтобы я вам ее в комментариях не перепечатывал.
Чтобы машины не синхронизировались с ESXi http://kb.vmware.com/selfservice/mic...xternalId=1189. Сам обычно выключаю синхронизацию времени с ESXi для всех машин vSphere, делаю NTP на маршрутизаторе или debian и травлю гипервизоры и контроллеры домена на этот локальный ntp, а все машины домена - на контроллеры (машины домена имеют по умолчанию тип NT5DS, т.е. и так ориентируются на КД, т.е. для них нет нужды что-то перенастраивать).

wiznv · Отправлено: **14:05, 24-04-2015** | #10

Цитата nokogerra:

Ну так измените источник времени для WSUS на внешний, и сделайте для службы update или перезапустите ее. Более того, нужно изменить type с NT5DS на NTP. Будьте добры, прочитайте хотя бы первую статью из тех, что я привел, чтобы я вам ее в комментариях не перепечатывал. »

Почти все ок! Спасибо! поменял на NTP в политиках для wsus и контроллеров. Wsus видит внешний ntp, контроллеры видят wsus как ntp, но на клиенте домена при выполнении команды w32tm /monitor вот такая ошибка :

Код:

C:\Windows\system32>w32tm /monitor
Функция GetDcList завершилась ошибкой с кодом:  0x800706BA.
Выход с ошибкой 0x800706BA

w32tm /query /sourse

Код:

DC1.domen.local

Код:

C:\Windows\system32>w32tm /monitor
Функция GetDcList завершилась ошибкой с кодом:  0x800706BA.
Выход с ошибкой 0x800706BA

никакие обновления и перезапуск службы не устраняли эту ошибку, но после перезагрузки все встало как надо.