Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2012/2012 R2 (http://forum.oszone.net/forumdisplay.php?f=117)
-   -   [решено] Правильная ли схема синхронизации времени в домене? (http://forum.oszone.net/showthread.php?t=298890)

wiznv 24-04-2015 10:02 2500065
Правильная ли схема синхронизации времени в домене?
 
Доброго времени суток,

Есть два DC. Во внешку смотрит только WSUS т.к. обновления.

Компьютеры в домене, насколько я знаю, не требуют настройки через GPO тк по умолчанию синхронизируются с DC1.

NTP на DC ( обоих контроллерах) хочу настроить на синхронизацию с WSUS.

а NTP на Wsus настроить на синхронизацию с NTP в интернете.

Все ок или лучше так не делать?

User001 24-04-2015 10:53 2500078
Цитата:
Цитата wiznv
насколько я знаю, не требуют настройки через GPO тк по умолчанию синхронизируются с DC1. »
Кто такой DC1? Источником времени в вашем домене будет владелец роли PDC Emulator. Посмотрите здесь и здесь. Он должен синхронизироваться с внешним источником времени.

wiznv 24-04-2015 11:09 2500090
Цитата:
Цитата User001
Кто такой DC1? Источником времени в вашем домене будет владелец роли PDC Emulator. Посмотрите здесь и здесь. Он должен синхронизироваться с внешним источником времени. »
DC1 это первичный контроллер домена. получается что он же и PDC Emulator. А если я НЕ ХОЧУ чтобы PDC Emulator был подключен к интернету ?

nokogerra 24-04-2015 11:20 2500092
pdc эмулятор это fsmo роль КД, так что pdc эмулятором по-любому является один из КД, но он вовсе не обязан быть источником времени для машин домена, хотя обычно именно так и бывает, это так сказать наиболее общая практика. Вы вполне можете поднять NTP-сервер на машине WSUS, или еще проще - разверните NTP на маршрутизаторе (уверен что ваша железка поддерживает такой функционал), или можете поднять, скажем маленький виртуальный linux и на нем развернуть ntp сервер. И любой из этих NTP может служить "внешним" источником времени для ваших КД, т.е. КД не нужно будет "смотреть в интернет".
Посмотрите эти статьи:
http://windowsnotes.ru/windows-serve...era-v-windows/
http://blogs.msdn.com/b/w32time/arch...-reliable.aspx

wiznv 24-04-2015 11:29 2500099
Вложений: 1
Цитата:
Цитата nokogerra
pdc эмулятор это fsmo роль КД, так что pdc эмулятором по-любому является один из КД, но он вовсе не обязан быть источником времени для машин домена, хотя обычно именно так и бывает, это так сказать наиболее общая практика. Вы вполне можете поднять NTP-сервер на машине WSUS, или еще проще - разверните NTP на маршрутизаторе (уверен что ваша железка поддерживает такой функционал), или можете поднять, скажем маленький виртуальный linux и на нем развернуть ntp сервер. И любой из этих NTP может служить "внешним" источником времени для ваших КД, т.е. КД не нужно будет "смотреть в интернет". »
я сделал так:
создал gpo для контроллеров домена с настройкой их как NTP сервер и клиент, а в качестве источника указал IP адрес wsus сервера. Политика применяется принудительно.
Потом создал GPO для WSUS где его также настроил как NTP клиент и сервер с внешним источником синхронизации времени. Политика также применяется принудительно.
пока что не работает. На wsus в cmd запустил синхронизацию и ошибка -

nokogerra 24-04-2015 11:42 2500105
1. На WSUS ntp сервер enabled (HKLM\System\CurrentControlSet\services\W32Time\TimeProviders\NtpServer Enabled=1)?
2. Покажите w32tn /query /configuration и w32tm /query /source (хотя я замечал что последняя команда часто выдает не соответствующий истине источник если не перезагрузить службу времени).
3. Ну и udp 123 должен быть открыт.

User001 24-04-2015 11:43 2500107
Цитата:
Цитата wiznv
На wsus в cmd запустил синхронизацию и ошибка »
Смотрите ошибки в журнале событий, включите отладку.

wiznv 24-04-2015 11:54 2500111
Кстати всё работает на виртуальных машинах сервера VMWare. Догадываюсь что нужно отключить синхронизацию виртуальных машин с серверов vmware..

Цитата:
Цитата nokogerra
1. На WSUS ntp сервер enabled (HKLM\System\CurrentControlSet\services\W32Time\TimeProviders\NtpServer Enabled=1)? »
Было отключено... поставил 1.

Цитата:
Цитата nokogerra
2. Покажите w32tn /query /configuration и w32tm /query /source (хотя я замечал что последняя команда часто выдает не соответствующий истине источник если не перезагрузить службу времени). »
Код:
C:\Windows\system32>w32tm /query /configuration
[Настройка]

EventLogFlags: 2 (Локально)
AnnounceFlags: 5 (Локально)
TimeJumpAuditOffset: 28800 (Локально)
MinPollInterval: 10 (Локально)
MaxPollInterval: 15 (Локально)
MaxNegPhaseCorrection: 4294967295 (Локально)
MaxPosPhaseCorrection: 4294967295 (Локально)
MaxAllowedPhaseOffset: 300 (Локально)

FrequencyCorrectRate: 4 (Локально)
PollAdjustFactor: 5 (Локально)
LargePhaseOffset: 50000000 (Локально)
SpikeWatchPeriod: 900 (Локально)
LocalClockDispersion: 10 (Локально)
HoldPeriod: 5 (Локально)
PhaseCorrectRate: 1 (Локально)
UpdateInterval: 30000 (Локально)


[TimeProviders]

NtpClient (Локально)
DllName: C:\Windows\system32\w32time.dll (Локально)
Enabled: 1 (Локально)
InputProvider: 1 (Локально)
CrossSiteSyncFlags: 2 (Политика)
AllowNonstandardModeCombinations: 1 (Локально)
ResolvePeerBackoffMinutes: 15 (Политика)
ResolvePeerBackoffMaxTimes: 7 (Политика)
CompatibilityFlags: 2147483648 (Локально)
EventLogFlags: 0 (Политика)
LargeSampleSkew: 3 (Локально)
SpecialPollInterval: 3600 (Политика)
Type: NT5DS (Политика)

NtpServer (Локально)
DllName: C:\Windows\system32\w32time.dll (Локально)
Enabled: 1 (Локально)
InputProvider: 0 (Локально)
AllowNonstandardModeCombinations: 1 (Локально)

VMICTimeProvider (Локально)
DllName: C:\Windows\System32\vmictimeprovider.dll (Локально)
Enabled: 1 (Локально)
InputProvider: 1 (Локально)
Цитата:
Цитата nokogerra
w32tm /query /source »
вы были правы. после перезапуска службы показал контролер домена, причем не основной
Код:
DC02.domen.local
Цитата:
Цитата nokogerra
3. Ну и udp 123 должен быть открыт. »
открыл

nokogerra 24-04-2015 12:07 2500116
Ну так измените источник времени для WSUS на внешний, и сделайте для службы update или перезапустите ее. Более того, нужно изменить type с NT5DS на NTP, иначе указанный источник будет игнорироваться и WSUS будет ориентироваться на КД. Будьте добры, прочитайте хотя бы первую статью из тех, что я привел, чтобы я вам ее в комментариях не перепечатывал.
Чтобы машины не синхронизировались с ESXi http://kb.vmware.com/selfservice/mic...xternalId=1189. Сам обычно выключаю синхронизацию времени с ESXi для всех машин vSphere, делаю NTP на маршрутизаторе или debian и травлю гипервизоры и контроллеры домена на этот локальный ntp, а все машины домена - на контроллеры (машины домена имеют по умолчанию тип NT5DS, т.е. и так ориентируются на КД, т.е. для них нет нужды что-то перенастраивать).

wiznv 24-04-2015 14:05 2500192
Цитата:
Цитата nokogerra
Ну так измените источник времени для WSUS на внешний, и сделайте для службы update или перезапустите ее. Более того, нужно изменить type с NT5DS на NTP. Будьте добры, прочитайте хотя бы первую статью из тех, что я привел, чтобы я вам ее в комментариях не перепечатывал. »
Почти все ок! Спасибо! поменял на NTP в политиках для wsus и контроллеров. Wsus видит внешний ntp, контроллеры видят wsus как ntp, но на клиенте домена при выполнении команды w32tm /monitor вот такая ошибка :

Код:
C:\Windows\system32>w32tm /monitor
Функция GetDcList завершилась ошибкой с кодом:  0x800706BA.
Выход с ошибкой 0x800706BA

w32tm /query /sourse

Код:
DC1.domen.local
Код:
C:\Windows\system32>w32tm /monitor
Функция GetDcList завершилась ошибкой с кодом:  0x800706BA.
Выход с ошибкой 0x800706BA
никакие обновления и перезапуск службы не устраняли эту ошибку, но после перезагрузки все встало как надо.


Время: 21:48.

Время: 21:48.
© OSzone.net 2001-