Поделиться через

Рекомендация. Настройте корневой PDC с авторизованным источником времени, избегая неравномерного распределения времени

  • Статья

Почему это достойно внимания

Ваш корневой эмулятор PDC не предназначен для использования NTP-сервера. Многие функции Windows и сети полагаются на надежную синхронизацию времени в сети. Сбои синхронизации времени могут вызвать различные проблемы, в первую очередь сбои в работе журнала. Проверка подлинности Kerberos и единый вход на основе утверждений могут не работать из-за разницы во времени.

Посмотрите, как инженер по работе с клиентами объясняет проблему

Контекст и рекомендации

По умолчанию все компьютеры и устройства домена синхронизируют системное время с помощью иерархии доменов. Участники домена синхронизируют время с контроллерами доменов, которые, в свою очередь, синхронизируют время с контроллером домена, работающим в роли эмулятора PDC. Эмулятор PDC корневого домена леса находится в верхней части иерархии домена, и настройка этого контроллера домена для синхронизации времени с иерархией домена как таковая недействительна. Служба времени Windows предупреждает вас об этом состоянии, передав идентификатор события 12 в журнал событий Windows из источника событий W32Time.

В некоторых сценариях эмулятор PDC получает время от часов BIOS. Однако этот подход имеет недостатки. Если время и дата в BIOS эмулятора PDC, установлены не точно настройки времени и даты будут неправильными по всему домену. Кроме того, если эмулятор PDC перейдет в автономный режим, участники домена не смогут синхронизировать время. Лучшим подходом является настройка эмулятора PDC для синхронизации времени непосредственно с внешним источником времени. Кроме того, можно настроить другое устройство в домене для синхронизации времени с внешней службой времени, а затем настроить эмулятор PDC, чтобы использовать ваш внутренний сервер времени в качестве авторитетного источника времени.

Авторитетными внешними источниками времени являются интернет-сервисы, которые обычно поддерживаются правительственными, научными или образовательными учреждениями. Они позволяют синхронизировать время системы с помощью протокола сетевого времени (NTP). Например, NIST предоставляет серверы времени в различных местах по всей территории США.

Рекомендуемые действия

Вы можете настроить контроллер домена с ролью PDCE, чтобы использовать NTP-сервер для синхронизации времени. Существует несколько подходов:

Чтобы настроить синхронизацию времени с помощью командной строки:

В эмуляторе PDC откройте командную строку администратора и используйте следующие команды:

w32tm.exe /config /syncfromflags:manual /manualpeerlist:131.107.13.100,0x8 /reliable:yes /update

w32tm.exe /config /update

Примечание.

IP-адрес в примере принадлежит серверу времени Национального института стандартов и технологий (NIST), который находится в корпорации Майкрософт в Редмонде, штат Вашингтон. Замените этот IP-адрес службой времени по вашему выбору.

Для настройки синхронизации времени через реестр на эмуляторе PDC выполните следующие действия:

  1. Откройте Редактор реестра (regedit.exe).

  2. Перейдите к следующему разделу реестра: HKLM\System\CurrentControlSet\Services\W32Time\Parameters

  3. Чтобы использовать определенный источник NTP, измените значение типа на NTP.

  4. Измените значение NtpServerна NTP-сервер для синхронизации времени, после чего добавьте 0x8, например, 131.107.13.100,0x8. Несколько NTP-серверов должны быть разделены пробелом, например, 131.107.13.100,0x8 24.56.178.140,0x8

  5. Откройте командную строку администрирования и выполните следующую команду: w32tm /config /update

Чтобы настроить синхронизацию времени через групповую политику, выполните следующие действия:

  1. Откройте Консоль управления групповыми политиками.

  2. Создайте новый объект групповой политики.

  3. Откройте объект групповой политики и перейдите в раздел Параметры компьютера -> Административные шаблоны -> Система -> Служба времени Windows -> Поставщики времени

  4. Дважды щелкните Настроить NTP-клиент Windows.

  5. Задать для состояния значение Включено.

  6. Измените типна NTP.

  7. Настройте NTPServer, чтобы он указывал на IP-адрес сервера времени, за которым следует ,0x8. Например: 131.107.13.100,0x8

  8. Закройте редактор групповой политики.

  9. На панели Фильтры безопасности консоли управления групповыми политиками удалите Прошедшие проверку для вновь созданной политики, затем добавьте компьютер, который имеет роль эмулятора PDC.

  10. Свяжите объект групповой политики с подразделением контроллеров домена.

Примечание.

Параметры групповой политики для Службы времени Windows записываются в путь HKLM\Software\Policies\Microsoft\W32timeреестра.

Как проводить устранение неполадок

Чтобы увидеть текущую конфигурацию службы времени Windows, используйте следующую команду командной строек с повышением прав:

w32tm /query /configuration

Для просмотра текущего источника синхронизации времени используйте следующую команду:

w32tm /query /source

Подробнее

Более подробную информацию о службе Интернет-времени NIST см. в разделе Служба Интернет-времени NIST (ITS).

Более подробную информацию о службе времени Windows см. в разделе Как работает служба времени Windows.