Настройка NTP в домене Windows 2008

Для этого уже есть встроенная иерархия, и вы не должны ее менять. Компьютеры найдут ближайший к ним контроллер домена для синхронизации времени на основе информации о сайте и подсети, определенной в разделе «Сайты и службы». Эти контроллеры домена, в свою очередь, будут синхронизировать свое время с контроллером домена, который выполняет роль FSMO эмулятора PDC. Контроллер домена, выполняющий роль, должен быть настроен на использование синхронизации времени NTP с надежным источником, будь то внутренний или внешний, и все остальные члены домена должны соответствовать. Обычно люди синхронизируются с NIST, Microsoft, Apple или pool.ntp.org. Также довольно часто ваш основной коммутатор / маршрутизатор делает это, а затем указывает на это все устройства, которым требуется синхронизация времени.

РЕДАКТИРОВАТЬ

Вот пара статей, посвященных именно этому:

http://technet.microsoft.com/en-us/library/cc786897(v=ws.10).aspx

http://social.technet.microsoft.com/wiki/contents/articles/8863.time-service-configuration-on-pdc-emulator-fsmo-role-holding-domain-controller-en-us.aspx

Вот команда для запуска на вашем DC, который является эмулятором PDC:

w32tm /config /manualpeerlist: peers /syncfromflags:manual /reliable:yes /update

Все, что вам здесь нужно, это настроить и синхронизировать этот DC-эмулятор PDC и все остальное, подключенное к AD, начнут синхронизироваться, и вы можете завершить это. Прикрепил изображение ниже для справки (оно находится по одной из ссылок выше). Также стоит отметить, что это прекрасно заботится о ваших системах Microsoft, но если, скажем, у вас есть серверы Linux или сетевые устройства, требующие ответов протокола NTP, вы можете столкнуться с проблемой совместимости, поскольку реализация Microsoft в качестве сервера NTP ... не так здорово. Как я уже упоминал выше, я обычно указываю свой основной маршрутизатор на внешний источник времени, а затем указываю на него эмулятор PDC. Все остальное в моей сети, нуждающееся в NTP, направляется на их локальный маршрутизатор, который, в свою очередь, указывает на мой основной маршрутизатор.

Запустите DCDIAG на контроллере домена и убедитесь, что он рекламируется как сервер времени. Вы также можете получить статус рекламы сервера времени с помощью команды NLTEST:

nltest.exe /server:dcname /dsgetdc:acmecorp.com
           DC: \\dcname.acmecorp.com
      Address: \\n.n.n.n
     Dom Guid: 5fb09a11-8148-4d9c-a53a-d7a218880eaf
     Dom Name: acmecorp.com
  Forest Name: acmecorp.com
 Dc Site Name: Blah
Our Site Name: Blah
        Flags: GC DS LDAP KDC TIMESERV WRITABLE DNS_DC DNS_DOMAIN DNS_FOREST CLOSE_SITE FULL_SECRET WS
                              ^^^^^^^^

Вы можете использовать команду w32tm.exe на клиенте, чтобы определить, почему не выполняется синхронизация времени.

Современный (не устаревший) клиент Windows обычно имеет вывод, аналогичный приведенному ниже:

>w32tm /query /status /verbose
Leap Indicator: 0(no warning)
Stratum: 4 (secondary reference - syncd by (S)NTP)
Precision: -6 (15.625ms per tick)
Root Delay: 0.0937500s
Root Dispersion: 1.0042565s
ReferenceId: 0xDEADBEEF (source IP:  n.n.n.n)  <-- Should be the Domain Controller
Last Successful Sync Time: 10/24/2012 8:25:56 AM
Source: DCName.acmecorp.com <-- Should be the Domain Controller
Poll Interval: 11 (2048s)

Phase Offset: 0.1063193s
ClockRate: 0.0156005s
State Machine: 1 (Hold)
Time Source Flags: 2 (Authenticated )
Server Role: 0 (None)
Last Sync Error: 0 (The command completed successfully.)
Time since Last Good Sync Time: 24.4367708s  

Если контроллер домена не рекламируется как сервер времени, но все кажется правильным, иногда ручная корректировка значения реестра может решить проблему. Когда контроллер домена рекламируется как сервер времени, следующее значение реестра «Включено» будет равно 1. Если это значение 0, он определенно не будет предоставлять службы времени вашим рабочим станциям.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\W32Time\TimeProviders\NtpServer]
"Enabled"=dword:00000001