Назад | Перейти на главную страницу

Синхронизация клиента с сервером времени в Интернете из домена

У нашей команды по инфраструктуре сейчас есть более серьезные проблемы, чем то, что время в сети составляет 2 минуты (на 2 минуты медленнее, чем внешние надежные источники). Однако то, что я ошибаюсь, действительно беспокоит меня и более задорных членов нашего отдела.

Мы можем это исправить? Да мы можем! Я знаю, что можем, потому что уже делал это раньше. Думаю, моя машина в настоящее время синхронизируется с "time.nist.gov". По крайней мере, это значение в реестре в разделе HKLM \ SYSTEM \ ControlSet001 \ Services \ W32Time. Что я знаю точно, так это то, что это в пределах секунды от нескольких надежных серверов времени. Машины моих коллег соответствуют сети.

После того, как я в последний раз перестраивал свою машину (примерно год назад), я внес некоторые изменения, чтобы время синхронизировалось правильно, но не могу вспомнить, как это сделать!

Я знаю, что это очень похоже на этот вопрос, однако у меня есть немного другой взгляд на это. Может быть, нам поможет небольшой реверс-инжиниринг синхронизирующей машины?

Предыстория: я (и мои коллеги-аналитики) все являюсь членами группы администраторов домена и имею права локального администратора в наших ящиках. Мы не можем каким-либо образом изменить домен или контроллеры домена. У каждого из нас есть неограниченный доступ в Интернет.

Пока пробовал: Клонирование реестра HKLM \ SYSTEM \ ControlSet001 \ Services \ W32Time на другие машины - это не удалось

Сделай это и ты ВОЛЯ иметь проблему. Active Directory требует, чтобы все машины в домене были синхронизированы по времени в пределах определенного допуска для правильной работы, поэтому, если разница станет слишком большой, вы можете оказаться не в состоянии войти в систему.

Если вас это действительно беспокоит, вам следует поговорить со своими администраторами о синхронизации их эмулятора PDC с более надежным источником времени и объяснить им, что разница во времени вызывает у вас проблемы (будьте готовы к тому, что вам придется подкрепить его достоверным случаем. хотя).

Если вы настаиваете на том, чтобы ваша собственная машина находилась в отдельном источнике времени, вы можете ожидать, что ваши администраторы - когда они узнают об этом - откажутся оказывать вам поддержку, пока вы не вернете ее в исходное состояние. Возможно, у вас даже есть объект групповой политики, который обеспечивает правильную настройку времени иерархии доменов, что не дает вам возиться с ним.

Мораль этой истории - «не вмешивайтесь в то, как все должно работать».

Как администратор AD я согласен с общим мнением в МХ ответ. Хотя верно, что 2 минуты не вызовут серьезных проблем для AD (максимально допустимая разница во времени составляет 5 минут до выхода из строя Kerberos), я все же стараюсь не связываться с этим. Две минуты действительно не о чем беспокоиться, если у вас нет склонности к ОКР :-)

NTP-клиент Windows XP практически бесполезен. Синхронизация происходит через кажущиеся случайными промежутки времени с неизмеримыми задержками. Мы запустили приложение для точной торговли по времени в Windows и обнаружили (написав заменяющий NTP-клиент), что корректировка времени в Windows также является кошмаром.

Я предлагаю вам использовать автомахрон (снятый с производства, но все еще полезен).