Сценарий:
Сервер Windows 2003, который является единственным контроллером домена в сети (192.168.1.10/24), настроен на синхронизацию своего времени с другим NTP-сервером (машина Linux с радиочасами, IP 192.168.1.12/24). Все это работает, как и ожидалось.
DC также предоставляет конечную точку для VPN-соединений, следовательно, он получает второй IP-адрес (192.168.1.58/24), пока установлено VPN-соединение.
Эта проблема:
Если служба времени Windows перезапускается при наличии VPN-соединения, она привязывается ко второму IP-адресу, как показано в журнале событий:
source: w32time
event ID: 35
The time service is now synchronizing the system time with the time source
ntp.xxx.local (ntp.m|0x9|192.168.1.58:123->192.168.1.12:123).
После закрытия VPN-соединения синхронизация времени через 2-й (теперь освобожденный) IP-адрес не работает:
source: w32time
event ID: 38 (can't reach NTP-Server)
event ID: 47 (No attempt to contact a source will be made for 15 minutes.)
and finally:
event ID: 29 (NtpClient has no source of accurate time.)
Через некоторое время снова появляется служба времени. Но период отключения электроэнергии для DC неприемлем.
Вопрос:
Есть ли какая-либо конфигурация (желательно заданная с помощью групповых политик), которая предписывает службе времени Windows привязаться к определенному IP-адресу? Или хотя бы не привязываться к IP-адресу VPN-туннеля?
Примечание:
Проблема сохраняется, если время синхронизируется с интернет-сервера NTP. Так что это не проблема, и да, я хочу использовать внутренний (надежный) NTP-сервер.
У меня была аналогичная проблема, и я наткнулся на КБ 292822под названием
Проблемы с разрешением имен и подключением на сервере маршрутизации и удаленного доступа, на котором также работает DNS или WINS
В нем перечислен ряд шагов, которые можно предпринять для решения проблемы, не допустив, чтобы RAS регистрировал свои IP-адреса в DNS:
Чтобы решить эту проблему, настройте сервер маршрутизации и удаленного доступа, чтобы он не регистрировал IP-адрес своего адаптера PPP в базе данных DNS или WINS. Для этого выполните следующие действия:
Я не буду приводить здесь все шаги, поскольку это довольно обширный процесс.
Мое решение состояло в том, чтобы переместить RAS на другой компьютер, что решило проблему без необходимости делать тонну настроек реестра на контроллере домена.
Если встроенный клиент времени Windows работает некорректно, что звучит так, исходя из вашего описания, вы можете вместо этого рассмотреть возможность использования стороннего клиента времени. Есть хороший выбор альтернативных вариантов, которые стоит рассмотреть.