Я хочу настроить службу времени, используя только GP в домене Server 2008 R2. Я создал терапевта следующим образом:
Конфигурация компьютера, политики, административные шаблоны, система, политика времени Windows:
= Глобальные настройки конфигурации - Включено с настройками по умолчанию.
Конфигурация компьютера, политики, административные шаблоны, система, политика времени Windows, поставщики времени:
= Настроить Windows NTP-клиент - включен с настройками по умолчанию.
= Включить клиент Windows NTP - включен с настройками по умолчанию. = Включить Windows NTP Server - Включено с настройками по умолчанию.
Политика связана, применяется и применяется к OU контроллеров домена. Результаты моделирования GP показывают, что политика действует на DC (домен с одним DC), и DC распознается как эмулятор PDC. Я запустил gpupdate / force и вышел из системы.
Проблема в том, что DC показывает источник времени как внутренний. Я понимаю, что могу заставить это сделать это в строке cmd, используя w32tm для установки однорангового узла, но я хотел бы понять, чего не хватает в GP. Параметр GP клиента NTP по умолчанию включает time.windows.com, 0x9 в качестве источника, но, похоже, он не вступает в силу.
РЕДАКТИРОВАТЬ: запрошенный вывод:
C: \ Users \ xxxxx> w32tm / query / configuration [Конфигурация]
EventLogFlags: 2 (Политика)
AnnounceFlags: 10 (Политика)
TimeJumpAuditOffset: 28800 (локально)
MinPollInterval: 6 (Политика)
MaxPollInterval: 10 (Политика)
MaxNegPhaseCorrection: 172800 (Политика)
MaxPosPhaseCorrection: 172800 (Политика)
MaxAllowedPhaseOffset: 300 (Политика)
FrequencyCorrectRate: 4 (Политика)
PollAdjustFactor: 5 (Политика)
LargePhaseOffset: 50000000 (Политика)
SpikeWatchPeriod: 900 (Политика)
LocalClockDispersion: 10 (Политика)
HoldPeriod: 5 (Политика)
PhaseCorrectRate: 1 (Политика)
UpdateInterval: 100 (Политика)
[TimeProviders]
NtpClient (локально)
DllName: C: \ Windows \ system32 \ w32time.dll (локально)
Включено: 1 (локально)
InputProvider: 1 (локально)
CrossSiteSyncFlags: 2 (Политика)
AllowNonstandardModeCombinations: 1 (локально)
ResolvePeerBackoffMinutes: 15 (Политика)
ResolvePeerBackoffMaxTimes: 7 (Политика)
CompatibilityFlags: 2147483648 (локально)
EventLogFlags: 0 (Политика)
LargeSampleSkew: 3 (локально)
SpecialPollInterval: 3600 (Политика)
Тип: NT5DS (Политика)
NtpServer (локально)
DllName: C: \ Windows \ system32 \ w32time.dll (локально)
Включено: 1 (локально)
InputProvider: 0 (локально)
AllowNonstandardModeCombinations: 1 (локально)
VMICTimeProvider (локально)
DllName: C: \ Windows \ System32 \ vmictimeprovider.dll (локально)
Включено: 1 (локально)
InputProvider: 1 (локально)
РЕДАКТИРОВАТЬ: Результаты GP
Система / Служба времени Windows
Параметр политики Winning GPO
Включены глобальные настройки конфигурации, FIT DC Time Policy
Параметры дисциплины часов
FrequencyCorrectRate 4
HoldPeriod 5
LargePhaseOffset 50000000
MaxAllowedPhaseOffset 300
MaxNegPhaseCorrection 172800
MaxPosPhaseCorrection 172800
PhaseCorrectRate 1
PollAdjustFactor 5
SpikeWatchПериод 900
UpdateInterval 100
Общие параметры
AnnounceFlags 10
EventLogFlags 2
LocalClockDispersion 10
MaxPollInterval 10
MinPollInterval 6
ChainEntryTimeout 16
ChainMaxEntries 128 ChainMaxHostEntries 4
ChainDisable 0
ChainLoggingRate 30
Система / Служба времени Windows / Поставщики времени
Параметр политики Winning GPO
Настройка политики времени FIT DC с включенным клиентом Windows NTP
NtpServer time.windows.com, 0x9
Тип NT5DS
CrossSiteSyncFlags 2
РешимостьPeerBackoffМинут 15
ResolvePeerBackoffMaxTimes 7
SpecialPollInterval 3600
EventLogFlags 0
Параметр политики Winning GPO
Включить Windows NTP Client Включено FIT DC Time Policy
Включить Windows NTP Server Enabled FIT DC Time Policy
По умолчанию все клиенты домена обращаются к контроллерам домена в поисках авторитетного времени. Для этого не нужно настраивать GPO.
Я не рекомендую вам настраивать каждый клиент на время напрямую переходить к NTP-серверу. Проверка подлинности Kerberos зависит от синхронизации ваших контроллеров домена и клиентов, поэтому лучше, чтобы клиенты получали свое время от самих контроллеров домена.
Теперь, если вы хотите, чтобы ваш домен был синхронизирован с внешним откалиброванным источником с использованием NTP, вы должны настроить это на контроллере домена, который выполняет роль эмулятора PDC. Видеть http://technet.microsoft.com/en-us/library/cc786897(WS.10).aspx который дает вам инструкции о том, как подключить PDC к службе NTP.
Мы делаем это с нашим доменом, подключенным к некоторым внутренним серверам Symmetricom NTP. Средняя ошибка на клиентах составляет +/- 0,1 с. Если вам нужна более высокая точность, вам понадобится специализированное стороннее программное обеспечение на клиентах.
Хорошо. Спасибо за данные. Я вижу, что у вас есть GPO как для клиента, так и для сервера. Понятия NTP-клиента и NTP-сервера отличаются от понятий серверов и клиентов Windows. Итак, для начала рекомендую избавиться от настроек сервера. Они используются для машины, которая будет обслуживать запросы NTP. В домене время предоставляется клиентам, использующим службу времени Windows, а НЕ NTP.
В вашей ситуации ваш DC является клиентом NTP, так как он получает данные от внешнего сервера NTP. Таким образом, политику следует определять только для настроек клиента.
Затем измените параметр GPO поставщика времени на тип NTP, вместо того NT5DS.
Выполните gpupdate и снова запустите запрос конфигурации w32tm.
Подвести итоги:
- Включить Windows NTP Client Включено
- Включить Windows NTP Server Не настроено
- Настроить Windows NTP-клиент | Сервер NTP (Имя сервера NTP), 0x9 (0x9 - это флаг, который определяет сервер NTP как основной.
- Настроить Windows NTP-клиент | Тип NTP
Я проверил это в нашей лабораторной области, и, похоже, он работает. Когда вы запускаете запрос конфигурации w32tm, он должен показать Тип: NTP и NtpServer: (Имя сервера NTP) в разделе [Поставщики времени].
Вы проверили, открыт ли исходящий порт 123 в вашем брандмауэре? У меня были такие же проблемы, и оказалось, что брандмауэр блокирует DC от связи с серверами NIST.