Таким образом, у нас была пользовательская жалоба на то, что часы на ее рабочем столе не работают, и в результате она всегда опаздывает на поезд. Несмотря на мою скептическую реакцию на такую вещь, это побудило меня исследовать синхронизацию времени в нашей области, и я думаю, это высветило непонимание с моей стороны.
В настоящее время результаты моей команды "w32tm / monitor" дают следующее:
C:\Users\TAlexander>w32tm /monitor
NCCDC1.xxxxxx.xx.xx[10.168.50.32:123]:
ICMP: 0ms delay
NTP: +2.4042293s offset from RHDC1.xxxxxx.xx.xx
RefID: firewall.xxxxxx.xx.xx [10.168.xxx.xxx]
Stratum: 4
NCCDC3.xxxxxx.xx.xx[10.168.50.36:123]:
ICMP: 0ms delay
NTP: +2.4122098s offset from RHDC1.xxxxxx.xx.xx
RefID: firewall.xxxxxx.xx.xx [10.168.xxx.xxx]
Stratum: 4
NCCDC.xxxxxx.xx.xx[[fe80::d1e0:8675:36c1:acba%14]:123]:
ICMP: 0ms delay
NTP: -0.0916479s offset from RHDC1.xxxxxx.xx.xx
RefID: RHDC1.xxxxxx.xx.xx [10.168.50.35]
Stratum: 2
RHDC1.xxxxxx.xx.xx *** PDC ***[10.168.50.35:123]:
ICMP: 0ms delay
NTP: +0.0000000s offset from RHDC1.xxxxxx.xx.xx
RefID: 'LOCL' [0x4C434F4C]
Stratum: 1
ICMDC1.xxxxxx.xx.xx[10.168.50.31:123]:
ICMP: 0ms delay
NTP: +2.4229719s offset from RHDC1.xxxxxx.xx.xx
RefID: wwwco1test12.microsoft.com [65.55.21.20]
Stratum: 3
ICMDC2.xxxxxx.xx.xx[10.168.50.33:123]:
ICMP: 0ms delay
NTP: +0.1387203s offset from RHDC1.xxxxxx.xx.xx
RefID: RHDC1.xxxxxx.xx.xx [10.168.50.35]
Stratum: 2
RHDC1 - это наш PDC, поэтому я думаю из того, что я прочитал, что RHDC1 должен иметь RefID другого источника времени (в данном случае это был бы наш брандмауэр), и что другие DC должны затем обращаться к PDC для своего времени и, как результат показать RHDC1 в RefID. После этого клиенты (серверы и рабочие станции) должны синхронизироваться при запуске процесса NETLOGON.
На самом деле у нас получилась путаница из разных источников и конфигураций. Правильно ли я полагаю, что наши контроллеры домена не синхронизируются традиционным способом доменной иерархии? И если да, то есть ли GP или команда, которая может заставить их вернуться в это состояние?
Частично проблема с контроллером домена в виртуальном режиме заключается в том, что он хочет получить время от основного контроллера домена, но «виртуальные драйверы» по умолчанию настроены на синхронизацию времени с хостом. Это вызовет перетягивание каната, если хост и PDC не одновременно. Большинство людей просто отключат функцию синхронизации времени виртуальной машины, но это вызовет проблему, если виртуальная машина Когда-либо сохранены против выключения.
В мире Hyper-V для PDC: Следующие шаги настраивают виртуальную машину на использование хоста при загрузке, спящем / пробужденном состоянии и восстановлении моментальных снимков, но как только ОС будет запущена, она будет использовать manualpeerlist для синхронизации времени. У вас также должно быть время синхронизации хоста с теми же источниками, чтобы ваш хост / гости были максимум на 5-10 секунд друг от друга.
Откройте окно администратора и введите следующие команды:
reg add HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider /v Enabled /t reg_dword /d 0
(ответьте да, чтобы перезаписать и отключить этот источник времени)
w32tm /config /syncfromflags:MANUAL /reliable:YES /manualpeerlist:"us.pool.ntp.org,0x1" /update
net stop w32time & net start w32time
w32tm /resync /force
(должно завершиться успешно)
w32tm /query /source
(должен показать IP / имя сервера NTP)
Я собрал это из TechEd и отличного сообщения о виртуализации в Microsoft после того, как помог нескольким клиентам преодолеть временные проблемы, связанные с виртуальным нахождением DC / PDC. http://blogs.msdn.com/b/virtual_pc_guy/archive/2010/11/19/time-synchronization-in-hyper-v.aspx
Похоже, что что-то не так с источником времени, который используют некоторые DC, не являющиеся эмуляторами PDC. Я бы посоветовал запустить следующее на всех контроллерах домена, за исключением эмулятора PDC:
w32tm / config / syncfromflags: domhier / update. Затем перезапустите w32time.
Что касается синхронизации эмулятора PDC с внешним источником, таким как брандмауэр, мой вопрос: нужно ли это? Время относительно. Совершенно приемлемо иметь "закрытую систему", если только вам не нужно точное и точное время из внешнего источника для аудиторских, юридических и т. Д. Причин. Если да, то вам, вероятно, нужно выполнить синхронизацию не с брандмауэром, а с чем-то другим.
Хорошо, синхронизация Doamins только из РОЛИ ЭМУЛЯТОРА PDC.
И синхронизация времени Windows сделана так, чтобы компьютеры были «достаточно близко для работы Kerberos», что составляет 5-минутную задержку для сервера.
Все остальное не предназначено для службы времени и требует сервера времени с высоким разрешением.
Вашему сотруднику было плохо даже думать, что это должно быть так близко. Это никогда не было сделано для этого.