Jak znaleźć serwer czasu w domenie?

32

W domenie Windows PDC niekoniecznie jest serwerem czasu domeny. Jak mogę zidentyfikować wiarygodny serwer czasu?

active-directory Hrvoje Zlatar
źródło

Odpowiedzi:

25

Zakładam, że szukasz serwera używanego przez usługę W32Time do przeprowadzania synchronizacji czasu na komputerach należących do domeny.

W standardowym wdrożeniu usługi Active Directory jedynym komputerem skonfigurowanym wyraźnie z serwerem czasu będzie komputer pełniący rolę emulatora PDC FSMO w domenie głównej lasu. Wszystkie kontrolery domeny w leśnej domenie głównej synchronizują czas z posiadaczem roli emulatora PDC FSMO. Wszyscy posiadacze ról FSMO emulatora PDC w domenach podrzędnych synchronizują swój czas z kontrolerami domeny w domenie nadrzędnej (w tym potencjalnie posiadaczem roli emulatora PDF FSMO w domenie głównej lasu). Wszystkie komputery należące do domeny synchronizują czas z komputerami kontrolera domeny w swoich domenach.

Aby ustalić, czy element członkowski domeny jest skonfigurowany do synchronizacji czasu domeny, sprawdź wartość REG_SZ w HKLM \ System \ CurrentControlSet \ Services \ W32Time \ Parameters \ Type. Jeśli jest ustawiony na „Nt5DS”, komputer synchronizuje czas z hierarchią czasu Active Directory. Jeśli jest skonfigurowany z wartością „NTP”, to komputer synchronizuje czas z serwerem NTP określonym w wartości REG_SZ NtpServer w tym samym kluczu rejestru.

Szczegóły niskiego poziomu protokołu synchronizacji czasu są dostępne w tym artykule: Jak działa usługa Czas systemu Windows

Uważaj, że nie każdy kontroler domeny (KDC, jak James kieruje w wyszukiwaniu za pośrednictwem DNS w swoim poście), może uruchamiać usługę czasu. W standardowym wdrożeniu AD każdy kontroler domeny będzie, ale niektóre wdrożenia mogą wykorzystywać zwirtualizowane kontrolery domeny, które mają wyłączoną usługę W32Time (w celu ułatwienia synchronizacji czasu opartej na hiperwizorze) i jako takie prawdopodobnie dobrze by było, gdyby zaimplementowano funkcjonalność opisaną przez artykuł „Jak działa usługa czasu systemu Windows”, jeśli tworzysz oprogramowanie, które musi synchronizować czas w taki sam sposób, jak zrobiłby to komputer należący do domeny.

Evan Anderson
źródło
Przepraszam, jeśli budzę tutaj temat „spania”, ale czy mógłbyś wyjaśnić, jak prawidłowo obsługiwać czas w domenie z więcej niż jednym kontrolerem? Powiedzmy, że jest 5 kontrolerów (Windows 2003 AD). Czy ten z rolą PDC powinien mieć ustawiony NTP „Typ” i serwer zapytań i zewnętrzny serwer Ntpserver (tj. Time.windows.com), a resztę mieć tylko „NT5DS”? Poradź, jeśli chcesz, żebym opublikował to jako osobne pytanie. Dzięki!
24

Kilka pomocnych poleceń

Ponowna synchronizacja (wymaga uprawnień administratora):

w32tm /resync /nowait

Ponowna synchronizacja z określonym komputerem (wymaga uprawnień administratora):

w32tm /resync /nowait /computer:computername

Pokaż aktualnie używany serwer (wymaga uprawnień administratora):

w32tm /query /source

Sprawdź dokładnie, czy działa:

w32tm /monitor /domain:mydomain.com

Zobacz ustawienia:

w32tm /dumpreg /subkey:parameters

Następnie spójrz na typ:

  • NoSync
    Klient nie synchronizuje czasu.

  • NTP
    Klient synchronizuje czas z zewnętrznego źródła czasu. Przejrzyj wartości w wierszu NtpServer w danych wyjściowych, aby zobaczyć nazwę serwera lub serwerów, których klient używa do synchronizacji czasu.

  • NT5DS
    Klient jest skonfigurowany do korzystania z hierarchii domen do synchronizacji czasu.

  • AllSync
    Klient synchronizuje czas z dowolnego dostępnego źródła czasu, w tym hierarchii domen i zewnętrznych źródeł czasu.

Znaleziono ustawienia rejestru:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters]
"NtpServer"=""
"Type"="NT5DS"
użytkownik27387
źródło
15

Autorytatywną domeną jest zwykle emulator PDC , z kolei inne DC będą się z nim synchronizować.

Aby ustalić, kto obecnie pełni rolę emulatora PDC w Twojej domenie, użyj:

netdom query fsmo

Aby poznać inne sposoby określania posiadaczy ról FSMO, zobacz artykuł Określanie posiadaczy ról FSMO .

Przeczytaj więcej na ten temat w artykule TechNet Jak działa usługa czasu systemu Windows .

katriel
źródło
Dzięki za link! Powodem, dla którego o to zapytałem, jest to, że otrzymałem różne odpowiedzi na dwa pozornie takie same polecenia. Kiedy używam czasu netto, otrzymuję Aktualny czas w \\ PDC to ..., ale kiedy używam czasu netto / domeny, otrzymuję Aktualny czas w \\ Secondary_DC to ... Chciałbym wiedzieć, który jest używany do synchronizacji? w32tm / monitor zwrócił oba serwery. PDC jest synchronizowane ze źródłem zewnętrznym, podczas gdy Secondary_DC jest synchronizowane z PDC.
Hrvoje Zlatar
1
Polecenie „NET TIME ... / SET” jest starsze i przestarzałe. W domenie AD z dobrą komunikacją między kontrolerami domeny i klientami oraz źródłem czasu zewnętrznego do lasu skonfigurowanym na posiadaczu roli emulatora PDC na fizycznych urządzeniach synchronizacja czasu „po prostu zadziała”. Jeśli dodajesz maszyny wirtualne do miksu (zwłaszcza komputerów z wirtualnym kontrolerem domeny), musisz pomyśleć o synchronizacji czasu na poziomie hiperwizora i nie używaniu W32Time.
Evan Anderson
1

W prawidłowo skonfigurowanej domenie Windows kontroler domeny pełniący rolę emulatora PDC (w AD nie ma „PDC”) będzie serwerem czasu dla domeny. Żadna inna maszyna w domenie - w tym inne kontrolery domeny - nie powinna mieć ustawionego serwera czasu. W ogóle. Synchronizacja czasu będzie wtedy zarządzana w oparciu o hierarchię domen, a będziesz mieć środowisko „ustaw raz i zapomnij” - przynajmniej jeśli chodzi o czas, i do momentu przeniesienia roli emulatora PDC na inny serwer.

Jeśli musisz przeprowadzić regularną lub bieżącą konserwację konfiguracji serwera czasu, oznacza to, że coś jest nie tak.

Maximus Minimus
źródło