В этой статье я покажу как можно синхронизировать контроллеры домена с внешним источником времени, например time.windows.com или ntp.pool.org .
По умолчанию все машины в домене синхронизируют время с контроллером домена, который является внутренним сервером времени. Если у вас несколько контроллеров домена, время будет синхронизироваться с контроллером домена, который выполняет роль эмулятора PDC. Чтобы проверить, какой DC является эмулятором PDC в вашем домене, вам нужно выполнить следующую команду:Get-ADDomain | select PDCEmulator
| Get-ADDomain | select PDCEmulator |
В PowerShell это выглядит так:
После того, как роль эмулятора PDC установлена, нужно выполнить несколько команд, чтобы синхронизировать время. Команды выполняются на эмуляторе PDC в PowerShell:
| w32tm /config /syncfromflags:manual /manualpeerlist:”time.windows.com,0x8″ /reliable:yes /updatew32tm /config /updaterestart-service w32time |
Если вам нужно добавить более одного NTP-сервера, записи списка узлов разделяются пробелами следующим образом:
| “0.ntp.pool.org,0x1 1.ntp.pool.org,0x1 2.ntp.pool.org,0x1” |
После завершения выполнения команд служба времени Windows должна начать синхронизацию времени на контроллерах домена с внешним источником. Для просмотра конфигурации времени вы можете использовать:
| w32tm /query /configuration |
На левом скриншоте показан результат выполнения команды до изменения источника времени на внешний, на правом после
Была настроена синхронизация времени с time.windows.com .
Чтобы настроить клиентский компьютер для автоматической синхронизации времени через домен надо выполнить команду:
| w32tm /config /syncfromflags:domhier /update |
и проверить, выполняется ли синхронизация:
| w32tm /monitor |
для повторной синхронизации можно выполнить
| w32tm /resync |
Между клиентами и эмулятором PDC, а также между эмулятором PDC и интернет должен быть открыт порт NTP 123 tcp/udp.
Для проверки подключения удобно использовать переключатель /stripchart команды w32tm:
| w32tm /stripchart /computer:time.windows.com |
