Синхронизация времени

Синхронизация времени

В состав Windows входит служба времени W32Time, необходимая для работы протокола проверки подлинности Kerberos. Служба времени предназначена для синхронизации времени в рамках организации на компьютерах под управлением Microsoft Windows 2000 или более поздних версий Windows.

Служба времени Windows использует иерархическую структуру отношений, которая не допускает возникновения «циклов» в управлении и обеспечивает корректную синхронизацию времени. По умолчанию компьютеры под управлением Windows подчиняются следующей иерархии.

• Все клиентские компьютеры используют в качестве источника времени контроллер домена, проверяющий их подлинность.
• То же самое происходит на рядовых серверах.
• Все контроллеры домена используют в качестве источника времени хозяина операций основного контроллера домена (PDC).
• При выборе источника времени хозяева операций основного контроллера домена следуют иерархии доменов.

В данной иерархии хозяин операций PDC, расположенный в корневом домене леса, становится основным сервером времени для всей организации. Корпорация Майкрософт рекомендует, чтобы основной сервер времени получал значения времени от внутреннего источника. Если основной сервер времени получает эти данные от источника времени в Интернете, проверка подлинности не выполняется. Кроме того, корпорация Майкрософт рекомендует уменьшить значения параметров, определяющих максимальную величину коррекции времени для серверов и рядовых компьютеров. Это позволит более точно устанавливать время на компьютерах в домене и повысит уровень их безопасности.

Настройка службы времени Windows для использования системных часов

Помощь в решении проблемы

Чтобы устранить проблему в автоматическом режиме, нажмите кнопку Устранить проблему или щелкните одноименную ссылку. Нажмите в диалоговом окне Загрузка файла кнопку Выполнить и следуйте инструкциям мастера устранения проблем.

Устранить проблему Microsoft Fix it 50394

• Интерфейс этого мастера может быть доступен только на английском языке, однако автоматическое исправление работает и в других языковых версиях Windows.
• Можно загрузить решение на любой компьютер, а затем сохранить его на устройстве флэш-памяти или компакт-диске и запустить на нужном компьютере.

Самостоятельное решение проблемы

Важно! В данный раздел, метод или задачу включены действия по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому такие действия необходимо выполнять очень внимательно. Для дополнительной защиты следует создать резервную копию реестра перед его изменением. Это позволит восстановить реестр при возникновении неполадок. Дополнительные сведения о создании резервной копии и восстановлении реестра см. в следующей статье базы знаний Майкрософт:

Чтобы служба времени на компьютере, являющемся хозяином операций PDC, не использовала внешний источник времени, необходимо изменить параметр реестра AnnounceFlags. Хозяином PDC называется сервер, исполняющий роль эмулятора PDC корневого домена леса. Данное изменение конфигурации предписывает хозяину PDC сообщать о себе как о надежном источнике времени и использовать часы, встроенные в микросхему CMOS. Чтобы служба времени хозяина PDC использовала в качестве источника времени внутренние часы компьютера, выполните следующие действия.

1. Выберите в меню Пуск пункт Выполнить, введите команду regedit и нажмите кнопку ОК.
2. Найдите и выделите следующий раздел реестра:

Примечание. Служба времени хозяина PDC не должна быть настроена на синхронизацию с самим хозяином PDC. Дополнительные сведения о том, почему основной контроллер домена не следует настраивать на синхронизацию с самим собой, см. на следующем веб-узле в документе RFC (Request For Comment) 1305:

Если основной контроллер домена настроен на синхронизацию с самим собой, в журнал системы записываются указанные ниже события.

Если служба времени хозяина PDC не использует внешний источник времени, то в журнале событий приложений будет регистрироваться следующее событие.

Данное сообщение напоминает о том, что рекомендуется использовать внешний источник времени, и может быть пропущено.

Настройка службы времени Windows для использования внешнего источника показаний времени

Помощь в решении проблемы

Чтобы устранить проблему в автоматическом режиме, нажмите кнопку Устранить проблему или щелкните одноименную ссылку. В диалоговом окне Загрузка файла нажмите кнопку Выполнить и следуйте инструкциям мастера устранения проблем.
Устранить проблему Microsoft Fix it 50395

• Интерфейс этого мастера может быть доступен только на английском языке, однако автоматическое исправление работает и в других языковых версиях Windows.
• Можно загрузить решение на любой компьютер, а затем сохранить его на устройстве флэш-памяти или компакт-диске и запустить на нужном компьютере.

Самостоятельное решение проблемы

Чтобы настроить внутренний сервер времени для синхронизации с внешним источником показаний времени, выполните указанные ниже действия.

1. Измените тип сервера на NTP. Для этого выполните следующие действия.
   1. Выберите в меню Пуск пункт Выполнить, введите команду regedit и нажмите кнопку ОК.
   2. Найдите и выделите следующий раздел реестра:

   1. Найдите и выделите следующий раздел реестра:

   Устранение неполадок

   Для нормального функционирования службы времени Windows необходима работающая сетевая инфраструктура. В большинстве случаев ошибки в работе службы времени Windows вызваны следующими причинами.

   • При обмене данными по протоколу TCP/IP возникают сбои (например, из-за неработающего шлюза).
   • Неправильно работает служба разрешения имен.
   • При прохождении пакетов по сети возникают значительные задержки (особенно если для синхронизации используются медленные каналы глобальной сети).
   • Служба времени Windows пытается выполнить синхронизацию с источниками, сообщающими неточные данные.

   Для устранения неполадок, вызванных сбоями в работе сети, корпорация Майкрософт рекомендует использовать средство Netdiag.exe, входящее в набор Windows Server 2003 Support Tools. За сведениями о параметрах командной строки, поддерживаемых приложением Netdiag.exe, обратитесь к справке по набору средств поддержки. Если решить проблему не удается, включите журнал отладки службы времени Windows. Поскольку журнал отладки может содержать большой объем служебной информации, при использовании журнала отладки рекомендуется обращаться в службу поддержки продуктов Майкрософт.

   NTP поддерживает несколько разных типов пакетов. Обычно клиенты NTP и клиенты SNTP (Simple Network Time Protocol) направляют серверу NTP пакеты запросов в клиентском режиме. Сервер NTP отвечает пакетом в серверном режиме. Чтобы настроить службу W32time для отправки пакетов серверу NTP не в клиентском, а в симметричном активном режиме, введите в командной строке следующую команду:

   Примечание. Используйте флаг 0x8, чтобы служба W32time вместо пакетов в симметричном активном режиме всегда передавала обычные клиентские запросы. Сервер NTP отвечает на эти обычные клиентские запросы в обычном порядке.

   Настройка надежного источника времени

   Компьютер, выбранный в качестве надежного источника времени, является корнем службы времени Windows. Данный компьютер выступает в качестве основного сервера времени для домена и, как правило, получает информацию о текущем времени от внешнего сервера NTP или от системных часов. Чтобы оптимизировать процесс синхронизации времени в иерархии домена, можно настроить сервер службы времени в качестве надежного источника времени. Если контроллер домена является надежным источником времени, то при подключении данного контроллера домена к сети служба Net Logon отправляет оповещение, что данный компьютер является надежным источником времени. Когда остальные контроллеры домена будут искать источник времени для синхронизации, в первую очередь они будут обращаться к надежному источнику времени, если он доступен.

   Синхронизация вручную

   Синхронизация вручную позволяет указать один или несколько узлов, с которых компьютер будет получать информацию о времени. Если компьютер не является членом домена, то его необходимо вручную настроить на синхронизацию с выбранным источником времени. Компьютеры, входящие в домен, по умолчанию производят синхронизацию в соответствии с иерархией домена. Корень леса в домене и компьютеры, не входящие в домен, как правило, используют синхронизацию вручную. Если компьютер, являющийся основным сервером времени для данного домена, вручную настроен на выполнение синхронизации с внешним NTP-сервером, то домен получает надежную информацию о времени. Однако для повышения защищенности домена и получения более точных значений времени рекомендуется выполнять синхронизацию основного компьютера с системными часами.

   Если подобный источник времени отсутствует, служба W32time будет работать в режиме NTP. Для работы службы времени необходимо указать значения параметров реестра MaxPosPhaseCorrection и MaxNegPhaseCorrection. Рекомендуется использовать значения, не превышающие 15 минут. Конкретное значение зависит от источника времени, состояния сети и требований к безопасности. Это требование относится также к любому надежному источнику времени, являющемуся корневым источником времени в схеме синхронизации времени. Дополнительные сведения о параметрах MaxPosPhaseCorrection и MaxNegPhaseCorrection см. в разделе «Параметры реестра, используемые службой времени Windows» данной статьи.

   Примечание. Если для источников времени, указанных вручную, не создан отдельный поставщик времени, то эти источники не будут проходить проверку подлинности, что делает их уязвимыми для атак. Кроме того, если компьютер осуществляет синхронизацию с источником времени, заданным вручную, а не с контроллером домена, выполняющим проверку подлинности данного компьютера, то может произойти рассинхронизация компьютера и контроллера домена, что вызовет сбои при выполнении действий, требующих проверки подлинности в сети (например, при доступе к общим файлам или при печати на сетевом принтере), а также при выполнении проверки подлинности Kerberos. Если синхронизацию с внешним источником времени осуществляет только корневой компьютер, то все компьютеры в домене будут синхронизированы друг с другом, что повышает их защищенность.

   Все доступные способы синхронизации

   Вариант «все доступные способы синхронизации» более всего подходит для пользователей, работающих в сети, поскольку он позволяет выполнять синхронизацию на основе иерархии домена, а также (в зависимости от конфигурации) допускает использование альтернативных источников времени, если синхронизация на основе иерархии домена становится недоступной. Если клиент не может синхронизировать время на основе иерархии домена, то в качестве источника времени автоматически будет использоваться источник, указанный в параметре NtpServer. Этот метод синхронизации представляет собой наилучший способ передачи клиентам информации о точном времени.

   Заметки IT Менеджера

   Затем следует передать роль PDC Emulator на новый контроллер домена.

   На «новом» PDC Emulator запустить

   w32tm /config /manualpeerlist:PEERS /syncfromflags:manual /reliable:yes /update

   где PEERS — сервера — источники точного времени, причем значение это или DNS имя, или IP адрес. Если источников больше одного, то между ними необходимо ввести пробел, а сам список должен быть в кавычках: «time.domain.com time1.domain.com».

   Share this:

   Понравилось это:

   Похожее

   22 комментария »

   Спасиб. Очень помог.

   комментарий от kaizer — 11.03.2010 @ 07:02 | Ответить

   […] с внешним источником. Я как-то уже делал инструкцию Настройка точного времени в домене Windows 2003 / 2008 / 2008 R2, правда тогда еще для 2003 сервера. Вчера потратил весь […]

   Спасибо коллега. Очень помог.

   комментарий от NoRLesT — 14.07.2010 @ 00:06 | Ответить

   благодарствую. тоже помогло

   комментарий от shwarz13 — 22.09.2010 @ 19:28 | Ответить

   Спасибо, помогает!
   Однако: Если ваш компьютер является контроллером домена то необходимо внести соответствующие изменения в Управление групповой политикой> Default Domain Controllers Policy > Конфигурация компьютера > Административные шаблоны > Cистема > Служба времени Windows > Поставщики времени

   Если ваш локальный NTP-сервер работает в условиях рабочей группы, то gpedit.msc
   Конфигурация компьютера > Административные шаблоны > Cистема > Служба времени Windows > Поставщики времени

   В групповой политике (локальной или доменной) Конфиг. комп — Админ шаблоны — Система — Служба времени Windows — Поставщики времени, значение параметра Включить NTP-клиент Windows, установите «Не задано»
   а то не работает нормально

   «Эта утилита входит в комплект Support Tools для Windows 2003 Server. К сожалению, на Windows 2008 R2 она не работает.»

   комментарий от Volodya — 22.07.2011 @ 18:38 | Ответить

   комментарий от itpadla — 22.12.2015 @ 11:19 | Ответить

   у меня в компании 2 Домена Windows Server 2003 Service Pack 2

   на втором контролере хочу поправить время так как сервер спешит на 3 минуты
   1. задал параметры в реестре HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParametersNtpServer
   ntp.time.in.ua,0x1
   2. HKLMSYSTEMCurrentControlSetServicesW32TimeConfigAnnounceFlags
   тут должна быть 5

   3. Перезапускаем сервис времени:
   net stop w32time && net start w32time
   4. Теперь перезапускаю синхронизацию:
   w32tm /resync /rediscover

   5. на этом этапе случилась беда… запускаю
   w32tm /unregister

   пишет Acces Denied

   перезапуск Сервера не помог

   запускаю службы служба Windows time пропала ….

   комментарий от Stepan — 14.03.2018 @ 11:46 | Ответить

   Мне сложно вам помочь, т.к. у меня уже нет ни одного сервера с Windows Server 2003. Вы пробовали сделать w32tm /register ?
   Тогда когда писал пост, проверял все на себе

   комментарий от itpadla — 14.03.2018 @ 11:51 | Ответить

   да написало такую ошибку The following error occurred: Access is denied

   комментарий от Stepan — 14.03.2018 @ 11:55 | Ответить

   Вы пробовали перезагрузить, а потом ввести w32tm /unregister и снова w32tm /register?

   комментарий от itpadla — 14.03.2018 @ 11:56 | Ответить

   а что это такое PDC Emulator ?

   комментарий от Stepan — 14.03.2018 @ 11:56 | Ответить

   Это FSMO роль сервера в домене AD.

   ДОМЕН ACTIVE DIRECTORY
   Сервер с ролью PDC Emulator служит великой задаче обеспечения совместимости с предыдущими версиями Windows. Но не только, и, в последнее время, не столько. Для начала неплохо бы вспомнить, чем занимался PDC в Windows NT 4.0 и 3.51:

   Обработка операции “смена пароля” для пользователей и компьютеров

   Репликация обновлений на BDC (Backup Domain Controller)

   Обозреватель сети (Domain Master Browser)

   В смешанной среде, в которой встречаются клиенты Windows NT4.0, Windows 95 и Windows 98 (без установленного клиента Active Directory) и контроллеры домена pre-Windows2000, всем вышеперечисленным занимается как раз PDC Emulator. Только он и только для них.

   Когда же все клиенты обновляются до Windows 2000 и выше (либо когда на Windows NT4/95/98 ставится клиент Active Directory), наступает счастье:
   Клиенты меняют пароли при помощи первого попавшегося контроллера домена

   Запросы на репликацию от BDC перестают отнимать время в силу полного своего отсутствия
   Клиенты ищут сетевые ресурсы в AD, и не зависят более от обозревателя сети (эх, как всё хорошо в technet)
   После перехода всей инфраструктуры на Windows 2000 и старше, контроллер домена с ролью PDC Emulator причиняет пользу так:
   Пароль, измененный любым другим контроллером домена, отправляется на PDC Emulator высокоприоритетной репликацией
   Если аутентификация на любом другом контроллере домена не была успешной с признаком “неверный пароль”, запрос повторяется на эмуляторе PDC. Понятно, что, в случае только что произошедшей смены пароля, уж этот-то запрос будет успешным
   При успешной аутентификации учетной записи сразу после неудачной попытки, эмулятор PDC о ней уведомляется и сбрасывает счетчик неудачных попыток в ноль. Сущий позитив для пользователя, часто забывающего свой пароль
   Здесь важно заметить, что, даже в случае недоступности эмулятора PDC, информация об изменении пароля всё равно расползется по домену. Да, возможны некоторые сложности, пока идет репликация, но, в принципе, ничего страшного.
   WELL KNOWN SECURITY PRINCIPALS
   В Active Directory есть такая замечательная штука, как Well Known Security Principals. Это всяческие Local Service, Network Service, Digest Authentication, и т.п. Несложно догадаться, что управление ими всеми (начиная с Windows 2003) осуществляется как раз контроллером домена с ролью PDC Emulator. Конкретно, эмулятор PDC после апгрейда (или переноса данной роли) на более новую версию Windows обновляет содержимое контейнера “CN=WellKnown Security Principals,CN=Configuration,DC=”. В этот же момент происходит создание недостающих well-known и built-in групп, а также обновление членства в них.
   ADMINSDHOLDER
   Следующая нужная фича – AdminSDHolder, владелец административных дескрипторов безопасности. AdminSDHolder защищает административные группы от изменений. Если дескриптор безопасности в какой-либо административной учетной записи не соответствует представлениям AdminSDHolder’а, этот дескриптор будет обновлен в соответствии с его (AdminSDHolder’а) понятиями. К примеру, если исключить well-known пользователя Administrator из группы BuiltinAdministrators, AdminSDHolder вернет его на место.
   Да, AdminSDHolder, как понятно, выполняется именно на контроллере домена с ролью эмулятора PDC.
   DNS
   Только для PDC Emulator в DNS регистрируется SRV-запись вида _ldap._tcp.pdc._msdcs.DnsDomainName, она позволяет клиентам быстренько найти сервер эмуляции PDC.
   DFS
   Изменения, вносимые в пространство имен Distributed File System (DFS), вносятся на контроллере домена с ролью PDC Emulator. Корневые серверы DFS периодически запрашивают с эмулятора PDC обновленные метаданные, сохраняя их у себя в памяти. Очевидно, что недоступность эмулятора PDC влечет за собой неверную работу DFS.
   ГРУППОВЫЕ ПОЛИТИКИ
   Редактор групповых политик по умолчанию соединяется с сервером PDC Emulator, и изменения политик происходят на нем же. Если PDC Emulator недоступен, тогда редактор ГП не постесняется спросить у администратора, к какому контроллеру домена подключиться.
   ВРЕМЯ
   Да, по умолчанию именно сервер PDC Emulator является для клиентов сервером точного времени в домене. А эмулятор PDC корневого домена в лесу является по умолчанию сервером точного времени для эмуляторов PDC в дочерних доменах.

   комментарий от itpadla — 14.03.2018 @ 12:00 | Ответить

   В любом случае, я вам настоятельно не рекомендую в 2018 году использовать серверную ОС старше чем 2012R2 и держать домен на ней.

   комментарий от itpadla — 14.03.2018 @ 12:02 | Ответить

   перезагрузил второй контролер только что

   потом запустил w32tm /unregister и снова w32tm /register : и на первой же команде Acces Denied

   я бы с радостью поставил новый контроллер Windows Server 2012 но надо как то настроить я не знаю как )

   комментарий от Stepan — 14.03.2018 @ 12:23 | Ответить

   net stop w32time делаете перед w32tm /unregister?

   комментарий от itpadla — 14.03.2018 @ 12:33 | Ответить

   ок, такой вопрос

   первый DC у меня Windows 2003 Service Pack 2

   второй DC у меня Windows 2003 Service Pack 2 живет на Hyper-V вот и хочу с него начать upgrade ОС )

   комментарий от Stepan — 14.03.2018 @ 12:24 | Ответить

   Вам не нужно делать upgrade. Да и не выйдет
   Вам нужно установить с нуля парочку Windows Server 2012R2, обновить, ввести в домен, повысить до контроллера домена, перенести на них все нужные системные сервисы (DNS, DHCP и т.д.) и FSMO, а затем корректно понизить уровень 2003 до обычных серверов, а затем и из домена вовсе. Убедиться, что все ок, повысить уровень домена и леса до 2012R2. Как-то так.

   комментарий от itpadla — 14.03.2018 @ 12:37 | Ответить

   я хотел сказать установить новый Win 2012 (обновить с 2003 до 2008 R2 даже не получится это я понимаю )
   так вот по процедуре…
   1. установить новый сервер win 2012
   2. добавить в домен
   2.повысить его до уровня AD slave ( master у меня остается Win 2003 (пока) это как сделать ??

   комментарий от Stepan — 14.03.2018 @ 12:47

   Windows Server 2012R2. R2 — важно, просто 2012 тоже уже «старенький». Ну или сразу 2016 ставить.

   У AD нет уровня slave, как и у контроллеров домена. Вам нужно почитать побольше по AD, а еще лучше послушать курсы от MS по этому поводу.

   Как изменить интервал обновления времени в Интернете в Windows 10/8/7

   Windows

   По умолчанию Windows 10/8/7 еженедельно синхронизирует системное время с интернет-серверами. Если вы хотите вручную синхронизировать и обновить системное время с сервером времени в Интернете, таким как time.windows, com , вам нужно щелкнуть правой кнопкой мыши время на панели задач> Настроить время и дату> Время в Интернете вкладка> Изменить настройки> Обновить сейчас.

   

   Изменить Windows Internet Time Update Интервал
   

   Но что, если вы хотите автоматически синхронизировать свое время с серверами чаще, как, скажем, ежедневно? У вас могут быть причины, по которым вы захотите изменить это на ежедневное или даже ежемесячное! Давайте посмотрим, как вы можете это сделать. Прежде чем мы продолжим, давайте узнаем несколько вещей о том, как работает синхронизация времени в Windows.

   Служба времени Windows – W32Time.exe
   

   Служба времени Windows или W32Time.exe поддерживает синхронизацию даты и времени на всех клиентах и ​​серверах в сети. Если эта служба остановлена, синхронизация даты и времени будет недоступна. Если эта служба отключена, любые службы, которые явно зависят от нее, не запустятся.

   Многие записи реестра для службы времени Windows совпадают с параметрами групповой политики с тем же именем. Параметры групповой политики соответствуют записям реестра с тем же именем, расположенным в:

   HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services W32Time .

   Средство обслуживания времени Windows – W32tm.exe
   

   W32tm.exe или средство обслуживания времени Windows можно использовать для настройки параметров службы времени Windows. Он также может быть использован для диагностики проблем со службой времени. W32tm.exe является предпочтительным средством командной строки для настройки, мониторинга или устранения неполадок службы времени Windows. TechNet проливает больше света на это.

   Чтобы использовать этот инструмент, вам нужно открыть командную строку с повышенными правами , ввести W32tm /? и нажать Enter, чтобы получить список всех его параметров. При запуске w32tm/resync компьютер сразу же синхронизирует часы. Когда я выполнил эту команду, я получил следующую ошибку: Служба не была запущена . Так что Служба времени Windows должна быть запущена, чтобы это работало.

   Использование планировщика задач

   

   Теперь, если бы вам нужно было создать задачу с помощью планировщика задач, чтобы запускать службу времени Windows и эту команду синхронизации ежедневно, как локальную службу с наивысшими привилегиями, вы могли бы заставить свой компьютер Windows синхронизировать системное время каждый раз. день.

   Вам нужно будет открыть Планировщик заданий и перейти к «Библиотека планировщика заданий»> «Microsoft»> «Windows»> «Синхронизация времени». Теперь вам нужно нажать на ссылку Создать задачу … , чтобы создать задачу. Этот пост подробно расскажет вам, как планировать задачу с помощью планировщика задач в Windows 10/8/7.

   В разделе Действия вам нужно будет выбрать Запустить программу % windir% system32 sc.exe с аргументами start w32time task_started . Это обеспечит работу службы времени Windows. Затем вы можете установить второе действие Запустить программу % windir% system32 w32tm.exe с аргументом /resync . Другие настройки вы можете выбрать в соответствии с вашими личными предпочтениями.

   Использование редактора реестра

   Вы также можете увидеть, работает ли это для вас. Откройте редактор реестра Windows и перейдите к следующему разделу реестра:

   HKEY_LOCAL_MACHINE SYSTEM ControlSet Services W32Time TimeProviders NtpClient

   Выберите SpecialPollInterval.

   Эта запись SpecialPollInterval указывает специальный интервал опроса в секундах для ручных пиров. Когда флаг SpecialInterval 0x1 включен, W32Time использует этот интервал опроса вместо интервала опроса, определенного операционной системой. Значение по умолчанию для членов домена – 3600.

   

   Значение по умолчанию для автономных клиентов и серверов составляет 604 800 . 604800 секунд – это 7 дней. Таким образом, вы можете изменить это десятичное значение на 86400, чтобы синхронизировать его каждые 24 часа.

   …. или еще раз … есть простой выход!

   Этот бесплатный инструмент от DougKnox.com позволяет изменить интервал обновления времени в Интернете с еженедельного на ежедневный или почасовой. Вам придется запустить инструмент от имени администратора.

   

   Этот портативный инструмент работает в Windows XP, Windows Vista, Windows 7 и Windows 8. Не проверено, работает ли он в Windows 10 ..

   Читать . Проверьте точность системных часов.

   Этот пост поможет вам в случае сбоя синхронизации времени с ошибкой – Служба времени Windows не работает .

   Контроллеры доменов

   Хозяин инфраструктуры — это роль на уровне домена, и в каждом домене может быть только по одному хозяину инфраструктуры. Для работы с этими настройками вы должны быть членом группы Domain Admins. Хозяин инфраструктуры отслеживает объекты в своем домене и предоставляет эту информацию всем DC в этом домене. Для этого он сравнивает свои данные с глобальным каталогом, и если имеются отличия, то он запрашивает обновление с глобального каталога. (Глобальный каталог получает регулярные обновления объектов во всех доменах посредством репликации, поэтому данные глобального каталога всегда соответствуют текущему состоянию.)

   По сути, данные, которые хранятся на этом DC, — это каталог домена. И здесь имеется источник потенциальной проблемы, поскольку приоритет получает глобальный каталог, и если он находится на DC, который действует как хозяин инфраструктуры , то данные домена никогда не реплицируются на другие DC в этом домене.

   У вас не будет подобной проблемы, если у вас только один домен и только один DC в этом домене (поскольку глобальный каталог совпадает с каталогом домена). Кроме того, если все контроллеры домена содержат глобальный каталог, то все эти контроллеры имеют данные на уровне текущего состояния и тогда не имеет значения, какой контроллер домена исполняет роль хозяина инфраструктуры. Информацию по глобальному каталогу см. ниже в разделе «Глобальный каталог».

   Чтобы передать роль хозяина инфраструктуры, когда вы работаете на компьютере, который является текущим обладателем этой роли, выполните следующие шаги.

   1. Откройте оснастку Active Directory Users and Computers.
   2. В дереве консоли щелкните правой кнопкой на Active Directory Users and Computers и выберите Connect to Domain Controller.
   3. Введите имя нужного DC или выберите его из списка имеющихся контроллеров домена.
   4. Щелкните на кнопке OK.
   5. В дереве консоли снова щелкните правой кнопкой на Active Directory Users and Computers и выберите All Tasks/Operations Masters.
   6. В диалоговом окне Operations Masters щелкните на вкладке Infrastructure (Инфраструктура).
   7. Щелкните на кнопке Change.
   8. Подтвердите изменение, щелкните на кнопке OK, чтобы убрать сообщение об успешном окончании, и щелкните на кнопке Close.

   После этого произойдет передача роли хозяина инфраструктуры указанному компьютеру.

   Если вы работаете на DC, которому хотите передать эту роль, то выполните следующие шаги для передачи этой роли от текущего обладателя роли.

   1. Откройте Active Directory Users and Computers.
   2. В дереве консоли щелкните правой кнопкой на Active Directory Users and Computers и выберите All Tasks/Operations Masters.
   3. В диалоговом окне Operations Masters щелкните на вкладке Infrastructure.
   4. Щелкните на кнопке Change.
   5. Подтвердите изменение, щелкните на кнопке OK, чтобы убрать сообщение об успешном окончании, и щелкните на кнопке Close.

   После этого произойдет передача роли хозяина инфраструктуры локальному компьютеру.

   W32Time

   В Windows Server 2003 включена служба времени Windows (W32Time), которая обеспечивает синхронизацию таймеров всех компьютеров Windows 2000/XP/2003 в вашей сети. Ее нельзя назвать простым средством, поскольку с этой службой связаны безопасность Kerberos и другие средства сетевого уровня.

   Аутентификация Kerberos не выполняется, если показания времени на клиентском компьютере и на аутентифицирующем DC отличаются более чем на пять минут. Этот интервал называется Maximum Tolerance for Synchronization of Computer Clocks (Максимальный допуск для синхронизации таймеров компьютеров). Вы можете использовать групповую политику, чтобы изменить (увеличить) это значение , но это ослабляет безопасность сети. (Политики Kerberos находятся в Default Domain Policy внутри Computer Configuration Windows SettingsSecurity SettingsAccount PoliciesKerberos Policy .)

   Репликация зависит также от точности меток времени, поскольку в процессе репликации используется метка «последнего изменения», чтобы определить необходимость репликации данных. Но еще важнее то, что если отличие в значениях времени между двумя DC больше величины Kerberos Maximum Tolerance for Synchronization of Computer Clocks, то аутентификация между этими DC не проводится, а это означает, что не запускаются процессы репликации.

   Не менее важно то, что компьютеры с различными значениями времени могут вызвать повреждения при записи в файлы данных. Неточность меток времени может нарушить работу таких функций, как синхронизация автономных файлов и работа над совместными документами.

   Ознакомление с иерархией синхронизации времени

   В рамках вашего предприятия синхронизация времени конфигурируется на иерархической основе, чтобы каждому компьютеру в сети не приходилось сверять свой таймер с одним компьютером. Вверху этой иерархии находится руководящий сервер времени, выбираемый следующим образом.

   • Для домена этим сервером является хозяин эмулятора PDC.
   • Если у вас несколько доменов, то хозяин эмулятора PDC в первом домене, который вы создали в лесу, является руководящим сервером времени для этого леса.

   Все контроллеры доменов Windows Server 2003 и Windows 2000 находятся на втором уровне этой иерархии, и они синхронизируют свои таймеры по этому руководящему серверу времени. Все рядовые серверы и рабочие станции, работающие под управлением Windows 2000 или последующих версий Windows , автоматически синхронизируют свои таймеры по контроллеру домена, который аутентифицирует их.

   В Windows Server 2003 (и Windows 2000) предлагается возможность поместить другой сервер времени поверх этой иерархии — как внешний таймер , который считается очень точным. Вы можете сделать так, чтобы ваш руководящий сервер времени синхронизировал свой таймер с этим таймером. См. ниже раздел «Использование внешнего таймера времени», где описывается, как найти и подсоединиться к внешнему таймеру.

   Ознакомление с процессом синхронизации

   При входе в домен компьютеров, работающих под управлением Windows 2000 или последующих версий, служба времени Windows проверяет время на подходящем компьютере, чтобы определить искомое время,которое должно использоваться как значение времени на этом компьютере. Для контроллеров домена искомое время — это время на руководящем сервере времени. Для всех остальных компьютеров искомое время — это время на аутентифицирующем DC.

   Если искомое время не совпадает с временем локального таймера, то выполняющий вход компьютер выполняет следующие шаги, чтобы скорректировать свой таймер.

   • Если искомое время больше локального времени, то W32Time автоматически устанавливает локальное время равным искомому времени.
   • Если искомое время отстает от локального времени на три минуты или меньше, то W32Time «замедляет» локальный таймер, пока не совпадут показания времени.
   • Если искомое время отстает от локального времени более чем на три минуты, то W32Time автоматически приравнивает локальное время к искомому времени.

   Синхронизация времени происходит не только в процессе входа — компьютеры периодически продолжают синхронизировать время. Компьютеры один раз за каждый период подсоединяются к компьютерам, которые являются их источниками времени, и каждый компьютер определяет свой период следующим образом.

   • Начальный период составляет 45 минут.
   • Если синхронизация времени успешно проходит три раза подряд с использованием периода 45 минут, то задается новый период, равный восьми часам.
   • Если время не удается синхронизировать три раза подряд, то период остается равным 45 минутам и процесс определения периода продолжается, пока не будут успешно выполнены три последовательные попытки синхронизации.
   • Если после изменения периода на восемь часов время не синхронизируется три раза подряд, то период изменяется на 45 минут и весь процесс начинается заново.

   Прежде чем приступить к синхронизации времени, компьютер, на котором устанавливается время, обменивается пакетом данных с компьютером, который задает время. Целью обмена этим пакетом данных является измерение задержки в передаче данных между этими двумя компьютерами. Эта задержка учитывается в расчете при сравнении значений таймеров. Это означает, что услуги времени, предоставляемые через глобальную сеть, столь же эффективны, как и услуги, предоставляемые через локальную сеть.

   Синхронизация компьютеров со старыми версиями Windows

   На компьютерах со старыми версиями Windows нет службы W32Time, поэтому не существует автоматических проверок для синхронизации времени. Это не является препятствием для аутентификации или соединений, поскольку Kerberos не аутен-тифицирует эти компьютеры. Однако для поддержания точности меток времени в документах или в записях баз данных имеет смысл стараться держать таймеры этих компьютеров как можно ближе к остальным таймерам сети.

   Компьютеры со старыми версиями Windows позволяют вручную синхронизировать их таймеры с уже синхронизированным таймером с помощью следующей команды:

   <Имя_компьютера> — это имя компьютера в домене, на котором, как вы считаете, работает точный таймер.

   /set — указывает компьютеру, что нужно синхронизировать время (а не только проверить время на удаленном компьютере).

   /yes — подтверждает, что время на удаленном компьютере следует записать на локальном компьютере.

   Вы можете ввести эту команду в пакетном файле и поместить ссылку (значок) на этот пакетный файл в папке Startup меню Programs, чтобы синхронизировать время при каждой загрузке данного компьютера, или можете поместить ссылку на эту команду в значке на рабочем столе и позволить пользователям синхронизировать время по мере надобности.

   Кроме того, если ваша сеть охватывает сайты в различных временных зонах (часовых поясах), не беспокойтесь — Windows автоматически вносит поправку на часовые пояса (если вы правильно сконфигурировали ваши компьютеры для их локальных часовых поясов).

   Использование сервера внешнего времени

   Для служб вашей сети (таких как Kerberos) не имеет значения точность таймеров относительно внешнего мира; главное, чтобы они были синхронизированы между собой в пределах заданного допуска. Но если таймеры всех компьютеров вашей сети синхронизированы между собой, то, конечно, удобнее, если они будут соответствовать остальному миру.

   Для этого нужно, чтобы ваш руководящий сервер времени синхронизировал свой таймер с внешним таймером, точность которого гарантирована. А поскольку компьютеры вашего предприятия синхронизируют свое время в соответствии с иерархией, каждый таймер в вашей системе будет показывать точное время.

   Имеется два способа, позволяющих вашему руководящему серверу времени синхронизировать свой таймер с внешним миром: приобрести устройство, получающее сигналы со спутников, и подсоединить его к руководящему серверу времени; или использовать Интернет для доступа к внешнему таймеру, показывающему точное время. Я предполагаю, что вы решите выбрать Интернет-вариант, поэтому в оставшейся части этого раздела дам его описание.

   Серверы времени доступны по всему миру, и они поддерживаются в виде иерархии. Первичные серверы (уровень 1) наиболее точны, но вторичные серверы (уровень 2) обычно синхронизируются точно с серверами уровня 1 или отличаются всего лишь на несколько тактов от серверов уровня 1. Отличия между серверами уровней 1 и 2 никогда не превышают нескольких наносекунд, и этой величиной, несомненно, можно пренебречь.

   • Список серверов уровня 1 ( stratum 1) находится в http://www.eecis.udel.edu/

   Каждый список содержит серверы времени NTP (Network Time Protocol — синхронизирующий сетевой протокол), предоставляемые для открытого доступа, включая любые ограничения на их использование (например, некоторые сайты серверов времени требуют, чтобы вы уведомляли их, что используете их таймер). Списки отсортированы по кодам стран. Вы можете выбирать только те серверы времени, которые используют протокол Simple Network Time Protocol (это протокол, используемый службами времени Windows), и эти серверы помечены как » NTP Servers.»

   Если вы не хотите выполнять поиск, то можете использовать предлагаемые Microsoft серверы внешнего времени (все это серверы открытого доступа, то есть у вас не будут запрашиваться полномочия).

   Единственный компьютер на вашем предприятии, который может выполнять доступ к серверу внешнего времени, — это ваш руководящий сервер времени (хозяин эмулятора PDC). Чтобы задать синхронизацию времени с внешним NTP -таймером, введите следующую команду в командной строке:

   где список-серверов — это один или несколько адресов серверов времени NTP .

   Список из нескольких внешних серверов вводится для того, чтобы в случае отсутствия доступа к одному из серверов руководящий сервер времени обращался к следующему серверу в списке. Адреса отделяются друг от друга пробелами, и весь список заключается в кавычки (например, net time /setsntp:»time.windows.com time.nist.gov» ).

   Вам достаточно ввести эту команду только один раз, поскольку система записывает список серверов времени NTP в реестр, чтобы ваш руководящий сервер времени синхронизировал свой таймер с внешним источником автоматически. Адреса, которые вы указываете в команде, сохраняются в виде блока, который полностью заменяется, если вы вводите команду снова. Это означает, что если вы добавляете другой адрес, то должны ввести команду с полным списком, включая первоначальные и новые адреса. С другой стороны, если вы не боитесь работать с реестром, то можете добавить новый адрес непосредственно в раздел HKEY_LOCAL_MACHINE SYSTEMCurrentControlSetServicesW32TimeParameters.

   Чтобы увидеть текущий список серверов NTP , введите в командной строке на вашем руководящем сервере времени net time /querysntp . Система возвратит адрес(а) серверов внешнего времени.

   5 способов синхронизации времени в ОС Windows 10 и почему возникает ошибка

   Многие пользователи Вин 10 не придают особого значения точности часов на экране своего ПК. Но некоторым людям правильное время на компьютере жизненно необходимо для корректной работы специализированного софта. К такому относятся бухгалтерские, геймерские, трейдерские, букмекерские, блогерские и прочие программы. Рассмотрим, как правильно провести синхронизацию времени на ПК с Windows 10 по своему месту нахождения или расположению нужного сервера.

   Как синхронизировать время на компьютере с интернетом Windows 10

   Все версии ОС на ПК или телефоне имеют установленную функцию автоматической синхронизации локального времени на устройстве. Для этого производится отправка запроса на сервер для уточнения правильного времени и настройки внутренних часов на компьютере после получения ответа.

   

   Для того чтобы описанный механизм синхронизации осуществлялся, используется сетевой протокол NTP, который так и называется: «Протокол сетевого времени» («Network Time Protocol»). Главная задача этого протокола – не только получить информацию о точном времени, но и учесть промежуток между запросом и ответом в случае задержки. Потому, даже при низкой скорости или нестабильности интернет-соединения, настройка локальных часов будет проводиться с точностью до 10 миллисекунд.

   Сегодня существует множество подобных NTP-серверов, по которым устройство бесплатно синхронизирует локальные часы. Что касается Windows 10, то в настройках уже указан нужный сервер для настройки. Но, по некоторым причинам, автоматическая синхронизация может нарушиться. Тогда ее можно провести вручную, для этого в «десятке» предусмотрено несколько способов, каждый из которых будет описан по отдельности.

   

   Параметры

   Этот способ имеется только в Вин 10, в предыдущих сериях ОС он не использовался. Нужно сделать следующие действия:

   • Нажать на кнопку «Пуск» и в выпавшем окне – на значок шестеренки («Параметры»).

   

   • Откроется окно, в котором нужно найти иконку «Время и язык» и нажать на нее.

   

   • После перехода вкладка будет разделена на две части. В левой найти и открыть раздел «Дата и время». В правой поставить галочку в пункте: «Установить время автоматически» на включенный режим, если она не активна.

   

   • Если синхронизация не произошла, в том же разделе найти пункт: «Формат даты, времени и региона» или в более старой версии «Дополнительные параметры даты и времени, региональные параметры», после чего открыть его.
   • Откроется панель, в которой нажать на раздел «Дата и время».
   • В новом окне нажать на вкладку «Время по интернету», затем – на кнопку «Изменить параметры».
   • Теперь нужно поставить галочку в разделе: «Синхронизировать с сервером времени в интернете». Ниже появится выпадающее окошко, в котором можно выбрать NTP-сервер или прописать свой, если предложенные ОС не подходят.

   

   • После нажать на кнопки «Обновить сейчас» и «Ок».

   Также во вкладке «Дополнительные часы», можно добавлять еще пункты, если требуется возможность видеть время по другим поясам.

   Панель управления

   Метод схож с предыдущим, только отличается способ открытия окна «Дата и время», где настраивается автоматическая синхронизация часов. Делается это так:

   • В поиске (лупа возле кнопки «Пуск») написать «Панель управления», открыть ее после выдачи результата.

   

   • Выбрать раздел: «Часы, язык и регион», затем нажать «Дата и время».

   

   • После его открытия сделать те же действия, что описаны в предыдущем заголовке, с места о вкладке «Время по интернету».

   

   Командная строка

   CMD, как правило, используют программисты, так как она позволяет быстро выполнять множество сложных действий на ПК. Для обычных же пользователей Командная строка – не очень удобный инструмент, так как все директивы нужно вводить вручную, да еще знать их значение и правильно прописывать, без ошибок. Но если имеется желание установить синхронизацию часов через CMD, то делается это следующим образом:

   • ПКМ нажать по кнопке «Пуск».
   • В появившемся окне выбрать раздел: «Командная строка (Администратор)».

   

   • Когда CMD загрузится, прописать команду «w32tm /resync» (пробел обязательно должен быть), и нажать кнопку «Ввод».

   

   • Затем появится информация, что был отправлен запрос, а затем – что синхронизация прошла успешно.

   Если произошел сбой (0x80070426), можно попробовать следующие команды:

   • «w32tm /config /syncfromflags:manual /manualpeerlist:time.windows.com» – задать источник настройки времени.
   • «net start w32time» – запустить службу времени.
   • «w32tm /resync» – провести принудительную синхронизацию.

   

   PowerShell

   Это более продвинутый аналог CMD, который обладает чуть большими возможностями. Соответственно, им также чаще пользуются программисты. Для запуска нужно:

   • Нажать ПКМ по кнопке «Пуск» и выбрать: «Windows PowerShell (Администратор)».

   

   • Дождавшись, когда приложение загрузится, и появится строка для ввода, прописать в ней: «Get-Service W32Time | Select-Object» и нажать «Enter».

   

   • В появившемся ответе отыскать раздел «Status», если там будет написано «Running», то прописать команду для синхронизации: «w32tm /config /reliable:yes» и нажать «Enter».

   

   • Если в статусе будет указано «Stopped», нужно прописать команду запуска службы: «Start-Service W32Time». После чего снова ввести команду для синхронизации.

   

   Службы

   Если указанные выше способы не сработали, тогда стоит провести настройку в разделе «Служба времени Windows». Для этого выполняются следующие действия:

   • Открыть системное окно нажатием клавиш «Win + R» и прописать команду «services.msc», после чего нажать на кнопку «Ок».

   

   • Появившаяся вкладка «Службы» будет разделена на две части. В правой отыскать «Служба времени Windows» и открыть двойным щелчком.

   

   • Теперь нужно найти пункт «Тип запуска» и указать «Вручную».
   • Если в разделе «Состояние» написано: «Остановлена», то нужно нажать кнопки «Запустить» и «Ок».

   

   • В том случае, когда служба и так включена в ручном режиме, нужно сначала ее остановить, а потом запустить заново (перезапустить).

   После этого синхронизация произойдет самостоятельно. Виндовс сам будет проводить настройку часов в определенное время. Но, при необходимости, всегда можно будет осуществить синхронизацию любым из выше перечисленных способов.

   Что делать, если синхронизация часов не работает

   Если после всех описанных способов при попытке настройки локального времени происходит ошибка, то можно сделать еще несколько действий:

   голоса

   Рейтинг статьи

   Читайте так же:

   Регулировка развала схождения на кия