Налаштування синхронізації часу за NTP за допомогою групових політик. Встановлення та налаштування NTP-клієнта в Linux Увімкнення ntp сервера

Налаштування синхронізації часу за NTP за допомогою групових політик. Встановлення та налаштування NTP-клієнта в Linux Увімкнення ntp сервера

Добрий день шановні читачі та гості блогу сайт, як багато люди говорять про час, що воно швидко чи повільно біжить, і всі розуміють, що воно безцінно та важливо. Так і в інфраструктурі Active Directory, вона одна із найважливіших чинників, правильного функціонування домену. У домені всі один одному довіряють, і один раз авторизувавшись і отримавши всі тікети від Kerberos, користувач ходить будь-куди, обмежуючись лише своїми доступними правами. Так от якщо у вас не буде точного часу на ваших робочих станціях до контролера домену, то можете вважати, що у вас починаються серйозні проблеми, про які ми поговоримо нижче та розглянемо як їх усунути за допомогою налаштування NTP сервера в Windows.

Синхронізація часу в Active Directory

Серед комп'ютерів, що беруть участь у Active Directory, працює наступна схема синхронізації часу.

  • Контролер кореневого домену в лісі AD, якому належить FSMО-роль емулятора PDC (назвемо його кореневим PDC), є джерелом часу для решти контролерів цього домену.
  • Контролери дочірніх доменів синхронізують час із вищестоящих по топології AD контролерів домену.
  • Рядові члени домену (сервера та робочі станції) синхронізують свій час з найближчим до них доступним контролером домену, дотримуючись топології AD.

Кореневий PDC може синхронізувати свій час як із зовнішнім джерелом, так і з самим собою, останнє задано стандартною конфігурацією і є абсурдом, про що періодично натякають помилки в системному журналі.

Синхронізація клієнтів кореневого PDC може здійснюватися як з його внутрішнього годинника, так і з зовнішнього джерела. У першому випадку сервер часу кореневого PDC оголошує себе як надійний (reliable).

Далі я наведу оптимальну з моєї точки зору конфігурацію сервера часу кореневого PDC, при якій сам кореневий PDC періодично синхронізує свій час від достовірного джерелав інтернеті, а час клієнтів, що звертаються до нього, синхронізує зі своїм внутрішнім годинником.

Вводимо netdom query fsmo.У моєму прикладі роль PDC і NTP сервера належить контролеру dc7

Конфігурація NTP-сервера на кореневому PDC

Конфігурування сервера часу в Windows (NTP-сервері) може здійснюватися як за допомогою утиліти командного рядка w32tm, і через реєстр. Де можливо, я наведу обидва варіанти. Але спочатку погляньте повністю ваші налаштування на комп'ютері, робиться це командою:

w32tm /query /configuration

EventLogFlags: 2 (Локально)
AnnounceFlags: 10 (локально)
TimeJumpAuditOffset: 28800 (локально)
MinPollInterval: 6 (Локально)
MaxPollInterval: 10 (локально)
MaxNegPhaseCorrection: 172800 (локально)
MaxPosPhaseCorrection: 172800 (локально)
MaxAllowedPhaseOffset: 300 (локально)

FrequencyCorrectRate: 4 (локально)
PollAdjustFactor: 5 (Локально)
LargePhaseOffset: 50000000 (Локально)
SpikeWatchPeriod: 900 (Локально)
LocalClockDispersion: 10 (Локально)
HoldPeriod: 5 (Локально)
PhaseCorrectRate: 7 (локально)
UpdateInterval: 100 (локально)

NtpClient (Локально)
Enabled: 1 (Локально)
InputProvider: 1 (локально)
CrossSiteSyncFlags: 2 (локально)
ResolvePeerBackoffMinutes: 15 (Локально)
ResolvePeerBackoffMaxTimes: 7 (Локально)
CompatibilityFlags: 2147483648 (Локально)
EventLogFlags: 1 (Локально)
LargeSampleSkew: 3 (Локально)
SpecialPollInterval: 3600 (локально)
Type: NT5DS (Локально)

NtpServer (Локально)
DllName: C:\Windows\system32\w32time.dll (Локально)
Enabled: 1 (Локально)
InputProvider: 0 (локально)
НаразіНаціональнийModeCombinations: 1 (локально)

VMICTimeProvider (Локально)
DllName: C:\Windows\System32\vmictimeprovider.dll (Локально)
Enabled: 1 (Локально)
InputProvider: 1 (локально)

Увімкнення синхронізації внутрішніх годинників із зовнішнім джерелом


Увімкнення NTP-сервера

NTP-сервер за замовчуванням увімкнений на всіх контролерах домену, однак його можна включити і на рядових серверах.


Завдання списку зовнішніх джерел для синхронізації


Прапор 0×8 на кінці означає, що синхронізація повинна відбуватися в режимі клієнта NTP через запропоновані цим сервером інтервали часу. Щоб задати свій інтервал синхронізації, необхідно використовувати прапор 0×1.

Завдання інтервалу синхронізації із зовнішнім джерелом

Час у секундах між опитуваннями джерела синхронізації, за умовчанням 900с = 15хв. Працює лише для джерел, помічених прапором 0×1.


  • "SpecialPollInterval"=dword:00000384

Встановлення мінімальної позитивної та негативної корекції

Максимальна позитивна та негативна корекція часу (різниця між внутрішнім годинником і джерелом синхронізації) у секундах, при перевищенні якої синхронізація не відбувається. Рекомендую значення 0xFFFFFFFF, у якому корекція зможе виконуватися завжди.


"MaxPosPhaseCorrection"=dword:FFFFFFFF
"MaxNegPhaseCorrection"=dword:FFFFFFFF

Все необхідне одним рядком

w32tm.exe /config /manualpeerlist:"time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 pool.ntp.org,0x8" /syncfromflags:manual / reliable:yes /update

Корисні команди

  • Застосування внесених до конфігурації служби часу змін
    w32tm /config /update
  • Примусова синхронізація від джерела
    w32tm / resync / rediscover
  • Відображення стану синхронізації контролерів домену в домені
    w32tm/monitor
  • Відображення поточних джерел синхронізації та їх статусу
    w32tm /query /peers

Налаштування NTP сервера та клієнта груповою політикою

Якщо у нас з вами домен Active Directory, то безглуздо не використовувати групові політики, для масового налаштування серверів і робочих станцій, я покажу як налаштувати ваш NTP сервер у windows та клієнта. Відкриваємо оснастку "Редактор" групових політикПеред тим як налаштувати наш NTP сервер у Windows, нам необхідно створити WMI фільтр, який буде застосовувати політику, тільки до сервера майстра PDC.

Вводимо ім'я запиту, простір імен, буде мати значення "root\CIMv2" та запит "Select * from Win32_ComputerSystem where DomainRole = 5". Зберігаємо його.

Потім ви створюєте політику на контейнері Domain Controllers.

У самому низу політики використовуєте ваш створений WMI фільтр.

Перехід у гілку: Конфігурація комп'ютера > Політики > Адміністративні шаблони > Система > Служба часу Windows > Постачальники часу.

Тут відкриваємо політику "Налаштувати NTP-клієнт Windows". Задаємо параметри

  • NtpServer: 0.ru.pool.ntp.org,0x1 1.ru.pool.ntp.org,0x1 2.ru.pool.ntp.org,0x1 3.ru.pool.ntp.org,0x1
  • Type: NTP
  • CrossSiteSyncFlags: 2. Двійка означає, якщо цей параметр дорівнює 2 (Всі), можна використовувати будь-якого учасника синхронізації. Це значення ігнорується, якщо не встановлено значення NT5DS. Значення за замовчуванням: 2 (десяткове) (0x02 (шістнадцяткове))
  • ResolvePeerBackoffMinutes: 15. Це значення, виражене в хвилинах, визначає інтервал очікування служби W32time перед спробою дозволу DNS-ім'я у разі невдачі. Значення за замовчуванням: 15 хвилин
  • Resolve Peer BAckoffMaxTimes: 7. Це значення визначає кількість спроб дозволу DNS-імені, що здійснюються службою W32time перед перезапуском процесу виявлення. При кожній невдалій роздільній здатності DNS-імені інтервал очікування перед наступною спробою подвоюється. Значення за промовчанням: сім спроб.
  • SpecilalPoolInterval: 3600. Це значення параметра NTP-клієнта, виражене за секунди, визначає частоту опитування налаштованого вручну джерела часу, який використовує особливий інтервал опитування. Якщо для параметра NTPServer встановлено прапорець SpecialInterval, клієнт використовує значення, задане як SpecialPollInterval, замість значень MinPollInterval та MaxPollInterval, щоб визначити частоту опитування джерела часу. Значення за замовчуванням: 3600 секунд (1 година).
  • EventLogFlags: 0

Робимо окрему групову політику для клієнтських робочих машин, з такими параметрами.

  • NtpServer: Адреса вашого контролера домену з участю PDC.
  • Type: NT5DS
  • CrossSiteSyncFlags: 2
  • ResolvePeerBackoffMinutes: 15
  • Resolve Peer BAckoffMaxTimes: 7
  • SpecilalPoolInterval: 3600
  • EventLogFlags: 0

Служба часу Windows, незважаючи на простоту, є однією з основ, необхідних для нормального функціонування домену Active Directory. У правильно настроєному середовищі AD служба часу працює так: комп'ютери користувачів отримують точний часвід найближчого контролера домену, у якому вони зареєструвалися. Всі контролери домену в свою чергу отримують точний час від DC Емулятор PDC», а контролер PDC синхронізує свій час із деяким . Як зовнішнє джерело часу може виступати один або кілька NTP серверів, наприклад time.windows.com або NTP сервер вашого Інтернет-провайдера. Також слід зазначити, що за замовчуванням клієнти в домені синхронізують час за допомогою служби часу Windows (Windows Time), а не протоколом NTP.

Якщо ви зіткнулися з ситуацією, коли час на клієнтах і контролерах домену відрізняється, можливо, у вашому домені є проблеми із синхронізацією часу і ця стаття буде вам корисною.

В першу чергу виберіть відповідний сервер NTP, який ви могли б використовувати. Список загальнодоступних NTP серверів доступний на сайті http://ntp.org. У нашому прикладі ми будемо використовувати сервер NTP з пулу ru.pool.ntp.org:

  • 0.ru.pool.ntp.org
  • 1.ru.pool.ntp.org
  • 2.ru.pool.ntp.org
  • 3.ru.pool.ntp.org

Налаштування синхронізації часу в домені за допомогою групових політик складається з двох кроків:

1) Створення GPO для контролера домену за участю PDC
2) Створення GPO для клієнтів (опціонально)

Налаштування політики синхронізації NTP на контролері домену PDC

Цей крок передбачає налаштування контролера домену з роллю емулятора PDC на синхронізацію часу із зовнішнім сервером NTP. Т.к. теоретично роль емулятора PDC може переміщатися між контролерами домену, нам потрібно зробити політику, яка б застосовувалася тільки до поточного власника ролі PDC. Для цього в консолі керування Group Policy Management Console(GPMC.msc), створимо новий. Для цього у розділі WMI Filtersстворимо фільтр та ім'ям PDC Emulatorі WMI запит: Select * from Win32_ComputerSystem where DomainRole = 5

Потім створіть нову GPO та призначте її на контейнер Domain Controllers.

Перейдіть до режиму редагування політики та розгорніть наступний розділ політик: Computer Configuration->Administrative Templates->System->Windows Time Service->Time Providers

Нас цікавлять три політики:

  • Configure Windows NTP Client: Enabled (налаштування політики описано нижче)
  • Enable Windows NTP Client: Enabled
  • Enable Windows NTP Server: Enabled


У налаштуваннях політики Configure Windows NTP Clientвкажіть такі параметри:

  • NtpServer: 0.ru.pool.ntp.org,0x1 1.ru.pool.ntp.org,0x1 2.ru.pool.ntp.org,0x1 3.ru.pool.ntp.org,0x1
  • Type: NTP
  • CrossSiteSyncFlags: 2
  • ResolvePeerBackoffMinutes: 15
  • Resolve Peer BAckoffMaxTimes: 7
  • SpecialalPoolInterval: 3600
  • EventLogFlags: 0

Порада. Не забудьте налаштувати міжмережевий екран таким чином, щоб PDC-сервер міг отримати доступ до зовнішніх NTP серверів за протоколом NTP (UDP порт 123).

Примітка. Зверніть увагу на синтаксис у полі NtpServer.Формат вказівки кількох NTP серверів такий: ntsrv1.org,0x1 ntpsrv2.org,0x1(Розділювач пробіл). На скріншоті вказані помилкові дані!

Застосуйте створений раніше фільтр PDC Emulatorдо цієї політики.

Порада. Знайти ім'я сервера за участю PDC можна за допомогою команди: netdom query fsmo

Залишилось оновити політики на контролері PDC:
gpupdate /force

Вручну запустіть синхронізацію часу:
w32tm / resync

Перевірте поточні налаштування NTP:
w32tm /query /status

Порада. Якщо час не синхронізувався, перезапустіть службу часу Windows і скиньте поточні установки.
net stop w32time
w32tm.exe /unregister
w32tm.exe /register
net start w32time

Налаштування синхронізації часу на клієнтах домену

У середовищі Active Directory за замовчуванням клієнти домену синхронізують свій час із контролерами домену (опція Nt5DS– синхронізувати час згідно з ієрархією домену). Як правило, ця схема працює і не потребує переналаштування. Однак за наявності проблем із синхронізацією часу на клієнтах домену можна спробувати примусово призначити сервер часу для клієнтів за допомогою GPO.

Для цього створіть нову GPO та призначте її на контейнери (OU) із комп'ютерами. У редакторі GPO перейдіть до розділу Computer Configuration -> Administrative Templates -> System -> Windows Time Service -> Time Providersта увімкніть політику Configure Windows NTP Client.

Як сервер NTP вкажіть ім'я або IP-адресу PDC, наприклад msk-dc1.сайт,0x9, а як тип синхронізації - NT5DS

Оновіть налаштування групових політик на клієнтах і перевірте, чи клієнти успішно синхронізували свій час з PDC.

Порада. Зазначена схема застосовується лише до невеликих доменів. Для великих розподілених доменів з великою кількістю DC та сайтів доведеться створити окрему політику для кожного сайту, щоб клієнти синхронізували свій час із DC у сайті.

У статті розглянемо налаштування NTP клієнта.

Встановлення часової зони

Спочатку дивимося яка у нас встановлена ​​тимчасова зона. Для цього використовуємо команду.

# date П'ят березня 8 17:38:47 MSK 2019

Якщо тимчасову зону встановлено неправильно, то встановлюємо правильну тимчасову зону. Для цього створюємо файл /etc/localtime з відповідної часової зони з каталогу /usr/share/zoneinfo/. Наприклад, для Москви.

Ln -sf /usr/share/zoneinfo/Europe/Moscow /etc/localtime

Налаштування синхронізації NTP-клієнта з NTP-сервером

Встановлюємо пакет ntp

Yum install ntp

Для синхронізації локальної клієнтської машини на Linux із NTP-сервером потрібно відредагувати файл /etc/ntp.conf. У цьому прикладі вказується кілька серверів часу, що корисно у разі недоступності однієї з них. Або можете прописати інші зовнішні сервери, наприклад, pool.ntp.org

Server 0.rhel.pool.ntp.org iburst server 1.rhel.pool.ntp.org iburst server 2.rhel.pool.ntp.org iburst server 3.rhel.pool.ntp.org iburst

iburst: цей параметр підвищує точність синхронізації, замість одного пакета надсилається вісім. Коли сервер не відповідає, пакети надсилаються кожні 16 секунд, коли відповідає – кожні 2 секунди.

Server 192.168.1.1 prefer

prefer: якщо вказана дана опція, заданий сервер вважається кращим перед іншими, але якщо відповідь цього сервера значно відрізнятиметься від відповідей інших серверів, він ігноруватиметься. Замість 192.168.1.1 вкажіть ip-адресу вашого сервера

Запуск служби NTP

Після зміни ntp.conf та встановлення необхідних параметрів запустіть службу (демон) NTP. Залежно від налаштувань вона може працювати і як сервер, і як клієнт.

Systemctl start ntpd

і додайте його до автозавантаження

Systemctl enable ntpd

для перевірки часу наберіть команду

Перевірка стану NTP

Перевірити стан NTP можна за допомогою ntpq. Якщо ви отримаєте помилку відмови у з'єднанні, сервер часу не відповідає, не запущена служба NTP на клієнті або закритий порт.

Sudo ntpq –p remote refid st t when poll reach delay offset jitter ==================================== ===================================== *elserver1 192.168.1.1 3 u 300 1024 377 1.225 -0.071 4.606

remote- Ім'я або адреса сервера часу. Перед ним вказано службовий символ, даному випадку"*", що означає сервер, що використовується. "+" означає, що сервер придатний для оновлення, "-" - що непридатний, "x" - сервер недоступний;
refid– сервер, що стоїть в ієрархії Stratum;
st- Рівень сервера в ієрархії Stratum;
t- тип з'єднання (u - unicast, одиночне з'єднання, b - broadcast, широкомовне з'єднання, l - локальний годинник);
when- Час, що минув з моменту останньої відповіді;
poll- Період опитування в секундах;
reach– стан доступності (при поданні у двійковому вигляді 1 означає успішну спробу, 0 – збій. Після 8 успішних спроб встановлюється значення 377);
delay- Час подвійного обороту пакета;
offset– поточне усунення часу щодо сервера;
jitter- Середньоквадратичне відхилення часу.

Значення jitterповинно бути низьким, якщо це не так, перевірте зміщення щодо годинника у файлі похибки (driftfile). Якщо воно занадто велике, може знадобитися зміна сервера NTP. Наступна команда вручну синхронізує час із NTP-сервером:

Ручна синхронізація часу

Для опитування NTP-сервера та встановлення дати та часу вручну використовується команда ntpdate. Зазвичай це потрібно лише один раз.

Для початку відключіть службу ntp

Systemctl stop ntpd

Запустіть синхронізацію вказавши сервер, з якого потрібно синхронізувати час

Ntpdate 192.168.1.1

Запустіть службу ntp

Systemctl start ntpd

Після такої первісної синхронізації NTP-Клієнт буде регулярно опитувати NTP-сервер для забезпечення відповідності локального часу точному часу.

Якщо ви знайшли помилку, будь ласка, виділіть фрагмент тексту та натисніть Ctrl+Enter.

Випуск WordPress 5.3 покращує та розширює представлений у WordPress 5.0 редактор блоків новим блоком, більш інтуїтивною взаємодією та покращеною доступністю. Нові функції у редакторі […]

Після дев'яти місяців розробки доступний мультимедіа-пакет FFmpeg 4.2, що включає набір додатків та колекцію бібліотек для операцій над різними мультимедіа-форматами (запис, перетворення та […]

  • Нові функції в Linux Mint 19.2 Cinnamon

    Linux Mint 19.2 є випуском із довгостроковою підтримкою, який підтримуватиметься до 2023 року. Він поставляється з оновленим програмним забезпеченнямі містить доопрацювання та безліч нових […]

  • Вийшов дистрибутив Linux Mint 19.2

    Представлено реліз дистрибутива Linux Mint 19.2, другого оновлення гілки Linux Mint 19.x, що формується на пакетній базі Ubuntu 18.04 LTS і підтримується до 2023 року. Дистрибутив повністю сумісний […]

    • Доступні нові сервісні релізи BIND, які містять виправлення помилок та покращення функцій. Нові випуски можуть бути завантажені зі сторінки завантажень на сайті розробника: […]

    Exim – агент передачі повідомлень (MTA), розроблений у Кембриджському університеті для використання в системах Unix, підключених до Інтернету. Він знаходиться в вільному доступівідповідно до […]

    Після майже двох років розробки представлений реліз ZFS on Linux 0.8.0, реалізації файлової системи ZFS оформлена у вигляді модуля для ядра Linux. Робота модуля перевірена з ядрами Linux з 2.6.32 […]

  • У WordPress 5.1.1 усунуто вразливість, що дозволяє отримати контроль над сайтом

    • Комітет IETF (Internet Engineering Task Force), що займається розвитком протоколів та архітектури інтернету, завершив формування RFC для протоколу ACME (Automatic Certificate Management Environment) […]

    Некомерційний посвідчувальний центр Let's Encrypt, який контролює співтовариство і надає сертифікати безоплатно всім охочим, підбив підсумки минулого року і розповів про плани на 2019 рік. […]

  • Вийшла Нова версія Libreoffice - Libreoffice 6.2

    • Налаштування часу в серверних операційні системи Windows за допомогою протоколу NTP є критичною для багатьох служб. Без правильного налаштованого часу, а точніше при неузгодженні годинника на сервері та робочих станціях не можуть правильно працювати багато протоколів Active Directory та сервіси синхронізації. Встановлення та підтримка годинника за допомогою NTP є простим завданням, пов'язаним іноді, однак, з деякими складнощами, які ми спробуємо розглянути в цій статті.

    Для прикладу будемо використовувати не найсвіжішу систему. Windows Server 2012. Вона є найбільш поширеною і, в той же час, для багатьох інших систем, включаючи Windows Server 2008, Windows Server 2016 застосовуються аналогічні команди та правила. Слід зазначити, що опис стосується налаштування оточення з головним контролером PDC. Більш складні варіанти не розглядаються.

    Скидання налаштувань NTP

    Щоб перевести службу NTP в «дефолтний» стан, необхідно виконати такі команди:

    Stop-Service w32time w32tm/unregister w32tm/register

    Stop-Service w32time w32tm /unregister w32tm /register

    У разі вони зупиняють сервіс, розреєструють сервіс і реєструють їх у системі заново. Слід виконувати ці команди лише у разі істотної потреби. Зазвичай потреби в них немає — NTP налаштовується, якщо враховані інші обставини системи.

    Команди встановлення NTP у звичайному випадку

    Щоб настроїти протокол мережного часу на контролері Windows Server, перш за все необхідно відключити синхронізацію за допомогою Hyper-V, якщо контролер віртуалізований за допомогою цієї технології. Для цього потрібно зайти в налаштування та зняти галочку з пункту Time Synchronization у розділі Management -> Integration Services

    Для тих, хто не використовує Hyper-V, можна опустити попередній крок.

    w32tm /config /manualpeerlist:"0.de.pool.ntp.org 1.de.pool.ntp.org" /syncfromflags:MANUAL

    Протокол UDP для NTP та блокування файрволом

    Протокол часу використовує для зв'язку порт UDP з номером 123 в стандартній конфігурації. Необхідно стежити, щоб файрвол не блокував цей порт. Якщо блокування відбувається, в логах ntp буде маса інформації про те, що з'єднання неможливе:

    Log Name: System
    Source: Microsoft-Windows-Time-Service
    Event ID: 47
    Level: Warning
    Description: Time Provider NtpClient: Відсутність відповіді буде отримана з manually configured peer pool.ntp.org after 8 attempts to contact it. Цей peer буде розглянутий як джерело часу і NtpClient буде прийняти до запису нового peer with this DNS name. The error was: The peer is unreachable.

    Для того, щоб переконатися, що проблема саме в цьому, можна включити виведення додаткової інформації. Налаштовуємо логи Windows Server таким чином, щоб у них писалася вся необхідна інформація, але вони не росли більше ніж 20 мегабайт:

    w32tm /debug /disable

    Блокування ntpфайрвол відловлюється за фразою у налагодженні:

    — Logging error: NtpClient has been configured для отримання часу від одного або більше ресурсів часу, аніж один з цих ресурсів є поточно accessible і не буде зайняти contact a source will be made for 1 minutes. NTPCLIENT HAS NO SOURCE OF ACCURATE TIME.

    У цьому випадку (так, загалом, одразу з метою перевірки) необхідно перевірити правило у файрволі

    І, у разі потреби, змінити правило або додати його.

    Перевірка правильності роботи ntp

    Щоб перевірити, чи все працює правильно, можна запустити синхронізацію вручну:

    w32tm/resync

    Якщо все пройшло успішно, отримайте повідомлення:

    Sending resync command to local computer
    Команда здійснена успішно.

    Якщо є проблеми - повідомлення:

    На комп'ютері не використовується resync, тому що час, який не було, був доступний.

    У другому випадку необхідно перевірити все спочатку: файл, правильність заданих серверів (чи не помилилися в імені). Якщо що, інформацію про скидання налаштувань ми вже наводили.

     

     
    Це цікаво: