Как найти сервер времени в домене?

32

В домене Windows PDC не обязательно является сервером времени домена. Как я могу определить авторитетный сервер времени?

Хрвое Златар
источник

Ответы:

25

Я предполагаю, что вы ищете сервер, используемый службой W32Time для синхронизации времени на компьютерах, входящих в домен.

В стандартном развертывании Active Directory единственным компьютером, явно настроенным с сервером времени, будет компьютер, выполняющий роль FSMO эмулятора PDC в корневом домене леса. Все контроллеры домена в корневом домене леса синхронизируют время с держателем роли PDM Emulator FSMO. Все обладатели ролей PDM Emulator FSMO в дочерних доменах синхронизируют свое время с контроллерами домена в своем родительском домене (включая, потенциально, держателя роли PDF Emulator FSMO в корневом домене леса). Все компьютеры-члены домена синхронизируют время с компьютерами контроллера домена в соответствующих доменах.

Чтобы определить, настроен ли член домена для синхронизации времени домена, проверьте значение REG_SZ в HKLM \ System \ CurrentControlSet \ Services \ W32Time \ Parameters \ Type. Если установлено значение «Nt5DS», то компьютер синхронизирует время с иерархией времени Active Directory. Если он настроен со значением «NTP», то компьютер синхронизирует время с NTP-сервером, указанным в значении REG_SZ NtpServer в том же разделе реестра.

Сведения о низкоуровневом протоколе синхронизации времени доступны в этой статье: Как работает служба времени Windows

Помните, что не каждый контроллер домена (KDC, как Джеймс указывает вам при поиске через DNS в своем посте) может использовать службу времени. В стандартном развертывании AD каждый контроллер домена будет, но в некоторых развертываниях могут использоваться виртуализированные контроллеры домена, у которых отключена служба W32Time (для облегчения синхронизации времени на основе гипервизора), и, как таковая, вы, вероятно, преуспели бы в реализации функциональности, как описано в статью «Как работает служба времени Windows», если вы разрабатываете программное обеспечение, которое должно синхронизировать время так же, как это делает компьютер, являющийся членом домена.

Эван Андерсон
источник
Извините, если я пробуждаю "спящую" тему здесь, но не могли бы вы уточнить, как правильно обрабатывать время в домене с более чем одним контроллером? Допустим, есть 5 контроллеров (Windows 2003 AD). Должен ли быть установлен тот, у кого роль PDC, "NTP" типа "Запрос" и Ntpserver внешнего сервера (т. Е. Time.windows.com), а у остальных только "NT5DS"? Посоветуйте, если хотите, чтобы я разместил это как отдельный вопрос. Благодарность!
24

Некоторые полезные команды

Повторная синхронизация (требуется права администратора):

w32tm /resync /nowait    

Повторная синхронизация с конкретным компьютером (требуются права администратора):

w32tm /resync /nowait /computer:computername 

Показать сервер, используемый в данный момент (требуются права администратора):

w32tm /query /source

Дважды проверьте, работает ли он:

w32tm /monitor /domain:mydomain.com 

Смотрите настройки:

w32tm /dumpreg /subkey:parameters 

Тогда посмотрите на тип:

  • NoSync
    Клиент не синхронизирует время.

  • NTP
    Клиент синхронизирует время от внешнего источника времени. Просмотрите значения в строке NtpServer в выходных данных, чтобы увидеть имя сервера или серверов, которые клиент использует для синхронизации времени.

  • NT5DS
    Клиент настроен на использование иерархии доменов для синхронизации времени.

  • AllSync
    Клиент синхронизирует время из любого доступного источника времени, включая иерархию домена и внешние источники времени.

Настройки реестра найдены здесь:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters]
"NtpServer"=""
"Type"="NT5DS" 
user27387
источник
15

Полномочным доменом обычно является эмулятор PDC , в свою очередь, другие DC будут синхронизироваться с ним.

Чтобы определить, кто в настоящее время играет роль эмулятора PDC в вашем домене, используйте:

netdom query fsmo

Другие способы определения держателей ролей FSMO см. В статье « Определение держателей ролей FSMO» .

Подробнее об этом читайте в статье TechNet. Как работает служба времени Windows .

katriel
источник
Спасибо за ссылку! Я спросил это по той причине, что я получил разные ответы на две явно одинаковые команды. Когда я использую сетевое время, я получаю Текущее время в \\ PDC - это ..., но когда я использую сетевое время / домен, я получаю Текущее время в \\ Secondary_DC - это ... Я хотел бы знать, какое из них используется для синхронизации? w32tm / monitor вернул оба сервера. PDC синхронизируется с внешним источником, а Secondary_DC синхронизируется с PDC.
Hrvoje Zlatar
1
Команда «NET TIME ... / SET» устарела и устарела. В домене AD с хорошей связью между контроллерами домена и клиентами и источником времени для внешнего леса, настроенным для держателя роли эмулятора PDC в физических блоках, синхронизация времени будет «просто работать». Если вы объединяете виртуальные машины (особенно компьютеры с виртуальными контроллерами домена), вам нужно подумать о временной синхронизации на уровне гипервизора, а не об использовании W32Time.
Эван Андерсон
1

В правильно настроенном домене Windows контроллером домена, который выполняет роль эмулятора PDC (в AD нет «PDC»), будет сервер времени для домена. Никакая другая машина в домене, включая другие контроллеры домена, не должна иметь установленного сервера времени. Вообще. В этом случае синхронизация времени будет управляться на основе иерархии доменов, и у вас будет среда «установить один раз и забыть» - по крайней мере, в отношении времени, и до тех пор, пока вы не перенесете роль эмулятора PDC на другой сервер.

Если вам необходимо выполнить какое-либо регулярное или текущее обслуживание вашего сервера времени, значит что-то настроено неправильно.

Максимус Минимус
источник