вторник, 5 сентября 2017 г.

Синхронизация времени на контроллере Active Directory

  Есть домен Active Directory на котором очень неверно стоит время. В домене все компьютеры автоматически должны синхронизироваться с контроллером, который держит роль FSMO "PDC". Кто держит роли FSMO можно посмотреть командой  "netdom query fsmo".
  Источником богатых знаний для этой статьи стал вывод команды "w32tm /?" и Настройка синхронизации времени в домене AD.
  Настройка источника времени в домене свелась к тому, что на контроллере с правами администратора домена была выполнена команда:
w32tm /Config /ManualPeerList:ntpserver,0x8 /SyncFromFlags:Manual /Reliable:Yes /Update
  Где ntpserver - имя нашего сервера NTP. После этой команды время сразу синхронизировалось.
  Список примененных параметров:
Config - режим настройки.
SyncFromFlags:Manual - будет указан список NTP-серверов.
ManualPeerList:Узлы - указывает список NTP-серверов в виде IP адреса или DNS имени. Если серверов несколько, то допустимо в кавычках и через пробелы написать следующее "ntpserver1,0x8 ntpserver2,0x8 ntpserver3,0x8". Что значат загадочные числа 0x8 я не разбирался. В примерах этой команды я видел еще число 0x1 и отсутствие всякого числа. Можете поэкспериментировать.
Reliable:Yes - указывает что это надежный источник времени.
Update - изменения немедленно применяется.
  Возможные проблемы.
  Однажды наткнулся на проблему - синхронизация времени так и не заработала. Оказалось, что этот контроллер Active Directory находился на виртуальной машине. И брал время из Virtual Memory Manager. Для решения вопроса в свойствах виртуальной машины в разделе "Службы интеграции" снял галочку "Синхронизация времени".