Схема: інтернет - Mikrotik - DC - Workstations
Відкриваю на srv-dc консоль командного рядка з правами адміністратора:
Win + X - Command Prompt (Admin)
C: \ Windows \ system32> netdom query fsmo
- Schema master srv-dc.polygon.local
- Domain naming master srv-dc.polygon.local
- PDC srv-dc.polygon.local
- RID pool manager srv-dc.polygon.local
- Infrastructure master srv-dc.polygon.local
The command completed successfully.
Як видно з висновку, це контролер домену srv-dc.polygon.local. підключаюся тепер до нього по RDP або VNC з'єднанню для виконання наступних команд:
C: \ Windows \ system32> net stop w32time
Налаштовуємо зовнішній джерело часу:
C: \ Windows \ system32> w32tm / config / syncfromflags: manual /manualpeerlist:"0.pool.ntp .org "
Зробити ваш контролер домену PDC доступним для клієнтів:
C: \ Windows \ system32> w32tm / config / reliable: yes
Запускаю службу часу:
C: \ Windows \ system32> net start w32time
Також можна зміни вносити і через реєстр в ключі: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ W32Time \ Parameters
Щоб після примусово запросити отримання точного часу проробляємо:
C: \ Windows \ system32> W32tm / config / reliable: yes
The command completed successfully.
C: \ Windows \ system32> W32tm / config / update
The command completed successfully.
Sending resync command to local computer
The command completed successfully.
Ось і все, служба часу Windows починає синхронізацію часу із зовнішнім джерелом, подивитися цей процес можна так:
C: \ Windows \ system32> w32tm / query / configuration
Після потрібно додати параметр в DHCP оснащення, що сервер часу це наш домен контролер:
Win + X - Control Panel - Administrative Tools - запускаю оснащення DHCP: DHCP → srv-dc.polygon.local → IPv4 → Scope [10.10.10.0] local → і через правий клік мишею по Scope Options викликаю меню Configure Options ... де додаю опцію для всього домену: 042 NTP Servers
Якщо ж у Вас DHCP сервіс розгорнутий не на Windows. то донести до всіх де брати точний час можна через групові політики GPO. Створюємо GPO_NTP і визначаємо, що орієнтована вона буде на поточний домен і всі робочі станції за допомогою WMI -фільтра.
Відкриваю оснащення на srv-dc управління груповими політиками домену:
Win + X - Control Panel - Administrative Tools - Group Policy Management. відкриваю на редагування: Group Policy Management → Forest: polygon.local → Domains → polygon.local → і через правий клік мишею по WMI Filters викликаю меню New ...
Після переходжу до редагування групової політики для робочих станції домену. через правий клік мишею по GPO_NTP викликаю меню Edit.
Computer Configuration → Policies → Administrative Tools → System → Windows Time Service → Time Providers → Configure Windows NTP Client. включаю її Enabled і визначаю настройки:
все інше залишаю за замовчуванням.
Після натискаю Apply OK.
І не забуваємо до політики додати WMI фільтр. В кінцевому підсумку політика повинна виглядати так:
Після коли політика таким чином, застосовується до систем згідно WMI -Фільтр можна буде перевірити куди дивиться робоча станції якщо їй потрібно точний час:
C: \ Users \ alektest> w32tm / query / status
Індикатор перешкод: 0 (попереджень немає)
Точність: -6 (15.625ms за такт часу)
Затримка кореня: 0.0876923s
Дисперсія кореня: 7.8503892s
Інтервал опитування: 10 (1024s)
srv-dc.polygon.local *** PDC *** [10.10.10.2:123]:
ICMP: 0ms затримка
NTP: + 0.0000000s зміщення щодо srv-dc.polygon.local
RefID: ground.corbina.net [85.21.78.91]
На замету: Якщо ж в локальній мережі з'являться робочі станції під управлінням Windows 8 і вище, то потрібно буде модифікувати WMI фільтр.
Але як відомо, в разі чого з домен контролером його ролі можна забирати, так може статися в разі різних проблем. Ось забрали роль PDC і час поїхало у всьому домені, щоб цього не сталося потрібно створити групову політику орієнтовану тільки на домен контролер з роллю PDC: GPO_PDC і WMI фільтр з ім'ям PDC такого змісту:
Select * from Win32_ComputerSystem where DomainRole = 5
Computer Configuration → Policies → Administrative Tools → System → Windows Time Service → Time Providers → Configure Windows NTP Client. включаю її Enabled і визначаю настройки:
Усе
інше залишаю за замовчуванням.
Після натискаю Apply OK.
І не забуваємо до політики додати WMI фільтр ← PDC. Тепер не важливо хто є домен контролером, точний час на ньому буде.
А раз так, що робочі станції не обов'язково прив'язувати / створювати до політики призначення точного часу, адже за замовчуванням робочим станціям домену, отже, забирають точний час з контролера домену за замовчуванням.
- Налаштовую GPO і прив'язую її через WMI фільтр до сервера у якого є роль PDC
- В оснащенні DHCP вказую параметр хто в домені є сервером у якого клієнтських робочих станцій запитувати точний час.
- Якщо DHCP не на основі Windows. то можна налаштувати GPO і зробити націлювання на певну вісь.
На замітку: Якщо домен контролер розгорнуть на віртуальній системі, то слід перевірити, що час береться не з гипервизора, а через настройку цієї замітки.
На замітку: якщо роль PDC б ила перепризначена на інший сервер, то я раджу перезавантажити домен контролер і всі інші також.