| Предыдущая тема :: Следующая тема |
| Автор |
Сообщение |
jamnut
Зарегистрирован: 01.09.2006
Сообщения: 11
|
 Добавлено: Вт Окт 03 2006 10:09 Заголовок сообщения: Служба времени в домене Windows |
 |
|
1. Основной контроллер домена Win2k3.
2. Дополнительный контроллер домена Win2k3.
3. Два рядовых сервера Win2k.
4. Рабочие станции Win2k.
По сути все машины в домене (доп. контроллер и рядовые серверы в том числе) должны цеплять время с основного контроллера домена, но на практике время цеплятся с одного из рядовых серверов. 
При его отключении время цепляется со второго рядового сервера.
Сразу два отключать не пробовал, сегодня вечером попробую.
Пытался настроить основной контроллер домена по статье из MS KnownBase, но всё равно всё происходит как и раньше.
Подскажите пожалуйста, что мне делать?  |
|
| Вернуться к началу |
|
 |
San_dok
Зарегистрирован: 21.07.2006
Сообщения: 1649
Откуда: Rus\23
|
| Добавлено: Вт Окт 03 2006 12:27 Заголовок сообщения: |
|
|
Уточняющий вопрос.
Вы хотите использовать системные часы, или внешний источник? |
|
| Вернуться к началу |
|
|
jamnut
Зарегистрирован: 01.09.2006
Сообщения: 11
|
| Добавлено: Вт Окт 03 2006 12:48 Заголовок сообщения: |
|
|
| San_dok писал(а): | Уточняющий вопрос.
Вы хотите использовать системные часы, или внешний источник? |
Хочется так.
Внешний источник на основном контроллере домена синхронизируется с внешним сервером времени.
Все остальные синхронизируются с основным контроллером домена. |
|
| Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород
|
| Добавлено: Вт Окт 03 2006 13:09 Заголовок сообщения: |
|
|
| net time /? в помощь. |
|
| Вернуться к началу |
|
|
San_dok
Зарегистрирован: 21.07.2006
Сообщения: 1649
Откуда: Rus\23
|
| Добавлено: Вт Окт 03 2006 15:59 Заголовок сообщения: |
|
|
1 Меняем тип сервера на NTP.Пуск-выполнить-regedit-ОК выделяем HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type
на правой панели клик правой-тype-изменить-поле значение-NTP-ОК
2 присваиваем AnnounceFlags-5 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags
3 пускаем NTP
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer\Enabled затем
Enabled-изменить параметр DWORD-значение-1-ОК
4Указываем источник времени
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\NtpServer
NtpServer-изменить-перечень источников времени в поле значение-ОК (пользуйте пробелы)!!!
Усе DNS в списке должны быть уникумами, в конце DNS символы ,0x1.
5 Задыём интервал опроса
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\SpecialPollInterval
SpecialPollInterval-изменить-DWORD-значение-интервал в секундах-ОК рекомендуется (900/опрос 15мин. ) также пробелы!
6 параметры определяющие мах.вел коррекции времени
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxPosPhaseCorrection
все по схеме,DWORD-десятичная,DWORD-интервал в секундах-ОК
MaxPosPhaseCorrection-Изменить-DWORD-система исчисления-десятичная-изменение DWORD интервал в секундах-ОК
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxNegPhaseCorrection-изменить-DWORD-десятичная-интервал в секундах-ОК
7. закрываемся.
8. ребут службы времени в консоли -net stop w32time && net start w32time-Enter
Ну а дальше по иерархии домена с клиентами всё должно быть в порядке. Ежели они
не смогут синхронизироваться по иерархии,то будут брать автоматом источник в NtpServer. |
|
| Вернуться к началу |
|
|
jamnut
Зарегистрирован: 01.09.2006
Сообщения: 11
|
| Добавлено: Вт Окт 03 2006 16:20 Заголовок сообщения: |
|
|
| San_dok писал(а): | 1 Меняем тип сервера на NTP.Пуск-выполнить-regedit-ОК выделяем HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type
на правой панели клик правой-тype-изменить-поле значение-NTP-ОК
2 присваиваем AnnounceFlags-5 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags
3 пускаем NTP
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer\Enabled затем
Enabled-изменить параметр DWORD-значение-1-ОК
4Указываем источник времени
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\NtpServer
NtpServer-изменить-перечень источников времени в поле значение-ОК (пользуйте пробелы)!!!
Усе DNS в списке должны быть уникумами, в конце DNS символы ,0x1.
5 Задыём интервал опроса
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\SpecialPollInterval
SpecialPollInterval-изменить-DWORD-значение-интервал в секундах-ОК рекомендуется (900/опрос 15мин. ) также пробелы!
6 параметры определяющие мах.вел коррекции времени
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxPosPhaseCorrection
все по схеме,DWORD-десятичная,DWORD-интервал в секундах-ОК
MaxPosPhaseCorrection-Изменить-DWORD-система исчисления-десятичная-изменение DWORD интервал в секундах-ОК
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxNegPhaseCorrection-изменить-DWORD-десятичная-интервал в секундах-ОК
7. закрываемся.
8. ребут службы времени в консоли -net stop w32time && net start w32time-Enter
Ну а дальше по иерархии домена с клиентами всё должно быть в порядке. Ежели они
не смогут синхронизироваться по иерархии,то будут брать автоматом источник в NtpServer. |
Пробовал, не помогает.
То есть сервер настроенный подобным образом всё равно не синхронизируется с указанным источником из вне. |
|
| Вернуться к началу |
|
|
jamnut
Зарегистрирован: 01.09.2006
Сообщения: 11
|
| Добавлено: Вт Окт 03 2006 16:20 Заголовок сообщения: |
|
|
| San_dok писал(а): | 1 Меняем тип сервера на NTP.Пуск-выполнить-regedit-ОК выделяем HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type
на правой панели клик правой-тype-изменить-поле значение-NTP-ОК
2 присваиваем AnnounceFlags-5 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags
3 пускаем NTP
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer\Enabled затем
Enabled-изменить параметр DWORD-значение-1-ОК
4Указываем источник времени
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\NtpServer
NtpServer-изменить-перечень источников времени в поле значение-ОК (пользуйте пробелы)!!!
Усе DNS в списке должны быть уникумами, в конце DNS символы ,0x1.
5 Задыём интервал опроса
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\SpecialPollInterval
SpecialPollInterval-изменить-DWORD-значение-интервал в секундах-ОК рекомендуется (900/опрос 15мин. ) также пробелы!
6 параметры определяющие мах.вел коррекции времени
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxPosPhaseCorrection
все по схеме,DWORD-десятичная,DWORD-интервал в секундах-ОК
MaxPosPhaseCorrection-Изменить-DWORD-система исчисления-десятичная-изменение DWORD интервал в секундах-ОК
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxNegPhaseCorrection-изменить-DWORD-десятичная-интервал в секундах-ОК
7. закрываемся.
8. ребут службы времени в консоли -net stop w32time && net start w32time-Enter
Ну а дальше по иерархии домена с клиентами всё должно быть в порядке. Ежели они
не смогут синхронизироваться по иерархии,то будут брать автоматом источник в NtpServer. |
Пробовал, не помогает.
То есть сервер настроенный подобным образом всё равно не синхронизируется с указанным источником из вне. |
|
| Вернуться к началу |
|
|
San_dok
Зарегистрирован: 21.07.2006
Сообщения: 1649
Откуда: Rus\23
|
| Добавлено: Ср Окт 04 2006 08:05 Заголовок сообщения: |
|
|
| А вручную? дайте машине пару доверенных узлов. |
|
| Вернуться к началу |
|
|
jamnut
Зарегистрирован: 01.09.2006
Сообщения: 11
|
| Добавлено: Ср Окт 04 2006 13:45 Заголовок сообщения: |
|
|
| San_dok писал(а): | | А вручную? дайте машине пару доверенных узлов. |
А можно подробнее? |
|
| Вернуться к началу |
|
|
San_dok
Зарегистрирован: 21.07.2006
Сообщения: 1649
Откуда: Rus\23
|
| Добавлено: Ср Окт 04 2006 16:06 Заголовок сообщения: |
|
|
Цитата
| Цитата: |
Синхронизация вручную
При синхронизации вручную можно указать один или несколько удаленных узлов, с которых компьютер будет получать сведения о времени. Если компьютер не является членом домена, то его необходимо вручную настроить на синхронизацию с выбранным источником времени. Компьютеры, входящие в домен, по умолчанию используют синхронизацию на основе иерархии доменов. Первый контроллер корневого домена и компьютеры, не входящие в домен, как правило, используют синхронизацию вручную. Если компьютер, являющийся основным сервером времени для данного домена, вручную настроен на выполнение синхронизации с внешним NTP-сервером, то домен получает надежную информацию о времени. Однако для повышения защищенности домена и получения более точных значений времени рекомендуется выполнять синхронизацию авторизованного компьютера с системными часами.
Если подобный источник времени отсутствует, служба W32time будет работать в режиме NTP. Для работы службы времени необходимо указать значения параметров реестра MaxPosPhaseCorrection и MaxNegPhaseCorrection. Рекомендуется использовать значения, не превышающие 15 минут. Конкретное значение зависит от источника времени, состояния сети и требований к безопасности. Данное требование относится также к любому надежному источнику времени, являющемуся корневым источником времени в схеме синхронизации времени. Дополнительные сведения о параметрах MaxPosPhaseCorrection и MaxNegPhaseCorrection см. в разделе «Параметры реестра
Примечание. Если для источников времени, указанных вручную, не создан отдельный поставщик времени, то эти источники не могут проходить проверку подлинности, что делает их уязвимыми для атак. Кроме того, если компьютер осуществляет синхронизацию с источником времени, заданным вручную, а не с контроллером домена, выполняющим проверку подлинности данного компьютера, то может произойти рассинхронизация компьютера и контроллера домена, что вызовет сбои при выполнении действий, требующих проверки подлинности в сети (например, при доступе к общим файлам или при печати на сетевом принтере), а также при выполнении проверки подлинности Kerberos. Если синхронизацию с внешним источником времени осуществляет только корневой компьютер, то все компьютеры в домене будут синхронизированы друг с другом, что повышает их защищенность.
Все доступные способы синхронизации
Данный метод синхронизации является наиболее подходящим для пользователей сети, поскольку он позволяет выполнять синхронизацию на основе иерархии домена, а также (в зависимости от конфигурации) допускает использование альтернативных источников времени, если синхронизация на основе иерархии домена становится недоступной. Если клиент не может синхронизировать время на основе иерархии домена, то в качестве источника времени автоматически будет использоваться источник, указанный в параметре NtpServer. Данный метод синхронизации представляет собой наилучший способ передачи клиентам информации о точном времени.
Параметры реестра, используемые службой времени Windows
Следующие параметры находятся в разделе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\.
Параметр MaxPosPhaseCorrection
Путь HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
Примечания Данный параметр задает максимальную величину положительной коррекции времени, которую может выполнить служба времени. Если окажется, что величина изменения превышает допустимое значение, то изменение выполняться не будет, и будет зарегистрировано соответствующее событие. Если данный параметр равен 0xFFFFFFFF, то изменение времени будет выполняться всегда. По умолчанию для компьютеров-членов домена используется значение 0xFFFFFFFF. Для изолированных компьютеров и серверов по умолчанию используется значение 54000 (15 часов).
Параметр MaxNegPhaseCorrection
Путь HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
Примечания Данный параметр задает максимальную величину отрицательной коррекции времени, которую может выполнить служба времени. Если окажется, что величина изменения превышает допустимое значение, то изменение выполняться не будет, и будет зарегистрировано соответствующее событие. Если данный параметр равен 0xFFFFFFFF, то изменение времени будет выполняться всегда. По умолчанию для компьютеров-членов домена используется значение 0xFFFFFFFF. Для изолированных компьютеров и серверов по умолчанию используется значение 54000 (15 часов).
Параметр MaxPollInterval
Путь HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
Примечание. Данный параметр задает наибольший допустимый интервал (в секундах) между опросами. Хотя система обязана отправлять запрос по истечении интервала опроса, поставщик времени может проигнорировать данный запрос. Для членов домена по умолчанию используется значение 10. Для рядовых компьютеров и серверов по умолчанию используется значение 15.
Параметр SpecialPollInterval
Путь HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient
Примечание. Данный параметр определяет интервал опроса (в секундах) при задании узлов для синхронизации вручную. Если установлен флаг SpecialInterval 0x1, служба W32Time использует величину интервала опроса, задаваемую параметром SpecialPollInterval, а не значение, указываемое операционной системой. Для членов домена по умолчанию используется значение 3 600. Для рядовых компьютеров и серверов по умолчанию используется значение 604 800.
Параметр MaxAllowedPhaseOffset
Путь HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
Примечание. Данный параметр определяет значение (в секундах), на которое служба W32Time может изменять показания часов компьютера с помощью частоты синхронизации. Если величина изменения превышает данное значение, служба W32Time изменяет показания часов компьютера напрямую. Для членов домена по умолчанию используется значение 300. Для рядовых компьютеров и серверов по умолчанию используется значение 1. |
|
|
| Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород
|
| Добавлено: Ср Окт 04 2006 19:46 Заголовок сообщения: |
|
|
А вы уверены, что ваш трафик до удаленного сервера доходит и сервер вам отвечает?
Вы бы снифером трафик глянули. Приходят ответы ли. Может фаервол забыли покрутить, может сервер вас обслуживать не желает. |
|
| Вернуться к началу |
|
|
|
FAQ 
Поиск 
Пользователи 
Группы
Регистрация
Профиль 
Войти и проверить личные сообщения 
Вход 
