Есть DC (один) под 2003 (SP2 R2), станции в домене под 2000, XP, 2003. Хочу разобраться с синхронизацией времени. Перечитал несколько умных статей. Но вопросы остались.

1. Если Микрософт рекомендует DC под 2003 синхронизировать со своими внутренними часами (CMOS), а не с внешним источником - Корпорация Майкрософт рекомендует, чтобы основной сервер времени получал значения времени от внутреннего источника. Если основной сервер времени получает эти данные от источника времени в Интернете, проверка подлинности не выполняется. (http://support.microsoft.com/kb/816042/) (http://(http://support.microsoft.com/kb/816042/)) - то почему так много статей, советов на синхронизацию DC с внешним источником? Я кстати тоже считал, что если есть возможность синхронизировать DC с внешним источником то надо именно так и поступать.

2. Если основной сервер времени получает эти данные от источника времени в Интернете, проверка подлинности не выполняется. (цитата из ссылки в п.1) Проверка подлинности чего именно не выполняется ?

3. Что надо для поднятия NTP сервера (в 2003)? Только поправить реестр (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer Enabled=1) и всё? И как извне можно проверить что на компе поднят NTP сервер ?

4. Если я хочу что бы мой DC брал время с другого компа (через определённые интервалы времени, а не в момент загрузки) надо ли (обязательно? желательно?) на этом другом компе поднимать NTP ?

1. Из соображений безопасности.
2. Источника времени.
3. How to Create an NTP Server (http://www.ehow.com/how_5105761_create-ntp-server.html)
4. Нет.

1. Получается CMOS синхронизация наиболее распространённый вариант для головного контроллера? Но... например если упало внешнее соединение, то DC просто не синхронизирует своё время через очередной период с "непроверенным" источником, а если сдохнет батарейка (обнуление CMOS), то по моему DC получит какое-то левое время и такой вариант не приведёт ли к системным сбоям в домене (кластера, логон станций ....)?

2. Т.е. даже если на этом сервере установлен сертификат "брендового" удостоверяющего центра, Микрософт всё-равно не даёт гарантии подлинности отдаваемого им времени?

3. Респект. Изучаю.

4. И DC также в фоновом режиме с определённой периодичностью (не логон-скрипт!!!) будет обращаться к данному компу?

При чем тут CMOS?
сертификат "брендового" удостоверяющего центра »
Как Вы его проверите?
4. При соответствующей настройке.

1. При чем тут CMOS? » ... Данное изменение конфигурации предписывает хозяину PDC сообщать о себе как о надежном источнике времени и использовать часы, встроенные в микросхему CMOS. ... http://support.microsoft.com/kb/816042

2. Как Вы его проверите?» Да, это наверное верно. В рамках NTP не проверить.

4. 4. При соответствующей настройке.»
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\SpecialPollInte rval - это имеется в виду?

Настройка службы времени Windows при больших смещениях времени (http://support.microsoft.com/kb/884776)
Здесь есть.

Настройка службы времени Windows при больших смещениях времени (http://support.microsoft.com/kb/884776) Здесь есть. »
В принципе позиция микрософт понятна. Использовать внутренние часы как эталон предпочтительнее рисков обращения за временем к внешнему серверу. Возможность сбоя внутренних часов подстраховывается ограничением допустимости изменяемого интервала времени. Т.е. если при очередном опросе окажется что расхождение часов больше чем установленное значение (например час) системное время изменяться не будет.

А нет возможности устанавливать несколько типов источников синхронизации? Если время расхождения с внутр.часами больше часа (как пример), то синхронизироваться с внешним NTP-сервером.

Я теперь в раздумьях..... У нас DC берёт время с другой станции из нашей сетки (которая в свою очередь брала время из Инета). Может действительно не заморачиваться на внешнюю синхронизацию, пусть опрашивает свои внутренние часы.

Не синхронизируется время по NTP если разница между клиентом и сервером составляет 20 секунд. Есть сообщение о успешной синхронизации, но по факту разница в 20 секунды так и остается. Если же на клиенте выставить время которое отличается на пару минут от серверного, то синхронизация проходит успешно с точностью до секунд.
Есть ли решение проблемы?

Не синхронизируется время по NTP если разница между клиентом и сервером составляет 20 секунд. Есть сообщение о успешной синхронизации, но по факту разница в 20 секунды так и остается. Если же на клиенте выставить время которое отличается на пару минут от серверного, то синхронизация проходит успешно с точностью до секунд.
Есть ли решение проблемы?