Доброго времени суток,

Есть два DC. Во внешку смотрит только WSUS т.к. обновления.

Компьютеры в домене, насколько я знаю, не требуют настройки через GPO тк по умолчанию синхронизируются с DC1.

NTP на DC ( обоих контроллерах) хочу настроить на синхронизацию с WSUS.

а NTP на Wsus настроить на синхронизацию с NTP в интернете.

Все ок или лучше так не делать?

насколько я знаю, не требуют настройки через GPO тк по умолчанию синхронизируются с DC1. »Кто такой DC1? Источником времени в вашем домене будет владелец роли PDC Emulator. Посмотрите здесь (http://argon.pro/blog/2010/05/ad-time-sync/) и здесь (http://blogs.technet.com/b/nepapfe/archive/2013/03/01/it-s-simple-time-configuration-in-active-directory.aspx). Он должен синхронизироваться с внешним источником времени.

Кто такой DC1? Источником времени в вашем домене будет владелец роли PDC Emulator. Посмотрите здесь и здесь. Он должен синхронизироваться с внешним источником времени. »

DC1 это первичный контроллер домена. получается что он же и PDC Emulator. А если я НЕ ХОЧУ чтобы PDC Emulator был подключен к интернету ?

pdc эмулятор это fsmo роль КД, так что pdc эмулятором по-любому является один из КД, но он вовсе не обязан быть источником времени для машин домена, хотя обычно именно так и бывает, это так сказать наиболее общая практика. Вы вполне можете поднять NTP-сервер на машине WSUS, или еще проще - разверните NTP на маршрутизаторе (уверен что ваша железка поддерживает такой функционал), или можете поднять, скажем маленький виртуальный linux и на нем развернуть ntp сервер. И любой из этих NTP может служить "внешним" источником времени для ваших КД, т.е. КД не нужно будет "смотреть в интернет".
Посмотрите эти статьи:
http://windowsnotes.ru/windows-server-2008/nastrojka-ntp-servera-v-windows/
http://blogs.msdn.com/b/w32time/archive/2008/05/29/to-be-reliable-or-not-to-be-reliable.aspx

pdc эмулятор это fsmo роль КД, так что pdc эмулятором по-любому является один из КД, но он вовсе не обязан быть источником времени для машин домена, хотя обычно именно так и бывает, это так сказать наиболее общая практика. Вы вполне можете поднять NTP-сервер на машине WSUS, или еще проще - разверните NTP на маршрутизаторе (уверен что ваша железка поддерживает такой функционал), или можете поднять, скажем маленький виртуальный linux и на нем развернуть ntp сервер. И любой из этих NTP может служить "внешним" источником времени для ваших КД, т.е. КД не нужно будет "смотреть в интернет". »

я сделал так:
создал gpo для контроллеров домена с настройкой их как NTP сервер и клиент, а в качестве источника указал IP адрес wsus сервера. Политика применяется принудительно.
Потом создал GPO для WSUS где его также настроил как NTP клиент и сервер с внешним источником синхронизации времени. Политика также применяется принудительно.
пока что не работает. На wsus в cmd запустил синхронизацию и ошибка -

1. На WSUS ntp сервер enabled (HKLM\System\CurrentControlSet\services\W32Time\TimeProviders\NtpServer Enabled=1)?
2. Покажите w32tn /query /configuration и w32tm /query /source (хотя я замечал что последняя команда часто выдает не соответствующий истине источник если не перезагрузить службу времени).
3. Ну и udp 123 должен быть открыт.

На wsus в cmd запустил синхронизацию и ошибка »Смотрите ошибки в журнале событий, включите отладку (http://blogs.msdn.com/b/w32time/archive/2008/02/28/configuring-the-time-service-enabling-the-debug-log.aspx).

Кстати всё работает на виртуальных машинах сервера VMWare. Догадываюсь что нужно отключить синхронизацию виртуальных машин с серверов vmware..

1. На WSUS ntp сервер enabled (HKLM\System\CurrentControlSet\services\W32Time\TimeProviders\NtpServer Enabled=1)? »
Было отключено... поставил 1.

2. Покажите w32tn /query /configuration и w32tm /query /source (хотя я замечал что последняя команда часто выдает не соответствующий истине источник если не перезагрузить службу времени). »
C:\Windows\system32>w32tm /query /configuration
[Настройка]

EventLogFlags: 2 (Локально)
AnnounceFlags: 5 (Локально)
TimeJumpAuditOffset: 28800 (Локально)
MinPollInterval: 10 (Локально)
MaxPollInterval: 15 (Локально)
MaxNegPhaseCorrection: 4294967295 (Локально)
MaxPosPhaseCorrection: 4294967295 (Локально)
MaxAllowedPhaseOffset: 300 (Локально)

FrequencyCorrectRate: 4 (Локально)
PollAdjustFactor: 5 (Локально)
LargePhaseOffset: 50000000 (Локально)
SpikeWatchPeriod: 900 (Локально)
LocalClockDispersion: 10 (Локально)
HoldPeriod: 5 (Локально)
PhaseCorrectRate: 1 (Локально)
UpdateInterval: 30000 (Локально)


[TimeProviders]

NtpClient (Локально)
DllName: C:\Windows\system32\w32time.dll (Локально)
Enabled: 1 (Локально)
InputProvider: 1 (Локально)
CrossSiteSyncFlags: 2 (Политика)
AllowNonstandardModeCombinations: 1 (Локально)
ResolvePeerBackoffMinutes: 15 (Политика)
ResolvePeerBackoffMaxTimes: 7 (Политика)
CompatibilityFlags: 2147483648 (Локально)
EventLogFlags: 0 (Политика)
LargeSampleSkew: 3 (Локально)
SpecialPollInterval: 3600 (Политика)
Type: NT5DS (Политика)

NtpServer (Локально)
DllName: C:\Windows\system32\w32time.dll (Локально)
Enabled: 1 (Локально)
InputProvider: 0 (Локально)
AllowNonstandardModeCombinations: 1 (Локально)

VMICTimeProvider (Локально)
DllName: C:\Windows\System32\vmictimeprovider.dll (Локально)
Enabled: 1 (Локально)
InputProvider: 1 (Локально)

w32tm /query /source »
вы были правы. после перезапуска службы показал контролер домена, причем не основной
DC02.domen.local

3. Ну и udp 123 должен быть открыт. »

открыл

Ну так измените источник времени для WSUS на внешний, и сделайте для службы update или перезапустите ее. Более того, нужно изменить type с NT5DS на NTP, иначе указанный источник будет игнорироваться и WSUS будет ориентироваться на КД. Будьте добры, прочитайте хотя бы первую статью из тех, что я привел, чтобы я вам ее в комментариях не перепечатывал.
Чтобы машины не синхронизировались с ESXi http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1189. Сам обычно выключаю синхронизацию времени с ESXi для всех машин vSphere, делаю NTP на маршрутизаторе или debian и травлю гипервизоры и контроллеры домена на этот локальный ntp, а все машины домена - на контроллеры (машины домена имеют по умолчанию тип NT5DS, т.е. и так ориентируются на КД, т.е. для них нет нужды что-то перенастраивать).

Ну так измените источник времени для WSUS на внешний, и сделайте для службы update или перезапустите ее. Более того, нужно изменить type с NT5DS на NTP. Будьте добры, прочитайте хотя бы первую статью из тех, что я привел, чтобы я вам ее в комментариях не перепечатывал. »

Почти все ок! Спасибо! поменял на NTP в политиках для wsus и контроллеров. Wsus видит внешний ntp, контроллеры видят wsus как ntp, но на клиенте домена при выполнении команды w32tm /monitor вот такая ошибка :

C:\Windows\system32>w32tm /monitor
Функция GetDcList завершилась ошибкой с кодом: 0x800706BA.
Выход с ошибкой 0x800706BA


w32tm /query /sourse

DC1.domen.local

C:\Windows\system32>w32tm /monitor
Функция GetDcList завершилась ошибкой с кодом: 0x800706BA.
Выход с ошибкой 0x800706BA

никакие обновления и перезапуск службы не устраняли эту ошибку, но после перезагрузки все встало как надо.