Господа, подскажите, пожалуйста, что надо настроить на WinServer 2003, чтобы у доменного пользователя в настройках даты/времени в качестве сервера был указано имя КД (hp2.cls.domain.ru)(скриншот (https://i.postimg.cc/tJs4kZzN/client.png)) ? При этом у WinServer задан внешний ntp-сервер ntp0.ntp-servers.net
У доменного пользователя задана политика Default Domain Policy:
Конфигурация пользователя
--------------------------

Последнее применение групповой политики: 29.11.2023 в 19:03:09
Групповая политика была применена с: hp2.cls.domain.ru
Порог медленного канала для групповой политики: 500 kbps
Имя домена: CLS
Тип домена: WindowsNT 4

Примененные объекты групповой политики
---------------------------------------
Default Domain Policy
Local Group Policy

Соответственно на WinServer я открыл "Default Domain Policy" и перешел вот сюда (https://i.postimg.cc/zD0CPCXq/server.png).
И я пытался включать все три составляющие (оставлять что-то одно) - сервер времени на клиенте при этом не меняется. Мануалы я прочитал все, что нашел - эффекта 0 :(

Подскажите, пожалуйста, в чем может быть проблема?

Спасибо!

Вроде как у доменного пользователя сервер времени - контроллер домена, и это не меняется. А уж на самом КД можно настроить сервер по вашему усмотрению. Во всяком случае, в 2003м так было.

Вроде как у доменного пользователя сервер времени - контроллер домена, и это не меняется. »
Почему не меняется? Это просто по дефолту у доменных систем.

"Default Domain Policy" »
Как помню, не рекомендуется трогать данную политику, но это конечно же не ответ на Ваш вопрос, т.к. указанные наcтройки задаются для службы времени, а не для:
доменного пользователя в настройках даты/времени »

Настройки на клиенте проверяйте с помощью w32tm (https://learn.microsoft.com/ru-ru/windows-server/networking/windows-time-service/windows-time-service-tools-and-settings?tabs=config)

dmitryst, Вроде как у доменного пользователя сервер времени - контроллер домена, и это не меняется »
Ну вот на скриншоте у доменного пользователя сервер времени не контроллер домена, а time.windows.com.

NickM, Как помню, не рекомендуется трогать данную политику »Ну, к сожалению, на ней уже все давно сидят...

Настройки на клиенте проверяйте с помощью w32tm »
А что именно проверять?

На WinServer:
>w32tm /monitor
hp2.cls.domain.ru *** PDC *** [192.168.144.102]:
ICMP: 0ms delay.
NTP: +0.0000000s offset from hp2.cls.domain.ru
RefID: host227-n1.hsdn.org [88.147.254.227], где 88.147.254.227 - ntp0.ntp-servers.net.
На доменном юзере аналогично:
>w32tm /monitor
hp2.cls.domain.ru *** PDC ***[192.168.144.102:123]:
ICMP: 10ms задержка
NTP: +0.0000000s смещение относительно hp2.cls.domain.ru
RefID: host227-n1.hsdn.org [88.147.254.227]
Страта: 3Получается, что юзер обращается через hp2.cls.domain.ru к ntp0.ntp-servers.net (т.е. как я и хотел) ?

А где тогда настройки для даты/времени задаются? Просто там раньше (до моих ручишек) в сервере точно указывался hp2.cls.domain.ru, а не time.windows.com.

А что именно проверять? »
Конфигурацию службы/ клиента времени (https://learn.microsoft.com/ru-ru/windows-server/networking/windows-time-service/windows-time-service-tools-and-settings?tabs=config#check-the-client-time-configuration).

А что именно проверять? »
параметры, например
w32tm /query /computer:имя_компутера /configuration
Почему не меняется? Это просто по дефолту у доменных систем. »
меняется, но не работает. Во всяком случае, для связки Win2003Server + Win7. Т.е. в настройках я прописывал левый сервер, а ОС всё равно синхронизировалась с КД. Может, что-то неправильно делал, в таком случае согласен признать ошибку и посыпать голову пеплом :sorry:

>w32tm /query /computer:k320n /configuration
[Настройка]

EventLogFlags: 2 (Локально)
AnnounceFlags: 10 (Локально)
TimeJumpAuditOffset: 28800 (Локально)
MinPollInterval: 10 (Локально)
MaxPollInterval: 15 (Локально)
MaxNegPhaseCorrection: 4294967295 (Локально)
MaxPosPhaseCorrection: 4294967295 (Локально)
MaxAllowedPhaseOffset: 300 (Локально)

FrequencyCorrectRate: 4 (Локально)
PollAdjustFactor: 5 (Локально)
LargePhaseOffset: 50000000 (Локально)
SpikeWatchPeriod: 900 (Локально)
LocalClockDispersion: 10 (Локально)
HoldPeriod: 5 (Локально)
PhaseCorrectRate: 1 (Локально)
UpdateInterval: 30000 (Локально)


[TimeProviders]

NtpClient (Локально)
DllName: C:\WINDOWS\system32\w32time.dll (Локально)
Enabled: 1 (Локально)
InputProvider: 1 (Локально)
AllowNonstandardModeCombinations: 1 (Локально)
ResolvePeerBackoffMinutes: 15 (Локально)
ResolvePeerBackoffMaxTimes: 7 (Локально)
CompatibilityFlags: 2147483648 (Локально)
EventLogFlags: 1 (Локально)
LargeSampleSkew: 3 (Локально)
SpecialPollInterval: 3600 (Локально)
Type: NTP (Локально)
NtpServer: time.windows.com,0x9 (Локально)

NtpServer (Локально)
DllName: C:\WINDOWS\system32\w32time.dll (Локально)
Enabled: 0 (Локально)
InputProvider: 0 (Локально)где k320n - ПК доменного пользователя (запускал оттуда же). Т.е. политика не применилась?
А я с WinServer делал gpupdate /force. ПК доменного пользователя на всякий случай перезапускал даже...

не применилась »
Type: NTP (Локально)
NtpServer: time.windows.com,0x9 (Локально) »
и не могла применится, Вы ещё раз посмотрите, в какой политике Вы задаёте параметры (https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-gpod/566e983e-3b72-4b2d-9063-a00ebc9514fd):
Default Domain Policy: A default GPO that is automatically created and linked to the domain whenever a server is promoted to a domain controller. It has the highest precedence of all GPOs linked to the domain, and it applies to all users and computers in the domain

Сильно похоже на то, что Вы не понимаете то, что делаете. Вы какой статьёй руководствуетесь для настройки синхронизации времени в домене?

NickM, я действительно плохо во всем этом понимаю... [уже и платные услуги специалистов привлек, но пока наткнулся на недоброкачественных товарищей, к сожалению - никак не помогли]

Вы какой статьёй руководствуетесь для настройки синхронизации времени в домене? »
Да их куча (вот, например (https://pk-help.com/server/ntp?ysclid=lpk7kihh45998196654)), но про настройку GPO я не находил.

Вы ещё раз посмотрите, в какой политике Вы задаёте параметры »
Я задаю в Default Domain Policy, которая "applies to all users and computers in the domain" - что тут не так?) Она должна применяться ко всем пользователям и компьютерам в домене@. Собственно, пользователи, по gpresult /r показывают, что они под Default Domain Policy... Вроде всё логично, нет?

Вот еще нашел статью (https://itpadla.wordpress.com/2009/11/20/%D0%BD%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0-%D1%82%D0%BE%D1%87%D0%BD%D0%BE%D0%B3%D0%BE-%D0%B2%D1%80%D0%B5%D0%BC%D0%B5%D0%BD%D0%B8-%D0%B2-%D0%B4%D0%BE%D0%BC%D0%B5%D0%BD%D0%B5-windows-2003/) и там говорится следующее:
Очень рекомендуется проверить все политики, имеющие отношение к настройкам сервиса времени, а именно:
Default Domain Controllers group policy
Default Domain group policy

ну и все другие, которые имеют отношение к домен контроллерам, серверам и рабочим станциям и в которых изменены любые значения в разделе
Computer configuration/Administrative Templates /System/Windows Time service/Time Providers
Убедитесь, что все значения там в состоянии “not configured”.Теперь я вообще ничего не понимаю... А каким чудом клиенты поймут, что надо брать с КД время тогда? =/
Я так сделал, но у клиента ничего особо не поменялось, только стали доступны переключатели в настройках...

У всех всё просто (http://windows.mixed-spb.ru/domain/time_sync.php?ysclid=lpk8uvclh9804748518), блин!)

Решил в качестве экспримента указать на клиенте в [TimeProviders] Type NT5DS вместо NTP. Теперь в настрйоках в качестве сервера времени Local CMOS Clock =)

указать на клиенте в [TimeProviders] Type NT5DS вместо NTP. »
Всё правильно, именно этот тип и должен быть для клиентов:
Microsoft Windows [Version 10.0.19045.3693]
(c) Корпорация Майкрософт (Microsoft Corporation). Все права защищены.

C:\WINDOWS\system32>w32tm /query /configuration
[Настройка]

EventLogFlags: 2 (Локально)
AnnounceFlags: 10 (Локально)
TimeJumpAuditOffset: 28800 (Локально)
MinPollInterval: 10 (Локально)
MaxPollInterval: 15 (Локально)
MaxNegPhaseCorrection: 4294967295 (Локально)
MaxPosPhaseCorrection: 4294967295 (Локально)
MaxAllowedPhaseOffset: 300 (Локально)

FrequencyCorrectRate: 4 (Локально)
PollAdjustFactor: 5 (Локально)
LargePhaseOffset: 50000000 (Локально)
SpikeWatchPeriod: 900 (Локально)
LocalClockDispersion: 10 (Локально)
HoldPeriod: 5 (Локально)
PhaseCorrectRate: 1 (Локально)
UpdateInterval: 30000 (Локально)


[TimeProviders]

NtpClient (Локально)
DllName: C:\WINDOWS\SYSTEM32\w32time.DLL (Локально)
Enabled: 1 (Локально)
InputProvider: 1 (Локально)
CrossSiteSyncFlags: 2 (Локально)
AllowNonstandardModeCombinations: 1 (Локально)
ResolvePeerBackoffMinutes: 15 (Локально)
ResolvePeerBackoffMaxTimes: 7 (Локально)
CompatibilityFlags: 2147483648 (Локально)
EventLogFlags: 1 (Локально)
LargeSampleSkew: 3 (Локально)
SpecialPollInterval: 3600 (Локально)
Type: NT5DS (Локально)

NtpServer (Локально)
DllName: C:\WINDOWS\SYSTEM32\w32time.DLL (Локально)
Enabled: 0 (Локально)
InputProvider: 0 (Локально)

C:\WINDOWS\system32>

Я задаю в Default Domain Policy »
На скрине, в первом сообщении, (https://i.postimg.cc/zD0CPCXq/server.png) у Вас "Default Domain Controllers Policy"

У всех всё просто, блин!)
Убедитесь, что у Вас не блокируется пакеты в сети, что сервер обслуживает 123 порт и диагностируйте.

Сложно сказать, что у Вас там не так, по одному только скрину.

The_Immortal, а вам, собственно, зачем так? По идее, пользователи домена должны синхронизироваться с контроллером домена, чтобы, например, время в керберос-билетиках было актуальным и близким ко времени на сервере. Если нет - будут глюки той или иной степени тяжести. Лучше и проще поменять сервер времени на самом КД. Как вариант, прописать адрес нужного сервера в параметрах DHCP-сервера домена (у вас же клиенты адреса по DHCP получают?)

По идее, пользователи домена должны синхронизироваться с контроллером домена »
Ага, я так и хотел, но, видимо, криво донес информацию.

В общем, ребут сервака почти все восстановил, а уважаемый NickM помог донастроиться, за что ему огромнейшая благодарность!

The_Immortal, т.е. клиенты синхронизируются с КД?

dmitryst, ага. А тот в свою очередь с внешним ntp-сервером.

The_Immortal, собственно, по умолчанию так (когда в домен вводите комп, происходит привязка синхронизации к КД)