Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)
-   -   [решено] GPO и NTP-сервер (http://forum.oszone.net/showthread.php?t=271464)

pogo 06-11-2013 14:41 2248491
GPO и NTP-сервер
 
Доброго времени суток.
Проблема в следующем, есть 2 контроллера домена bdc.domain.ru в подсети 192.168.1.1 и pdc.domain.ru в подсети 192.168.2.1. Между сетями настроена маршрутизация, так что все друг друга видят и нормально общаются.
pdc является хозяином ролей fsmo. NTP настраивал как советует майкрасофт:
pdc:
Цитата:
w32tm /stripchart /computer:pool.ntp.org /samples:5 /dataonly
w32tm /config /manualpeerlist:"pool.ntp.org time.windows.com" /syncfromflags:manual /reliable:yes /update
net stop w32time && net start w32time
bdc:
Цитата:
w32tm /stripchart /computer:pdc.domain.ru /samples:5 /dataonly
w32tm /config /manualpeerlist:pdc.domain.ru /syncfromflags:manual /reliable:yes /update
net stop w32time && net start w32time
В ветках реестра (HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\W32Time\) на серверах всё изменилось соответственно командам консоли.
Дальше в корне домена создал политику:
Computer Configuration -> Policies -> Administrative Templates -> System -> Windows Time Service -> Time Providers
следующего содержания:
Цитата:
Policy Setting Comment
Configure Windows NTP Client Enabled
NtpServer bdc.domain.ru,0x9
Type NT5DS
CrossSiteSyncFlags 2
ResolvePeerBackoffMinutes 15
ResolvePeerBackoffMaxTimes 7
SpecialPollInterval 3600
EventLogFlags 0

Policy Setting Comment
Enable Windows NTP Client Enabled
После обновления политики иду на один из серверов в подсети 192.168.2.*
обновляю на нём политики
Проверяю, всё ли подцепилось - gpresult /R выводит

Applied Group Policy Objects
...
Configure computer - NTP source
...
По идее политика применилась, дальше проверю сервер времени и w32tm /query /status мне выводит:
...
Source: pdc.domain.ru
...

Подскажите почему сервер всё равно смотрит, на pdc, хотя должен смотреть на bdc? Что делаю не так, в какую сторону копать?

snark 06-11-2013 17:53 2248602
Цитата:
Цитата pogo
Подскажите почему сервер всё равно смотрит, на pdc, хотя должен смотреть на bdc? »
Не должен. Ссылка

Цитата:
Служба времени Windows использует иерархическую структуру отношений, которая не допускает возникновения «циклов» в управлении и обеспечивает корректную синхронизацию времени. По умолчанию компьютеры под управлением Windows подчиняются следующей иерархии:
  • Все клиентские компьютеры используют в качестве источника времени контроллер домена, проверяющий их подлинность.
  • То же самое происходит на рядовых серверах.
  • Все контроллеры домена используют в качестве источника времени хозяина операций основного контроллера домена (PDC).

pogo 07-11-2013 11:46 2249095
Любопытно.
Это получается что политика вообще не нужна в данном случае, т.к. все компьютеры вогнанные в домен по идее в параметре "Тип синхронизации" имеют значение "NT5DS" и они в любом случае будут смотреть на контроллеры, которые проверяют их подлинность?

snark 07-11-2013 11:56 2249111
Цитата:
Цитата pogo
Это получается что политика вообще не нужна в данном случае, т.к. все компьютеры вогнанные в домен по идее в параметре "Тип синхронизации" имеют значение "NT5DS" и они в любом случае будут смотреть на контроллеры, которые проверяют их подлинность? »
Да, именно так. А контроллеры домена будут синхронизировать свои часы с эмулятором PDC.

pogo 07-11-2013 12:20 2249122
Цитата snark:
Да, именно так. А контроллеры домена будут синхронизировать свои часы с эмулятором PDC. »
Это получается, что для bdc даже не обязательно было это выполнять:
Цитата:
w32tm /stripchart /computer:pdc.domain.ru /samples:5 /dataonly
w32tm /config /manualpeerlist:pdc.domain.ru /syncfromflags:manual /reliable:yes /update
net stop w32time && net start w32time
Хватило бы просто 3 строчками цитаты из первого поста указать настройки для pdc и всё?

snark 07-11-2013 12:37 2249148
Цитата:
Цитата pogo
Хватило бы просто 3 строчками цитаты из первого поста указать настройки для pdc и всё? »
Да, так как по умолчанию NTP-сервер включен на всех контроллерах домена, нужно лишь указать эмулятору PDC синхронизироваться с внешним источником pool.ntp.org.

Цитата:
Цитата pogo
w32tm /stripchart /computer:pool.ntp.org /samples:5 /dataonly
w32tm /config /manualpeerlist:"pool.ntp.org time.windows.com" /syncfromflags:manual /reliable:yеs /update
net stop w32time && net start w32time »
Первая строчка не сильно и нужна, она лишь сравнивает время на сервере pdc со временем источника pool.ntp.org (параметр /computer), и выводит результат в количестве пяти строк. Но если нужно глянуть, насколько сильно расходится время, то первую строчку можно оставить.

Еще:
Цитата:
Средства синхронизации времени виртуальной машины и хостовой ОС должны быть выключены. Во всех адекватных системах виртуализации (Microsoft, vmWare и т. д.) присутствуют компоненты интеграции гостевой ОС с хостовой, которые значительно повышают производительность и управляемость гостевой системой. Среди этих компонентов всегда есть средство синхронизации времени гостевой ОС с хостовой, которое очень полезно для рядовых машин, но противопоказано для контроллеров домена. Потому как в этом случае весьма вероятен цикл, при котором контроллер домена и хостовая ОС будут синхронизировать друг друга.
Источник


Время: 09:13.

Время: 09:13.
© OSzone.net 2001-