Настройка синхронизации времени NTP в домене Windows
В этой статье рассмотрим настройку синхронизации времени между контроллерами домена, клиентскими ПК и прочими устройствами подключенными в домен Windows.
Допустим, у нас есть два контроллера домена Windows GC без доступа в интернет. Сервера находятся в разных подсетях на разных физических адресах (разные площадки или офисы). Сеть между площадками организована через VPN туннель, например GRE. Вся репликация между серверами происходит по GRE.
Схема получения времени следующая:
- Роутер на базе PFSense получает время из сети Internet. На каждой площадке свой PFSense.
- Контроллер домена опрашивает согласно GPO сервер времени на PFSense
- Члены домена ПК и прочие устройства опрашивают контроллер домена своей площадки. Если один из контроллеров домена не в сети, то ПК будут опрашивать другой доступный контроллер домена.
Задача раздать, синхронизировать время по всему домену используя настройки DHCP и GPO.
Итак приступим.
- Подключаемся к серверу на котором развёрнут DHCP и для области настраиваем параметр 004 - сервер времени. В нашем случае сервером времени для клиентов домена является контроллер домена. Так как у нас два подсети, тол для каждой сети нужно указать свой контроллер домена.
- Теперь создадим политику домена для синхронизации времени для членов домена не являющимися контроллерами домена. Другими словами для обычных ПК и серверов.
- Откроем консоль управления групповой политикой домена.
- В «Фильтры WMI» создадим фильтр с следующими параметрами.
Имя: PDC Emulator Описание: Настройка NTP для домена Запрос WMI: Пространство имён: root\CIMv2 Запрос: Select * from Win32_ComputerSystem where DomainRole <> 5
В запросе DomainRole <> 5 — члены домена которые не являются контроллерами домена
-
Создадим объект групповой политики с свяжем его с текущим доменом. Имя например: «NTP сервер для ПК»
-
Правим параметры в ветке: «Конфигурация компьютера» / «Политики» / «Административные шаблоны» / «Система» / «Служба времени Windows» / «Поставщики времени»
-
«Включить NTP-клиент Windows» — Включить
-
«Настроить NTP-клиент Windows» — настраиваем
NTPServer: FQDN,0x9 FQDN,0x9 FQDN,0x9 Type: NT5DS
В параметре NTPServer указываем через ПРОБЕЛ FQDN имена наших контроллеров домена, а их у нас по схеме два. Срезу после FQDN указываем параметр, например: 0х9.
- 0x1 – SpecialInterval, использование задаваемого интервала опроса
- 0x2 – режим UseAsFallbackOnly – синхронизация только при необходимости
- 0x4 – SymmetricActive, симметричный активный режим
- 0x8 – Client, отправка запроса в клиентском режиме
- 0x9 – сложение параметров 0x1 и 0x8
В параметре Type указываем: NT5DS
- NoSync - не использовать синхронизацию с каким либо внешним источником времени
- NTP синхронизация с внешними серверами времени, которые указаны в параметре NtpServer
- NT5DS — синхронизация выполняется согласно доменной иерархии
- AllSync - синхронизация с использованием любых доступных источников
Закрываем окно редактирования групповой политики.
Выделяем GPO которое мы только что создали. Заходим на вкладку «Область» и указываем в фильтрах безопасности «Компьютеры домена», в WMI фильтре указываем фильтр который мы создали во втором пункте этой статьи «PDC Emulator»
-
- Создадим политику для синхронизации времени для самого контроллера домена.
- Откроем консоль управления групповой политикой домена.
- Создадим объект групповой политики с свяжем его с текущим доменом. Имя например: «NTP для FQDN»
- Правим параметры в ветке: «Конфигурация компьютера» / «Настройка» / «Конфигурация Windows» / «Реестр»
- Правим параметры в ветке: «Конфигурация компьютера» / «Политики» / «Административные шаблоны» / «Система» / «Служба времени Windows» / «Поставщики времени»
- «Включить NTP-клиент Windows» — включить
- «Включить NTP-сервер Windows» — включить
- «Настроить NTP-клиент Windows» — настраиваем
NTPServer: FQDN,0x8 Type: NTP
В параметре NTPServer указываем FQDN имя NTP сервера с параметром 0х8. В качестве NTP сервера выступает шлюз PFSense на котором включена служба времени NTP
Выделяем GPO которое мы только что создали для контроллера домена. Заходим на вкладку «Область» и указываем в фильтрах безопасности либо группу либо прямое имя контроллера домены. WMI фильтр оставить пустым.
- Заходим на PFSense и настраиваем NTP сервер, а так же проход UDP 123
Настройка синхронизации времени в домене завершена.
Комментарии ()