Настройка синхронизации времени NTP в домене Windows

В этой статье рассмотрим настройку синхронизации времени между контроллерами домена, клиентскими ПК и прочими устройствами подключенными в домен Windows.

Допустим, у нас есть два контроллера домена Windows GC без доступа в интернет. Сервера находятся в разных подсетях на разных физических адресах (разные площадки или офисы). Сеть между площадками организована через VPN туннель, например GRE. Вся репликация между серверами происходит по GRE.

Схема получения времени следующая:

1. Роутер на базе PFSense получает время из сети Internet. На каждой площадке свой PFSense.
2. Контроллер домена опрашивает согласно GPO сервер времени на PFSense
3. Члены домена ПК и прочие устройства опрашивают контроллер домена своей площадки. Если один из контроллеров домена не в сети, то ПК будут опрашивать другой доступный контроллер домена.

Задача раздать, синхронизировать время по всему домену используя настройки DHCP и GPO.

Итак приступим.

1. Подключаемся к серверу на котором развёрнут DHCP и для области настраиваем параметр 004 - сервер времени. В нашем случае сервером времени для клиентов домена является контроллер домена. Так как у нас два подсети, тол для каждой сети нужно указать свой контроллер домена.
   
2. Теперь создадим политику домена для синхронизации времени для членов домена не являющимися контроллерами домена. Другими словами для обычных ПК и серверов.
   • Откроем консоль управления групповой политикой домена.
   • В «Фильтры WMI» создадим фильтр с следующими параметрами.

     Имя: PDC Emulator
     Описание: Настройка NTP для домена
     Запрос WMI: 
       Пространство имён: root\CIMv2
       Запрос: Select * from Win32_ComputerSystem where DomainRole <> 5

     В запросе DomainRole <> 5 — члены домена которые не являются контроллерами домена

     

   • Создадим объект групповой политики с свяжем его с текущим доменом. Имя например: «NTP сервер для ПК»

     

   • Правим параметры в ветке: «Конфигурация компьютера» / «Политики» / «Административные шаблоны» / «Система» / «Служба времени Windows» / «Поставщики времени»

     • «Включить NTP-клиент Windows» — Включить

     • «Настроить NTP-клиент Windows» — настраиваем

       NTPServer: FQDN,0x9 FQDN,0x9 FQDN,0x9
       Type: NT5DS

       В параметре NTPServer указываем через ПРОБЕЛ FQDN имена наших контроллеров домена, а их у нас по схеме два. Срезу после FQDN указываем параметр, например: 0х9.

       • 0x1 – SpecialInterval, использование задаваемого интервала опроса
       • 0x2 – режим UseAsFallbackOnly – синхронизация только при необходимости
       • 0x4 – SymmetricActive, симметричный активный режим
       • 0x8 – Client, отправка запроса в клиентском режиме
       • 0x9 – сложение параметров 0x1 и 0x8

       В параметре Type указываем: NT5DS

       • NoSync - не использовать синхронизацию с каким либо внешним источником времени
       • NTP синхронизация с внешними серверами времени, которые указаны в параметре NtpServer
       • NT5DS — синхронизация выполняется согласно доменной иерархии
       • AllSync - синхронизация с использованием любых доступных источников

       

       Закрываем окно редактирования групповой политики.

       Выделяем GPO которое мы только что создали. Заходим на вкладку «Область» и указываем в фильтрах безопасности «Компьютеры домена», в WMI фильтре указываем фильтр который мы создали во втором пункте этой статьи «PDC Emulator»

       

3. Создадим политику для синхронизации времени для самого контроллера домена.
   • Откроем консоль управления групповой политикой домена.
   • Создадим объект групповой политики с свяжем его с текущим доменом. Имя например: «NTP для FQDN»
   • Правим параметры в ветке: «Конфигурация компьютера» / «Настройка» / «Конфигурация Windows» / «Реестр»
     • Создаём параметр

       Действие: Заменить
       Куст:HKLM
       Путь: SYSTEM\CurrentControlSet\Services\w32time\TimeProviders\VMICTimeProvider
       Имя: Enabled

       

   • Правим параметры в ветке: «Конфигурация компьютера» / «Политики» / «Административные шаблоны» / «Система» / «Служба времени Windows» / «Поставщики времени»
     • «Включить NTP-клиент Windows» — включить
     • «Включить NTP-сервер Windows» — включить
     • «Настроить NTP-клиент Windows» — настраиваем

       NTPServer: FQDN,0x8
       Type: NTP

       В параметре NTPServer указываем FQDN имя NTP сервера с параметром 0х8. В качестве NTP сервера выступает шлюз PFSense на котором включена служба времени NTP

       

       Выделяем GPO которое мы только что создали для контроллера домена. Заходим на вкладку «Область» и указываем в фильтрах безопасности либо группу либо прямое имя контроллера домены. WMI фильтр оставить пустым.

       

4. Заходим на PFSense и настраиваем NTP сервер, а так же проход UDP 123

   

Настройка синхронизации времени в домене завершена.

Написать комментарий