Como configurar um servidor de horário autoritativo no Windows Server

Navegue suas respostas
2

Eu tenho um laboratório de desempenho rodando atrás de um firewall, então nenhuma das máquinas do laboratório tem acesso à internet. Todas as máquinas do laboratório fazem parte de um domínio com o controlador de domínio também presente no laboratório. O problema é que o tempo de alguns servidores está à deriva.

Algumas informações básicas:

O DC é o Win Server 2K3 Enterprise SP2.

  • 9 máquinas estão executando o Servidor 2K3 Standard. (Estes são todos dentro de 1 minuto, então não é um problema)
  • 3 máquinas são Win Server 2K8 R2 Standard (estas são Servidores Físicos) - (variam entre 1 e 6 minutos e nunca sincronizar novamente)
  • 6 Máquinas são Win Server 2K8 R2 Core (Esses são hosts Hyper-V) (Alguns também variam)
    • Nessas 6 máquinas, hospedamos 1 instância do Win 2K8 R2 Standard em cada uma delas (elas variam entre 1 e 6 minutos e nunca mais são sincronizadas)
  • 1 máquina rodando win 2K8 R2 Enterprise atuando como o SCVMM (6 minutos fora e nunca mais sincronizar)

Acima, parece que o problema está nos servidores de 2008.

Eu encontrei o seguinte:

Como configurar um servidor de horário autoritativo no Windows Server [para usar um relógio de hardware interno] link

A partir daqui, instalei o "Microsoft Fix it 50394" no PT-DC01 (o controlador de domínio)

Eu também encontrei:

Como configurar um servidor de horário autoritativo no Windows Server link

A partir daqui, instalei o "Microsoft Fix it 50395" no SSVMM (um servidor no ambiente) com as seguintes configurações:

  • NtpServer: pt-dc01.pt.local, 0x1
  • SpecialPollInterval: 900 (15 minutos *)
  • MaxPosPhaseCorrection: 3600 (1 hora *)
  • MaxNegPhaseCorrection: 3600 (1 hora *)

* Excluindo qualquer coisa entre parênteses, obviamente.

Eu também reiniciei o Serviço de Tempo do Windows nos dois servidores. Eu fiz apenas esses dois servidores para provar que ele funciona primeiro. O problema é que não parece: no momento da redação, o tempo do SSVMM era 12:10 e o tempo do PT-DC01 era 12:04.

Eu verifiquei no registro e nenhum desses valores foram alterados, então atualizei manualmente o NtpServer e também deixei o MaxPosPhaseCorrection e MaxNegPhaseCorrection em 0xffffffff, o que significa que eles sempre serão atualizados.

Reiniciar os servidores não teve efeito.

c:\>w32tm /resync /nowait

não teve efeito

Também executei os seguintes comandos do link 

w32tm /config /manualpeerlist:"pt-dc01.pt.local",0×1 /syncfromflags:MANUAL 
w32tm /config /update 
net stop w32time 
net start w32time 
w32tm /resync /nowait 
pause

Também sem efeito. Eu também tentei com 0x8 em vez de 0x1 na primeira linha.

Qualquer ajuda seria muito apreciada.

    
por Gineer 01.12.2011 / 16:38

3 respostas

1

O que precede é verdadeiro apenas se você tiver o NetBIOS ativado.

Além disso, para servidores virtuais em execução no Hyper-V: O Hyper-V tem uma configuração padrão quando você cria uma máquina virtual informando que a VM deve sincronizar seu tempo com o host. Isso parece ser aplicado, não importa o que você faça na VM. Portanto, certifique-se de que o horário do host esteja sincronizado com o PDC ou desative a configuração no Hyper-V (Propriedades da VM - > Configuração de hardware - > Serviços de integração - > Sincronização de horário).

    
por 30.04.2012 / 10:34
2

Todos os membros do domínio devem sincronizar automaticamente seu horário com o controlador de domínio em que foram autenticados por último. Esses DCs, por sua vez, serão sincronizados a partir do DC com a função Emulador de PDC. Não há necessidade de ficar louco com a configuração, a menos que você tenha uma razão real para isso. São todas as configurações padrão.

    
por 01.12.2011 / 16:44
2

Se você estiver executando alguns dos servidores nos processadores AMD e as VMs (nas caixas baseadas em AMD) não tiverem uma opção "sincronizar tempo do cliente para hospedar" ativa, você terá algum desvio. Isso parece ser específico da AMD, não afeta chips baseados em Intel. A deriva, no entanto, não é algo que vai te deixar de fora - estamos falando de segundos na pior das hipóteses.

O Active Directory irá sincronizar automaticamente com os controladores de domínio em outro lugar (como apontado pela MarkM), mas o período em que eles fazem isso é ridiculamente longo ... às vezes várias horas. Tudo isso ocorre com o Serviço de Tempo do Windows, que é (acredito) ativado por padrão. O Kerberos normalmente tem uma tolerância de +/- 5 minutos. Se você estiver perdendo mais de cinco minutos em seus relógios, algo está seriamente errado.

Se você está desesperado, e continua apesar de todos os outros esforços, você pode querer obter um serviço NTP de terceiros instalado se ele continuar. Instale o serviço uma vez, em hardware físico (não uma VM!), E aponte todas as outras máquinas para ele.

    
por 01.12.2011 / 23:02

Tags

O App-V pode ser usado para impedir a pirataria de software? Como posso alterar o caminho com o qual acesso o Nagios no meu navegador?