Serviço Config Time no Server 2008 DC usando somente Diretiva de Grupo

Navegue suas respostas
2

Eu quero configurar o Serviço de Tempo usando apenas GP em um domínio do Server 2008 R2. Eu criei um GP da seguinte forma:

Configuração do Computador, Políticas, Modelos Administrativos, Sistema, Política de Horário do Windows:
= Global Configuration Settings - Ativado com configurações padrão.

Configuração do Computador, Políticas, Modelos Administrativos, Sistema, Política de Horário do Windows, Provedores de Tempo:
= Configurar Windows NTP Client - Ativado com configurações padrão.
= Ativar Windows NTP Client - Ativado com configurações padrão. = Ativar Servidor NTP do Windows - Ativado com configurações padrão.

A política é vinculada, aplicada e aplicada à UO de controladores de domínio. Os resultados da modelagem GP mostram que a política está em vigor no DC (Single DC domain) e o DC é reconhecido como o emulador PDC. Eu executei gpupdate / force e efetuei logoff / on.

A questão é que o DC mostra a fonte de tempo como interna. Eu entendo que posso forçar isso na linha cmd usando w32tm para definir o par, mas eu gostaria de entender o que está faltando no GP. A configuração padrão do NTP Client GP inclui time.windows.com, 0x9 como a fonte, mas não parece estar tendo efeito.

EDIT: saída solicitada:

C: \ Users \ xxxxx > w32tm / consulta / configuração [Configuração]

EventLogFlags: 2 (Política)
AnnounceFlags: 10 (Política)
TimeJumpAuditOffset: 28800 (local)
MinPollInterval: 6 (Policy)
MaxPollInterval: 10 (Policy)
MaxNegPhaseCorrection: 172800 (Policy)
MaxPosPhaseCorrection: 172800 (Policy)
MaxAllowedPhaseOffset: 300 (política)

FrequencyCorrectRate: 4 (Policy)
PollAdjustFactor: 5 (Política)
LargePhaseOffset: 50000000 (diretiva)
SpikeWatchPeriod: 900 (Policy)
LocalClockDispersion: 10 (Política)
HoldPeriod: 5 (Política)
PhaseCorrectRate: 1 (Policy)
UpdateInterval: 100 (política)

[TimeProviders]

NtpClient (local)
Nome_dll: C: \ Windows \ system32 \ w32time.dll (local)
Habilitado: 1 (local)
InputProvider: 1 (local)
CrossSiteSyncFlags: 2 (Política)
AllowNonstandardModeCombinations: 1 (local)
ResolvePeerBackoffMinutes: 15 (Policy)
ResolvePeerBackoffMaxTimes: 7 (Policy)
CompatibilityFlags: 2147483648 (local)
EventLogFlags: 0 (Política)
LargeSampleSkew: 3 (local)
SpecialPollInterval: 3600 (Policy)
Tipo: NT5DS (política)

NtpServer (local)
Nome_dll: C: \ Windows \ system32 \ w32time.dll (local)
Habilitado: 1 (local)
InputProvider: 0 (local)
AllowNonstandardModeCombinations: 1 (local)

VMICTimeProvider (Local)
Nome_dll: C: \ Windows \ System32 \ vmictimeprovider.dll (local)
Habilitado: 1 (local)
InputProvider: 1 (local)

EDIT: Resultados do GP

Serviço de tempo do sistema / Windows
Definição de política GPO vencedores Configurações globais de configuração habilitadas na política de horário do DC do FIT Parâmetros da Disciplina do Relógio
FrequencyCorrectRate 4
HoldPeriod 5
LargePhaseOffset 50000000
MaxAllowedPhaseOffset 300
MaxNegPhaseCorrection 172800
MaxPosPhaseCorrection 172800
PhaseCorrectRate 1
PollAdjustFactor 5
SpikeWatchPeriod 900
UpdateInterval 100
Parâmetros gerais
AnnounceFlags 10 | EventLogFlags 2
LocalClockDispersion 10
MaxPollInterval 10
MinPollInterval 6
ChainEntryTimeout 16
ChainMaxEntries 128 ChainMaxHostEntries 4 | ChainDisable 0
ChainLoggingRate 30

System / Windows Time Service / Time Providers
Definição de política GPO vencedores Configurar política de horário de DC do FIT habilitado para cliente NTP do Windows
NtpServer time.windows.com, 0x9
Digite NT5DS
CrossSiteSyncFlags 2
ResolvePeerBackoffMinutes 15
ResolvePeerBackoffMaxTimes 7
SpecialPollInterval 3600
EventLogFlags 0

Definição de políticas GPO vencedoras
Habilitar diretiva de horário de DC do FIT habilitado para cliente NTP do Windows
Habilitar o Windows NTP Server habilitado na política de tempo de DC do FIT

    
por Ed Fries 04.01.2011 / 21:59

3 respostas

2

Ok. Obrigado pelos dados. Eu vejo que você tem GPOs para cliente e servidor. A noção de cliente NTP e servidor NTP é diferente dos servidores e clientes Windows. Então, primeiro, recomendo livrar-me das configurações do servidor. Eles são usados para uma máquina que atenda a solicitações NTP. Em um domínio, o tempo é fornecido aos clientes usando o Serviço de Tempo do Windows, NÃO NTP.

Na sua situação, o seu DC é o cliente NTP, pois está recebendo seus dados de um servidor NTP externo. Portanto, a política deve ser definida apenas para configurações do cliente.

Em seguida, altere a configuração do GPO de provedores de horário para digitar NTP , em vez de NT5DS .

Faça um gpupdate e execute a consulta de configuração do w32tm novamente.

Para resumir:
- Ativar o Windows NTP Client Ativado
- Ativar o servidor NTP do Windows não configurado
- Configurar o Windows NTP Client | Servidor Ntp (nome do servidor NTP), 0x9 (O 0x9 é um sinalizador que designa o servidor NTP como sendo primário.
- Configurar o Windows NTP Client | Digite NTP

Eu testei isso em nosso domínio de laboratório e parece funcionar. Quando você executa a consulta de configuração do w32tm, ela deve mostrar Type: NTP e NtpServer: (NTP Server Name) na seção [Time Providers].

    
por 05.01.2011 / 17:14
2

Por padrão, todos os clientes de domínio procurarão os controladores de domínio por tempo autoritativo. Não há necessidade de configurar um GPO para fazer isso.

Eu não recomendo que você defina cada cliente para ir diretamente a um servidor NTP por tempo. A autenticação Kerberos depende de seus DCs e clientes estarem em sincronia uns com os outros, portanto, é melhor que os clientes obtenham seu tempo dos próprios DCs.

Agora, se você quiser que seu domínio seja sincronizado com uma fonte calibrada externa usando NTP, configure-o no DC que contém a função de emulador de PDC. Veja o link que fornece instruções sobre como perscrutar o PDC em um NTP serviço.

Fazemos isso com nosso domínio, conectado a alguns servidores NTP Symmetricom internos. O erro médio nos clientes é de +/- 0,1 s. Se você precisar de maior precisão do que isso, precisará de software especializado de terceiros nos clientes.

    
por 04.01.2011 / 23:08
1

Você verificou se o seu firewall tem a porta 123 de saída aberta. Eu estava tendo o mesmo tipo de problemas e acabou que o firewall estava impedindo o DC de entrar em contato com os servidores NIST.

    
por 20.03.2012 / 20:33

Tags

Monit não pode detectar o MySQL, mas eu posso Algum guru de postfix pode me ajudar a determinar como e-mails ainda estão sendo enviados através do meu servidor de fontes não autorizadas?