» Синхронизация времени в домене Windows 2008 R2

У меня домен с одним контроллером под Windows 2008 R2 ru.
Не удается настроить синхронизацию времени с внешним источником.
Делал так http://support.microsoft.com/kb/816042
Делал так http://technet.microsoft.com/ru-ru/library/cc731191(WS.10).aspx
Машины с контроллером синхронизируются а сам контроллер с инетом нет.

Ошибки:
Проблема:
1) Хозяин эмулятора основного контроллера домена в этом лесу не настроен для правильного распознавания времени от допустимого источника времени.

2) C:\Windows\system32>w32tm /monitor
DCSERV.virage.local *** PDC ***[[::1]:123]:
ICMP: 0ms задержка
NTP: +0.0000000s смещение относительно DCSERV.virage.local
RefID: 'LOCL' [0x4C434F4C]
Страта: 1

Предупреждение:
Рекомендуется использовать обратное разрешение имен. Возможно, оно выполнено
неверно, поскольку поле RefID в пакетах времени различается в
разных реализациях NTP и может не использовать IP-адреса.

3) C:\Windows\system32>w32tm /resync /rediscover
Отправка команды синхронизации на локальный компьютер
Синхронизация не выполнена, поскольку нет доступных данных о времени.

При этом:
1) C:\Windows\system32>w32tm /stripchart /computer:pool.ntp.org /samples:5 /dataonl
y
Отслеживание pool.ntp.org [83.229.210.18:123].
Сбор образцов 5.
Текущее время - 16.11.2010 18:15:10.
18:15:10, +06.2506920s
18:15:12, +06.2511232s
18:15:14, +06.2734272s
18:15:16, +06.2502508s
18:15:18, +06.2598301s

2) C:\Windows\system32>nslookup pool.ntp.org
╤хЁтхЁ: localhost
Address: 127.0.0.1

Не заслуживающий доверия ответ:
╚ь : pool.ntp.org
Addresses: 193.125.143.173
193.169.32.220
188.128.19.66


C:\Windows\system32>nslookup 193.169.32.220
╤хЁтхЁ: localhost
Address: 127.0.0.1

╚ь : mx.ll-h.ru
Address: 193.169.32.220


C:\Windows\system32>nslookup 193.125.143.173
╤хЁтхЁ: localhost
Address: 127.0.0.1

╚ь : ns.mipt.ru
Address: 193.125.143.173


C:\Windows\system32>nslookup 188.128.19.66
╤хЁтхЁ: localhost
Address: 127.0.0.1

╚ь : kent.naviteh.ru
Address: 188.128.19.66

Выполнение команды DCdiag на контроллере:

C:\Windows\system32>dcdiag

Диагностика сервера каталогов

Выполнение начальной настройки:
Выполняется попытка поиска основного сервера...
Основной сервер = DCServ
* Идентифицирован лес AD.
Сбор начальных данных завершен.

Выполнение обязательных начальных проверок

Сервер проверки: Default-First-Site-Name\DCSERV
Запуск проверки: Connectivity
......................... DCSERV - пройдена проверка Connectivity

Выполнение основных проверок

Сервер проверки: Default-First-Site-Name\DCSERV
Запуск проверки: Advertising
......................... DCSERV - пройдена проверка Advertising
Запуск проверки: FrsEvent
......................... DCSERV - пройдена проверка FrsEvent
Запуск проверки: DFSREvent
......................... DCSERV - пройдена проверка DFSREvent
Запуск проверки: SysVolCheck
......................... DCSERV - пройдена проверка SysVolCheck
Запуск проверки: KccEvent
......................... DCSERV - пройдена проверка KccEvent
Запуск проверки: KnowsOfRoleHolders
......................... DCSERV - пройдена проверка
KnowsOfRoleHolders
Запуск проверки: MachineAccount
......................... DCSERV - пройдена проверка MachineAccount
Запуск проверки: NCSecDesc
Ошибка - NT AUTHORITY\КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ не имеет
Replicating Directory Changes In Filtered Set
прав доступа для контекста именования:
DC=ForestDnsZones,DC=virage,DC=local
Ошибка - NT AUTHORITY\КОНТРОЛЛЕРЫ ДОМЕНА ПРЕДПРИЯТИЯ не имеет
Replicating Directory Changes In Filtered Set
прав доступа для контекста именования:
DC=DomainDnsZones,DC=virage,DC=local
......................... DCSERV - не пройдена проверка NCSecDesc
Запуск проверки: NetLogons
......................... DCSERV - пройдена проверка NetLogons
Запуск проверки: ObjectsReplicated
......................... DCSERV - пройдена проверка ObjectsReplicated
Запуск проверки: Replications
......................... DCSERV - пройдена проверка Replications
Запуск проверки: RidManager
......................... DCSERV - пройдена проверка RidManager
Запуск проверки: Services
......................... DCSERV - пройдена проверка Services
Запуск проверки: SystemLog
Возникло предупреждение. Код события (EventID): 0x8000001D
Время создания: 11/17/2010 12:11:10
Строка события:
Центр распространения ключей (KDC) не может найти подходящий сертифи
кат для использования при регистрации смарт-карт или KDC-сертификат не может быт
ь проверен. Регистрация смарт-карт не может работать правильно, если данная проб
лема не разрешена. Для исправления неполадки либо проверьте существующий сертифи
кат KDC при помощи certutil.exe, либо запросите новый KDC-сертификат.
......................... DCSERV - пройдена проверка SystemLog
Запуск проверки: VerifyReferences
......................... DCSERV - пройдена проверка VerifyReferences


Выполнение проверок разделов на: ForestDnsZones
Запуск проверки: CheckSDRefDom
......................... ForestDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... ForestDnsZones - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: DomainDnsZones
Запуск проверки: CheckSDRefDom
......................... DomainDnsZones - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... DomainDnsZones - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: Schema
Запуск проверки: CheckSDRefDom
......................... Schema - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... Schema - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: Configuration
Запуск проверки: CheckSDRefDom
......................... Configuration - пройдена проверка
CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... Configuration - пройдена проверка
CrossRefValidation

Выполнение проверок разделов на: virage
Запуск проверки: CheckSDRefDom
......................... virage - пройдена проверка CheckSDRefDom
Запуск проверки: CrossRefValidation
......................... virage - пройдена проверка
CrossRefValidation

Выполнение проверок предприятия на: virage.local
Запуск проверки: LocatorCheck
......................... virage.local - пройдена проверка
LocatorCheck
Запуск проверки: Intersite
......................... virage.local - пройдена проверка Intersite

C:\Windows\system32>

Добавлено:
Вычитал что: "Данная ошибка появляется, если вы не выполняли подготовку для read-only domain controllers с помощью adprep /rodcprep. Соответственно если вы не планируете использовать RODC данную ошибку можно проигнорировать."©Yaroslav Turbin.
http://technet.microsoft.com/en-us/library/cc754463.aspx

Выполнил, все ошибки при выполнении DCdiag пропали. Но время все равно не синхронизируется....

Добавлено:
Восстановил ветку реестра w32time. Перевел службу времени в ручной режим и отключил ее.
Выполнил следующие команды:
net time \\DCserv.virage.local /set /y
sc config w32time start= auto
sc start w32time
w32tm /config /syncfromflags:manual /manualpeerlist:pool.ntp.org
w32tm /config /update

после этого:
C:\Windows\system32>w32tm /stripchart /computer:pool.ntp.org /samples:2 /dataonly
Отслеживание pool.ntp.org [91.206.16.3:123].
Сбор образцов 2.
Текущее время - 17.11.2010 14:34:22.
14:34:22, +69.3494807s
14:34:24, +69.3483289s

C:\Windows\system32>w32tm /monitor
DCSERV.virage.local *** PDC ***[[::1]:123]:
ICMP: 0ms задержка
NTP: ошибка ERROR_TIMEOUT - нет ответа от сервера в течение 1000мс

C:\Windows\system32>w32tm /resync /rediscover
Отправка команды синхронизации на локальный компьютер
Синхронизация не выполнена, поскольку нет доступных данных о времени.



Что еще можно сделать!?

123 порт до pool.ntp.org открыт? Причем и tcp, и udp.


Код: # nmap -F -sU 195.2.64.5

Starting Nmap 5.35DC1 ( http://nmap.org ) at 2010-11-17 17:23 MSK
Stats: 0:00:00 elapsed; 0 hosts completed (0 up), 1 undergoing Ping Scan
Ping Scan Timing: About 100.00% done; ETC: 17:23 (0:00:00 remaining)
Nmap scan report for ntp0.zenon.net (195.2.64.5)
Host is up (0.010s latency).
Not shown: 99 open|filtered ports
PORT STATE SERVICE
123/udp open ntp

Походу закрыт порт 123 .
Я пытаюсь его открыть, сделал правила на встроенном брандмауэре, правело для порта 123, для TCP и UDP, на вход и выход. Но результат тот же...


Код: nmap -sU -F 192.168.0.222

Starting Nmap 5.21 ( http://nmap.org ) at 2010-11-22 10:05 Московское время (зима)
Nmap scan report for dcserv.virage.local (192.168.0.222)
Host is up (0.00s latency).
Not shown: 97 open|filtered ports
PORT STATE SERVICE
137/udp open netbios-ns
138/udp closed netbios-dgm
1900/udp closed upnp
MAC Address: 1C:C1:DE:F4:B7:50 (Unknown)
Nmap done: 1 IP address (1 host up) scanned in 1.89 seconds

Как это понять? Устанавливаю внешний источник времени, а он все равно локальный!?

Код: C:\Windows\system32>W32TM /query /status
Индикатор помех: 0(предупреждений нет)
Страта: 1 (основная ссылка - синхронизирована по радиочасам)
Точность: -6 (15.625ms за такт времени)
Задержка корня: 0.0000000s
Дисперсия корня: 10.0000000s
Идентификатор опорного времени: 0x4C4F434C (имя источника: "LOCL")
Время последней успешной синхронизации: 22.11.2010 9:36:57
Источник: Local CMOS Clock
Интервал опроса: 10 (1024s)


C:\Windows\system32>w32tm /config /manualpeerlist:pool.ntp.org /reliable:yes /update
Команда выполнена успешно.

C:\Windows\system32>W32TM /query /status
Индикатор помех: 0(предупреждений нет)
Страта: 1 (основная ссылка - синхронизирована по радиочасам)
Точность: -6 (15.625ms за такт времени)
Задержка корня: 0.0000000s
Дисперсия корня: 10.0000000s
Идентификатор опорного времени: 0x4C4F434C (имя источника: "LOCL")
Время последней успешной синхронизации: 22.11.2010 22:29:24
Источник: Local CMOS Clock
Интервал опроса: 6 (64s)

villord Командную строку запускал Run As admin?
вот так попробуй:
w32tm /config /manualpeerlist:"pool.ntp.org,0x8" /syncfromflags:manual /reliable:yes /update

net stop w32time && net start w32time

Вопрос решен. Ноги росли из забытой всеми политики, которая перенеслась при миграции домена. Она то и путала карты. Конфиг. комп - Админ шаблоны - Система - Служба времени Windows - Поставщики времени, значение параметра Включить NTP-клиент Windows, установите "Не задано"

Привет! У меня похожая ситуация, в домене один контролер домена на win server 2008 r2. На контролере настроено автоматическая синхронизация времени с инетом. Я начал потихоньку в домен присоединять компы с клонированной ос, время там стоит неправильное, по идеи компы должны обновляться автоматически от контролера, но компы не обновили время уже по крайней мере 3 дня. В общем через сколько времени они обновятся? Хочу чтобы они обновлялись от контролера, а контролер от инета. Как запустить обновление принудительно, или как покапаться в настройках чтобы все заработало желательно через gpo.

Allianceknight Если станция введена в домен, то она автоматом будет брать время с доменконтроллера (DC). Но время на станции не должно сильно отличаться от времени на DC. Если у вас там вообще год или месяц другой, то синхронизация не пройдет. Выставьте на станции дату и время приблизительно как на DC, пусть на 3-5 минут будет отличаться. перегрузите станцию или выдайте в командной строке:
w32tm /resync
и проверьте время.
возможно эту команду или командную строку нужно запускать с правами админа.

Все впрорядке, разобрался все и так работало оказалось после клонирования часовой пояс изменился на -12. Пояс поменял и все стало нормально. И еще вопрос как настроить авто синхронизацию контролера с интернетом.

Allianceknight
можно через GPO
но не забудьте проверить что сервер ваш может выходить на 123 NTP порт

Хочу реанимировать тему...
Есть домен в локальной сети, соответственно DC не имеет линка в WWW. В WWW смотрит только WSUS, но через него выход запрещен. На WSUS синхронизация времени с интернетом настроена, как в свою очередь синхронизировать время DC и WSUS?

Цитата:

Вопрос решен. Ноги росли из забытой всеми политики, которая перенеслась при миграции домена. Она то и путала карты. Конфиг. комп - Админ шаблоны - Система - Служба времени Windows - Поставщики времени, значение параметра Включить NTP-клиент Windows, установите "Не задано"

+1 (для Windows Server 2012)
Default Domain Policy - Computer Configuration - Policies - Administrative Templates - System - Windows Time Service - Time Providers:
Enable Windows NTP Client = Not Configured

добрый день!

Нужна срочная помощь!
После перехода времени на летний режим компы не синхронизируют с домен сервером!

Где копать?

как у пользователей доена убрать авто синхронизацию времени и сделать так чтоб они брали время от доен сервера?!

Время показывает разницу на час? При том что указаны одни и те же часовые пояса? Тут дело не в синхронизации, а в отсутствии последнего KB 2998527. На сайте мелкософта можно скачать и обновить.

kotlyaranat

Спасибо все заработало!