Come trovare time server in un dominio?

32

In un dominio Windows PDC non è necessariamente il time server del dominio. Come posso identificare il time server autorevole?

active-directory 
Hrvoje Zlatar
fonte

Risposte:

25

Suppongo che tu stia cercando il server utilizzato dal servizio W32Time per eseguire la sincronizzazione dell'ora sui computer membri del dominio.

In una distribuzione di Active Directory di serie, l'unico computer configurato con un server orario esplicitamente sarà il computer che detiene il ruolo FSMO dell'emulatore PDC nel dominio radice della foresta. Tutti i controller di dominio nel dominio radice della foresta sincronizzano l'ora con il detentore del ruolo FSMO dell'emulatore PDC. Tutti i detentori di ruoli FSMO dell'emulatore PDC nei domini figlio sincronizzano il proprio tempo con i controller di dominio nel proprio dominio principale (incluso, potenzialmente, il detentore del ruolo FSMO dell'emulatore PDF nel dominio radice della foresta). Tutti i computer membri del dominio sincronizzano l'ora con i computer del controller di dominio nei rispettivi domini.

Per determinare se un membro del dominio è configurato per la sincronizzazione dell'ora del dominio, esaminare il valore REG_SZ in HKLM \ System \ CurrentControlSet \ Services \ W32Time \ Parameters \ Type. Se è impostato su "Nt5DS", il computer sta sincronizzando l'ora con la gerarchia temporale di Active Directory. Se è configurato con il valore "NTP", il computer sta sincronizzando l'ora con il server NTP specificato nel valore NtpServer REG_SZ nella stessa chiave di registro.

I dettagli di basso livello del protocollo di sincronizzazione dell'ora sono disponibili in questo articolo: Funzionamento del servizio ora di Windows

Fai attenzione che non tutti i controller di dominio (i KDC, come ti dirige James nella ricerca tramite DNS nel suo post) potrebbero eseguire un servizio orario. In una distribuzione AD di serie, tutti i controller di dominio lo saranno, ma alcune distribuzioni potrebbero utilizzare controller di dominio virtualizzati in cui il servizio W32Time è disabilitato (per facilitare la sincronizzazione temporale basata su hypervisor) e, come tale, probabilmente si farebbe bene a implementare le funzionalità come descritto da l'articolo "Come funziona il servizio orario di Windows" se stai sviluppando un software che deve sincronizzare l'ora nello stesso modo in cui farebbe un computer membro del dominio.

Evan Anderson
fonte
Scusa se sto svegliando un argomento "dormiente" qui, ma potresti elaborare come gestire correttamente il tempo su un dominio con più di un controller? Diciamo, ci sono 5 controller (Windows 2003 AD). Quello con il ruolo PDC dovrebbe essere impostato per avere "Tipo" NTP e query e server esterno Ntpserver (cioè time.windows.com), e avere il resto solo per avere "NT5DS"? Avvisami se vuoi che pubblichi questo come una domanda separata. Grazie!
24

Alcuni comandi utili

Sincronizzazione (richiede diritti di amministratore):

w32tm /resync /nowait

Sincronizzazione con un computer specifico (richiede diritti di amministratore):

w32tm /resync /nowait /computer:computername

Mostra server attualmente in uso (richiede diritti di amministratore):

w32tm /query /source

Ricontrolla se funziona:

w32tm /monitor /domain:mydomain.com

Vedi le impostazioni:

w32tm /dumpreg /subkey:parameters

Quindi guarda il tipo:

  • NoSync
    Il client non sincronizza l'ora.

  • NTP
    Il client sincronizza l'ora da un'origine temporale esterna. Rivedere i valori nella riga NtpServer nell'output per vedere il nome del server o dei server che il client utilizza per la sincronizzazione dell'ora.

  • NT5DS
    Il client è configurato per utilizzare la gerarchia del dominio per la sincronizzazione dell'ora.

  • AllSync
    Il client sincronizza l'ora da qualsiasi origine temporale disponibile, inclusa la gerarchia del dominio e le fonti temporali esterne.

Impostazioni di registro trovate qui:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters]
"NtpServer"=""
"Type"="NT5DS"
user27387
fonte
15

L'autorevole di dominio è di solito l' emulatore PDC , a sua volta, altri controller di dominio si sincronizzeranno da esso.

Per determinare chi detiene attualmente il ruolo di emulatore PDC nel tuo dominio, usa:

netdom query fsmo

Per altri modi per determinare i detentori di ruoli di FSMO, vedere l'articolo Determinazione dei detentori di ruoli di FSMO .

Maggiori informazioni sull'argomento nell'articolo TechNet Come funziona il servizio ora di Windows .

Katriel
fonte
Grazie per il link! Il motivo per cui l'ho chiesto è che ho ricevuto risposte diverse su due comandi apparentemente uguali. Quando utilizzo il tempo netto ottengo L'ora corrente su \\ PDC è ..., ma quando utilizzo il tempo / dominio netto ottengo L'ora corrente su \\ Secondary_DC è ... Vorrei sapere quale viene utilizzato per la sincronizzazione? w32tm / monitor ha restituito entrambi i server. PDC è sincronizzato con origine esterna, mentre Secondary_DC è sincronizzato con PDC.
Hrvoje Zlatar,
1
Il comando "NET TIME ... / SET" è legacy e obsoleto. In un dominio AD con una buona comunicazione tra i controller di dominio e i client e una sorgente temporale esterna alla foresta configurata sul detentore del ruolo dell'emulatore PDC sulla sincronizzazione temporale delle caselle fisiche "funzionerà". Se stai portando le VM nel mix (in particolare i computer con controller di dominio virtuale) devi pensare alla sincronizzazione del tempo a livello di hypervisor e non utilizzare W32Time.
Evan Anderson,
1

In un dominio Windows correttamente impostato, il controller di dominio che detiene il ruolo di emulatore PDC (non ci sono "PDC" in AD) sarà il server del tempo per il dominio. Nessun'altra macchina nel dominio , inclusi altri controller di dominio, dovrebbe avere un time server impostato. Affatto. La sincronizzazione del tempo verrà quindi gestita in base alla gerarchia del dominio e avrai un ambiente "imposta una volta e dimentica", almeno per quanto riguarda il tempo, e fino a quando non arriverai a spostare il ruolo dell'emulatore PDC su un altro server.

Se è necessario eseguire una manutenzione regolare o in corso sulla configurazione del time server, qualcosa non è corretto.

Maximus Minimus
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.