Windows Time Service, meskipun sangat sederhana, adalah salah satu hal penting untuk berfungsinya domain Active Directory secara normal. Dalam lingkungan AD yang dikonfigurasi dengan benar, layanan waktu berfungsi sebagai berikut: komputer pengguna menerima waktu yang tepat dari pengontrol domain terdekat tempat mereka terdaftar. Semua pengontrol domain pada gilirannya menerima waktu yang tepat dari DC dengan peran FSMO "Emulator PDC", dan pengontrol PDC menyinkronkan waktunya dengan sumber waktu eksternal tertentu. Satu atau beberapa server NTP, misalnya time.windows.com atau server NTP penyedia Internet Anda, dapat bertindak sebagai sumber waktu eksternal. Perlu juga dicatat bahwa secara default klien waktu domain disinkronkan menggunakan Layanan Waktu Windows (Waktu Windows), dan tidak menggunakan protokol NTP.
Jika Anda dihadapkan pada situasi di mana waktu pada klien dan pengontrol domain berbeda, mungkin domain Anda memiliki masalah dengan sinkronisasi waktu dan artikel ini akan berguna bagi Anda.
Pertama-tama, pilih server NTP yang sesuai yang dapat Anda gunakan. Daftar server NTP yang tersedia untuk umum tersedia di http://ntp.org. Dalam contoh kita, kita akan menggunakan server NTP dari pool ru.pool.ntp.org:
- 0.ru.pool.ntp.org
- 1.ru.pool.ntp.org
- 2.ru.pool.ntp.org
- 3.ru.pool.ntp.org
Menyiapkan sinkronisasi waktu dalam domain menggunakan kebijakan grup terdiri dari dua langkah:
1) Membuat GPO untuk pengontrol domain dengan peran PDC
2) Membuat GPO untuk pelanggan (opsional)
Mengkonfigurasi Kebijakan Sinkronisasi NTP pada Pengontrol Domain PDC
Langkah ini melibatkan mengkonfigurasi pengontrol domain dengan peran emulator PDC untuk menyinkronkan waktu dengan server NTP eksternal. Karena secara teoritis, peran emulator PDC dapat dipindahkan antara pengontrol domain, kita perlu membuat kebijakan yang hanya berlaku untuk pemilik peran PDC saat ini. Untuk melakukan ini, di konsol manajemen Konsol Manajemen Kebijakan Grup (GPMC.msc), buat Filter Kebijakan Grup WMI baru. Untuk ini, di bagian Filter Wmi buat filter dan nama Emulator PDC dan permintaan WMI: Pilih * dari Win32_ComputerSystem di mana DomainRole = 5
Lalu buat GPO baru dan tetapkan ke wadah Domain Controllers.
Beralih ke mode pengeditan kebijakan dan perluas bagian kebijakan berikut: Konfigurasi Komputer-> Template Administratif-> Sistem-> Layanan Waktu Windows-> Penyedia Waktu
Kami tertarik pada tiga politisi:
- Konfigurasikan Klien Windows NTP: Diaktifkan (pengaturan kebijakan dijelaskan di bawah)
- Aktifkan Klien Windows NTP: Diaktifkan
- Aktifkan Windows NTP Server: Diaktifkan
Dalam pengaturan kebijakan Konfigurasikan Klien Windows NTP tentukan parameter berikut:
- NtpServer: 0.ru.pool.ntp.org, 0x1 1.ru.pool.ntp.org, 0x1 2.ru.pool.ntp.org, 0x1 3.ru.pool.ntp.org, 0x1
- Jenis: NTP
- CrossSiteSyncFlags: 2
- ResolvePeerBackoffMinutes: 15
- Selesaikan Peer BAckoffMaxTimes: 7
- SpecilalPoolInterval: 3600
- Label acara: 0
Terapkan filter yang dibuat sebelumnya Emulator PDC untuk kebijakan ini.
permintaan netdom fsmoTetap memperbarui kebijakan di PDC:gpupdate / force
Secara otomatis memulai sinkronisasi waktu:w32tm / sinkronisasi ulang
Periksa pengaturan NTP Anda saat ini:w32tm / permintaan / status
w32time berhenti bersih
w32tm.exe / batalkan registrasi
w32tm.exe / daftar
mulai bersih w32timeMengkonfigurasi sinkronisasi waktu pada klien domain
Di lingkungan Active Directory, secara default, klien domain menyinkronkan waktu mereka dengan pengontrol domain (opsi Nt5DS - sinkronisasi waktu sesuai dengan hierarki domain). Biasanya, rangkaian ini berfungsi dan tidak memerlukan konfigurasi ulang. Namun, jika ada masalah dengan sinkronisasi waktu pada klien domain, Anda dapat mencoba memaksa server waktu untuk ditugaskan ke klien menggunakan GPO.
Untuk melakukan ini, buat GPO baru dan tetapkan ke kontainer (OU) dengan komputer. Di editor GPO, buka Konfigurasi Komputer -> Template Administratif -> Sistem -> Layanan Waktu Windows -> Penyedia Waktu dan memungkinkan kebijakan Konfigurasikan Klien Windows NTP.
Untuk server NTP, tentukan nama PDC atau alamat ip, misalnya, msk-dc1.winitpro.ru, 0x9, dan NT5DS sebagai jenis sinkronisasi
Perbarui pengaturan kebijakan grup Anda pada klien dan verifikasi bahwa klien telah berhasil menyinkronkan waktu mereka dengan PDC.
Kiat. Skema ini hanya berlaku untuk domain kecil. Untuk domain terdistribusi besar dengan sejumlah besar DC dan situs, Anda harus membuat kebijakan terpisah untuk setiap situs sehingga klien menyinkronkan waktu mereka dengan DC di situs.
