В Windows 7 не происходит синхронизация времени с сервером

В Windows 7 не происходит синхронизация времени с сервером

Проблема по сути такова: не функционирует синхронизация времени по интернету с серверами времени в Windows 7. Причем ни автоматически, ни вручную. При инициации «обновить сейчас» после полуминутных раздумий выдает «Произошла ошибка при получении состояния последней синхронизации. Сервер RPC не доступен».

Проблем с подключением к сети нет, время суток и смена сервера значения не имеют — результат один и тот же. Возможно, кто-то подскажет решение. Заранее благодарен.

Константин задал(а) этот вопрос 25 сентября 2013

Ответы:

prouser | 21 марта 2016, 20:04
ntp.mobatime.ru помог, спасибо!

Владимир | 31 декабря 2014, 02:30
Изменение сервера времени на ntp.mobatime.ru мгновенно решило проблему синхронизации (Windows 8.1 Prof). Спасибо!

Евгений | 1 декабря 2014, 19:53
KB2998527 — вот это обновление качаете, ставите и радуетесь.

Владимир | 7 сентября 2014, 21:45
Спасибо. Все работает.

Владимир | 19 августа 2014, 12:32
Спасибо. Все правильно. Совет с ntp.mobatime.ru очень помог.

Олег | 10 июля 2014, 10:29
Огромное спасибо. «ntp.mobatime.ru» помог.

Руслан | 23 июня 2014, 22:54
Совет с «ntp.mobatime.ru» помог. Спасибо, Сергей.

Константин | 1 октября 2013, 14:06
Спасибо seroz за совет. Действительно, самые простые решения почему-то в голову сразу не приходят. Установил стороннюю программу SP TimeSync (сугубо из-за наличия русской локализации) и проблема решена. Еще раз спасибо.

seroz | 27 сентября 2013, 22:22
А пробовали включить «Дополнительные часы» (на вкладке — Дополнительные часы)? Там можно выбрать часовой пояс.

Если «и результата они не дали», то может тогда попробовать поставить стороннюю программу часов (со своим сервером)?

Константин | 26 сентября 2013, 16:33
Дело в том, что все общепринятые методы борьбы с этой проблемой мной давно испытаны (типа указанных на http://inetedu.ru/articles/19-services/70-synchronization-time.html) и результата они не дали. Собственно, поэтому и поднял свой вопрос.

Тоже Админ

Для управлением службой времени в Windows используется команда win32tm.exe.

Посмотреть текущие настройки службы времени (выполнять из консоли с правами администратора):

w32tm /query /configuration

Посмотреть текущее состояние службы времени можно командой:

w32tm /query /status

Чтобы понять, что это нам там Windows выводит на экран, нужно разобраться как Windows работает со временем. Служба времени зависит от того является ли компьютер частью централизовано администрируемого домена или нет.

Возможные две ситуации:

• компьютер (сервер) входит в состав рабочей группы, т.е. это домашний компьютер или компьютер в небольшом офисе;
• компьютер (сервер) входит в состав домена Active Directory.

Компьютер входит в состав рабочей группы.

В этом случае централизованного управления компьютером нет, он сам заботиться о синхронизации времени. На нем вывод команды
w32tm /query /configuration будет следующим.

Обратите внимание на параметры:
SpecialPollInterval — интервал синхронизации в секундах, 604800 секунд — это неделя, т.е. синхронизация будет проводиться раз в неделю.
Type — определяет источник синхронизации времени. Возможные значени параметра Type:
NoSync. Служба времени вообще не синхронизируется ни с чем.
NTP. Служба времени синхронизируется с серверами указынными в параметре NtpServer. Типично для домашних компьютеров. Как на скриншоте вверху.
NT5DS. Служба времени синхронизируется используя доменную иерархию (только для компьютеров — членов домена Active Directory). Как на самом первом скриншоте.
AllSync. Служба времени использует все возможные механизмы для синхронизации.
NtpServer — указывает сервреры, с которым может синхроинизировать время компьютер.

Как можно видеть, по умолчанию интервал синхронизации 1 неделя, сервер time.windows.com, значение Type NTP.

Компьютер входит в состав домена Active Directory.

Домен AD — иерархичная централизованная структура. Время на всех компьютерах в домене синхронизируется с контроллерами домена, а те в свою очередь синхронизируются с одним контроллером, выполняющим FSMO роль PDC-Emulator. Синхронизация времени происходит раз в 1 час.

Как узнать какой контроллер — PDC-Emulator? Простейший способ — это выполнить команду из командной строки:

netdom /query fsmo

и вот на нем то и надо настраивать синхнонизацию времени в внешним источников времени, которым является какой либо NTP сервер.

Делается это из командной строки с адмнистративными правами следующим образом (один из способов):

1. Останавливаем службу времени W32Time: C:>net stop w32time
2. Конфигурируем внешние источники синхронизации:
   C:> w32tm /config /syncfromflags:manual /manualpeerlist:”0.ru.pool.ntp.org, 1.ru.pool.ntp.org, 2.ru.pool.ntp.org”
3. Делаем PDC-Emulator надежным источником для клиентов:C:>w32tm /config /reliable:yes
4. Запускаем службу времени w32time : C:>net start w32time
5. Служба должна начать синхронизироваться. Можно проверить как применились настройки уже знакомой командой: C:>w32tm /query /configuration
6. Проверяем Event Viewer на наличие ошибок, относящихся к службе времени.

На остальных компьютерах домена вывод команды C:>w32tm /query /configuration будет следующим:

Если вы по какой-то причине поменяли конфигурацию службы времени на доменном компьютере, то чтобы вернуть настройки по-умолчанию выполните команду:
w32tm /config /syncfromflags:domhier /update

Иногда при переносе роли PDC-Emulator на другой контроллер домена, старый продолжает считает считать себя сервером времени для всего домена, что может стать причиной ошибок в Системном логе, например таких:
«The time provider NtpClient was unable to find a domain controller to use as a time source. NtpClient will try again in 15 minutes.»
и других веселых глюков. «Успокоить» его можно такой-же командой с небольшим дополнением:

w32tm /config /syncfromflags:domhier /reliable:no /update

Как найти сервер времени в домене?

В домене Windows PDC необязательно сервер времени домена. Как я могу определить авторитетный сервер времени?

4 ответа

Я предполагаю, что вы ищете сервер, используемый службой W32Time, для выполнения синхронизации времени на компьютерах с доменными именами.

В дистрибутиве Active Directory единственным компьютером, настроенным с временным сервером, явным образом будет компьютер, содержащий роль FSMO эмулятора PDC в корневом домене леса. Все контроллеры домена в корневом домене леса синхронизируют время с держателем роли FSMO эмулятора PDC. Все держатели роликов FSMO-эмулятора PDC в дочерних доменах синхронизируют свое время с контроллерами домена в своем родительском домене (в том числе потенциально обладателя роли FSMO для эмулятора PDF в корневом домене леса). Все компьютеры-члены домена синхронизируют время с компьютерами контроллера домена в своих соответствующих доменах.

Чтобы определить, настроен ли член домена для синхронизации времени домена, проверьте значение REG_SZ в HKLM System CurrentControlSet Services W32Time Parameters Type. Если установлено значение «Nt5DS», компьютер синхронизирует время с иерархией времени Active Directory. Если он настроен со значением «NTP», то comptuer синхронизирует время с сервером NTP, указанным в значении REG_SZ NtpServer в том же ключе реестра.

Информация о низкоуровневом протоколе синхронизации времени доступна в этой статье: Как работает служба времени Windows

Помните, что не каждый контроллер домена (KDC, так как Джеймс направляет вас на поиск через DNS в своем сообщении) может работать служба времени. В развертывании AD AD каждый контроллер домена будет, но некоторые развертывания могут использовать виртуализированные контроллеры домена, для которых отключена служба W32Time (для облегчения синхронизации по времени на основе гипервизора), и, как таковой, вам, вероятно, следовало бы реализовать функции, описанные в статья «Как работает служба времени Windows», если вы разрабатываете часть программного обеспечения, которая должна синхронизировать время таким же образом, что и компьютер члена домена.

Некоторые полезные команды

Повторная синхронизация (требуется права администратора):

Повторная синхронизация с конкретным компьютером (требуется права администратора):

Показывать сервер, который в настоящее время используется (требует прав администратора):

Двойная проверка, если он работает:

См. настройки:

Затем посмотрите на Type:

NoSync
Клиент не синхронизирует время.

NTP
Клиент синхронизирует время с внешним источником времени. Просмотрите значения в строке NtpServer на выходе, чтобы увидеть имя сервера или серверов, которые клиент использует для синхронизации времени.

NT5DS
Клиент настроен на использование иерархии домена для временной синхронизации.

AllSync
Клиент синхронизирует время с любым доступным источником времени, включая иерархию доменов и внешние источники времени.

Настройки реестра, найденные здесь:

Владельцем домена обычно является эмулятор PDC , в свою очередь, другие DC будут синхронизироваться с ним.

Чтобы определить, кто в настоящее время держит роль эмулятора PDC в вашем домене, используйте:

Другие способы определения держателей роли FSMO см. в статье Определение держателей роли FSMO .

Подробнее об этом читайте в статье TechNet Как Работа службы времени Windows .

В правильно настроенном домене Windows DC, в котором хранится роль эмулятора PDC (в AD нет «PDC»), будет сервером времени для домена. Никакая другая машина в домене , включая другие контроллеры домена, не должна иметь установленный сервер времени. Вообще. После этого синхронизация времени будет управляться на основе иерархии домена, и у вас будет среда «установить один раз и забыть» — по крайней мере, до тех пор, пока время не будет достигнуто, и пока вы не перейдете роль эмулятора PDC на другой сервер.

Если вам нужно выполнить какое-либо регулярное или текущее обслуживание вашей настройки сервера времени, то что-то не так.

NTP сервер на Linux Ubuntu

Опубликовано: 12.01.2018

Следить за актуальностью времени на всех узлах локальной сети удобнее с помощью сервера синхронизации времени NTP. В инструкции рассказано об установке и настройке такого сервера на Linux Ubuntu Server 16.04. Данное руководство можно использовать для настройки ntpd на любом другом Linux (например, Debian или CentOS).

Установка сервера

Устанавливаем ntp сервер следующей командой:

apt-get install ntp

Разрешаем автозапуск и стартуем сервис:

systemctl enable ntp || update-rc.d ntp defaults

systemctl start ntp || service ntp start

Настройка NTP

Открываем файл с настройками:

Настраиваем серверы, с которых наш NTP будет брать эталонное время. Например:

pool ru.pool.ntp.org iburst
server ntp2.vniiftri.ru iburst prefer
pool 0.ubuntu.pool.ntp.org iburst
pool 1.ubuntu.pool.ntp.org iburst
server 127.127.1.0

* iburst — отправлять несколько пакетов (повышает точность); ru.pool.ntp.org / 0.ubuntu.pool.ntp.org / 1.ubuntu.pool.ntp.org — адреса серверов, с которыми наш сервер будет сверять время; server — указывает на выполнение синхронизации с сервером, а не пулом серверов; prefer — указывает на предпочитаемый сервер. server 127.127.1.0 — позволит в случае отказа сети Интернет брать время из своих системных часов.

restrict default kod notrap nomodify nopeer noquery
restrict 192.168.0.0 mask 255.255.255.0 nomodify notrap
restrict 127.0.0.1
restrict ::1

• restrict default — задает значение по умолчанию для всех рестриктов.
• kod — узлам, которые часто отправляют запросы сначала отправить поцелуй смерти (kiss of death), затем отключить от сервера.
• notrap — не принимать управляющие команды.
• nomodify — запрещает команды, которые могут вносить изменения состояния.
• nopeer — не синхронизироваться с хостом.
• noquery — не принимать запросы.
• restrict 192.168.0.0 mask 255.255.255.0 — разрешить синхронизацию для узлов в сети 192.168.0.0/24.
• IP адреса127.0.0.1 и ::1 позволяют обмен данные серверу с самим собой.

Настройки по умолчанию могут быть разные для IPv4 и IPv6:

restrict -4 default kod notrap nomodify nopeer noquery
restrict -6 default kod notrap nomodify nopeer noquery

systemctl restart ntp || service restart ntp

Если используется брандмауэр, добавляем правило:

iptables -I INPUT 1 -p udp —dport 123 -j ACCEPT

или с помощью ufw:

ufw allow in on enp2s0 to any port 123 proto udp

* где enp2s0 — сетевой интерфейс, на котором слушает наш сервер.

Дополнительные настройки

Настройка файла хранения логов:

Тестирование

Проверить состояние получения эталонного времени можно командой:

Мы должны увидеть, примерно, следующее:

remote refid st t when poll reach delay offset jitter
==============================================================================
ru.pool.ntp.org .POOL. 16 p — 64 0 0.000 0.000 0.000
ntp.ubuntu.com .POOL. 16 p — 64 0 0.000 0.000 0.000
*91.189.94.4 17.253.34.253 2 u 58 64 377 55.802 3.790 0.412
-91.189.91.157 132.246.11.231 2 u 56 64 377 113.456 -1.746 0.334
+91.189.89.198 192.53.103.108 2 u 1 64 377 54.595 4.229 0.608
+91.189.89.199 17.253.34.253 2 u 61 64 377 54.061 2.637 0.557

• remote — адрес сервера времени, с которым синхронизируется наш сервер;
• refid — вышестоящий сервер (с которым сервер из графы выше получает время);
• st — уровень сервера (stratum);
• t — пир (unicast или multicast);
• when — когда последний раз сверялось время;
• poll — периодичность синхронизации с этим сервером;
• reach — состояние работоспособности. Если удалось произвести синхронизации восемь раз в подряд становится равным 377;
• delay — время задержки;
• offset — разница между нашим временем и временем на сервере; положительное — наши часы спешат, отрицательное — отстают;
• jitter — смещение времени на удаленном сервере;
• * — с этим сервером синхронизирует время наш ntpd;
• + — сервер можно использовать для сверки часов;
• — — не рекомендован для синхронизации;
• x — не доступен.

Проверить отдачу времени сервером можно введя команду на другом Linux:

Правильный ответ имеет следующий вид:

ntpdate[3576]: adjust time server 192.168.0.15 offset 0.017657 sec

* время было рассинхронизировано на 0.017657 секунд.

Отобразить текущее время можно командой:

Если после синхронизации время некорректно, настраиваем правильный часовой пояс:

cp /usr/share/zoneinfo/Europe/Moscow /etc/localtime

* московское время (GMT+3).

Настройка клиента Linux

Для клиентов можно выбрать 2 стратегии настройки — с помощью ntp или утилиты ntpdate.

apt-get install ntp

CentOS / Red Hat:

yum install ntp

В настройка /etc/ntp.conf в качестве сервера оставляем только наш локальный сервер, например:

Остальные pool и server удаляем или комментируем.

systemctl restart ntp || service restart ntp

ntpdate

Утилита командной строки выполняет разовую синхронизацию. Чтобы автоматизировать процесс, добавляем задание в cron:

0 0 * * * /usr/sbin/ntpdate 192.168.0.15

* в данном примере задание будет выполняться раз в день в 00:00. /usr/sbin/ntpdate — полный путь расположения утилиты, в разных системах может быть разным — проверить стоит командой which ntpdate.

Настройка клиента Windows

В командной строке выполняем:

w32tm /config /manualpeerlist:"192.168.0.15,0×8" /syncfromflags:manual /update

Некоторые ошибки

1. the NTP socket is in use, exiting

Как правило, данная ошибка возникает при попытке синхронизировать время с помощью ntpdate, когда в системе работает демон ntp.

Причина: NTP сокет в системе уже занят, как правило, ntpd.

Решение: либо не использовать ntpdate, так как ntp умеет сверять время, либо отключить сервис ntpd командой service ntp stop.

2. Connection refused

Возникает при попытке выполнить команду ntpq -p.

Причина: нет разрешения на обращение к серверу.

Решение: проверьте, удастся ли выполнить запрос командой ntpq -pn 127.0.0.1 или ntpq -pn ::1. Также убедитесь, что настройка restrict позволяет серверу подключаться к самому себе по нужному протоколу.

3. no server suitable for synchronization found

Ошибка появляется при попытке синхронизировать время с другим сервером синхронизации.

Причина: сервер синхронизации не доступен по одной из причин: 1) не работает или выключен, 2) установлен restrict, 3) на сервере не запущен ntpd, 4) нет сетевой доступности из-за проблем на сети или брандмауэра.

Настройка сервера времени на домен контроллере

Задача: разобрать действия по организации сервиса времени для всей локальной сети дабы рабочие станции, сервера получали точное время и оно везде было одинаковым . Сервис времени организовывается на домен контроллере под управлением операционной системы Windows Server 2012 R2, также действия ниже аналогичны и для Server 2008 R2

Схема: интернет — Mikrotik — DC — Workstations

Открываю на srv-dc консоль командной строки с правами администратора:

Win + X — Command Prompt (Admin)

Определяю какой домен контроллер (Windows Server 2012 R2 Std) имеет роль PDC если домен контроллеров несколько в домене:

C:Windowssystem32>netdom query fsmo

• Schema master srv-dc.polygon.local
• Domain naming master srv-dc.polygon.local
• PDC srv-dc.polygon.local
• RID pool manager srv-dc.polygon.local
• Infrastructure master srv-dc.polygon.local

The command completed successfully.

Как видно из вывода, это контроллер домена srv-dc.polygon.local, подключаюсь теперь к нему по RDP или VNC соединению для выполнения следующих команд:

C:Windowssystem32>net stop w32time

Настраиваем внешний источник времени:

C:Windowssystem32>w32tm /config /syncfromflags:manual /manualpeerlist:»0.pool.ntp.org»

Cделать ваш контроллер домена PDC доступным для клиентов:

C:Windowssystem32>w32tm /config /reliable:yes

Запускаю службу времени:

C:Windowssystem32>net start w32time

Также можно изменения вносить и через реестр в ключе: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParameters

Чтобы после принудительно запросить получение точного времени проделываем:

C:Windowssystem32>W32tm /config /reliable:yes

The command completed successfully.

C:Windowssystem32>W32tm /config /update

The command completed successfully.

C:Windowssystem32>W32tm /resync

Sending resync command to local computer

The command completed successfully.

Вот и все, служба времени Windows начинает синхронизацию времени с внешним источником, посмотреть этот процесс можно так:

C:Windowssystem32>w32tm /query /configuration

После нужно добавить параметр в DHCP оснастку, что сервер времени это наш домен контроллер:

Win + X — Control Panel — Administrative Tools — запускаю оснастку DHCP: DHCP → srv-dc.polygon.local → IPv4 → Scope [10.10.10.0] local → и через правый клик мышью по Scope Options вызываю меню Configure Options… где добавляю опцию для всего домена: 042 NTP Servers

Теперь доменные Windows станции будут знать, что сервер времени это домен контроллер, а для моих Ubuntu системы после установке sudo apt-get install ntp -y в файле /etc/ntp.conf нужно будет в параметре server указать IP адрес этого домен контроллера и перезапустить службу времени sudo service ntp restart.

Если же у Вас DHCP сервис развернут не на Windows, то донести до всех где брать точное время можно через групповые политики GPO. Создаем GPO_NTP и предопределяем, что ориентирована она будет на текущий домен и все рабочие станции посредством WMI-фильтра.

Открываю оснастку на srv-dc управления групповыми политиками домена:

Win + X — Control Panel — Administrative Tools — Group Policy Management, открываю на редактирование: Group Policy Management → Forest: polygon.local → Domains → polygon.local → и через правый клик мышью по WMI Filters вызываю меню New…

• Name: W7
• Decription: Windows 7 x86/x64
• Queries: → Add
• Namespace: rootCIMv2
• Query: Select
  * from WIN32_OperatingSystem where ((Version > «6») and
  (ProductType = 1))

и
нажимаю OK, OK, Save

После перехожу к редактированию групповой политики для рабочих станции домена , через правый клик мышью по GPO_NTP вызываю меню Edit.

Computer Configuration → Policies → Administrative Tools → System → Windows Time Service → Time Providers → Configure Windows NTP Client, включаю ее Enabled и определяю настройки:

NtpServer: srv-dc.polygon.local,0x9

все остальное оставляю по умолчанию.
После нажимаю Apply & OK.

И не забываем к политике добавить WMI фильтр. В конечном итоге политика должна выглядеть так:

После когда политика применится к системам согласно WMI-фильтру можно будет проверить куда смотрит рабочая станции если ей нужно точное время:

C:Usersalektest>w32tm /query /status

Индикатор помех: 0(предупреждений нет)

Страта: 4 (вторичная ссылка — синхронизирована с помощью (S)NTP)

Точность: -6 (15.625ms за такт времени)

Задержка корня: 0.0876923s

Дисперсия корня: 7.8503892s

Идентификатор опорного времени: 0x0A0A0A02 (IP-адрес источника: 10.10.10.2)

Время последней успешной синхронизации: 30.04.2017 16:46:38

Интервал опроса: 10 (1024s)

C:Usersalektest>w32tm /monitor

srv-dc.polygon.local *** PDC ***[10.10.10.2:123]:

ICMP: 0ms задержка

NTP: +0.0000000s смещение относительно srv-dc.polygon.local

RefID: ground.corbina.net [85.21.78.91]

На замету: Если же в локальной сети появятся рабочие станции под управлением Windows 8 и выше, то нужно будет модифицировать WMI фильтр.

Но как известно, в случае чего с домен контроллером его роли можно забирать, так может произойти в случае различных проблем. Вот забрали роль PDC и время поехало во всем домене, чтобы этого не произошло нужно создать групповую политику ориентированную только на домен контроллер с ролью PDC: GPO_PDC и WMI фильтр с именем PDC следующего содержания:

Select * from Win32_ComputerSystem where DomainRole = 5

Computer Configuration → Policies → Administrative Tools → System → Windows Time Service → Time Providers → Configure Windows NTP Client, включаю ее Enabled и определяю настройки:

NtpServer: 0.pool.ntp.org,0x9

все
остальное оставляю по умолчанию.
После нажимаю Apply & OK.

и Computer Configuration → Policies → Administrative Tools → System → Windows Time Service → Time Providers -> Enable Windows NTP Client включить Enable.

Также параметр Type вместо NT5DS можно использовать и NTP

И не забываем к политике добавить WMI фильтр ← PDC. Теперь не важно кто является домен контроллером, точное время на нем будет.

А раз так, что рабочие станции не обязательно привязывать/создавать к политике назначения точного времени, ведь по умолчанию рабочие станции домена, итак, забирают точное время с контроллера домена по умолчанию.

• Настраиваю GPO и привязываю ее через WMI фильтр к серверу у которого есть роль PDC
• В оснастке DHCP указываю параметр кто в домене является сервером у которого клиентским рабочим станциям запрашивать точное время.
• Если DHCP не на базе Windows, то можно настроить GPO и сделать нацеливание на определенную ось.

На заметку: Если домен контроллер развернут на виртуальной системе, то следует проверить, что время берется не с гипервизора, а через настройку этой заметки.

На заметку: если роль PDC б ыла переназначена на другой сервер, то я советую перезагрузить домен контроллер и все остальные также.

На этом у меня все. Задача выполнена и задокументирована, с уважением автор блога Олло Александр aka ekzorchik.