Máy khách Ntp để đồng bộ hóa thời gian. Cài đặt ntp trong Ubuntu. Định cấu hình Chính sách đồng bộ hóa NTP trên Bộ điều khiển miền PDC

Thiết lập máy chủ NTP trong Windows

Kể từ Windows 2000, tất cả các hệ điều hành Windows đều có dịch vụ thời gian W32Thời gian. Dịch vụ này được thiết kế để đồng bộ hóa thời gian trong một tổ chức. W32Time chịu trách nhiệm vận hành cả phần máy khách và máy chủ của dịch vụ thời gian và cùng một máy tính có thể đồng thời vừa là máy khách vừa là máy chủ NTP (Giao thức thời gian mạng).

Theo mặc định, dịch vụ thời gian của Windows được cấu hình như sau:

Khi bạn cài đặt hệ điều hành, Windows khởi động máy khách NTP và đồng bộ hóa với nguồn thời gian bên ngoài;
Khi bạn thêm máy tính vào miền, kiểu đồng bộ hóa sẽ thay đổi. Tất cả các máy khách và máy chủ thành viên trong miền đều sử dụng bộ điều khiển miền để đồng bộ hóa thời gian nhằm xác minh tính xác thực của chúng;
Khi một máy chủ thành viên được nâng cấp lên bộ điều khiển miền, máy chủ NTP sẽ được khởi chạy trên đó, sử dụng bộ điều khiển có vai trò trình mô phỏng PDC làm nguồn thời gian;
Trình mô phỏng PDC, nằm trong miền gốc forest, là máy chủ thời gian chính cho toàn bộ tổ chức. Đồng thời, bản thân nó cũng được đồng bộ với nguồn thời gian bên ngoài.

Đề án này hoạt động trong hầu hết các trường hợp và không cần can thiệp. Tuy nhiên, cấu trúc của dịch vụ thời gian trong Windows không cần tuân theo hệ thống phân cấp miền và bất kỳ máy tính nào cũng có thể được chỉ định là nguồn thời gian đáng tin cậy. Để làm ví dụ, tôi sẽ mô tả việc thiết lập máy chủ NTP trong Windows Server 2008 R2, mặc dù quy trình này không thay đổi nhiều kể từ Windows 2000.

Khởi động máy chủ NTP

Tôi cần lưu ý ngay rằng dịch vụ thời gian trong Windows Server (từ 2000 đến 2012) không có giao diện đồ họa và được định cấu hình từ dòng lệnh hoặc bằng cách chỉnh sửa trực tiếp sổ đăng ký hệ thống. Cá nhân tôi thích phương pháp thứ hai hơn, vì vậy hãy vào sổ đăng ký.

Vì vậy, điều đầu tiên chúng ta cần làm là khởi động máy chủ NTP. Mở chi nhánh đăng ký
HKLM\System\CurrentControlSet\services\W32Time\TimeProviders\NtpServer.
Ở đây để kích hoạt tham số máy chủ NTP Đã bật cần thiết lập giá trị 1 .

Sau đó chúng ta khởi động lại dịch vụ thời gian bằng lệnh dừng mạng w32time && bắt đầu mạng w32time

Sau khi khởi động lại dịch vụ NTP, máy chủ đã hoạt động và có thể phục vụ khách hàng. Bạn có thể xác minh điều này bằng lệnh w32tm /query /configuration. Lệnh này hiển thị danh sách đầy đủ các tham số dịch vụ. phần nếu Máy chủ Ntp chứa chuỗi Đã bật:1, thì mọi thứ đều ổn, máy chủ thời gian đang chạy.

Để máy chủ NTP phục vụ máy khách, đừng quên mở cổng UDP 123 trên tường lửa cho lưu lượng vào và ra.

Cài đặt máy chủ NTP cơ bản

Máy chủ NTP đã được kích hoạt, bây giờ chúng ta cần cấu hình nó. Mở nhánh đăng ký HKLM\System\CurrentControlSet\services\W32Time\Parameters. Ở đây chúng ta chủ yếu quan tâm đến tham số Kiểu, trong đó chỉ định loại đồng bộ hóa. Nó có thể nhận các giá trị sau:

Không đồng bộ - Máy chủ NTP không được đồng bộ hóa với bất kỳ nguồn thời gian bên ngoài nào. Nó sử dụng đồng hồ được tích hợp trong chip CMOS của chính máy chủ;
NTP - Máy chủ NTP được đồng bộ hóa với máy chủ thời gian bên ngoài được chỉ định trong cài đặt đăng ký Máy chủ Ntp;
NT5DS - Máy chủ NTP đồng bộ hóa theo hệ thống phân cấp tên miền;
Đồng bộ hóa tất cả - Máy chủ NTP sử dụng tất cả các nguồn có sẵn để đồng bộ hóa.

Giá trị mặc định cho máy tính là một phần của miền là NT5DS, đối với một máy tính độc lập - NTP.

Và tham số Máy chủ Ntp, chỉ định máy chủ NTP mà máy chủ này sẽ đồng bộ hóa thời gian. Theo mặc định, tham số này chứa máy chủ Microsoft NTP (time.windows.com, 0x1); nếu cần, bạn có thể thêm một số máy chủ NTP khác bằng cách nhập tên DNS hoặc địa chỉ IP của chúng, phân tách bằng dấu cách. Ví dụ: bạn có thể xem danh sách các máy chủ thời gian có sẵn.

Bạn có thể thêm cờ vào cuối mỗi tên (ví dụ: ,0x1) xác định chế độ đồng bộ hóa với máy chủ thời gian. Các giá trị sau được cho phép:

0x1– SpecialInterval, sử dụng khoảng thời gian bỏ phiếu đặc biệt;
0x2– Chế độ UseAsFallbackOnly;
0x4– SymmetricActive, chế độ hoạt động đối xứng;
0x8– Client, gửi yêu cầu ở chế độ client.

Khi sử dụng cờ SpecialInterval, giá trị khoảng phải được đặt trong khóa Khoảng thời gian thăm dò đặc biệt. Khi cờ UseAsFallbackOnly được đặt, dịch vụ thời gian sẽ được thông báo rằng máy chủ này sẽ được sử dụng làm bản sao lưu và trước khi đồng bộ hóa với nó, các cuộc gọi sẽ được thực hiện đến các máy chủ khác trong danh sách. Chế độ hoạt động đối xứng được sử dụng bởi máy chủ NTP theo mặc định và chế độ máy khách có thể được sử dụng trong trường hợp có sự cố đồng bộ hóa. Bạn có thể xem thêm về các chế độ đồng bộ hóa hoặc đừng bận tâm và chỉ cần cài đặt nó ở mọi nơi ,0x1(như lời khuyên của Microsoft).

Một thông số quan trọng khác Thông báo Cờ nằm trong khóa đăng ký HKLM\System\CurrentControlSet\services\W32Time\Config. Nó chịu trách nhiệm về cách máy chủ NTP tự thông báo và có thể nhận các giá trị sau:

0x0 ( Không phải máy chủ thời gian) - máy chủ không tự quảng cáo thông qua NetLogon dưới dạng nguồn thời gian. Nó có thể đáp ứng các yêu cầu NTP, nhưng hàng xóm sẽ không thể nhận ra đó là nguồn thời gian;
0x1(Luôn luôn máy chủ thời gian) - máy chủ sẽ luôn tự thông báo, bất kể trạng thái của nó;
0x2(Máy chủ thời gian tự động) - máy chủ sẽ chỉ tự thông báo nếu nhận được thời gian đáng tin cậy từ hàng xóm khác (NTP hoặc NT5DS);
0x4(Máy chủ thời gian luôn đáng tin cậy) - máy chủ sẽ luôn tự khai báo là nguồn thời gian đáng tin cậy;
0x8(Máy chủ thời gian đáng tin cậy tự động) - bộ điều khiển miền được tự động tuyên bố là đáng tin cậy nếu nó là trình mô phỏng PDC của miền gốc nhóm. Cờ này cho phép PDC chính của nhóm tự khẳng định mình là nguồn thời gian được ủy quyền cho toàn bộ nhóm, ngay cả khi không có liên lạc với các máy chủ NTP ngược dòng. Không có bộ điều khiển hoặc máy chủ thành viên nào khác (có cờ mặc định 0x2) không thể tự thiết lập nguồn thời gian đáng tin cậy nếu nó không thể tìm thấy nguồn thời gian cho chính nó.

Nghĩa Thông báo Cờ là tổng các cờ cấu thành của nó, ví dụ:

10=2+8 - Máy chủ NTP tự tuyên bố là nguồn thời gian đáng tin cậy, miễn là bản thân nó nhận được thời gian từ một nguồn đáng tin cậy hoặc là PDC của miền gốc. Cờ 10 được đặt theo mặc định cho cả thành viên miền và máy chủ độc lập.

5=1+4 - Máy chủ NTP luôn tự tuyên bố là nguồn thời gian đáng tin cậy. Ví dụ: để khai báo một máy chủ thành viên (không phải bộ điều khiển miền) là nguồn thời gian đáng tin cậy, cần có cờ 5.

Chà, hãy đặt khoảng thời gian giữa các lần cập nhật. Chìa khóa đã được đề cập ở trên chịu trách nhiệm về nó Khoảng thời gian thăm dò đặc biệt, nằm trong nhánh đăng ký HKLM\System\CurrentControlSet\services\W32Time\TimeProviders\NtpClient. Nó được chỉ định bằng giây và theo mặc định, giá trị của nó là 604800, tức là 1 tuần. Con số này là rất nhiều, vì vậy cần giảm giá trị SpecialPollInterval xuống giá trị hợp lý, chẳng hạn như 1 giờ (3600).

Sau khi cấu hình, bạn cần cập nhật cấu hình dịch vụ. Điều này có thể được thực hiện bằng lệnh w32tm /config /update. Và một số lệnh khác để định cấu hình, giám sát và chẩn đoán dịch vụ thời gian:

w32tm /monitor - sử dụng tùy chọn này, bạn có thể tìm hiểu thời gian hệ thống của máy tính này khác với thời gian trên bộ điều khiển miền hoặc các máy tính khác như thế nào. Ví dụ: w32tm/monitor/computers:time.nist.gov
w32tm /resync - sử dụng lệnh này bạn có thể buộc máy tính đồng bộ hóa với máy chủ thời gian mà nó sử dụng.
w32tm /stripchart – hiển thị chênh lệch thời gian giữa máy tính hiện tại và máy tính từ xa và có thể hiển thị kết quả ở dạng đồ họa. Ví dụ, lệnh w32tm /stripchart /computer:time.nist.gov /samples:5 /dataonly sẽ thực hiện 5 so sánh với nguồn được chỉ định và hiển thị kết quả ở dạng văn bản.

w32tm /config là lệnh chính được sử dụng để định cấu hình dịch vụ NTP. Với sự trợ giúp của nó, bạn có thể đặt danh sách máy chủ thời gian được sử dụng, loại đồng bộ hóa và hơn thế nữa. Ví dụ: bạn có thể ghi đè các giá trị mặc định và thiết lập đồng bộ hóa thời gian với nguồn bên ngoài bằng lệnh w32tm /config /syncfromflags:manual /manualpeerlist:time.nist.gov /update
w32tm /query - hiển thị cài đặt dịch vụ hiện tại. Ví dụ: lệnh w32tm /query /source sẽ hiển thị nguồn thời gian hiện tại và w32tm /query /configuration sẽ hiển thị tất cả các tham số dịch vụ.

Vâng, như là phương sách cuối cùng :)
w32tm /unregister - xóa dịch vụ thời gian khỏi máy tính.
w32tm /register – đăng ký dịch vụ thời gian trên máy tính. Trong trường hợp này, toàn bộ nhánh tham số trong sổ đăng ký sẽ được tạo lại.

Trên Internet, bạn có thể tìm thấy cả biển hướng dẫn thiết lập máy chủ thời gian - ntpd, nhưng điều trớ trêu là 95% trong số đó không hoàn toàn chính xác và các tác giả thậm chí không nhận thấy điều này hoặc không cung cấp những thông tin cần thiết. Tiếp theo, tôi sẽ cho bạn biết cách tổ chức máy chủ NTP trong Linux trên mạng cục bộ, máy chủ này sẽ đồng bộ hóa thời gian của nó với các máy chủ trên Internet và các thiết bị trên mạng cục bộ sẽ đồng bộ hóa thời gian với nó.

Một chút lịch sử. Đúng như dự đoán, tất cả bắt đầu một cách bất ngờ; máy chủ mà tôi đã thiết lập vào đêm hôm trước bị treo trong lần khởi động tiếp theo. “Tuyệt,” tôi nghĩ và đi vào nhật ký... Kết quả là lỗi của máy chủ là do dịch vụ ntpd, do cài đặt mạng không chính xác nên không thể liên hệ với máy chủ bên ngoài để đồng bộ hóa. Sau khi xem kịch bản khởi động, tôi thấy một mục thú vị:

start() ( readconf; if [ -n "$dostep" ]; then gprintf $"Đang đồng bộ hóa thời gian cho ntpd: " # cố gắng lên, một số mạng/máy chậm/... mất một lúc để có DNS cục bộ tryleft=7 while [ $triesleft -gt 0 ]; làm /usr/sbin/ntpdate -s -b $NTPDATE_OPT $tickers RETVAL=$? [ $RETVAL -eq 0 ] && break tryleft=$(($triesleft-1)) ngủ 1 lần xong bỏ đặt tryleft [ $RETVAL -eq 0 ] && thành công || thất bại lặp lại nếu [ $RETVAL -eq 0 ]; sau đó [ "$SYNC_HWCLOCK" = "yes" ] && sync_hwclock else OPTIONS="$OPTIONS -g" fi else # - g có thể thay thế grep cho máy chủ thời gian # vì nó cho phép ntpd vi phạm giới hạn 1000 giây của nó một lần. OPTIONS="$OPTIONS -g" fi # Bắt đầu daemons. [ $RETVAL -eq 0 ] && touch /var/lock/subsys/ntpd return $RETVAL )

Và bây giờ hãy chú ý đến dòng số 8. Đây là sự khởi đầu của một chu kỳ trong đó việc đồng bộ hóa thời gian thô ban đầu sẽ được thử tối đa 7 lần. Mọi thứ sẽ ổn, nhưng nếu mạng hoặc DNS của bạn được cấu hình không chính xác, nó sẽ khiến máy chủ bị treo trong 7 * (1 + thời gian để kiểm tra tính khả dụng của DNS, khoảng 5 giây) giây. Nói chung, chờ đợi một phút rõ ràng là không phù hợp với tôi, vì vậy hãy bắt đầu.

Thiết lập đồng bộ hóa ban đầu, thô

Tệp tuyệt vời /etc/ntp/step-tickers lưu trữ tên của các máy chủ thực hiện điều chỉnh ban đầu, thô (hàng trăm mili giây). Nếu bạn chắc chắn rằng mình sẽ luôn có quyền truy cập Internet, bạn có thể liệt kê tên máy chủ trong đó, ví dụ:

Nhưng nếu bạn không có kết nối Internet tại thời điểm máy chủ khởi động, thì trong một số điều kiện nhất định, điều này sẽ khiến bảng điều khiển bị treo trong một thời gian khá dài. Đó là lý do tại sao tôi xóa tất cả hồ sơ khỏi đó. Cuối cùng, tôi có thể thực hiện điều chỉnh thời gian sơ bộ theo cách thủ công. Có một tùy chọn khác để thử với các tùy chọn và điều chỉnh tập lệnh khởi chạy, nhưng đây không phải là cách của tôi. Do đó, chúng tôi tiến hành trực tiếp đến việc thiết lập một máy chủ NTP chính thức, máy chủ này sẽ đồng bộ hóa thời gian của nó với các máy chủ công cộng trên Internet và cung cấp cho những người tham gia mạng cục bộ nếu cần.

Nhiệm vụ: Tổ chức một máy chủ NTP trên mạng cục bộ, máy chủ này sẽ đồng bộ hóa thời gian của nó với Internet và các thiết bị trên mạng cục bộ sẽ đồng bộ hóa thời gian với nó.
Phân phối: Mandriva 2010.2 miễn phí phiên bản ntpd: 4.2.4p8

Thiết lập NTPD

Thế giới Linux thực sự tráng lệ, tất cả các cài đặt trong đó chỉ đơn giản là chỉnh sửa các tệp cấu hình. ntpd cũng không ngoại lệ về vấn đề này. Vì vậy, nếu bạn chưa có máy chủ ntpd, hãy cài đặt nó:

Những người muốn có thể biên dịch từ mã nguồn hoặc cài đặt nó theo cách khác, nhưng khoản phí phải trả của tôi bao gồm việc hướng dẫn cách thiết lập điều kỳ diệu này, vì trên Internet, bạn có thể tìm thấy cả biển hướng dẫn thiết lập ntpd, nhưng Điều trớ trêu là 95% trong số đó hoặc không hoàn toàn chính xác (và các tác giả thậm chí không nhận thấy điều này khi gọi các trạng thái) hoặc không cung cấp thông tin cần thiết. Vì vậy, tệp cài đặt được lưu trữ trong /etc/ntp.conf, cài đặt tối thiểu giống như thế này:

máy chủ 0.ru.pool.ntp.org máy chủ 1.ru.pool.ntp.org máy chủ 2.ru.pool.ntp.org máy chủ 3.ru.pool.ntp.org

Mỗi dòng chỉ ra một máy chủ (có thể tìm thấy danh sách các máy chủ tại đây http://www.pool.ntp.org) sẽ diễn ra quá trình đồng bộ hóa. Bốn dòng có máy chủ, tương ứng là bốn máy chủ. Mặc dù trên thực tế trong ví dụ này điều này không hoàn toàn đúng. Mỗi mục nhập trỏ đến một nhóm (nhóm) máy chủ. Khi liên hệ, chẳng hạn như địa chỉ 2.ru.pool.ntp.org, 1 địa chỉ IP máy chủ sẽ được chọn để đồng bộ hóa. Các trận đấu được cập nhật mỗi giờ một lần. Bây giờ cho một ví dụ đơn giản hơn. Tổng cộng chúng ta có 4 hộp đồng hồ. Chúng ta lấy ngẫu nhiên 1 chiếc đồng hồ từ mỗi hộp, tổng cộng chúng ta nhận được 4 chiếc đồng hồ để kiểm tra thời gian. Trong một giờ, mỗi lần chúng tôi kiểm tra thời gian, chúng tôi sẽ lấy cùng một chiếc đồng hồ. Trong một giờ nữa, nếu chúng ta quay lại những chiếc hộp này, chúng ta sẽ lấy ra một chiếc đồng hồ khác. Bằng cách này, thời gian của chúng ta sẽ được kiểm tra liên tục bằng các đồng hồ khác nhau và nếu một số trong số chúng không hoạt động thì sẽ không có gì khủng khiếp xảy ra, vì trong 1 giờ, đồng hồ địa phương của chúng ta sẽ không bị lệch đồng bộ quá nhiều. Thôi, chúng ta lạc đề rồi, hãy tiếp tục. Trước khi khởi động máy chủ ntpd, bạn cần thực hiện cài đặt thời gian sơ bộ ban đầu. Bạn chỉ cần đặt thời gian theo cách thủ công hoặc có thể thực thi lệnh (tất nhiên, nếu kết nối Internet của chúng tôi hoạt động chính xác):

Sau khi thời gian gần như được đồng bộ hóa, bạn có thể khởi động dịch vụ chính (hãy khởi động lại nó để đề phòng):

Sau đó chúng ta chạy lệnh:

Kết quả là bạn sẽ thấy một cái gì đó như:

điều chỉnh từ xa st t khi thăm dò đạt được độ trễ bù đắp jitter ================================= ========= =============================== mx.kr-pro.ru 62.149.0.30 2 u 26 64 1 22.416 77.711 0.001 phobos. bsys-net 192.36.143.151 2 u 25 64 1 32.994 64.937 0,001 webhost.mitht.r 77.105.134.138 3 u 25 64 1 68.13 4 37.119 0,001 Hornet.itconnec 77.233.172.7 3 u 24 64 1 58,604 38,047 0,001

Một lời giải thích nhỏ về cái gì là cái gì. từ xa - FQDN hoặc địa chỉ IP máy chủ; refid - Địa chỉ IP của máy chủ mà máy chủ hiện đang đồng bộ hóa từ cột từ xa; st - tầng máy chủ; t - chế độ vận hành máy chủ: "u" - unicast, "m" - multicast, "b" - phát sóng, "-" - manycast; khi nào - thời gian trôi qua kể từ phản hồi cuối cùng của máy chủ tính bằng giây hoặc “-” nếu máy chủ chưa bao giờ phản hồi (rất có thể, nó đã “chết” và đã đến lúc xóa thông tin về nó khỏi tệp cấu hình); poll - khoảng thời gian thăm dò máy chủ tính bằng giây (sau khi khởi động nó có giá trị nhỏ để việc đồng bộ diễn ra nhanh hơn, giá trị tăng dần theo thời gian); phạm vi tiếp cận - trạng thái của tám lần thử cuối cùng để yêu cầu thời gian từ máy chủ theo ký hiệu bát phân (trong trường hợp thử thành công, bit tương ứng sẽ được đặt); độ trễ - độ trễ phản hồi của máy chủ tính bằng giây; offset - giá trị quan trọng nhất - sự khác biệt giữa giờ địa phương và giờ trên máy chủ (theo thời gian giá trị giảm dần, vì thời gian trở nên chính xác hơn); jitter - phân tán, jitter pha (giá trị thấp hơn mang lại sự đồng bộ hóa chính xác hơn). Chúng tôi đợi 10 phút. Chúng tôi lặp lại lệnh và xem:

điều chỉnh từ xa st t khi thăm dò đạt được độ trễ bù đắp jitter ================================= ========= ================================================= *mx.kr- pro.ru 62.117.76.142 2 u 5 64 377 20.558 38.662 19.060 +phobos.bsys-net 192.36.143.151 2 u 6 64 377 17.726 38.447 15.132 -webhost.mitht.r 77.105. 134.138 3 u 4 64 37 7 66.744 13.451 16.257 + Hornet.itconnec 77.233.172.7 3 u 11 64 377 57.291 43.556 13.327

Vâng, đây rồi, tất cả các loại ký hiệu bổ sung đã xuất hiện và đây là ý nghĩa của chúng: “*” - máy chủ hiện đang thực hiện đồng bộ hóa, “#” - máy chủ đã được chọn để đồng bộ hóa, nhưng khoảng cách đến nó vượt quá mức tối đa có thể, “?” - máy chủ được chọn để đồng bộ hóa và sử dụng tín hiệu PPS, "+" - máy chủ được thêm vào danh sách máy chủ được chọn để đồng bộ hóa, "x" - máy chủ sử dụng thuật toán không chính xác, "." - máy chủ được chọn từ cuối danh sách máy chủ được chọn để đồng bộ hóa, "-" - máy chủ bị từ chối bởi thuật toán nhóm, khoảng trống - máy chủ có tầng quá cao và/hoặc không thể xác minh được; Bây giờ, nói một cách đơn giản, nếu chúng ta thấy “+”, “-”, “*” thì quá trình đồng bộ hóa đã bắt đầu. offset - độ lệch thời gian của chúng tôi và thời gian của máy chủ từ xa; nếu giá trị lớn hơn 100 thì đồng bộ hóa chưa thực sự xảy ra. Trên một số tài nguyên bạn có thể thấy hình ảnh sau:

điều chỉnh từ xa st t khi thăm dò đạt được độ trễ bù đắp jitter ================================= ========= ================================================= 172.22.128.8 93.185. 187,89 3 u 142 256 377 3,906 -450,41 61,937 195.200.216.16 .INIT. 16 u - 64 0 0,000 0,000 0,000 ams1.x31.com .INIT. 16 u - 64 0 0,000 0,000 0,000 mail2.mgts.by .INIT. 16 u - 64 0 0,000 0,000 0,000 *LOCAL(1).LOCL. 3 l 13 64 377 0,000 0,000 3,906

Chúng tôi thấy rằng một nửa số máy chủ (2, 3, 4) hoàn toàn không hoạt động và công việc thực sự đang diễn ra với máy chủ cục bộ và với 172.22.128.8. Chúng tôi xem xét giá trị bù đắp, cho biết rằng không có sự đồng bộ hóa nào cả! Kết luận duy nhất chúng ta có thể rút ra từ danh sách là máy chủ được đồng bộ hóa với chính nó và thời gian của nó không liên quan nhiều đến máy chủ thực tế. Hãy cẩn thận, đừng để họ đánh lừa bạn :) Chúng ta có thể dừng ở đây, nhưng bây giờ, như họ nói, chúng ta đang làm phức tạp thêm nhiệm vụ. Chúng tôi cần máy chủ của mình trở thành nguồn cung cấp thời gian cho mạng cục bộ, nhưng đồng thời không ai có thể làm điều gì xấu với máy chủ của bạn. Vấn đề là gì? Thực tế là để đồng bộ hóa thông thường, ngay cả khi bạn không định để ai đó đồng bộ hóa thời gian với mình, BẠN PHẢI mở cổng udp 123 Sau khi đọc nhiều hướng dẫn và mất một ngày lãng phí thời gian, đây là những gì tôi nhận được trong /etc/. ntp.conf:

01 # Máy chủ NPS công cộng, từ chúng tôi nhận được thời gian 02 máy chủ 0.ru.pool.ntp.org 03 máy chủ 1.ru.pool.ntp.org 04 máy chủ 2.ru.pool.ntp.org 05 máy chủ 3.ru.pool .ntp.org 06 máy chủ 0.europe.pool.ntp.org 07 máy chủ 1.europe.pool.ntp.org 08 09 # Đối với tất cả các quyền truy cập khác bị từ chối 10 hạn chế mặc định, bỏ qua 11 12 # Máy chủ NPS công cộng không thể kiểm soát cục bộ của chúng tôi máy chủ 13 hạn chế 0.ru.pool.ntp.org nomodify nottrap 14 hạn chế 1.ru.pool.ntp.org nomodify nottrap 15 hạn chế 2.ru.pool.ntp.org nomodify notrap 16 hạn chế 3.ru.pool.ntp. org nomodify nottrap 17 limit 0.europe.pool.ntp.org nomodify nottrap 18 limit 1.europe.pool.ntp.org nomodify notrap 19 20 # Máy chủ của chúng tôi cung cấp dịch vụ NTP cho mạng cục bộ, 21 # và khách hàng không thể kiểm soát chúng tôi máy chủ cục bộ 22 hạn chế 192.168.0.0 mặt nạ 255.255.0.0 nomodify nottrap nopeer 23 24 # Cần đồng bộ hóa loopback, nếu không có nó sẽ không hoạt động 25 hạn chế 127.0.0.1 nomodify nottrap

Hãy đi sâu vào nó một cách cẩn thận. Máy chủ của chúng tôi được đồng bộ hóa với 6 nhóm máy chủ bên ngoài, các dòng từ 02 đến 07. Dòng 10, chúng tôi cấm bất kỳ ai làm bất cứ điều gì với máy chủ của chúng tôi. Bây giờ chúng ta cần thêm một ngoại lệ cho các máy chủ mà máy chủ của chúng ta sẽ đồng bộ hóa, các dòng từ 13 đến 18. Đồng thời, các tham số notrap nomodify cho biết rằng không được phép thay đổi trạng thái của máy chủ CỦA CHÚNG TÔI và gửi thông báo ngoại lệ bằng máy chủ BÊN NGOÀI , tức là, để không ai trong số tôi không làm gì với những máy chủ này. Dòng 22, chúng tôi cho phép những người tham gia mạng cục bộ đồng bộ hóa thời gian với máy chủ của chúng tôi, nhưng đồng thời chúng tôi cũng đưa ra một hạn chế. Bây giờ dòng quan trọng nhất là 25, chúng ta sẽ giả định rằng đây là một vòng lặp cục bộ. Nó sẽ không hoạt động nếu không có nó. Kết quả là máy chủ của chúng tôi đồng bộ hóa với các máy chủ bên ngoài, trong khi bản thân nó là máy chủ nhưng chỉ dành cho mạng cục bộ của chúng tôi, mọi người khác đều bị từ chối quyền truy cập. Hãy khởi động lại dịch vụ một lần nữa:

Hãy đi hút thuốc, uống trà, cà phê (gạch chân nếu cần), rồi thực hiện lệnh:

điều chỉnh từ xa st t khi thăm dò đạt được độ trễ bù đắp jitter ================================= ========= ================================================= *mx.kr- pro.ru 62.117.76.142 2 u 5 64 377 20.558 38.662 19.060 +phobos.bsys-net 192.36.143.151 2 u 6 64 377 17.726 38.447 15.132 -webhost.mitht.r 77.105. 134.138 3 u 4 64 37 7 66.744 13.451 16.257 + Hornet.itconnec 77.233.172.7 3 u 11 64 377 57.291 43.556 13.327 +sinister.wzw.tu 129.69.1.153 2 u 1 64 377 80.064 48.067 14.367 +time.sunrise.ne 193.192. 225,90 3 u 3 64 377 7 2,448 22,575 14,584

Chúng tôi thấy rằng máy chủ của chúng tôi đã được đồng bộ hóa, độ lệch không vượt quá 50ms. Việc thiết lập NTPD gần như giống nhau đối với tất cả các hệ thống Xnix và về cơ bản chỉ khác nhau ở phương thức khởi chạy. Tôi khuyên mọi người cũng nên đọc bài viết mô tả tùy chọn cấu hình cho FreeBSD. http://www.sergeysl.ru/freebsd-ntpd/ Vậy thôi.

Giao thức thời gian mạng NTP (giao thức thời gian mạng; Đặc tả, triển khai và phân tích Giao thức thời gian mạng phiên bản 3, David L. Mills, RFC-1305, tháng 3 năm 1992) được sử dụng để đồng bộ hóa công việc của các quy trình khác nhau trong máy chủ và chương trình máy khách. Nó xác định kiến ​​trúc, thuật toán, đối tượng và giao thức được sử dụng cho các mục đích cụ thể. NTP lần đầu tiên được định nghĩa trong RFC-958, nhưng đã được sửa đổi và cải tiến nhiều lần kể từ đó (RFC-1119). Giao thức sử dụng UDP cho mục đích vận chuyển. Mục tiêu của giao thức là cung cấp độ chính xác và độ tin cậy cao nhất có thể, bất chấp sự thay đổi đáng kể về độ trễ khi truyền qua một số lượng lớn bộ định tuyến trung gian.

Giao thức NTP cung cấp cơ chế đồng bộ hóa với độ chính xác nano giây. Giao thức cung cấp một phương tiện để mô tả và đánh giá lỗi của đồng hồ cục bộ và máy chủ thời gian thực hiện đồng bộ hóa. Các khả năng được cung cấp để làm việc với các tiêu chuẩn chính được phân bổ theo cấp bậc, chẳng hạn như đồng hồ vô tuyến được đồng bộ hóa.

Độ chính xác có thể đạt được với NTP phụ thuộc nhiều vào độ chính xác của đồng hồ cục bộ và độ trễ vốn có. Thuật toán hiệu chỉnh thang thời gian bao gồm độ trễ, điều chỉnh tần số xung nhịp và một số cơ chế để đạt được độ chính xác đến mili giây, ngay cả sau một thời gian dài mất liên lạc với nguồn xung nhịp.

Để rõ ràng, tôi cung cấp kiến ​​trúc NTP

• Hãy cài đặt máy chủ thời gian:

CentOS: ngon quá cài đặt ntp
Arch Linux: pacman -S ntp
Ubuntu, Debian: cài đặt apt-get ntp

• Hãy chỉnh sửa tập tin cấu hình:

#vim /etc/ntp.conf

• Tôi có danh sách sau:

logfile /var/log/ntp.log
driftfile /var/lib/ntp/drift

tắt màn hình

máy chủ 31.28.161.68 iburst
máy chủ 193.67.79.202 iburst
máy chủ 62.149.0.30 iburst
máy chủ 198.123.30.132 iburst

máy chủ 127.127.1.0
fudge 127.127.1.0 tầng 10

hạn chế bỏ qua mặc định

hạn chế 127.0.0.1

• Bây giờ chi tiết hơn một chút về từng điểm:

logfile /var/log/ntp.log

Đường dẫn nơi ntp sẽ ghi nhật ký của nó

driftfile /var/lib/ntp/drift

Đường dẫn đến tập tin trôi dạt

___________________________________________

tắt màn hình

Sửa lỗ hổng cho phép sử dụng máy chủ đồng bộ hóa thời gian cho các cuộc tấn công DDoS bằng cách nhân lưu lượng truy cập

___________________________________________
máy chủ 31.28.161.68 iburst

Thêm máy chủ từ đó việc đồng bộ hóa sẽ được thực hiện

Tùy chọn "iburst" được khuyến nghị; nó sẽ gửi một loạt gói nếu không thể thiết lập kết nối đến máy chủ trong lần đầu tiên. Ngược lại, đừng bao giờ sử dụng tùy chọn "bùng nổ" mà không có sự cho phép đặc biệt, vì bạn có thể bị đưa vào danh sách đen.

___________________________________________

máy chủ 127.127.1.0
fudge 127.127.1.0 tầng 10

Hai điểm này dành cho hoạt động của máy chủ thời gian trong trường hợp mất kết nối với máy chủ tham chiếu. Với tham số fudge, chúng tôi chỉ định một tầng cho máy chủ cục bộ.

___________________________________________

hạn chế bỏ qua mặc định

Chúng tôi cấm mọi người sử dụng máy chủ thời gian của chúng tôi

___________________________________________

hạn chế 127.0.0.1

Chúng tôi cho phép bạn sử dụng máy chủ của chúng tôi cho localhost.

___________________________________________

hạn chế mặt nạ 10.0.0.0 255.0.0.0 nomodify nottrap

Chúng tôi cho phép bạn sử dụng máy chủ của chúng tôi cho mạng 10.*.

nomodify nottrap - không cho phép máy chủ/mạng con thay đổi bất kỳ cài đặt NTPD nào trên máy chủ của chúng tôi.

___________________________________________

• Chúng tôi lưu, thoát, máy chủ của chúng tôi được cấu hình, tất cả những gì còn lại là khởi động lại daemon.

CentOS: khởi động lại dịch vụ ntpd

Arch Linux: systemctl khởi động lại ntpd
Ubuntu, Debian: khởi động lại dịch vụ ntp

MởSUSE: khởi động lại dịch vụ ntp

• Chúng tôi đợi 5-10 phút, tùy thuộc vào phần cứng của bạn và xem xét

#ntpq-pn

điều chỉnh từ xa khi đạt tới độ trễ bù đắp jitter

==============================================================================

10.18.1.13 10.44.0.15 3 u 2 128 377 7.306 13.106 11.948

*10.18.0.53 198.123.30.132 2 u 62 128 377 7.156 10.279 4.308

10.18.0.52 79.53.154.33 3 u 61 128 377 7.469 1.791 4.898

127.127.1.0 .LOCL. 10 l 56 64 377 0,000 0,000 0,001

• Và bảng của chúng tôi có nghĩa như sau:

xa - tên của máy chủ ntp từ xa;

hoàn lại - máy chủ mà máy chủ ntp từ xa đồng bộ hóa (nghĩa là máy chủ ntp cho điều khiển từ xa);

st - tầng (trọng lượng) của máy chủ từ xa. Giá trị càng thấp thì thời gian trên máy chủ này càng chính xác;

t - loại ngang hàng (u = unicast, m = multicast);

khi - cho biết việc đồng bộ hóa với máy chủ đã được thực hiện cách đây bao lâu;

thăm dò ý kiến - tần số tính bằng giây mà daemon NTP đồng bộ hóa với thiết bị ngang hàng;

với tới - trạng thái sẵn có của máy chủ. Giá trị này ổn định ở mức 377 nếu 8 lần thử đồng bộ hóa cuối cùng với máy chủ từ xa thành công;

trì hoãn - sự chậm trễ trong phản hồi từ máy chủ;

bù lại - chênh lệch tính bằng mili giây giữa thời gian hệ thống và thời gian máy chủ từ xa; một giá trị có điểm trừ - độ trễ, có điểm cộng - đồng hồ của chúng tôi đang vội;

sự bồn chồn - bù thời gian trên máy chủ từ xa.

Ngoài ra, hãy chú ý đến các ký tự đặc biệt trong trường trước remote:

"*" - cho biết máy chủ được thực hiện đồng bộ hóa lần cuối;

"+" - máy chủ có thể được sử dụng như một máy chủ thời gian chính xác

"-" - không khuyến khích sử dụng.

• Bạn có thể xem trạng thái máy chủ của chúng tôi bằng cách sử dụng:

root@oto:(~)ntpstat
được đồng bộ hóa với máy chủ NTP (10.44.0.16) ở tầng 3
thời gian chính xác trong vòng 1170 ms
máy chủ bỏ phiếu cứ sau 64 giây

• Đôi khi khi đồng bộ hóa máy khách Windows ở phía máy chủ, chúng tôi có thể thấy thông báo sau:

tcpdump: nghe trên eth0, EN10MB loại liên kết (Ethernet), kích thước chụp 65535 byte
18:09:16.326827 IP (tos 0x0, ttl 125, id 26677, offset 0, cờ, UDP nguyên mẫu (17), độ dài 76)
10.5.104.11.ntp > oto.ua.mti.ntp: NTPv3, dài 48
hoạt động đối xứng, Chỉ báo bước nhảy: đồng hồ không đồng bộ (192), Tầng 0 (không xác định), thăm dò 10 giây, độ chính xác -6
Độ trễ gốc: 0,000000, Độ phân tán gốc: 1,015625, ID tham chiếu: (không xác định)
Dấu thời gian tham chiếu: 0,000000000
Dấu thời gian của người khởi tạo: 0,000000000
Nhận dấu thời gian: 0,000000000
Dấu thời gian truyền: 3961667129.750000000 (2025/07/16 18:05:29)
Người khởi tạo - Nhận dấu thời gian: 0,000000000

Người khởi tạo - Truyền dấu thời gian: 3961667129.750000000 (2025/07/16 18:05:29)

Điều này cho chúng ta biết rằng Windows không tin tưởng vào thời gian của chúng ta, có quá nhiều sự khác biệt về thời gian của máy khách và máy chủ.

Hiệu chỉnh thời gian dương và âm tối đa (chênh lệch giữa đồng hồ bên trong và nguồn đồng bộ hóa) tính bằng giây, trên đó không xảy ra đồng bộ hóa. Tôi khuyên dùng giá trị 0xFFFFFFFF, tại đó luôn có thể thực hiện chỉnh sửa.

Xin chào các độc giả và khách thân mến của trang blog, người ta nói về thời gian bao nhiêu, nó trôi qua nhanh hay chậm và ai cũng hiểu rằng nó là vô giá và quan trọng. Vì vậy, trong cơ sở hạ tầng Active Directory, nó là một trong những yếu tố quan trọng nhất để miền hoạt động bình thường. Mọi người trong miền tin cậy lẫn nhau và sau khi đăng nhập một lần và nhận được tất cả vé từ Kerberos, người dùng có thể đi bất cứ đâu, chỉ bị giới hạn bởi các quyền hiện có của mình. Vì vậy, nếu bạn không có thời gian chính xác trên máy trạm của mình với bộ điều khiển miền, thì bạn có thể cho rằng mình đang bắt đầu gặp sự cố nghiêm trọng, chúng tôi sẽ nói về vấn đề này bên dưới và xem cách khắc phục chúng bằng cách sử dụng Cài đặt máy chủ NTP trong Windows.

Đồng bộ hóa thời gian trong Active Directory

Sơ đồ đồng bộ hóa thời gian sau đây hoạt động giữa các máy tính tham gia Active Directory.

• Bộ điều khiển miền gốc trong nhóm AD, sở hữu vai trò FSMO của trình mô phỏng PDC (hãy gọi nó là PDC gốc), là nguồn thời gian cho tất cả các bộ điều khiển khác trong miền này.
• Bộ điều khiển miền con đồng bộ hóa thời gian với bộ điều khiển miền cao hơn trong cấu trúc liên kết AD.
• Các thành viên miền thông thường (máy chủ và máy trạm) đồng bộ hóa thời gian của họ với bộ điều khiển miền khả dụng gần nhất, tôn trọng cấu trúc liên kết AD.

PDC gốc có thể đồng bộ hóa thời gian của nó với cả nguồn bên ngoài và với chính nó, nguồn sau được đặt theo cấu hình mặc định và điều này thật vô lý, vì các lỗi trong nhật ký hệ thống được gợi ý định kỳ.

Việc đồng bộ hóa các máy khách của PDC gốc có thể được thực hiện cả từ đồng hồ bên trong của nó và từ nguồn bên ngoài. Trong trường hợp đầu tiên, máy chủ thời gian PDC gốc tự tuyên bố là “đáng tin cậy”.

Tiếp theo, tôi sẽ đưa ra cấu hình tối ưu cho máy chủ thời gian PDC gốc, theo quan điểm của tôi, trong đó bản thân PDC gốc đồng bộ hóa định kỳ thời gian của nó từ một nguồn đáng tin cậy trên Internet và thời gian khách hàng truy cập vào nó sẽ đồng bộ hóa với nội bộ của nó. cái đồng hồ.

Đi vào truy vấn netdom fsmo. Trong ví dụ của mình vai trò của máy chủ PDC và NTP thuộc về bộ điều khiển dc7

Cấu hình máy chủ NTP trên PDC gốc

Việc định cấu hình máy chủ thời gian trong Windows (máy chủ NTP) có thể được thực hiện bằng tiện ích dòng lệnh w32tm, và thông qua cơ quan đăng ký. Nếu có thể, tôi sẽ trình bày cả hai lựa chọn. Nhưng trước tiên, hãy xem toàn bộ cài đặt trên máy tính của bạn, việc này được thực hiện bằng lệnh:

w32tm/truy vấn/cấu hình

Nhật ký sự kiện: 2 (Cục bộ)
Thông báo Cờ: 10 (Địa phương)
TimeJumpAuditOffset: 28800 (Địa phương)
MinPollInterval: 6 (Cục bộ)
MaxPollInterval: 10 (Cục bộ)
MaxNegPhaseCorrection: 172800 (Cục bộ)
MaxPosPhaseCorrection: 172800 (Cục bộ)
MaxAllowedPhaseOffset: 300 (Cục bộ)

Tần số chính xác: 4 (Cục bộ)
PollAdjustFactor: 5 (Cục bộ)
LargePhaseOffset: 50000000 (Cục bộ)
SpikeWatchPeriod: 900 (Địa phương)
LocalClockDispersion: 10 (Cục bộ)
HoldPeriod: 5 (Cục bộ)
PhaseCorregRate: 7 (Cục bộ)
Khoảng thời gian cập nhật: 100 (Cục bộ)

NtpClient (Cục bộ)

Đã bật: 1 (Cục bộ)
Nhà cung cấp đầu vào: 1 (Cục bộ)
CrossSiteSyncFlags: 2 (Cục bộ)

ResolvePeerBackoffPhút: 15 (Cục bộ)
ResolvePeerBackoffMaxTimes: 7 (Cục bộ)
Cờ tương thích: 2147483648 (Địa phương)
Nhật ký sự kiện: 1 (Cục bộ)
LargeSampleSkew: 3 (Cục bộ)
Khoảng thời gian thăm dò đặc biệt: 3600 (Địa phương)
Loại: NT5DS (Cục bộ)

NtpServer (Cục bộ)
Tên Dll: C:\Windows\system32\w32time.dll (Cục bộ)
Đã bật: 1 (Cục bộ)
Nhà cung cấp đầu vào: 0 (Cục bộ)
AllowNonstandardModeCombinations: 1 (Cục bộ)

VMICTimeProvider (Địa phương)
Tên Dll: C:\Windows\System32\vmictimeprovider.dll (Cục bộ)
Đã bật: 1 (Cục bộ)
Nhà cung cấp đầu vào: 1 (Cục bộ)

Cho phép đồng bộ hóa đồng hồ bên trong với nguồn bên ngoài

Kích hoạt máy chủ NTP

Máy chủ NTP được bật theo mặc định trên tất cả các bộ điều khiển miền, nhưng nó cũng có thể được bật trên các máy chủ thành viên.

Chỉ định danh sách các nguồn bên ngoài để đồng bộ hóa

Cờ 0x8 ở cuối có nghĩa là đồng bộ hóa sẽ diễn ra ở chế độ máy khách NTP, vào các khoảng thời gian do máy chủ này đề xuất. Để đặt khoảng thời gian đồng bộ hóa của riêng bạn, bạn phải sử dụng cờ 0x1.

Đặt khoảng thời gian đồng bộ hóa với nguồn bên ngoài

Thời gian tính bằng giây giữa việc thăm dò nguồn đồng bộ hóa, mặc định 900 giây = 15 phút. Chỉ hoạt động đối với các nguồn được đánh dấu bằng cờ 0x1.

• 
  "Đặc biệtPollInterval"=dword:00000384

Đặt hiệu chỉnh dương và âm tối thiểu

Hiệu chỉnh thời gian dương và âm tối đa (chênh lệch giữa đồng hồ bên trong và nguồn đồng bộ hóa) tính bằng giây, trên đó không xảy ra đồng bộ hóa. Tôi khuyên dùng giá trị 0xFFFFFFFF, tại đó luôn có thể thực hiện chỉnh sửa.

"MaxPosPhaseCorrection"=dword:FFFFFFFF
"MaxNegPhaseCorrection"=dword:FFFFFFFF

Mọi thứ bạn cần chỉ trong một dòng

w32tm.exe /config /manualpeerlist:"time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 pool.ntp.org,0x8" /syncfromflags:manual / đáng tin cậy:có/cập nhật

Các lệnh hữu ích

• Áp dụng các thay đổi được thực hiện cho cấu hình dịch vụ thời gian
  w32tm/cấu hình/cập nhật
• Buộc đồng bộ hóa từ nguồn
  w32tm/đồng bộ lại/khám phá lại
• Hiển thị trạng thái đồng bộ của các bộ điều khiển miền trong một miền
  w32tm/màn hình
• Hiển thị các nguồn đồng bộ hóa hiện tại và trạng thái của chúng
  w32tm/truy vấn/ngang hàng

Định cấu hình máy chủ và máy khách NTP bằng Chính sách nhóm

Vì chúng ta có miền Active Directory nên sẽ thật ngu ngốc nếu không sử dụng các chính sách nhóm để cấu hình hàng loạt máy chủ và máy trạm. Tôi sẽ chỉ cho bạn cách định cấu hình máy chủ NTP của bạn trong Windows và máy khách. Mở phần đính kèm “Trình chỉnh sửa chính sách nhóm”. Trước khi thiết lập máy chủ NTP trong Windows, chúng tôi cần tạo bộ lọc WMI sẽ chỉ áp dụng chính sách cho máy chủ chính PDC.

Nhập tên yêu cầu, không gian tên, giá trị sẽ là “root\CIMv2” và yêu cầu “Select * from Win32_ComputerSystem trong đó DomainRole = 5”. Hãy cứu nó.

Sau đó, bạn tạo một chính sách trên vùng chứa Bộ điều khiển miền.

Ở cuối chính sách, hãy áp dụng bộ lọc WMI đã tạo của bạn.

Chuyển đến nhánh: Cấu hình máy tính > Chính sách > Mẫu quản trị > Hệ thống > Dịch vụ thời gian Windows > Nhà cung cấp thời gian.

Ở đây chúng tôi mở chính sách “Cấu hình máy khách Windows NTP”. Đặt các thông số

• NtpServer: 0.ru.pool.ntp.org.0x1, 1.ru.pool.ntp.org.0x1, 2.ru.pool.ntp.org.0x1, 3.ru.pool.ntp.org.0x1
• Loại: NTP
• CrossSiteSyncFlags: 2. Hai phương tiện nếu tham số này là 2 (Tất cả), bất kỳ người tham gia đồng bộ hóa nào cũng có thể được sử dụng. Giá trị này bị bỏ qua trừ khi NT5DS được chỉ định. Giá trị mặc định: 2 (thập phân) (0x02 (hex))
• ResolvePeerBackoffMinutes: 15. Giá trị này, được biểu thị bằng phút, xác định khoảng thời gian dịch vụ W32time chờ trước khi cố gắng phân giải tên DNS nếu thất bại. Giá trị mặc định: 15 phút
• Giải quyết ngang hàng BACKoffMaxTimes: 7 Giá trị này xác định số lần thử phân giải tên DNS mà dịch vụ W32time thực hiện trước khi khởi động lại quá trình khám phá. Mỗi lần phân giải tên DNS không thành công, thời gian chờ trước lần thử tiếp theo sẽ tăng gấp đôi. Giá trị mặc định: bảy lần thử.
• SpecilalPoolInterval: 3600 Giá trị tham số máy khách NTP này, được biểu thị bằng giây, xác định tần suất nó thăm dò nguồn thời gian được cấu hình thủ công sử dụng khoảng thời gian thăm dò cụ thể. Nếu tham số NTPServer được đặt thành cờ SpecialInterval, máy khách sẽ sử dụng giá trị được chỉ định là SpecialPollInterval thay vì các giá trị MinPollInterval và MaxPollInterval để xác định tần suất thăm dò nguồn thời gian. Giá trị mặc định: 3600 giây (1 giờ).
• Nhật ký sự kiệnFlags: 0

Chúng tôi tạo một chính sách nhóm riêng cho các máy làm việc của khách hàng, với các tham số này.

• NtpServer: Địa chỉ bộ điều khiển miền của bạn có vai trò PDC.
• Loại: NT5DS
• CrossSiteSyncFlags: 2
• Giải quyếtPeerBackoffPhút: 15
• Giải quyết ngang hàng BackoffMaxTimes: 7
• SpecilalPoolInterval: 3600
• Nhật ký sự kiệnFlags: 0

Trong hệ điều hành Windows, Windows Time Service, còn được gọi là w32time, chịu trách nhiệm đồng bộ hóa thời gian. Dịch vụ này đảm bảo hoạt động của các bộ phận máy chủ và máy khách. Nói cách khác, cùng một máy tính có thể hoạt động như một máy chủ và máy khách cùng một lúc.

Dịch vụ Windows Time không có GUI. Việc cấu hình được thực hiện thông qua CMD bằng tiện ích w32tm, chỉnh sửa sổ đăng ký theo cách thủ công hoặc thông qua chính sách nhóm.

Tiện ích w32tm thay đổi thông số trong phần

HKLM\HỆ THỐNG\CurrentControlSet\Services\W32Time

Chính sách nhóm tạo một phân vùng trong

HKLM\PHẦN MỀM\Chính sách\Microsoft\W32Time

Các cài đặt được tạo bởi chính sách nhóm sẽ được ưu tiên và ghi đè các cài đặt mặc định.

Cùng xem nội dung tiểu mục Parameters của máy tính nằm trong nhóm làm việc

và cho một máy tính miền

Khóa NtpServer xác định danh sách các máy chủ thời gian sẽ diễn ra đồng bộ hóa. Địa chỉ mặc định là time.windows.com,0x9. Khi chỉ định nhiều máy chủ thời gian, các địa chỉ phải được phân tách bằng dấu cách.

Tham số 0x9 là tổng của 0x1 và 0x8.

0x1 – Khoảng thời gian đặc biệt, sử dụng khoảng thời gian bỏ phiếu đặc biệt.
0x2 – Chế độ UseAsFallbackOnly.
0x4 – Chế độ hoạt động đối xứng, đối xứng.
0x8 – Máy khách, gửi yêu cầu ở chế độ máy khách.

Khoảng thời gian bỏ phiếu đặc biệt được chỉ định trong khóa

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\ SpecialPollInterval

và là 3600 giây. Tức là việc đồng bộ hóa diễn ra hàng giờ.

Phím Loại xác định loại đồng bộ hóa và có các giá trị sau:

NoSync - Dịch vụ thời gian không được đồng bộ hóa với các nguồn khác.
Dịch vụ thời gian NTP đồng bộ hóa với các máy chủ được chỉ định trong mục đăng ký NtpServer.
Dịch vụ thời gian NT5DS thực hiện đồng bộ hóa dựa trên hệ thống phân cấp miền.
AllSync - Dịch vụ thời gian sử dụng tất cả các cơ chế đồng bộ hóa có sẵn.

Trong trường hợp máy tính thuộc nhóm làm việc, loại NTP được sử dụng, nghĩa là đồng bộ hóa thời gian xảy ra với máy chủ time.windows.com được chỉ định trong khóa NtpServer.

Máy tính miền sử dụng loại NT5DS. Trong trường hợp này, đồng bộ hóa thời gian xảy ra với bộ điều khiển miền mà máy tính được ủy quyền. Bộ điều khiển đồng bộ hóa thời gian của chúng với bộ điều khiển là chủ sở hữu vai trò Trình mô phỏng PDC. Chủ sở hữu vai trò Trình mô phỏng PDC cũng sử dụng loại NT5DS và đồng bộ hóa thời gian của nó với đồng hồ cục bộ nhận thời gian từ mạch CMOS nằm trên bo mạch chủ. Nhược điểm là thời gian nhận được từ mạch CMOS liên tục “chuyển động” so với thời gian thực. Để ngăn điều này xảy ra, trên bộ điều khiển gốc có vai trò Trình mô phỏng PDC, hãy thay đổi loại thành NTP và chỉ định danh sách máy chủ thời gian bên ngoài trong NtpServer.

Trên bộ điều khiển miền gốc, với vai trò PDC Emulator, mở CMD và thực hiện lệnh

C:\>w32tm /config /manualpeerlist:"0.ru.pool.ntp.org,0x9 1.ru.pool.ntp.org,0x9 2.ru.pool.ntp.org,0x9 3.ru.pool. ntp.org,0x9" /syncfromflags:MANUAL /update

/manualpeerlist - chỉ định danh sách địa chỉ nguồn thời gian. Danh sách này sẽ được thêm vào giá trị của khóa NtpServer đã biết.

/syncfromflags - xác định nguồn đồng bộ hóa. Tham số này thay đổi giá trị của phím Loại. Các tùy chọn có thể:

THỦ CÔNG - đồng bộ hóa với các nút từ danh sách được chỉ định thủ công. Tương tự như giá trị NTP.
DOMHIER - đồng bộ hóa với bộ điều khiển miền Active Directory trong hệ thống phân cấp miền. Tương tự như giá trị NT5DS.
KHÔNG - không đồng bộ hóa. Tương tự với NoSync
TẤT CẢ - đồng bộ hóa với cả các nút và nút miền được chỉ định thủ công. Tương tự với AllSync

/update - thông báo cho dịch vụ thời gian rằng cấu hình đã thay đổi để những thay đổi có hiệu lực.

Việc máy tính có thể hoạt động như một máy chủ thời gian hay không được xác định bằng khóa sau

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer\Enabled

Đối với bộ điều khiển, khóa này có giá trị là 1, đối với máy tính là 0. Nói cách khác, bất kỳ bộ điều khiển miền nào cũng hoạt động như một máy chủ thời gian.

Dịch vụ thời gian sẽ điều chỉnh thời gian trên máy khách như thế nào được xác định bằng khóa

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxAllowedPhaseOffset

Đối với máy tính nằm trong nhóm làm việc, giá trị của khóa MaxAllowedPhaseOffset bằng 1 giây. Máy tính miền có 300 giây. Nếu chênh lệch thời gian giữa máy khách và máy chủ thời gian lớn hơn giá trị của khóa MaxAllowedPhaseOffset thì dịch vụ thời gian sẽ ngay lập tức thay đổi thời gian trên máy khách thành thời gian được đặt trên máy chủ thời gian. Nếu chênh lệch múi giờ nhỏ hơn, đồng hồ sẽ được điều chỉnh dần dần. Điều này được thực hiện để ngăn chặn các dịch vụ nhạy cảm với thời gian bị lỗi. Mặt khác, 300 giây là 5 phút hoặc chênh lệch thời gian tối đa được phép đối với giao thức Kerberos.

Để thay đổi cài đặt dịch vụ thời gian thông qua chính sách nhóm, bạn cần tạo bộ lọc WMI để nhắm mục tiêu chính sách tới bộ điều khiển miền gốc với vai trò Trình mô phỏng PDC. Để thực hiện việc này, hãy mở phần đính vào “Quản lý chính sách nhóm”, nhấp chuột phải vào phần “Bộ lọc WMI” và chọn “Mới”. Trong trường tên, bạn cần viết tên của bộ lọc, ví dụ: “Trình mô phỏng PDC”. Tiếp theo, bạn cần nhấp vào nút “Thêm” và chèn yêu cầu WMI

Chọn * từ Win32_ComputerSystem trong đó DomainRole = 5

Hãy tạo một chính sách, nhấp chuột phải vào phần “Bộ điều khiển miền” và chọn “Tạo đối tượng chính sách nhóm…”, gọi nó là “Nguồn thời gian của trình mô phỏng PDC”. Nhấp chuột phải vào đối tượng đã tạo và chọn “Chỉnh sửa”. Mở phần “Cấu hình máy tính->Chính sách->Mẫu quản trị->Hệ thống->Dịch vụ thời gian Windows->Nhà cung cấp thời gian”. Chọn tùy chọn “Cấu hình máy khách Windows NTP”. Trong trường NtpServer, chèn địa chỉ của máy chủ thời gian

0.ru.pool.ntp.org,0x9 1.ru.pool.ntp.org,0x9 2.ru.pool.ntp.org,0x9 3.ru.pool.ntp.org,0x9

Trong trường Loại, chọn giá trị “NTP”, sau đó nhấp vào “Ok” và đóng cửa sổ “Trình chỉnh sửa quản lý chính sách nhóm”.

Sau đó, bạn cần chọn chính sách “Nguồn thời gian của Trình mô phỏng PDC” đã tạo và trong trường “Bộ lọc WMI”, hãy chọn bộ lọc “Trình mô phỏng PDC” đã tạo trước đó

Chẩn đoán

Bạn có thể buộc đồng bộ hóa thời gian bằng lệnh

C:\>w32tm /resync

Bạn có thể xem nguồn thời gian hiện tại bằng lệnh

C:\>w32tm/truy vấn/nguồn

Lệnh này hiển thị nguồn thời gian hiện tại, thời gian đồng bộ hóa và các thông tin khác

C:\>w32tm/truy vấn/trạng thái

Lệnh này hiển thị dữ liệu về tất cả các nguồn thời gian

C:\>w32tm /truy vấn /peers

Có thể xem chênh lệch thời gian giữa máy tính và nguồn thời gian bằng lệnh

C:\>w32tm/màn hình

Để xem cấu hình hiện tại sử dụng lệnh

C:\>w32tm/truy vấn/cấu hình

Bạn có thể khởi động lại dịch vụ thời gian bằng lệnh

C:\>dừng mạng w32time && bắt đầu mạng w32time

Nếu có sự cố xảy ra, bạn có thể đăng ký lại dịch vụ thời gian. Điều này sẽ tạo lại toàn bộ nhánh đăng ký liên quan đến dịch vụ thời gian

C:\>dừng mạng w32time c:\>w32tm /hủy đăng ký c:\>w32tm /đăng ký c:\>bắt đầu mạng w32time

Để đồng bộ nhanh thời gian với một máy chủ cụ thể, bạn có thể sử dụng lệnh

C:\>THỜI GIAN NET \\DC1.4SKILL.LOC /SET /Y

Nếu bạn chạy lệnh trên máy tính miền mà không chỉ định máy chủ mà bạn muốn đồng bộ hóa thời gian thì quá trình đồng bộ hóa sẽ diễn ra với máy chủ thời gian miền.