Udostępnij za pośrednictwem

Zalecenie — skonfiguruj kontroler PDC domeny głównej za pomocą autorytatywnego źródła czasu (Authoritative Time Source) i uniknij rozległego przesunięcia czasu

Dlaczego warto wziąć to pod uwagę

Emulator kontrolera PDC domeny głównej nie jest skonfigurowany do używania serwera NTP (Network Time Protocol). Wiele funkcji systemu Windows i sieci opiera się na niezawodnej synchronizacji czasu w obrębie sieci. Błędy synchronizacji czasu mogą powodować wiele problemów, w szczególności błędy logowania. Uwierzytelnianie Kerberos i jednokrotne logowanie oparte na oświadczeniach może zakończyć się niepowodzeniem z powodu różnic czasowych.

Obejrzyj, jak Inżynier klienta wyjaśnia problem

Kontekst i najlepsze praktyki

Domyślnie wszystkie komputery i urządzenia w domenie synchronizują czas systemowy przy użyciu hierarchii domen. Członkowie domeny synchronizują czas z kontrolerami domeny, które z kolei synchronizują czas z kontrolerem domeny obsługującym rolę emulatora kontrolera PDC. Emulator kontrolera PDC domeny głównej lasu znajduje się na początku hierarchii domeny i w związku z tym skonfigurowanie tego kontrolera domeny do synchronizowania czasu przy użyciu hierarchii domeny jest nieprawidłowe. Usługa czasu systemu Windows ostrzega o tym warunku, zapisując identyfikator zdarzenia 12 w dzienniku zdarzeń systemu Windows ze źródła zdarzeń W32Time.

W niektórych scenariuszach emulator kontrolera PDC pobiera swój czas z zegara BIOS. Jednak takie podejście ma wady. Jeśli godzina i data nie są dokładnie ustawione w systemie BIOS emulatora kontrolera PDC, ustawienia czasu i daty będą niepoprawne w całej domenie. Ponadto jeśli emulator kontrolera PDC przejdzie w tryb offline, członkowie domeny nie będą mogli synchronizować czasu. Lepszym rozwiązaniem jest skonfigurowanie emulatora kontrolera PDC do synchronizowania czasu bezpośrednio z zewnętrznym źródłem czasu. Alternatywnie można skonfigurować inne urządzenie w domenie do synchronizowania czasu z zewnętrzną usługą czasu, a następnie skonfigurować emulator kontrolera PDC do używania wewnętrznego serwera czasu jako autorytatywnego źródła czasu.

Autorytatywne zewnętrzne źródła czasu to usługi internetowe, zazwyczaj obsługiwane przez instytucje rządowe, naukowe lub edukacyjne, które umożliwiają synchronizację czasu systemowego przy użyciu protokołu NTP (Network Time Protocol). Na przykład NIST udostępnia serwery czasu w różnych lokalizacjach w Stanach Zjednoczonych.

Sugerowane działania

Kontroler domeny posiadający rolę PDCE można skonfigurować do synchronizowania czasu za pomocą serwera NTP. Istnieje kilka metod, które to umożliwiają.

Aby skonfigurować synchronizację czasu za pośrednictwem wiersza polecenia:

W emulatorze kontrolera PDC otwórz administracyjny wiersz polecenia i użyj następujących poleceń:

w32tm.exe /config /syncfromflags:manual /manualpeerlist:131.107.13.100,0x8 /reliable:yes /update

w32tm.exe /config /update

Uwaga

Podany w przykładzie adres IP jest serwerem czasu National Institute of Standards and Technology (NIST) w firmie Microsoft w Redmond w stanie Waszyngton. Zastąp ten adres IP wybraną usługą czasu.

Aby skonfigurować synchronizację czasu za pomocą edycji rejestru w emulatorze kontrolera PDC:

  1. Otwórz Edytor rejestru (regedit.exe).

  2. Przejdź do następującego klucza rejestru: HKLM\System\CurrentControlSet\Services\W32Time\Parameters.

  3. Aby użyć określonego źródła NTP, zmień wartość Typ na NTP

  4. Zmodyfikuj wartość NtpServer tak, aby zawierała serwer NTP ustawiony do synchronizowania czasu razem z wartością 0x8, na przykład 131.107.13.100,0x8. Kilka serwerów NTP należy oddzielić spacjami, na przykład 131.107.13.100,0x8 24.56.178.140,0x8

  5. Otwórz wiersz polecenia w trybie administratora i uruchom następujące polecenie: w32tm /config /update.

Aby skonfigurować synchronizację czasu za pomocą zasad grupy:

  1. Otwórz Konsolę zarządzania zasadami grupy.

  2. Utwórz nowy obiekt GPO.

  3. Otwórz obiekt GPO i przejdź do Ustawienia komputera -> Szablony administracyjne -> System -> Usługa czasu systemu Windows -> Dostawcy czasu.

  4. Kliknij dwukrotnie Konfiguruj klienta protokołu Windows NTP.

  5. Ustaw stan na wartość Włączony.

  6. Skonfiguruj Typ na wartosć NTP.

  7. Skonfiguruj serwer NTPServer, aby wskazać adres IP serwera czasu, po którym następuje wartość ,0x8. Na przykład: 131.107.13.100,0x8

  8. Zamknij Edytor zasad grupy.

  9. W okienku Filtrowanie zabezpieczeń w konsoli zarządzania zasadami grupy, usuń uwierzytelnionych użytkowników dla nowo utworzonych zasad i dodaj komputer posiadający rolę emulatora PDC.

  10. Połącz obiekt zasad grupy z jednostką organizacyjną kontrolerów domeny.

Uwaga

Ustawienia zasad grupy dla czasu systemu Windows są zapisywane w ścieżce rejestru HKLM\Software\Policies\Microsoft\W32time.

Jak rozwiązać problemy

Aby wyświetlić bieżącą konfigurację usługi Czas systemu Windows, użyj następującego polecenia w wierszu polecenia z podwyższonym poziomem uprawnień:

w32tm /query /configuration

Aby wyświetlić bieżące źródło synchronizacji czasu, użyj następującego polecenia:

w32tm /query /source

Dowiedz się więcej

Aby uzyskać więcej informacji na temat internetowej usługi czasu NIST, zobacz artykuł Internetowa usługa czasu (ITS) NIST.

Aby uzyskać więcej informacji na temat usługi Czas systemu Windows, zobacz artykuł Jak działa usługa Czas systemu Windows.