Chủ Nhật, 14 Tháng Tư, 2024
Trang chủWindows ServerActive DirectoryCấu hình đồng bộ NTP Time sử dụng Group Policy

Cấu hình đồng bộ NTP Time sử dụng Group Policy

Độ chính xác về thời gian giữa các máy trạm/member server và domain controllers là một trong những yêu cầu chính để Active Directory domain hoạt động bình thường. Để cấu hình đồng bộ hóa thời gian trong AD, quản trị viên phải cấu hình domain controller với vai trò PDC để đồng bộ hóa thời gian của nó với nguồn thời gian NTP. Các DC và máy trạm còn lại sẽ đồng bộ hóa thời gian theo phân cấp miền. Trong một số trường hợp, quản trị viên có thể phải cấu hình đồng bộ hóa NTP Time của miền bằng Group Policies

Cách đồng bộ thời gian hoạt động trên AD Domain.

Trong môi trường AD, việc đồng bộ hóa thời gian được thực hiện theo hệ thống phân cấp miền:

  • Các máy tính trong miền đồng bộ hóa thời gian của chúng với domain controllers gần chúng nhất;
  • DC đồng bộ hóa thời gian của chúng với domain controllers được gán vai trò Primary Domain Controller Emulator (PDC)
  • Nguồn thời gian chính trong miền là DC với vai trò PDC. DC này có thể đồng bộ hóa thời gian của nó với CMOS (mặc định) hoặc với nguồn NTP từ bên ngoài;
  • PDC emulators trong các child domain đồng bộ hóa thời gian của chúng với domain controller trong Root AD domain;
  • PDC emulator trong Root domain là nguồn thời gian chính cho toàn bộ AD organization.

Hệ thống phân cấp điển hình của các nguồn thời gian trong miền AD DS được hiển thị trong sơ đồ sau:

ntp gpo

Nhược điểm của cấu hình đồng bộ hóa thời gian mặc định là thời gian trên tất cả các máy tính trong miền phụ thuộc vào thời gian phần cứng trên máy chủ PDC và có thể khác với thời gian chung. Cách tốt nhất là cho phép Root PDC đồng bộ hóa thời gian của nó với nguồn thời gian NTP bên ngoài.

Cấu hình Root PDC để đồng bộ hóa thời gian với nguồn NTP bên ngoài

Bạn phải cấu hình PDC Emulator của mình để đồng bộ hóa thời gian với nguồn thời gian bên ngoài có thẩm quyền (provider). Nguồn thời gian bên ngoài thường là một hoặc nhiều NTP Server công cộng (Network Time Protocol) như time.windows.com hoặc NTP Server nhà cung cấp mạng của bạn.

Xác định vị trí domain controller  với vai trò PDC bằng lệnh

netdom /query fsmo
ntp group policy

Kết nối tới PDC và kiểm tra nguồn thời gian hiện tại:

w32tm /query /source
gpo ntp server

Nếu bạn thấy thông báo:

  • Local CMOS Clock — có nghĩa là nguồn thời gian trên máy chủ này là đồng hồ phần cứng cục bộ;
  • VM IC Time Synchronization Provider — nếu sử dụng virtualized domain controller, thời gian sẽ được đồng bộ hóa với máy chủ ảo hóa theo mặc định

Tắt đồng bộ hóa thời gian với đồng hồ phần cứng trong registry máy chủ PDC

Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider -Name Enabled -Value 0

Restart the W32Time service on PDC:

Restart-Service "Windows Time"

Nếu bạn đang sử dụng virtualized domain computers, hãy tắt đồng bộ hóa thời gian với máy chủ ảo hóa trong thuộc tính VM

  • Hyper-V: tắt tùy chọn Time Synchronization tại mục Integration Services  trong thuộc tính VM.
  • VMware ESXi: Vào VM settings > VM Options > VMware Tools > Time, bỏ tích tại tùy chọn Synchronize guest time with host.
gpo ntp

Bạn có thể sử dụng NTP servers công cộng làm nguồn thời gian bên ngoài cho domain của mình. Truy cập https://www.ntppool.org, tìm vị trí của bạn và sao chép tên của NTP Server. Trong trường hợp vị trí là Hoa Kỳ, nó có thể sẽ là 0.us.pool.ntp.org, 1.us.pool.ntp.org, v.v.

Kiểm tra xem NTP Server bên ngoài đã chọn có thể truy cập được từ PDC hay không (cổng UDP 123 được sử dụng để kết nối)

w32tm /stripchart /computer:0.us.pool.ntp.org

Trong ví dụ này, NTP Server được chỉ định khả dụng và bạn đã lấy thành công thời gian hiện tại từ nó.

group policy time server

Cho phép đồng bộ hóa thời gian của PDC Server với nguồn NTP bên ngoài:

net stop w32time

w32tm /config /syncfromflags:manual /manualpeerlist:"1.us.pool.ntp.org,0x8 1.us.pool.ntp.org,0x8 2.us.pool.ntp.org,0x8 3.us.pool.ntp.org,0x8"

w32tm /config /reliable:yes

w32tm /config /update

net start w32time

Thực hiện đồng bộ hóa thời gian thủ công với nguồn NTP của bạn:

w32tm /resync

Kiểm tra cấu hình hiện tại:

w32tm /query /configuration
gpo time server

Kiểm tra cài đặt NTP client hiện tại

w32tm /query /status

Chạy lệnh sau:

w32tm /monitor

Lệnh này sẽ hiển thị sự khác biệt về thời gian giữa mỗi DC và nguồn thời gian bên ngoài.

Mẹo:  Nếu có điều gì đó không hoạt động, hãy thử khởi động lại dịch vụ Windows Time và đặt lại cấu hình của nó:

net stop w32timew32tm.exe /unregisterw32tm.exe /registernet stop w32tim

Cấu hình Nguồn NTP bên ngoài trên PDC bằng GPO

Bạn có thể sử dụng Group Policy để thiết lập quy tắc cài đặt nguồn thời gian bên ngoài trên chủ sở hữu vai trò PDC hiện tại.

  1. Mở Group Policy Management Console (GPMC.msc);
  2. Chọn tùy chọn WMI Filters và tạo WMI filter mới với tên Filter PDC Emulator và truy vấn sau trong mục QuerySelect * from Win32_ComputerSystem where DomainRole = 5
  3. Tạo GPO mới và link nó tới AD OU có tên Domain Controllers;group policy ntp server
  4. Chỉnh sửa GPO này. Điều hướng tới Computer Configuration > Administrative Templates > System > Windows Time Service > Time Providers.
  5. Enable các tùy chọn sau:
    • Configure Windows NTP Client;
    • Enable Windows NTP Client
    • Enable Windows NTP Server
gpo time sync
  1. Chỉ định các cài đặt sau trong chính sách Configure Windows NTP Client
    • NtpServer: us.pool.ntp.org,0x1 1.us.pool.ntp.org,0x1 2.us.pool.ntp.org,0x1 3.us.pool.ntp.org,0x1;
    • Type: NTP;
    • CrossSiteSyncFlags: 2;
    • ResolvePeerBackoffMinutes: 15;
    • Resolve Peer BAckoffMaxTimes: 7;
    • SpecilalPoolInterval: 3600;
    • EventLogFlags: 0.
gpo set ntp server
  1. Gán bộ lọc WMI “Filter PDC Emulator” mà bạn đã tạo trước đó cho GPO
group policy ntp
  1. Tăng mức độ ưu tiên của GPO trong GPMC bằng cách di chuyển nó lên trên Default Domain Controller Policy trong danh sách link order;
    configure windows ntp client gpo
  2. Cấu hình Firewall của bạn để cho phép lưu lượng NTP gửi đi (cổng UDP 123) từ tất cả các DC đến các nguồn thời gian bên ngoài

Cấu hình đồng bộ thời gian trên Domain Client bằng GPO

Theo mặc định, Các domain computer đồng bộ hóa thời gian của chúng với domain controllers theo hệ thống phân cấp miền (tùy chọn Nt5DS). Sơ đồ đồng bộ hóa thời gian này (theo hệ thống phân cấp AD DS) hoạt động chính xác trong hầu hết các trường hợp và không yêu cầu sự can thiệp của quản trị viên. Nếu bạn đang gặp sự cố với việc đồng bộ hóa thời gian trên các máy khách trong miền, bạn có thể thử chỉ định máy chủ thời gian trực tiếp trên các máy khách bằng GPO.

  1. Tạo một GPO mới và gán nó vào cùng OU với computer;
  2. Điều hướng tới Computer Configuration > Administrative Templates > System > Windows Time Service > Time Providers và bật chính sách Configure Windows NTP Client.ntp server group policy
  3. Chỉ định tên miền của bạn (ưu tiên) hoặc địa chỉ IP/FQDN của PDC làm NTP server
    • NTP Server: lon-dc1.adatum.com,0x9
    • Set Type: NT5DS
    • CrossSiteSyncFlags: 2
    • ResolvePeerBackoffMinutes: 15
    • ResolvePeerBackoffMaxTimes: 7
    • SpecialPollInterval: 3600
    • EventLogFlags: 0

Các giá trị của tham số Type:

  • NoSync — NTP server không được đồng bộ hóa với bất kỳ nguồn thời gian bên ngoài nào. Đồng hồ hệ thống được tích hợp trong chip CMOS của máy chủ được sử dụng ;
  • NTP — NTP server được đồng bộ hóa với các máy chủ thời gian bên ngoài, được chỉ định trong NtpServer registry parameter (đây là hành vi mặc định trên máy tính độc lập);
  • NT5DS — NTP server thực hiện đồng bộ hóa theo hệ thống phân cấp miền (được sử dụng theo mặc định trên các máy tính tham gia domain);
  • AllSync — NTP server sử dụng tất cả các nguồn có sẵn để đồng bộ hóa thời gian.

Cập nhật cài đặt Group Policy trên máy khách và kiểm tra cài đặt đồng bộ hóa thời gian nhận được như mô tả ở trên. Theo mặc định, các domain clients đồng bộ hóa thời gian một lần mỗi giờ (3.600 giây).

Bài viết liên quan

BÌNH LUẬN

Vui lòng nhập bình luận của bạn
Vui lòng nhập tên của bạn ở đây

Bài viết nổi bật

Ý kiến gần đây