Độ chính xác về thời gian giữa các máy trạm/member server và domain controllers là một trong những yêu cầu chính để Active Directory domain hoạt động bình thường. Để cấu hình đồng bộ hóa thời gian trong AD, quản trị viên phải cấu hình domain controller với vai trò PDC để đồng bộ hóa thời gian của nó với nguồn thời gian NTP. Các DC và máy trạm còn lại sẽ đồng bộ hóa thời gian theo phân cấp miền. Trong một số trường hợp, quản trị viên có thể phải cấu hình đồng bộ hóa NTP Time của miền bằng Group Policies
Cách đồng bộ thời gian hoạt động trên AD Domain.
Trong môi trường AD, việc đồng bộ hóa thời gian được thực hiện theo hệ thống phân cấp miền:
- Các máy tính trong miền đồng bộ hóa thời gian của chúng với domain controllers gần chúng nhất;
- DC đồng bộ hóa thời gian của chúng với domain controllers được gán vai trò Primary Domain Controller Emulator (PDC)
- Nguồn thời gian chính trong miền là DC với vai trò PDC. DC này có thể đồng bộ hóa thời gian của nó với CMOS (mặc định) hoặc với nguồn NTP từ bên ngoài;
- PDC emulators trong các child domain đồng bộ hóa thời gian của chúng với domain controller trong Root AD domain;
- PDC emulator trong Root domain là nguồn thời gian chính cho toàn bộ AD organization.
Hệ thống phân cấp điển hình của các nguồn thời gian trong miền AD DS được hiển thị trong sơ đồ sau:
Nhược điểm của cấu hình đồng bộ hóa thời gian mặc định là thời gian trên tất cả các máy tính trong miền phụ thuộc vào thời gian phần cứng trên máy chủ PDC và có thể khác với thời gian chung. Cách tốt nhất là cho phép Root PDC đồng bộ hóa thời gian của nó với nguồn thời gian NTP bên ngoài.
Cấu hình Root PDC để đồng bộ hóa thời gian với nguồn NTP bên ngoài
Bạn phải cấu hình PDC Emulator của mình để đồng bộ hóa thời gian với nguồn thời gian bên ngoài có thẩm quyền (provider). Nguồn thời gian bên ngoài thường là một hoặc nhiều NTP Server công cộng (Network Time Protocol) như time.windows.com hoặc NTP Server nhà cung cấp mạng của bạn.
Xác định vị trí domain controller với vai trò PDC bằng lệnh
netdom /query fsmo
Kết nối tới PDC và kiểm tra nguồn thời gian hiện tại:
w32tm /query /source
Nếu bạn thấy thông báo:
- Local CMOS Clock — có nghĩa là nguồn thời gian trên máy chủ này là đồng hồ phần cứng cục bộ;
- VM IC Time Synchronization Provider — nếu sử dụng virtualized domain controller, thời gian sẽ được đồng bộ hóa với máy chủ ảo hóa theo mặc định
Tắt đồng bộ hóa thời gian với đồng hồ phần cứng trong registry máy chủ PDC
Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider -Name Enabled -Value 0Restart the W32Time service on PDC:
Restart-Service "Windows Time"Nếu bạn đang sử dụng virtualized domain computers, hãy tắt đồng bộ hóa thời gian với máy chủ ảo hóa trong thuộc tính VM
- Hyper-V: tắt tùy chọn Time Synchronization tại mục Integration Services trong thuộc tính VM.
- VMware ESXi: Vào
VM settings > VM Options > VMware Tools > Time, bỏ tích tại tùy chọn Synchronize guest time with host.
Bạn có thể sử dụng NTP servers công cộng làm nguồn thời gian bên ngoài cho domain của mình. Truy cập https://www.ntppool.org, tìm vị trí của bạn và sao chép tên của NTP Server. Trong trường hợp vị trí là Hoa Kỳ, nó có thể sẽ là 0.us.pool.ntp.org, 1.us.pool.ntp.org, v.v.
Kiểm tra xem NTP Server bên ngoài đã chọn có thể truy cập được từ PDC hay không (cổng UDP 123 được sử dụng để kết nối)
w32tm /stripchart /computer:0.us.pool.ntp.orgTrong ví dụ này, NTP Server được chỉ định khả dụng và bạn đã lấy thành công thời gian hiện tại từ nó.
Cho phép đồng bộ hóa thời gian của PDC Server với nguồn NTP bên ngoài:
net stop w32time
w32tm /config /syncfromflags:manual /manualpeerlist:"1.us.pool.ntp.org,0x8 1.us.pool.ntp.org,0x8 2.us.pool.ntp.org,0x8 3.us.pool.ntp.org,0x8"
w32tm /config /reliable:yes
w32tm /config /update
net start w32timeThực hiện đồng bộ hóa thời gian thủ công với nguồn NTP của bạn:
w32tm /resyncKiểm tra cấu hình hiện tại:
w32tm /query /configuration
Kiểm tra cài đặt NTP client hiện tại
w32tm /query /statusChạy lệnh sau:
w32tm /monitorLệnh này sẽ hiển thị sự khác biệt về thời gian giữa mỗi DC và nguồn thời gian bên ngoài.
Mẹo: Nếu có điều gì đó không hoạt động, hãy thử khởi động lại dịch vụ Windows Time và đặt lại cấu hình của nó:
net stop w32timew32tm.exe /unregisterw32tm.exe /registernet stop w32tim
Cấu hình Nguồn NTP bên ngoài trên PDC bằng GPO
Bạn có thể sử dụng Group Policy để thiết lập quy tắc cài đặt nguồn thời gian bên ngoài trên chủ sở hữu vai trò PDC hiện tại.
- Mở Group Policy Management Console (GPMC.msc);
- Chọn tùy chọn WMI Filters và tạo WMI filter mới với tên Filter PDC Emulator và truy vấn sau trong mục Query:
Select * from Win32_ComputerSystem where DomainRole = 5 - Tạo GPO mới và link nó tới AD OU có tên Domain Controllers;
- Chỉnh sửa GPO này. Điều hướng tới
Computer Configuration > Administrative Templates > System > Windows Time Service > Time Providers. - Enable các tùy chọn sau:
- Configure Windows NTP Client;
- Enable Windows NTP Client
- Enable Windows NTP Server
- Chỉ định các cài đặt sau trong chính sách Configure Windows NTP Client
- NtpServer: us.pool.ntp.org,0x1 1.us.pool.ntp.org,0x1 2.us.pool.ntp.org,0x1 3.us.pool.ntp.org,0x1;
- Type: NTP;
- CrossSiteSyncFlags: 2;
- ResolvePeerBackoffMinutes: 15;
- Resolve Peer BAckoffMaxTimes: 7;
- SpecilalPoolInterval: 3600;
- EventLogFlags: 0.
- Gán bộ lọc WMI “Filter PDC Emulator” mà bạn đã tạo trước đó cho GPO
- Tăng mức độ ưu tiên của GPO trong GPMC bằng cách di chuyển nó lên trên Default Domain Controller Policy trong danh sách link order;
- Cấu hình Firewall của bạn để cho phép lưu lượng NTP gửi đi (cổng UDP 123) từ tất cả các DC đến các nguồn thời gian bên ngoài
Cấu hình đồng bộ thời gian trên Domain Client bằng GPO
Theo mặc định, Các domain computer đồng bộ hóa thời gian của chúng với domain controllers theo hệ thống phân cấp miền (tùy chọn Nt5DS). Sơ đồ đồng bộ hóa thời gian này (theo hệ thống phân cấp AD DS) hoạt động chính xác trong hầu hết các trường hợp và không yêu cầu sự can thiệp của quản trị viên. Nếu bạn đang gặp sự cố với việc đồng bộ hóa thời gian trên các máy khách trong miền, bạn có thể thử chỉ định máy chủ thời gian trực tiếp trên các máy khách bằng GPO.
- Tạo một GPO mới và gán nó vào cùng OU với computer;
- Điều hướng tới
Computer Configuration > Administrative Templates > System > Windows Time Service > Time Providersvà bật chính sách Configure Windows NTP Client. - Chỉ định tên miền của bạn (ưu tiên) hoặc địa chỉ IP/FQDN của PDC làm NTP server
- NTP Server: lon-dc1.adatum.com,0x9
- Set Type: NT5DS
- CrossSiteSyncFlags: 2
- ResolvePeerBackoffMinutes: 15
- ResolvePeerBackoffMaxTimes: 7
- SpecialPollInterval: 3600
- EventLogFlags: 0
Các giá trị của tham số Type:
- NoSync — NTP server không được đồng bộ hóa với bất kỳ nguồn thời gian bên ngoài nào. Đồng hồ hệ thống được tích hợp trong chip CMOS của máy chủ được sử dụng ;
- NTP — NTP server được đồng bộ hóa với các máy chủ thời gian bên ngoài, được chỉ định trong NtpServer registry parameter (đây là hành vi mặc định trên máy tính độc lập);
- NT5DS — NTP server thực hiện đồng bộ hóa theo hệ thống phân cấp miền (được sử dụng theo mặc định trên các máy tính tham gia domain);
- AllSync — NTP server sử dụng tất cả các nguồn có sẵn để đồng bộ hóa thời gian.
Cập nhật cài đặt Group Policy trên máy khách và kiểm tra cài đặt đồng bộ hóa thời gian nhận được như mô tả ở trên. Theo mặc định, các domain clients đồng bộ hóa thời gian một lần mỗi giờ (3.600 giây).
