Страница 1 из 2
Синхронизация времени КД с источниками в инете
Добавлено: 2017-04-25 9:36:45
Reken
Здравствуйте
Подскажите мне пожалуйста в следующей проблеме:
Имеется локальная сеть 15 компов и 1 КД, все они смотрят в ИНЕТ через шлюз FreeBSD
Проблема такая что на КД время спешит на 10 минут, так как КД не может выполнить синхронизацию с источником в ИНЕТЕ..
При попытке ввода команды:
w32tm /resync /rediscover
Код: Выделить всё
Отправка команды синхронизации на локальный компьютер
Синхронизация не выполнена, так как нет доступных данных о времени.
При попытке ввода команды:
w32tm /query /peers
Код: Выделить всё
Обнаружена следующая ошибка: Элемент не найден. (0x80070490)
При попытке ввода команды:
w32tm /stripchart /computer:time.windows.com /samples:5 /dataonly
Код: Выделить всё
Отслеживание time.windows.com [13.79.154.18:123].
Сбор образцов 5.
Текущее время - 24.04.2017 8:50:32.
08:50:32, -642.1739221s
08:50:34, -642.1908447s
08:50:36, -642.1833674s
08:50:39, -642.1826320s
08:50:41, -642.1815428s
И ещё что важно, команда
w32tm /query /configuration не показывает строки типа:
Код: Выделить всё
Type: NTP (Local)
NtpServer: time.windows.com (Local)
пробовал лечить сервак так:
Код: Выделить всё
net stop w32time
w32tm /unregister
перезагрузка сервера
regsvr32 /u w32time.dll
w32tm /register
sc query w32time
перезагрузка сервера
sc query w32time
w32tm /config /manualpeerlist:time.windows.com /syncfromflags:manual /reliable:yes /update
w32tm /config /update
Не помогло, те же ошибки...
Для того что бы КД мог синхронизироваться с внешними источниками в фаере прописал правило:
Код: Выделить всё
${fwcmd} add 9420 allow udp from any to any 123 via $LIF
Подскажите пожалуйста, как можно заставить КД синхронизироваться с источником в инете? Помимо time.windows.com пробовал и другие сервера времени, результата нет... Думаю FreeBSD не может блокировать запросы КД на синхронизацию, команда на сверку времени с источником в инете же отрабатывает, значит правило пропускает...
P.S. На FreeBSD в ipfw используется NAT. Но по идее правило которое я указал выше, и написано для того что бы КД делал синхронизацию через NAT...
Синхронизация времени КД с источниками в инете
Добавлено: 2017-04-25 10:07:45
snorlov
Я вам советую поставить сервер времени на фрю и уже с нее брать брать время...
тем более, что там всего 2-е строчки в rc.conf
естественно надо настроить ntp.conf
При этом применить в файере след.правила
Код: Выделить всё
${fwcmd} add allow all from me to any 123 via ${oif}
${fwcmd} add allow all from "table(1)" to me 123 via ${oif}
${fwcmd} add deny all from any to any 123 via ${oif}
${fwcmd} table 1 add 85.114.26.194
${fwcmd} table 1 add 194.149.67.129
${fwcmd} table 1 add 79.136.84.64
{oif} - внешний интерфейс
table(1) - список серверов времени, они перечисляются и в ntp.conf
Синхронизация времени КД с источниками в инете
Добавлено: 2017-04-25 11:25:35
Reken
Уже есть такая мысль повесить роль NTP на FreeBSD. Опасаюсь только что Windows Server 2012 R2 по прежнему будет сыпать ошибки, даже когда я ему укажу сверять время не с источниками в инете, а с локальным компом (FreeBSD)...
Я ведь понимаю схема будет такая:
Источник в ИНЕТЕ -> FreeBSD -> Контроллер Домена -> Компы в локалке
КД же из этой схемы не исключить, правильно? Компы работают в домене и знают, что часы нужно сверять только с КД. Если только по каждому компу не пройтись, и не поменять источник времени...
Синхронизация времени КД с источниками в инете
Добавлено: 2017-04-25 11:42:28
Neus
Reken писал(а): Компы работают в домене и знают, что часы нужно сверять только с КД. Если только по каждому компу не пройтись, и не поменять источник времени...
настраивается в групповой политике
Синхронизация времени КД с источниками в инете
Добавлено: 2017-04-25 11:54:41
dekloper
поддерживаю Снорлова, нехрен венде лазать по инетам..
и.. не вижу правил ната.. видимо они крЕвые..
проверить синхронизацию не виндовым клиентом, ежели работает - сносить к ипиням крЯвую венду)
Синхронизация времени КД с источниками в инете
Добавлено: 2017-04-25 12:18:57
FreeBSP
кд и компы в локалке должны быить синхронизированы по времени, так что не трогайте источник времени на клиентах. иначе будет неприятно
подними NTP на фре и посмотри, будет ли кд брать с нее время. если будет и все норм - оставляй так. если не будет - хуже не станет
а если есть силы и смелость - крути файер с целью разрешить NTP и не поломать все остальное
кстати, а кд часом не на виртуалке?
Синхронизация времени КД с источниками в инете
Добавлено: 2017-04-25 12:19:54
snorlov
Reken писал(а):Уже есть такая мысль повесить роль NTP на FreeBSD. Опасаюсь только что Windows Server 2012 R2 по прежнему будет сыпать ошибки, даже когда я ему укажу сверять время не с источниками в инете, а с локальным компом (FreeBSD)...
Я ведь понимаю схема будет такая:
Источник в ИНЕТЕ -> FreeBSD -> Контроллер Домена -> Компы в локалке
КД же из этой схемы не исключить, правильно? Компы работают в домене и знают, что часы нужно сверять только с КД. Если только по каждому компу не пройтись, и не поменять источник времени...
Вы плохо понимаете работу виндового домена, в нем оприори члены домена политиками по умолчанию забирают время с кд, и если интервал между кд и клиентом больше 10-ти минут, то вход в домен клиентом не возможен пока не подкрутиться время клиента, если только кд доступен, если нет то и суда нет... А кд плевать, кто ему указан в качестве эталона, лишь бы был доступен... в добавок вы можете указать в качестве источника времени не один сервер времени...
Синхронизация времени КД с источниками в инете
Добавлено: 2017-04-25 14:05:40
Reken
Я понял Ваш совет так:
Настроить NTP на FreeBSD, что бы FreeBSD забирал правильное время...
На КД указать:
w32tm /config /manualpeerlist:IP FreeBSD /syncfromflags:manual /reliable:yes /update
И смотреть, будет ли КД правильное время забирать с FreeBSD. Если будет, то и на компах в домене, время на правильное поменяется...
Я правильно понял Ваш совет?
Синхронизация времени КД с источниками в инете
Добавлено: 2017-04-25 14:25:03
snorlov
Да, для нормальной работы домена компы в домене всегда должны забирать время с кд..., а не просто с сервера времени, и еще поищите в инете настройку винды через реестр, через него можно поинтеллектуальнее настроить кд...
Синхронизация времени КД с источниками в инете
Добавлено: 2017-04-25 15:03:48
Reken
Я вот на тестовом FreeBSD экспериментирую с ntp
Выставил в ntp.conf адреса серверов которые Вы привели. Запускаю ntp. Стартует успешно...
В итоге на FreeBSD время на 1 час спешит. Это на серверах (источниках) не правильное время? Или я что то неправильно сделал?
В фаере добавил правила разрешающие 123 порт...
Синхронизация времени КД с источниками в инете
Добавлено: 2017-04-25 15:19:40
snorlov
А зона на фре правильная стоит? И кстати версия то фри какая?
Синхронизация времени КД с источниками в инете
Добавлено: 2017-04-25 15:26:34
Reken
На серваке где я это всё тестирую, установлен bind99 но зоны нет...
Версия FreeBSD 10.3
На "боевом" шлюзе то же версия 10.3 . На нем я ещё ничего не далал с ntp
На боевом тоже bind99 . В качестве master указан КД, а шлюз указан как slave...
Синхронизация времени КД с источниками в инете
Добавлено: 2017-04-25 15:31:29
Neus
Reken писал(а): На серваке где я это всё тестирую, установлен bind99 но зоны нет...
имелся ввиду часовой пояс
Синхронизация времени КД с источниками в инете
Добавлено: 2017-04-25 15:48:56
Reken
Neus писал(а):имелся ввиду часовой пояс
Понятно...
Команда tzsetup -r исправила ошибку. Теперь точное время...
У меня используется PHP56. Для него отдельно нужно время обновить?
cd /usr/ports/misc/pecl-timezonedb/
make install clean
service apache24 restart
Синхронизация времени КД с источниками в инете
Добавлено: 2017-04-25 15:52:59
snorlov
Neus писал(а):Reken писал(а): На серваке где я это всё тестирую, установлен bind99 но зоны нет...
имелся ввиду часовой пояс
Да ... надо быть мне точнее... Мне и в голову не пришло про днс-ную зону...
Синхронизация времени КД с источниками в инете
Добавлено: 2017-04-25 16:21:30
Reken
На тестовом FreeBSD всё получилось с NTP. И PHP вроде бы нормально работает
Теперь попробую на боевом FreeBSD запустить NTP
Ну а после КД настрою получать время с FreeBSD
И буду смотреть, заработает или нет синхронизация времени КД с FreeBSD
Синхронизация времени КД с источниками в инете
Добавлено: 2017-04-26 9:23:21
Reken
Запустил на шлюзе успешно ntp
Время на шлюзе правильное теперь... Но толку нет...
Далее на КД выполнил:
Код: Выделить всё
PS C:\Users\Администратор.DOMEN> w32tm /config /manualpeerlist:192.168.0.4 /syncfromflags:manual /reliable:yes /update
Команда выполнена успешно.
PS C:\Users\Администратор.DOMEN> w32tm /config /update
Команда выполнена успешно.
PS C:\Users\Администратор.DOMEN> w32tm /resync
Отправка команды синхронизации на локальный компьютер
Синхронизация не выполнена, так как нет доступных данных о времени.
PS C:\Users\Администратор.DOMEN>
Почему так происходит? Почему КД не видит источники времени? Сможете пожалуйста что нибудь подсказать?
Синхронизация времени КД с источниками в инете
Добавлено: 2017-04-26 9:31:54
snorlov
Надо привести содержимое ntp.conf, вполне возможно он банально из-за прописанных в нем правил не отдает время в сеть, что у вас там стоит после директив restrict
И еще перезапустите w32tm... Иногда помогает
Синхронизация времени КД с источниками в инете
Добавлено: 2017-04-26 9:43:07
Reken
в ntp.conf у меня только такие строки, всё остальное закоментировано...
Код: Выделить всё
server 85.114.26.194 iburst prefer
server 194.149.67.129 iburst
logfile /var/log/ntp.log
restrict default ignore
restrict 192.168.0.0 mask 255.255.255.0 nomodify notrap
restrict localhost
restrict 85.114.26.194
restrict 194.149.67.129
Правильно, или не правильно сделал?
Синхронизация времени КД с источниками в инете
Добавлено: 2017-04-26 9:48:47
snorlov
Добавьте сам ntp сервер
и опустите
вниз и перезапустите ntpd
Синхронизация времени КД с источниками в инете
Добавлено: 2017-04-26 10:12:42
Reken
Сделал так:
Код: Выделить всё
server 85.114.26.194 iburst prefer
server 194.149.67.129 iburst
logfile /var/log/ntp.log
restrict 192.168.0.4
restrict 192.168.0.0 mask 255.255.255.0 nomodify notrap
restrict localhost
restrict default ignore
restrict 85.114.26.194
restrict 194.149.67.129
Перезапустил ntpd на FreeBSD. После попробовал на КД выполнить
w32tm /resync
Результата нет. Та же ошибка...
Может что то в КД не так? Как я уже говорил команда
w32tm /query /configuration не показывает информацию о NTP сервере...
Синхронизация времени КД с источниками в инете
Добавлено: 2017-04-26 10:29:02
snorlov
Сервис на кд перезапустили... У вас винда какой версии, в брандмауэре на нем 123 udp открыт?
Отправлено спустя 8 минут 15 секунд:
Кстати у вас же есть тестовая фря, с уже настроенным ntp, перенастройте его на получение времени от боевого, проверка работы ntp это ntpq, а там peers и rv...
Синхронизация времени КД с источниками в инете
Добавлено: 2017-04-26 10:29:17
snorlov
Кстати у вас же есть тестовая фря, с уже настроенным ntp, перенастройте его на получение времени от боевого, проверка работы ntp это ntpq, а там peers и rv...
Синхронизация времени КД с источниками в инете
Добавлено: 2017-04-26 10:53:15
Reken
Настроил на тестовом FreeBSD получать время с боевого... Кажется работает... Вот вывод с тестового сервака FreeBSD:
Код: Выделить всё
$ ntpq
ntpq> peers
remote refid st t when poll reach delay offset jitter
==============================================================================
*192.168.0.4 85.114.26.194 2 u 43 64 177 0.156 12.559 10.837
ntpq> rv
associd=0 status=0615 leap_none, sync_ntp, 1 event, clock_sync,
version="ntpd 4.2.8p9-a (1)", processor="i386",
system="FreeBSD/10.3-RELEASE-p11", leap=00, stratum=3, precision=-22,
rootdelay=34.748, rootdisp=59.295, refid=192.168.0.4,
reftime=dcaace39.4f8c905c Wed, Apr 26 2017 10:43:53.310,
clock=dcaacf7e.e6e2cd90 Wed, Apr 26 2017 10:49:18.901, peer=50205, tc=6,
mintc=3, offset=0.410097, frequency=9.849, sys_jitter=11.199160,
clk_jitter=4.990, clk_wander=0.001
ntpq>
На КД установлена Windows Server 2012 R2 + ещё на серваке антивирус Касперского
В брандмауре на КД добавил правила, разрешающие 123 порт UDP и исходящий и входящий...
Не помогает, всё таже ошибка. Может Касперский мешает?
Синхронизация времени КД с источниками в инете
Добавлено: 2017-04-26 10:58:00
snorlov
Вы отключите и тот и другой...