Синхронизация времени КД с источниками в инете

Windows 95, 98, ME и 3,11; WinNT, Win2000, WinXP, Win2003, Vista, 7
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Reken
прапорщик
Сообщения: 461
Зарегистрирован: 2014-06-30 11:23:24

Синхронизация времени КД с источниками в инете

Непрочитанное сообщение Reken » 2017-04-25 9:36:45

Здравствуйте
Подскажите мне пожалуйста в следующей проблеме:

Имеется локальная сеть 15 компов и 1 КД, все они смотрят в ИНЕТ через шлюз FreeBSD
Проблема такая что на КД время спешит на 10 минут, так как КД не может выполнить синхронизацию с источником в ИНЕТЕ..

При попытке ввода команды: w32tm /resync /rediscover

Код: Выделить всё

Отправка команды синхронизации на локальный компьютер
Синхронизация не выполнена, так как нет доступных данных о времени.


При попытке ввода команды: w32tm /query /peers

Код: Выделить всё

Обнаружена следующая ошибка: Элемент не найден. (0x80070490)


При попытке ввода команды: w32tm /stripchart /computer:time.windows.com /samples:5 /dataonly

Код: Выделить всё

Отслеживание time.windows.com [13.79.154.18:123].
Сбор образцов 5.
Текущее время - 24.04.2017 8:50:32.
08:50:32, -642.1739221s
08:50:34, -642.1908447s
08:50:36, -642.1833674s
08:50:39, -642.1826320s
08:50:41, -642.1815428s


И ещё что важно, команда w32tm /query /configuration не показывает строки типа:

Код: Выделить всё

Type: NTP (Local)
NtpServer: time.windows.com (Local)


пробовал лечить сервак так:

Код: Выделить всё

net stop w32time
w32tm /unregister

перезагрузка сервера

regsvr32 /u w32time.dll
w32tm /register
sc query w32time

перезагрузка сервера

sc query w32time
w32tm /config /manualpeerlist:time.windows.com /syncfromflags:manual /reliable:yes /update
w32tm /config /update

Не помогло, те же ошибки...

Для того что бы КД мог синхронизироваться с внешними источниками в фаере прописал правило:

Код: Выделить всё

${fwcmd} add 9420 allow udp from any to any 123 via $LIF


Подскажите пожалуйста, как можно заставить КД синхронизироваться с источником в инете? Помимо time.windows.com пробовал и другие сервера времени, результата нет... Думаю FreeBSD не может блокировать запросы КД на синхронизацию, команда на сверку времени с источником в инете же отрабатывает, значит правило пропускает...

P.S. На FreeBSD в ipfw используется NAT. Но по идее правило которое я указал выше, и написано для того что бы КД делал синхронизацию через NAT...

snorlov
подполковник
Сообщения: 3559
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Синхронизация времени КД с источниками в инете

Непрочитанное сообщение snorlov » 2017-04-25 10:07:45

Я вам советую поставить сервер времени на фрю и уже с нее брать брать время...
тем более, что там всего 2-е строчки в rc.conf

Код: Выделить всё

ntpd_enable="YES"
ntpd_sync_on_start="YES"

естественно надо настроить ntp.conf

При этом применить в файере след.правила

Код: Выделить всё

        ${fwcmd} add allow all from me to any 123 via ${oif}
        ${fwcmd} add allow all from "table(1)" to me 123 via ${oif}
        ${fwcmd} add deny all from any  to any 123 via ${oif}
        ${fwcmd} table 1 add 85.114.26.194
        ${fwcmd} table 1 add 194.149.67.129
        ${fwcmd} table 1 add 79.136.84.64

{oif} - внешний интерфейс
table(1) - список серверов времени, они перечисляются и в ntp.conf

Reken
прапорщик
Сообщения: 461
Зарегистрирован: 2014-06-30 11:23:24

Синхронизация времени КД с источниками в инете

Непрочитанное сообщение Reken » 2017-04-25 11:25:35

Уже есть такая мысль повесить роль NTP на FreeBSD. Опасаюсь только что Windows Server 2012 R2 по прежнему будет сыпать ошибки, даже когда я ему укажу сверять время не с источниками в инете, а с локальным компом (FreeBSD)...
Я ведь понимаю схема будет такая:
Источник в ИНЕТЕ -> FreeBSD -> Контроллер Домена -> Компы в локалке
КД же из этой схемы не исключить, правильно? Компы работают в домене и знают, что часы нужно сверять только с КД. Если только по каждому компу не пройтись, и не поменять источник времени...

Neus
капитан
Сообщения: 1710
Зарегистрирован: 2008-09-08 21:59:56

Синхронизация времени КД с источниками в инете

Непрочитанное сообщение Neus » 2017-04-25 11:42:28

Reken писал(а):Источник цитаты Компы работают в домене и знают, что часы нужно сверять только с КД. Если только по каждому компу не пройтись, и не поменять источник времени...

настраивается в групповой политике
«Вы никогда не сумеете решить возникшую проблему,
если сохраните то же мышление и тот же подход,
который привёл вас к этой проблеме.»
© Альберт Эйнштейн

Аватара пользователя
dekloper
ст. лейтенант
Сообщения: 1280
Зарегистрирован: 2008-02-24 15:43:19
Откуда: давно здесь сидим..
Контактная информация:

Синхронизация времени КД с источниками в инете

Непрочитанное сообщение dekloper » 2017-04-25 11:54:41

поддерживаю Снорлова, нехрен венде лазать по инетам..
и.. не вижу правил ната.. видимо они крЕвые..
проверить синхронизацию не виндовым клиентом, ежели работает - сносить к ипиням крЯвую венду)
ТОВАгИЩИ! БгАТЬЯ И СЕСТгЫ! ДОЛОЙ гАВНОДУШИЕ!

Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

Синхронизация времени КД с источниками в инете

Непрочитанное сообщение FreeBSP » 2017-04-25 12:18:57

кд и компы в локалке должны быить синхронизированы по времени, так что не трогайте источник времени на клиентах. иначе будет неприятно
подними NTP на фре и посмотри, будет ли кд брать с нее время. если будет и все норм - оставляй так. если не будет - хуже не станет
а если есть силы и смелость - крути файер с целью разрешить NTP и не поломать все остальное
кстати, а кд часом не на виртуалке?
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!

snorlov
подполковник
Сообщения: 3559
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Синхронизация времени КД с источниками в инете

Непрочитанное сообщение snorlov » 2017-04-25 12:19:54

Reken писал(а):Уже есть такая мысль повесить роль NTP на FreeBSD. Опасаюсь только что Windows Server 2012 R2 по прежнему будет сыпать ошибки, даже когда я ему укажу сверять время не с источниками в инете, а с локальным компом (FreeBSD)...
Я ведь понимаю схема будет такая:
Источник в ИНЕТЕ -> FreeBSD -> Контроллер Домена -> Компы в локалке
КД же из этой схемы не исключить, правильно? Компы работают в домене и знают, что часы нужно сверять только с КД. Если только по каждому компу не пройтись, и не поменять источник времени...

Вы плохо понимаете работу виндового домена, в нем оприори члены домена политиками по умолчанию забирают время с кд, и если интервал между кд и клиентом больше 10-ти минут, то вход в домен клиентом не возможен пока не подкрутиться время клиента, если только кд доступен, если нет то и суда нет... А кд плевать, кто ему указан в качестве эталона, лишь бы был доступен... в добавок вы можете указать в качестве источника времени не один сервер времени...

Reken
прапорщик
Сообщения: 461
Зарегистрирован: 2014-06-30 11:23:24

Синхронизация времени КД с источниками в инете

Непрочитанное сообщение Reken » 2017-04-25 14:05:40

Я понял Ваш совет так:
Настроить NTP на FreeBSD, что бы FreeBSD забирал правильное время...
На КД указать:
w32tm /config /manualpeerlist:IP FreeBSD /syncfromflags:manual /reliable:yes /update
И смотреть, будет ли КД правильное время забирать с FreeBSD. Если будет, то и на компах в домене, время на правильное поменяется...

Я правильно понял Ваш совет?

snorlov
подполковник
Сообщения: 3559
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Синхронизация времени КД с источниками в инете

Непрочитанное сообщение snorlov » 2017-04-25 14:25:03

Да, для нормальной работы домена компы в домене всегда должны забирать время с кд..., а не просто с сервера времени, и еще поищите в инете настройку винды через реестр, через него можно поинтеллектуальнее настроить кд...

Reken
прапорщик
Сообщения: 461
Зарегистрирован: 2014-06-30 11:23:24

Синхронизация времени КД с источниками в инете

Непрочитанное сообщение Reken » 2017-04-25 15:03:48

Я вот на тестовом FreeBSD экспериментирую с ntp
Выставил в ntp.conf адреса серверов которые Вы привели. Запускаю ntp. Стартует успешно...
В итоге на FreeBSD время на 1 час спешит. Это на серверах (источниках) не правильное время? Или я что то неправильно сделал?

В фаере добавил правила разрешающие 123 порт...

snorlov
подполковник
Сообщения: 3559
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Синхронизация времени КД с источниками в инете

Непрочитанное сообщение snorlov » 2017-04-25 15:19:40

А зона на фре правильная стоит? И кстати версия то фри какая?

Reken
прапорщик
Сообщения: 461
Зарегистрирован: 2014-06-30 11:23:24

Синхронизация времени КД с источниками в инете

Непрочитанное сообщение Reken » 2017-04-25 15:26:34

На серваке где я это всё тестирую, установлен bind99 но зоны нет...
Версия FreeBSD 10.3

На "боевом" шлюзе то же версия 10.3 . На нем я ещё ничего не далал с ntp
На боевом тоже bind99 . В качестве master указан КД, а шлюз указан как slave...

Neus
капитан
Сообщения: 1710
Зарегистрирован: 2008-09-08 21:59:56

Синхронизация времени КД с источниками в инете

Непрочитанное сообщение Neus » 2017-04-25 15:31:29

Reken писал(а):Источник цитаты На серваке где я это всё тестирую, установлен bind99 но зоны нет...

имелся ввиду часовой пояс
«Вы никогда не сумеете решить возникшую проблему,
если сохраните то же мышление и тот же подход,
который привёл вас к этой проблеме.»
© Альберт Эйнштейн

Reken
прапорщик
Сообщения: 461
Зарегистрирован: 2014-06-30 11:23:24

Синхронизация времени КД с источниками в инете

Непрочитанное сообщение Reken » 2017-04-25 15:48:56

Neus писал(а):имелся ввиду часовой пояс

Понятно...
Команда tzsetup -r исправила ошибку. Теперь точное время...

У меня используется PHP56. Для него отдельно нужно время обновить?
cd /usr/ports/misc/pecl-timezonedb/
make install clean
service apache24 restart

snorlov
подполковник
Сообщения: 3559
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Синхронизация времени КД с источниками в инете

Непрочитанное сообщение snorlov » 2017-04-25 15:52:59

Neus писал(а):
Reken писал(а):Источник цитаты На серваке где я это всё тестирую, установлен bind99 но зоны нет...

имелся ввиду часовой пояс

Да ... надо быть мне точнее... Мне и в голову не пришло про днс-ную зону...

Reken
прапорщик
Сообщения: 461
Зарегистрирован: 2014-06-30 11:23:24

Синхронизация времени КД с источниками в инете

Непрочитанное сообщение Reken » 2017-04-25 16:21:30

На тестовом FreeBSD всё получилось с NTP. И PHP вроде бы нормально работает

Теперь попробую на боевом FreeBSD запустить NTP
Ну а после КД настрою получать время с FreeBSD
И буду смотреть, заработает или нет синхронизация времени КД с FreeBSD

Reken
прапорщик
Сообщения: 461
Зарегистрирован: 2014-06-30 11:23:24

Синхронизация времени КД с источниками в инете

Непрочитанное сообщение Reken » 2017-04-26 9:23:21

Запустил на шлюзе успешно ntp
Время на шлюзе правильное теперь... Но толку нет...

Далее на КД выполнил:

Код: Выделить всё

PS C:\Users\Администратор.DOMEN> w32tm /config /manualpeerlist:192.168.0.4 /syncfromflags:manual /reliable:yes /update
Команда выполнена успешно.
PS C:\Users\Администратор.DOMEN> w32tm /config /update
Команда выполнена успешно.
PS C:\Users\Администратор.DOMEN> w32tm /resync
Отправка команды синхронизации на локальный компьютер
Синхронизация не выполнена, так как нет доступных данных о времени.
PS C:\Users\Администратор.DOMEN>


Почему так происходит? Почему КД не видит источники времени? Сможете пожалуйста что нибудь подсказать?

snorlov
подполковник
Сообщения: 3559
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Синхронизация времени КД с источниками в инете

Непрочитанное сообщение snorlov » 2017-04-26 9:31:54

Надо привести содержимое ntp.conf, вполне возможно он банально из-за прописанных в нем правил не отдает время в сеть, что у вас там стоит после директив restrict
И еще перезапустите w32tm... Иногда помогает

Reken
прапорщик
Сообщения: 461
Зарегистрирован: 2014-06-30 11:23:24

Синхронизация времени КД с источниками в инете

Непрочитанное сообщение Reken » 2017-04-26 9:43:07

в ntp.conf у меня только такие строки, всё остальное закоментировано...

Код: Выделить всё

server 85.114.26.194 iburst prefer
server 194.149.67.129 iburst

logfile /var/log/ntp.log

restrict default ignore
restrict 192.168.0.0 mask 255.255.255.0 nomodify notrap
restrict localhost

restrict 85.114.26.194
restrict 194.149.67.129

Правильно, или не правильно сделал?

snorlov
подполковник
Сообщения: 3559
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Синхронизация времени КД с источниками в инете

Непрочитанное сообщение snorlov » 2017-04-26 9:48:47

Добавьте сам ntp сервер

Код: Выделить всё

restrict 192.168.0.4

и опустите

Код: Выделить всё

restrict default ignore
вниз и перезапустите ntpd

Reken
прапорщик
Сообщения: 461
Зарегистрирован: 2014-06-30 11:23:24

Синхронизация времени КД с источниками в инете

Непрочитанное сообщение Reken » 2017-04-26 10:12:42

Сделал так:

Код: Выделить всё

server 85.114.26.194 iburst prefer
server 194.149.67.129 iburst

logfile /var/log/ntp.log

restrict 192.168.0.4
restrict 192.168.0.0 mask 255.255.255.0 nomodify notrap
restrict localhost
restrict default ignore

restrict 85.114.26.194
restrict 194.149.67.129

Перезапустил ntpd на FreeBSD. После попробовал на КД выполнить w32tm /resync
Результата нет. Та же ошибка...
Может что то в КД не так? Как я уже говорил команда w32tm /query /configuration не показывает информацию о NTP сервере...

snorlov
подполковник
Сообщения: 3559
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Синхронизация времени КД с источниками в инете

Непрочитанное сообщение snorlov » 2017-04-26 10:29:02

Сервис на кд перезапустили... У вас винда какой версии, в брандмауэре на нем 123 udp открыт?

Отправлено спустя 8 минут 15 секунд:
Кстати у вас же есть тестовая фря, с уже настроенным ntp, перенастройте его на получение времени от боевого, проверка работы ntp это ntpq, а там peers и rv...

snorlov
подполковник
Сообщения: 3559
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Синхронизация времени КД с источниками в инете

Непрочитанное сообщение snorlov » 2017-04-26 10:29:17

Кстати у вас же есть тестовая фря, с уже настроенным ntp, перенастройте его на получение времени от боевого, проверка работы ntp это ntpq, а там peers и rv...

Reken
прапорщик
Сообщения: 461
Зарегистрирован: 2014-06-30 11:23:24

Синхронизация времени КД с источниками в инете

Непрочитанное сообщение Reken » 2017-04-26 10:53:15

Настроил на тестовом FreeBSD получать время с боевого... Кажется работает... Вот вывод с тестового сервака FreeBSD:

Код: Выделить всё

$ ntpq
ntpq> peers
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
*192.168.0.4     85.114.26.194    2 u   43   64  177    0.156   12.559  10.837
ntpq> rv
associd=0 status=0615 leap_none, sync_ntp, 1 event, clock_sync,
version="ntpd 4.2.8p9-a (1)", processor="i386",
system="FreeBSD/10.3-RELEASE-p11", leap=00, stratum=3, precision=-22,
rootdelay=34.748, rootdisp=59.295, refid=192.168.0.4,
reftime=dcaace39.4f8c905c  Wed, Apr 26 2017 10:43:53.310,
clock=dcaacf7e.e6e2cd90  Wed, Apr 26 2017 10:49:18.901, peer=50205, tc=6,
mintc=3, offset=0.410097, frequency=9.849, sys_jitter=11.199160,
clk_jitter=4.990, clk_wander=0.001
ntpq>


На КД установлена Windows Server 2012 R2 + ещё на серваке антивирус Касперского
В брандмауре на КД добавил правила, разрешающие 123 порт UDP и исходящий и входящий...
Не помогает, всё таже ошибка. Может Касперский мешает?

snorlov
подполковник
Сообщения: 3559
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Синхронизация времени КД с источниками в инете

Непрочитанное сообщение snorlov » 2017-04-26 10:58:00

Вы отключите и тот и другой...


Вернуться в «Windows»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 2 гостя