Страница 1 из 2

Синхронизация времени КД с источниками в инете

Добавлено: 2017-04-25 9:36:45
Reken
Здравствуйте
Подскажите мне пожалуйста в следующей проблеме:

Имеется локальная сеть 15 компов и 1 КД, все они смотрят в ИНЕТ через шлюз FreeBSD
Проблема такая что на КД время спешит на 10 минут, так как КД не может выполнить синхронизацию с источником в ИНЕТЕ..

При попытке ввода команды: w32tm /resync /rediscover

Код: Выделить всё

Отправка команды синхронизации на локальный компьютер
Синхронизация не выполнена, так как нет доступных данных о времени.
При попытке ввода команды: w32tm /query /peers

Код: Выделить всё

Обнаружена следующая ошибка: Элемент не найден. (0x80070490)
При попытке ввода команды: w32tm /stripchart /computer:time.windows.com /samples:5 /dataonly

Код: Выделить всё

Отслеживание time.windows.com [13.79.154.18:123].
Сбор образцов 5.
Текущее время - 24.04.2017 8:50:32.
08:50:32, -642.1739221s
08:50:34, -642.1908447s
08:50:36, -642.1833674s
08:50:39, -642.1826320s
08:50:41, -642.1815428s
И ещё что важно, команда w32tm /query /configuration не показывает строки типа:

Код: Выделить всё

Type: NTP (Local)
NtpServer: time.windows.com (Local)
пробовал лечить сервак так:

Код: Выделить всё

net stop w32time
w32tm /unregister

перезагрузка сервера

regsvr32 /u w32time.dll
w32tm /register
sc query w32time 

перезагрузка сервера

sc query w32time 
w32tm /config /manualpeerlist:time.windows.com /syncfromflags:manual /reliable:yes /update
w32tm /config /update
Не помогло, те же ошибки...

Для того что бы КД мог синхронизироваться с внешними источниками в фаере прописал правило:

Код: Выделить всё

${fwcmd} add 9420 allow udp from any to any 123 via $LIF
Подскажите пожалуйста, как можно заставить КД синхронизироваться с источником в инете? Помимо time.windows.com пробовал и другие сервера времени, результата нет... Думаю FreeBSD не может блокировать запросы КД на синхронизацию, команда на сверку времени с источником в инете же отрабатывает, значит правило пропускает...

P.S. На FreeBSD в ipfw используется NAT. Но по идее правило которое я указал выше, и написано для того что бы КД делал синхронизацию через NAT...

Синхронизация времени КД с источниками в инете

Добавлено: 2017-04-25 10:07:45
snorlov
Я вам советую поставить сервер времени на фрю и уже с нее брать брать время...
тем более, что там всего 2-е строчки в rc.conf

Код: Выделить всё

ntpd_enable="YES"
ntpd_sync_on_start="YES"
естественно надо настроить ntp.conf

При этом применить в файере след.правила

Код: Выделить всё

        ${fwcmd} add allow all from me to any 123 via ${oif}
        ${fwcmd} add allow all from "table(1)" to me 123 via ${oif}
        ${fwcmd} add deny all from any  to any 123 via ${oif}
        ${fwcmd} table 1 add 85.114.26.194
        ${fwcmd} table 1 add 194.149.67.129
        ${fwcmd} table 1 add 79.136.84.64
{oif} - внешний интерфейс
table(1) - список серверов времени, они перечисляются и в ntp.conf

Синхронизация времени КД с источниками в инете

Добавлено: 2017-04-25 11:25:35
Reken
Уже есть такая мысль повесить роль NTP на FreeBSD. Опасаюсь только что Windows Server 2012 R2 по прежнему будет сыпать ошибки, даже когда я ему укажу сверять время не с источниками в инете, а с локальным компом (FreeBSD)...
Я ведь понимаю схема будет такая:
Источник в ИНЕТЕ -> FreeBSD -> Контроллер Домена -> Компы в локалке
КД же из этой схемы не исключить, правильно? Компы работают в домене и знают, что часы нужно сверять только с КД. Если только по каждому компу не пройтись, и не поменять источник времени...

Синхронизация времени КД с источниками в инете

Добавлено: 2017-04-25 11:42:28
Neus
Reken писал(а): Компы работают в домене и знают, что часы нужно сверять только с КД. Если только по каждому компу не пройтись, и не поменять источник времени...
настраивается в групповой политике

Синхронизация времени КД с источниками в инете

Добавлено: 2017-04-25 11:54:41
dekloper
поддерживаю Снорлова, нехрен венде лазать по инетам..
и.. не вижу правил ната.. видимо они крЕвые..
проверить синхронизацию не виндовым клиентом, ежели работает - сносить к ипиням крЯвую венду)

Синхронизация времени КД с источниками в инете

Добавлено: 2017-04-25 12:18:57
FreeBSP
кд и компы в локалке должны быить синхронизированы по времени, так что не трогайте источник времени на клиентах. иначе будет неприятно
подними NTP на фре и посмотри, будет ли кд брать с нее время. если будет и все норм - оставляй так. если не будет - хуже не станет
а если есть силы и смелость - крути файер с целью разрешить NTP и не поломать все остальное
кстати, а кд часом не на виртуалке?

Синхронизация времени КД с источниками в инете

Добавлено: 2017-04-25 12:19:54
snorlov
Reken писал(а):Уже есть такая мысль повесить роль NTP на FreeBSD. Опасаюсь только что Windows Server 2012 R2 по прежнему будет сыпать ошибки, даже когда я ему укажу сверять время не с источниками в инете, а с локальным компом (FreeBSD)...
Я ведь понимаю схема будет такая:
Источник в ИНЕТЕ -> FreeBSD -> Контроллер Домена -> Компы в локалке
КД же из этой схемы не исключить, правильно? Компы работают в домене и знают, что часы нужно сверять только с КД. Если только по каждому компу не пройтись, и не поменять источник времени...
Вы плохо понимаете работу виндового домена, в нем оприори члены домена политиками по умолчанию забирают время с кд, и если интервал между кд и клиентом больше 10-ти минут, то вход в домен клиентом не возможен пока не подкрутиться время клиента, если только кд доступен, если нет то и суда нет... А кд плевать, кто ему указан в качестве эталона, лишь бы был доступен... в добавок вы можете указать в качестве источника времени не один сервер времени...

Синхронизация времени КД с источниками в инете

Добавлено: 2017-04-25 14:05:40
Reken
Я понял Ваш совет так:
Настроить NTP на FreeBSD, что бы FreeBSD забирал правильное время...
На КД указать:
w32tm /config /manualpeerlist:IP FreeBSD /syncfromflags:manual /reliable:yes /update
И смотреть, будет ли КД правильное время забирать с FreeBSD. Если будет, то и на компах в домене, время на правильное поменяется...

Я правильно понял Ваш совет?

Синхронизация времени КД с источниками в инете

Добавлено: 2017-04-25 14:25:03
snorlov
Да, для нормальной работы домена компы в домене всегда должны забирать время с кд..., а не просто с сервера времени, и еще поищите в инете настройку винды через реестр, через него можно поинтеллектуальнее настроить кд...

Синхронизация времени КД с источниками в инете

Добавлено: 2017-04-25 15:03:48
Reken
Я вот на тестовом FreeBSD экспериментирую с ntp
Выставил в ntp.conf адреса серверов которые Вы привели. Запускаю ntp. Стартует успешно...
В итоге на FreeBSD время на 1 час спешит. Это на серверах (источниках) не правильное время? Или я что то неправильно сделал?

В фаере добавил правила разрешающие 123 порт...

Синхронизация времени КД с источниками в инете

Добавлено: 2017-04-25 15:19:40
snorlov
А зона на фре правильная стоит? И кстати версия то фри какая?

Синхронизация времени КД с источниками в инете

Добавлено: 2017-04-25 15:26:34
Reken
На серваке где я это всё тестирую, установлен bind99 но зоны нет...
Версия FreeBSD 10.3

На "боевом" шлюзе то же версия 10.3 . На нем я ещё ничего не далал с ntp
На боевом тоже bind99 . В качестве master указан КД, а шлюз указан как slave...

Синхронизация времени КД с источниками в инете

Добавлено: 2017-04-25 15:31:29
Neus
Reken писал(а): На серваке где я это всё тестирую, установлен bind99 но зоны нет...
имелся ввиду часовой пояс

Синхронизация времени КД с источниками в инете

Добавлено: 2017-04-25 15:48:56
Reken
Neus писал(а):имелся ввиду часовой пояс
Понятно...
Команда tzsetup -r исправила ошибку. Теперь точное время...

У меня используется PHP56. Для него отдельно нужно время обновить?
cd /usr/ports/misc/pecl-timezonedb/
make install clean
service apache24 restart

Синхронизация времени КД с источниками в инете

Добавлено: 2017-04-25 15:52:59
snorlov
Neus писал(а):
Reken писал(а): На серваке где я это всё тестирую, установлен bind99 но зоны нет...
имелся ввиду часовой пояс
Да ... надо быть мне точнее... Мне и в голову не пришло про днс-ную зону...

Синхронизация времени КД с источниками в инете

Добавлено: 2017-04-25 16:21:30
Reken
На тестовом FreeBSD всё получилось с NTP. И PHP вроде бы нормально работает

Теперь попробую на боевом FreeBSD запустить NTP
Ну а после КД настрою получать время с FreeBSD
И буду смотреть, заработает или нет синхронизация времени КД с FreeBSD

Синхронизация времени КД с источниками в инете

Добавлено: 2017-04-26 9:23:21
Reken
Запустил на шлюзе успешно ntp
Время на шлюзе правильное теперь... Но толку нет...

Далее на КД выполнил:

Код: Выделить всё

PS C:\Users\Администратор.DOMEN> w32tm /config /manualpeerlist:192.168.0.4 /syncfromflags:manual /reliable:yes /update
Команда выполнена успешно.
PS C:\Users\Администратор.DOMEN> w32tm /config /update
Команда выполнена успешно.
PS C:\Users\Администратор.DOMEN> w32tm /resync
Отправка команды синхронизации на локальный компьютер
Синхронизация не выполнена, так как нет доступных данных о времени.
PS C:\Users\Администратор.DOMEN>
Почему так происходит? Почему КД не видит источники времени? Сможете пожалуйста что нибудь подсказать?

Синхронизация времени КД с источниками в инете

Добавлено: 2017-04-26 9:31:54
snorlov
Надо привести содержимое ntp.conf, вполне возможно он банально из-за прописанных в нем правил не отдает время в сеть, что у вас там стоит после директив restrict
И еще перезапустите w32tm... Иногда помогает

Синхронизация времени КД с источниками в инете

Добавлено: 2017-04-26 9:43:07
Reken
в ntp.conf у меня только такие строки, всё остальное закоментировано...

Код: Выделить всё

server 85.114.26.194 iburst prefer
server 194.149.67.129 iburst

logfile /var/log/ntp.log

restrict default ignore
restrict 192.168.0.0 mask 255.255.255.0 nomodify notrap
restrict localhost

restrict 85.114.26.194
restrict 194.149.67.129
Правильно, или не правильно сделал?

Синхронизация времени КД с источниками в инете

Добавлено: 2017-04-26 9:48:47
snorlov
Добавьте сам ntp сервер

Код: Выделить всё

restrict 192.168.0.4
и опустите

Код: Выделить всё

restrict default ignore
вниз и перезапустите ntpd

Синхронизация времени КД с источниками в инете

Добавлено: 2017-04-26 10:12:42
Reken
Сделал так:

Код: Выделить всё

server 85.114.26.194 iburst prefer
server 194.149.67.129 iburst

logfile /var/log/ntp.log

restrict 192.168.0.4
restrict 192.168.0.0 mask 255.255.255.0 nomodify notrap
restrict localhost
restrict default ignore

restrict 85.114.26.194
restrict 194.149.67.129
Перезапустил ntpd на FreeBSD. После попробовал на КД выполнить w32tm /resync
Результата нет. Та же ошибка...
Может что то в КД не так? Как я уже говорил команда w32tm /query /configuration не показывает информацию о NTP сервере...

Синхронизация времени КД с источниками в инете

Добавлено: 2017-04-26 10:29:02
snorlov
Сервис на кд перезапустили... У вас винда какой версии, в брандмауэре на нем 123 udp открыт?

Отправлено спустя 8 минут 15 секунд:
Кстати у вас же есть тестовая фря, с уже настроенным ntp, перенастройте его на получение времени от боевого, проверка работы ntp это ntpq, а там peers и rv...

Синхронизация времени КД с источниками в инете

Добавлено: 2017-04-26 10:29:17
snorlov
Кстати у вас же есть тестовая фря, с уже настроенным ntp, перенастройте его на получение времени от боевого, проверка работы ntp это ntpq, а там peers и rv...

Синхронизация времени КД с источниками в инете

Добавлено: 2017-04-26 10:53:15
Reken
Настроил на тестовом FreeBSD получать время с боевого... Кажется работает... Вот вывод с тестового сервака FreeBSD:

Код: Выделить всё

$ ntpq
ntpq> peers
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
*192.168.0.4     85.114.26.194    2 u   43   64  177    0.156   12.559  10.837
ntpq> rv
associd=0 status=0615 leap_none, sync_ntp, 1 event, clock_sync,
version="ntpd 4.2.8p9-a (1)", processor="i386",
system="FreeBSD/10.3-RELEASE-p11", leap=00, stratum=3, precision=-22,
rootdelay=34.748, rootdisp=59.295, refid=192.168.0.4,
reftime=dcaace39.4f8c905c  Wed, Apr 26 2017 10:43:53.310,
clock=dcaacf7e.e6e2cd90  Wed, Apr 26 2017 10:49:18.901, peer=50205, tc=6,
mintc=3, offset=0.410097, frequency=9.849, sys_jitter=11.199160,
clk_jitter=4.990, clk_wander=0.001
ntpq>
На КД установлена Windows Server 2012 R2 + ещё на серваке антивирус Касперского
В брандмауре на КД добавил правила, разрешающие 123 порт UDP и исходящий и входящий...
Не помогает, всё таже ошибка. Может Касперский мешает?

Синхронизация времени КД с источниками в инете

Добавлено: 2017-04-26 10:58:00
snorlov
Вы отключите и тот и другой...