Синхронизация времени КД с источниками в инете

Windows 95, 98, ME и 3,11; WinNT, Win2000, WinXP, Win2003, Vista, 7
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Reken
лейтенант
Сообщения: 619
Зарегистрирован: 2014-06-30 11:23:24

Синхронизация времени КД с источниками в инете

Непрочитанное сообщение Reken » 2017-04-25 9:36:45

Здравствуйте
Подскажите мне пожалуйста в следующей проблеме:

Имеется локальная сеть 15 компов и 1 КД, все они смотрят в ИНЕТ через шлюз FreeBSD
Проблема такая что на КД время спешит на 10 минут, так как КД не может выполнить синхронизацию с источником в ИНЕТЕ..

При попытке ввода команды: w32tm /resync /rediscover

Код: Выделить всё

Отправка команды синхронизации на локальный компьютер
Синхронизация не выполнена, так как нет доступных данных о времени.
При попытке ввода команды: w32tm /query /peers

Код: Выделить всё

Обнаружена следующая ошибка: Элемент не найден. (0x80070490)
При попытке ввода команды: w32tm /stripchart /computer:time.windows.com /samples:5 /dataonly

Код: Выделить всё

Отслеживание time.windows.com [13.79.154.18:123].
Сбор образцов 5.
Текущее время - 24.04.2017 8:50:32.
08:50:32, -642.1739221s
08:50:34, -642.1908447s
08:50:36, -642.1833674s
08:50:39, -642.1826320s
08:50:41, -642.1815428s
И ещё что важно, команда w32tm /query /configuration не показывает строки типа:

Код: Выделить всё

Type: NTP (Local)
NtpServer: time.windows.com (Local)
пробовал лечить сервак так:

Код: Выделить всё

net stop w32time
w32tm /unregister

перезагрузка сервера

regsvr32 /u w32time.dll
w32tm /register
sc query w32time 

перезагрузка сервера

sc query w32time 
w32tm /config /manualpeerlist:time.windows.com /syncfromflags:manual /reliable:yes /update
w32tm /config /update
Не помогло, те же ошибки...

Для того что бы КД мог синхронизироваться с внешними источниками в фаере прописал правило:

Код: Выделить всё

${fwcmd} add 9420 allow udp from any to any 123 via $LIF
Подскажите пожалуйста, как можно заставить КД синхронизироваться с источником в инете? Помимо time.windows.com пробовал и другие сервера времени, результата нет... Думаю FreeBSD не может блокировать запросы КД на синхронизацию, команда на сверку времени с источником в инете же отрабатывает, значит правило пропускает...

P.S. На FreeBSD в ipfw используется NAT. Но по идее правило которое я указал выше, и написано для того что бы КД делал синхронизацию через NAT...

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

snorlov
подполковник
Сообщения: 3927
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Синхронизация времени КД с источниками в инете

Непрочитанное сообщение snorlov » 2017-04-25 10:07:45

Я вам советую поставить сервер времени на фрю и уже с нее брать брать время...
тем более, что там всего 2-е строчки в rc.conf

Код: Выделить всё

ntpd_enable="YES"
ntpd_sync_on_start="YES"
естественно надо настроить ntp.conf

При этом применить в файере след.правила

Код: Выделить всё

        ${fwcmd} add allow all from me to any 123 via ${oif}
        ${fwcmd} add allow all from "table(1)" to me 123 via ${oif}
        ${fwcmd} add deny all from any  to any 123 via ${oif}
        ${fwcmd} table 1 add 85.114.26.194
        ${fwcmd} table 1 add 194.149.67.129
        ${fwcmd} table 1 add 79.136.84.64
{oif} - внешний интерфейс
table(1) - список серверов времени, они перечисляются и в ntp.conf

Reken
лейтенант
Сообщения: 619
Зарегистрирован: 2014-06-30 11:23:24

Синхронизация времени КД с источниками в инете

Непрочитанное сообщение Reken » 2017-04-25 11:25:35

Уже есть такая мысль повесить роль NTP на FreeBSD. Опасаюсь только что Windows Server 2012 R2 по прежнему будет сыпать ошибки, даже когда я ему укажу сверять время не с источниками в инете, а с локальным компом (FreeBSD)...
Я ведь понимаю схема будет такая:
Источник в ИНЕТЕ -> FreeBSD -> Контроллер Домена -> Компы в локалке
КД же из этой схемы не исключить, правильно? Компы работают в домене и знают, что часы нужно сверять только с КД. Если только по каждому компу не пройтись, и не поменять источник времени...

Аватара пользователя
Neus
капитан
Сообщения: 1976
Зарегистрирован: 2008-09-08 21:59:56

Синхронизация времени КД с источниками в инете

Непрочитанное сообщение Neus » 2017-04-25 11:42:28

Reken писал(а): Компы работают в домене и знают, что часы нужно сверять только с КД. Если только по каждому компу не пройтись, и не поменять источник времени...
настраивается в групповой политике
Physics is mathematics with the constraint of reality.
Engineering is physics with the constraint of money.

LOR захватили ситхи.
Добро пожаловать на светлую сторону!

Аватара пользователя
dekloper
ст. лейтенант
Сообщения: 1331
Зарегистрирован: 2008-02-24 15:43:19
Откуда: давно здесь сидим..
Контактная информация:

Синхронизация времени КД с источниками в инете

Непрочитанное сообщение dekloper » 2017-04-25 11:54:41

поддерживаю Снорлова, нехрен венде лазать по инетам..
и.. не вижу правил ната.. видимо они крЕвые..
проверить синхронизацию не виндовым клиентом, ежели работает - сносить к ипиням крЯвую венду)
ТОВАгИЩИ! БгАТЬЯ И СЕСТгЫ! ДОЛОЙ гАВНОДУШИЕ!

Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

Синхронизация времени КД с источниками в инете

Непрочитанное сообщение FreeBSP » 2017-04-25 12:18:57

кд и компы в локалке должны быить синхронизированы по времени, так что не трогайте источник времени на клиентах. иначе будет неприятно
подними NTP на фре и посмотри, будет ли кд брать с нее время. если будет и все норм - оставляй так. если не будет - хуже не станет
а если есть силы и смелость - крути файер с целью разрешить NTP и не поломать все остальное
кстати, а кд часом не на виртуалке?
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!

snorlov
подполковник
Сообщения: 3927
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Синхронизация времени КД с источниками в инете

Непрочитанное сообщение snorlov » 2017-04-25 12:19:54

Reken писал(а):Уже есть такая мысль повесить роль NTP на FreeBSD. Опасаюсь только что Windows Server 2012 R2 по прежнему будет сыпать ошибки, даже когда я ему укажу сверять время не с источниками в инете, а с локальным компом (FreeBSD)...
Я ведь понимаю схема будет такая:
Источник в ИНЕТЕ -> FreeBSD -> Контроллер Домена -> Компы в локалке
КД же из этой схемы не исключить, правильно? Компы работают в домене и знают, что часы нужно сверять только с КД. Если только по каждому компу не пройтись, и не поменять источник времени...
Вы плохо понимаете работу виндового домена, в нем оприори члены домена политиками по умолчанию забирают время с кд, и если интервал между кд и клиентом больше 10-ти минут, то вход в домен клиентом не возможен пока не подкрутиться время клиента, если только кд доступен, если нет то и суда нет... А кд плевать, кто ему указан в качестве эталона, лишь бы был доступен... в добавок вы можете указать в качестве источника времени не один сервер времени...

Reken
лейтенант
Сообщения: 619
Зарегистрирован: 2014-06-30 11:23:24

Синхронизация времени КД с источниками в инете

Непрочитанное сообщение Reken » 2017-04-25 14:05:40

Я понял Ваш совет так:
Настроить NTP на FreeBSD, что бы FreeBSD забирал правильное время...
На КД указать:
w32tm /config /manualpeerlist:IP FreeBSD /syncfromflags:manual /reliable:yes /update
И смотреть, будет ли КД правильное время забирать с FreeBSD. Если будет, то и на компах в домене, время на правильное поменяется...

Я правильно понял Ваш совет?

snorlov
подполковник
Сообщения: 3927
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Синхронизация времени КД с источниками в инете

Непрочитанное сообщение snorlov » 2017-04-25 14:25:03

Да, для нормальной работы домена компы в домене всегда должны забирать время с кд..., а не просто с сервера времени, и еще поищите в инете настройку винды через реестр, через него можно поинтеллектуальнее настроить кд...

Reken
лейтенант
Сообщения: 619
Зарегистрирован: 2014-06-30 11:23:24

Синхронизация времени КД с источниками в инете

Непрочитанное сообщение Reken » 2017-04-25 15:03:48

Я вот на тестовом FreeBSD экспериментирую с ntp
Выставил в ntp.conf адреса серверов которые Вы привели. Запускаю ntp. Стартует успешно...
В итоге на FreeBSD время на 1 час спешит. Это на серверах (источниках) не правильное время? Или я что то неправильно сделал?

В фаере добавил правила разрешающие 123 порт...

snorlov
подполковник
Сообщения: 3927
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Синхронизация времени КД с источниками в инете

Непрочитанное сообщение snorlov » 2017-04-25 15:19:40

А зона на фре правильная стоит? И кстати версия то фри какая?

Reken
лейтенант
Сообщения: 619
Зарегистрирован: 2014-06-30 11:23:24

Синхронизация времени КД с источниками в инете

Непрочитанное сообщение Reken » 2017-04-25 15:26:34

На серваке где я это всё тестирую, установлен bind99 но зоны нет...
Версия FreeBSD 10.3

На "боевом" шлюзе то же версия 10.3 . На нем я ещё ничего не далал с ntp
На боевом тоже bind99 . В качестве master указан КД, а шлюз указан как slave...

Аватара пользователя
Neus
капитан
Сообщения: 1976
Зарегистрирован: 2008-09-08 21:59:56

Синхронизация времени КД с источниками в инете

Непрочитанное сообщение Neus » 2017-04-25 15:31:29

Reken писал(а): На серваке где я это всё тестирую, установлен bind99 но зоны нет...
имелся ввиду часовой пояс
Physics is mathematics with the constraint of reality.
Engineering is physics with the constraint of money.

LOR захватили ситхи.
Добро пожаловать на светлую сторону!

Reken
лейтенант
Сообщения: 619
Зарегистрирован: 2014-06-30 11:23:24

Синхронизация времени КД с источниками в инете

Непрочитанное сообщение Reken » 2017-04-25 15:48:56

Neus писал(а):имелся ввиду часовой пояс
Понятно...
Команда tzsetup -r исправила ошибку. Теперь точное время...

У меня используется PHP56. Для него отдельно нужно время обновить?
cd /usr/ports/misc/pecl-timezonedb/
make install clean
service apache24 restart

snorlov
подполковник
Сообщения: 3927
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Синхронизация времени КД с источниками в инете

Непрочитанное сообщение snorlov » 2017-04-25 15:52:59

Neus писал(а):
Reken писал(а): На серваке где я это всё тестирую, установлен bind99 но зоны нет...
имелся ввиду часовой пояс
Да ... надо быть мне точнее... Мне и в голову не пришло про днс-ную зону...

Reken
лейтенант
Сообщения: 619
Зарегистрирован: 2014-06-30 11:23:24

Синхронизация времени КД с источниками в инете

Непрочитанное сообщение Reken » 2017-04-25 16:21:30

На тестовом FreeBSD всё получилось с NTP. И PHP вроде бы нормально работает

Теперь попробую на боевом FreeBSD запустить NTP
Ну а после КД настрою получать время с FreeBSD
И буду смотреть, заработает или нет синхронизация времени КД с FreeBSD

Reken
лейтенант
Сообщения: 619
Зарегистрирован: 2014-06-30 11:23:24

Синхронизация времени КД с источниками в инете

Непрочитанное сообщение Reken » 2017-04-26 9:23:21

Запустил на шлюзе успешно ntp
Время на шлюзе правильное теперь... Но толку нет...

Далее на КД выполнил:

Код: Выделить всё

PS C:\Users\Администратор.DOMEN> w32tm /config /manualpeerlist:192.168.0.4 /syncfromflags:manual /reliable:yes /update
Команда выполнена успешно.
PS C:\Users\Администратор.DOMEN> w32tm /config /update
Команда выполнена успешно.
PS C:\Users\Администратор.DOMEN> w32tm /resync
Отправка команды синхронизации на локальный компьютер
Синхронизация не выполнена, так как нет доступных данных о времени.
PS C:\Users\Администратор.DOMEN>
Почему так происходит? Почему КД не видит источники времени? Сможете пожалуйста что нибудь подсказать?

snorlov
подполковник
Сообщения: 3927
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Синхронизация времени КД с источниками в инете

Непрочитанное сообщение snorlov » 2017-04-26 9:31:54

Надо привести содержимое ntp.conf, вполне возможно он банально из-за прописанных в нем правил не отдает время в сеть, что у вас там стоит после директив restrict
И еще перезапустите w32tm... Иногда помогает

Reken
лейтенант
Сообщения: 619
Зарегистрирован: 2014-06-30 11:23:24

Синхронизация времени КД с источниками в инете

Непрочитанное сообщение Reken » 2017-04-26 9:43:07

в ntp.conf у меня только такие строки, всё остальное закоментировано...

Код: Выделить всё

server 85.114.26.194 iburst prefer
server 194.149.67.129 iburst

logfile /var/log/ntp.log

restrict default ignore
restrict 192.168.0.0 mask 255.255.255.0 nomodify notrap
restrict localhost

restrict 85.114.26.194
restrict 194.149.67.129
Правильно, или не правильно сделал?

snorlov
подполковник
Сообщения: 3927
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Синхронизация времени КД с источниками в инете

Непрочитанное сообщение snorlov » 2017-04-26 9:48:47

Добавьте сам ntp сервер

Код: Выделить всё

restrict 192.168.0.4
и опустите

Код: Выделить всё

restrict default ignore
вниз и перезапустите ntpd

Reken
лейтенант
Сообщения: 619
Зарегистрирован: 2014-06-30 11:23:24

Синхронизация времени КД с источниками в инете

Непрочитанное сообщение Reken » 2017-04-26 10:12:42

Сделал так:

Код: Выделить всё

server 85.114.26.194 iburst prefer
server 194.149.67.129 iburst

logfile /var/log/ntp.log

restrict 192.168.0.4
restrict 192.168.0.0 mask 255.255.255.0 nomodify notrap
restrict localhost
restrict default ignore

restrict 85.114.26.194
restrict 194.149.67.129
Перезапустил ntpd на FreeBSD. После попробовал на КД выполнить w32tm /resync
Результата нет. Та же ошибка...
Может что то в КД не так? Как я уже говорил команда w32tm /query /configuration не показывает информацию о NTP сервере...

snorlov
подполковник
Сообщения: 3927
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Синхронизация времени КД с источниками в инете

Непрочитанное сообщение snorlov » 2017-04-26 10:29:02

Сервис на кд перезапустили... У вас винда какой версии, в брандмауэре на нем 123 udp открыт?

Отправлено спустя 8 минут 15 секунд:
Кстати у вас же есть тестовая фря, с уже настроенным ntp, перенастройте его на получение времени от боевого, проверка работы ntp это ntpq, а там peers и rv...

snorlov
подполковник
Сообщения: 3927
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Синхронизация времени КД с источниками в инете

Непрочитанное сообщение snorlov » 2017-04-26 10:29:17

Кстати у вас же есть тестовая фря, с уже настроенным ntp, перенастройте его на получение времени от боевого, проверка работы ntp это ntpq, а там peers и rv...

Reken
лейтенант
Сообщения: 619
Зарегистрирован: 2014-06-30 11:23:24

Синхронизация времени КД с источниками в инете

Непрочитанное сообщение Reken » 2017-04-26 10:53:15

Настроил на тестовом FreeBSD получать время с боевого... Кажется работает... Вот вывод с тестового сервака FreeBSD:

Код: Выделить всё

$ ntpq
ntpq> peers
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
*192.168.0.4     85.114.26.194    2 u   43   64  177    0.156   12.559  10.837
ntpq> rv
associd=0 status=0615 leap_none, sync_ntp, 1 event, clock_sync,
version="ntpd 4.2.8p9-a (1)", processor="i386",
system="FreeBSD/10.3-RELEASE-p11", leap=00, stratum=3, precision=-22,
rootdelay=34.748, rootdisp=59.295, refid=192.168.0.4,
reftime=dcaace39.4f8c905c  Wed, Apr 26 2017 10:43:53.310,
clock=dcaacf7e.e6e2cd90  Wed, Apr 26 2017 10:49:18.901, peer=50205, tc=6,
mintc=3, offset=0.410097, frequency=9.849, sys_jitter=11.199160,
clk_jitter=4.990, clk_wander=0.001
ntpq>
На КД установлена Windows Server 2012 R2 + ещё на серваке антивирус Касперского
В брандмауре на КД добавил правила, разрешающие 123 порт UDP и исходящий и входящий...
Не помогает, всё таже ошибка. Может Касперский мешает?

snorlov
подполковник
Сообщения: 3927
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Синхронизация времени КД с источниками в инете

Непрочитанное сообщение snorlov » 2017-04-26 10:58:00

Вы отключите и тот и другой...