web-dev-qa-db-ja.com

サーバー2008の構成タイムサービスDCグループポリシーのみを使用

Server 2008 R2ドメインでGPのみを使用してタイムサービスを構成したい次のようにGPを作成しました。

コンピューター構成、ポリシー、管理用テンプレート、システム、Windows時間ポリシー:
=グローバル構成設定-デフォルト設定で有効。

コンピューター構成、ポリシー、管理用テンプレート、システム、Windows時間ポリシー、時間プロバイダー:
= Windowsの設定NTPクライアント-デフォルト設定で有効化。
= Windowsを有効にするNTPクライアント-デフォルト設定で有効にする。= Windowsを有効にするNTPデフォルト設定で有効にする-サーバー.

ポリシーがリンクされ、適用され、ドメインコントローラOUに適用されます。 GPモデリングの結果は、ポリシーがDC(Single DC domain))に有効であり、DCが認識されていることを示しています。 PDCエミュレータとして。gpupdate/ forceを実行し、ログオフ/ログオンしました。

問題は、DCが内部としてタイムソースを示すことです。ピアを設定するためにw32tmを使用してcmd行でこれを強制できますが、GPで何が欠けているのかを理解したいのですが。デフォルトのNTPクライアントGP設定には、ソースとしてtime.windows.com、0x9が含まれていますが、有効になっていないようです。

編集:要求された出力:

C:\ Users\xxxxx> w32tm/query/configuration [構成]

EventLogFlags:2(ポリシー)
AnnounceFlags:10(ポリシー)
TimeJumpAuditOffset:28800(ローカル)
MinPollInterval:6(ポリシー)
MaxPollInterval:10(ポリシー)
MaxNegPhaseCorrection:172800(ポリシー)
MaxPosPhaseCorrection:172800(ポリシー)
MaxAllowedPhaseOffset:300(ポリシー)

FrequencyCorrectRate:4(ポリシー)
PollAdjustFactor:5(ポリシー)
LargePhaseOffset:50000000(ポリシー)
SpikeWatchPeriod:900(ポリシー)
LocalClockDispersion:10(ポリシー)
HoldPeriod:5(ポリシー)
PhaseCorrectRate:1(ポリシー)
UpdateInterval:100(ポリシー)

[TimeProviders]

NtpClient(ローカル)
DllName:C:\ Windows\system32\w32time.dll(ローカル)
有効:1(ローカル)
InputProvider:1(ローカル)
CrossSiteSyncFlags:2(ポリシー)
AllowNonstandardModeCombinations:1(ローカル)
ResolvePeerBackoffMinutes:15(ポリシー)
ResolvePeerBackoffMaxTimes:7(ポリシー)
CompatibilityFlags:2147483648(ローカル)
EventLogFlags:0(ポリシー)
LargeSampleSkew:3(ローカル)
SpecialPollInterval:3600(ポリシー)
タイプ:NT5DS(ポリシー)

NtpServer(ローカル)
DllName:C:\ Windows\system32\w32time.dll(ローカル)
有効:1(ローカル)
InputProvider:0(ローカル)
AllowNonstandardModeCombinations:1(ローカル)

VMICTimeProvider(ローカル)
DllName:C:\ Windows\System32\vmictimeprovider.dll(ローカル)
有効:1(ローカル)
InputProvider:1(ローカル)

編集:GP結果

システム/ Windowsタイムサービス
GPOを獲得したポリシー設定
グローバル構成設定が有効FIT DC時間ポリシー
時計の分野のパラメータ
FrequencyCorrectRate 4
HoldPeriod 5
LargePhaseOffset 50000000
MaxAllowedPhaseOffset 300
MaxNegPhaseCorrection 172800
MaxPosPhaseCorrection 172800
PhaseCorrectRate 1
PollAdjustFactor 5
SpikeWatchPeriod 900
UpdateInterval 100
一般的なパラメータ
AnnounceFlags 10
EventLogFlags 2
LocalClockDispersion 10
MaxPollInterval 10
MinPollInterval 6
ChainEntryTimeout 16
ChainMaxEntries 128 ChainMaxHostEntries 4
チェーンディセーブル0
ChainLoggingRate 30

システム/ Windowsタイムサービス/タイムプロバイダー
GPOを獲得したポリシー設定
Windowsの構成NTPクライアント有効FIT DC時間ポリシー
NtpServer time.windows.com、0x9
タイプNT5DS
CrossSiteSyncFlags 2
ResolvePeerBackoffMinutes 15
ResolvePeerBackoffMaxTimes 7
SpecialPollInterval 3600
EventLogFlags 0

GPOを獲得するポリシー設定
Windowsを有効にするNTPクライアント有効FIT DC時間ポリシー
Windowsを有効にするNTPサーバー有効FIT DC時間ポリシー

2
Ed Fries

OK。データをありがとう。クライアントとサーバーの両方にGPOがあることがわかりました。 NTP clientおよびNTP serverの概念は、Windowsサーバーおよびクライアントとは異なります。最初に、サーバー設定を削除することをお勧めします。これらはNTP=リクエストを処理するマシンの場合。ドメインでは、NTPではなく、Windowsタイムサービスを使用してクライアントに時刻が提供されます。

あなたの状況では、あなたのDCはNTPクライアントであり、外部のNTPサーバーからデータを受信して​​いるためです。したがって、ポリシーはクライアント設定に対してのみ定義する必要があります。

次に、タイムプロバイダーを変更しますGPO設定を[〜#〜] ntp [〜#〜]に変更しますNT5DSの代わりに。

Gpupdateを実行し、w32tm構成クエリを再度実行します。

要約する:
-Windowsを有効にするNTPクライアント有効
-Windowsを有効にするNTPサーバー未構成
-Windowsの設定NTPクライアント| Ntpサーバー(NTPサーバー名)、0x9(0x9はNTPプライマリとしてのサーバー。
-Windowsの設定NTPクライアント|タイプ[〜#〜] ntp [〜#〜]

私はこれをラボドメインでテストしましたが、機能しているようです。 w32tm構成クエリを実行すると、[Time Providers]セクションにType:NTP and NtpServer:(NTP Server Name))と表示されます。

2
newmanth

既定では、すべてのドメインクライアントは権限のある時間についてドメインコントローラーを調べます。これを行うためにGPOを設定する必要はありません。

しばらくの間、各クライアントをNTPサーバーに直接アクセスするように設定することはお勧めしません。 Kerberos認証は、DCとクライアントが互いに同期していることに依存しているため、クライアントがDCから時間を取得することをお勧めします。

ここで、NTPを使用してドメインを外部の調整済みソースに同期させる場合は、DCエミュレーターの役割を保持するPDCでこれを構成する必要があります。 http://technet.Microsoft.com/en-us/library/cc786897(WS.10).aspx を参照してください。 PDCをNTPサービスにピアリングします。

これは、一部の内部Symmetricom NTPサーバーに接続されたドメインで行います。クライアントの平均エラーは+/- 0.1秒です。これより高い精度が必要な場合は、クライアントに専用のサードパーティソフトウェアが必要です。

2
newmanth

ファイアウォールのポート123アウトバウンドが開いているかどうかを確認しましたか。私は同じ種類の問題を抱えていて、ファイアウォールがDCがNISTサーバーに接続するのをブロックしていることがわかりました。

1
Brian