Rekomendowanym działaniem w trakcie wstępnej konfiguracji środowiska active directory jest ustawienie zewnętrznego źródła czasu. Zagadnienie to jest ważne, ponieważ ustawienia czasu mają wpływ między innymi na proces uwierzytelniania w domenie.
W wielkim uproszczeniu w domyślnej konfiguracji stacje robocze synchronizują czas z właściwym dla siebie kontrolerem domeny, który pobiera to ustawienie od kontrolera domeny pełniącego rolę emulatora PDC w domenie głównej lasu. PDC natomiast korzysta z zegara CMOS. Szczegółowy opis synchronizacji czasu Active Directory możecie znaleźć tutaj.
Istnieje kilka sposobów na zmianę powyższego ustawienia. Można to zrobić edytując rejestr, tworząc GPO lub używając narzędzia w32tm. W tym artykule opiszę dla mnie najprostsze rozwiązanie jakim jest użycie w32tm. Przed przystąpieniem do modyfikacji należy się upewnić czy na zaporze otworzony jest port UDP 123, który używany jest do synchronizacji czasu. Dla przykładu wykorzystane zostaną adresy wskazane przez Główny Urząd Miar – zegar. Ustawienie wielu wzorców zapewni redundancje na wypadek niedostępności jednego z nich.
Procedura zmiany źródła czasu
Do określenia serwera pełniącego rolę FSMO – emulator PDC służy następujące polecenie : netdom query fsmo.
Na serwerze, który pełni rolę emulatora PDC w domenie głównej lasu należy wydać w wierszu poleceń poniższą komendę:
w32tm /config /manualpeerlist:”tempus1.gum.gov.pl,0x01 tempus2.gum.gov.pl,0x01 ” /syncfromflags:manual /reliable:yes /update.
W poleceniu tym, wymieniając poszczególne wzorce czasu można posłużyć się następującymi flagami:
• 0x01 SpecialInterval – pozwala określić interwał dla synchronizacji czasu;
• 0x02 UseAsFallbackOnly – wzorzec oznaczony tą flagą zostanie użyty na samym końcu;
• 0x04 SymmatricActive – wysyłanie żądania w trybie SymmetricActive;
• 0x08 Client – wysyłanie żądania w trybie Client;
Określenie interwału odbywa się przez modyfikację rejestru ( domyślne ustawienie to 3600 sekund):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\SpecialPollInterval
Ustawienie nowego źródła czasu zostanie zastosowane po restarcie usługi „w32time” i resynchronizacji serwera.
Całość przedstawiona jest na poniższym rysunku:
Na innych kontrolerach domeny należy wykonać poniższe polecenie, a następnie zrestartować usługę w32time:
w32tm /config /syncfromflags:domhier /update
Wszelkie modyfikacje w środowisku produkcyjnym należy wykonywać z dużą ostrożnością.