Налаштування синхронізації часу за NTP за допомогою групових політик. Особливості налаштування часу для віртуальних контролерів домену

Перш ніж приступити до налаштування синхронізації часу із зовнішнім сервером, не забудьте відкрити на своєму Front-Endміжмережевому екрані стандартний порт NTP – UDP 123
(Потрібно дозволити як вхідне, так і вихідне з'єднання).
У домен контролерівцей виняток вже є - називається " Active Directory Domain Controller - W32Time (NTP-UDP-In)" (В Inbound Rules)

Топологія синхронізації часу серед учасників Active Directory

Серед комп'ютерів, що беруть участь у Active Directory, працює наступна схема синхронізації часу:

• Контролер кореневого домену в лісі AD, якому належить FSMО-роль емулятора PDC, є джерелом часу для решти контролерів цього домену.
• Контролери дочірніх доменів, синхронізують час із вищестоящих по топології AD контролерів домену.
• Рядові члени домену (сервера та робочі станції) синхронізують свій час з найближчим до нихдоступним контролером домену, дотримуючись топології AD.

PDC може синхронізувати свій час як зі зовнішнім джерелом, Так і з самим собою, останнє задано стандартною конфігурацією і є абсурдом, про що періодично натякають помилки в системному журналі.

Синхронізація клієнтів PDC може здійснюватися як з його внутрішнього годинника, так і з зовнішнього джерела. У першому випадку сервер часу кореневого PDC оголошує себе як надійний (reliable).

Конфігурація NTP-сервера на кореневому PDC

Конфігурування сервера часу (NTP-сервера) може здійснюватись як за допомогою утиліти командного рядка w32tm, і через реєстр.
Де можливо, я наведу обидва варіанти.

Увімкнення синхронізації внутрішніх годинників із зовнішнім джерелом

• "Type"="NTP"
• w32tm /config /syncfromflags:manual

Switzerland- ch.pool.ntp.org
Israel- il.pool.ntp.org

LINKS:

Перевірено: Windows Server 2008 R2, Windows Server 2012 R2
для Windows Server 2003 R2 - є різниця у командах для w32tm(Значення реєстру ті ж)

Серед комп'ютерів, що беруть участь у Active Directory, працює наступна схема синхронізації часу.

• Контролер кореневого домену в лісі AD, якому належить FSMО-роль емулятора PDC (назвемо його кореневим PDC), є джерелом часу для решти контролерів цього домену.
• Контролери дочірніх доменів синхронізують час із вищестоящих по топології AD контролерів домену.
• Рядові члени домену (сервера та робочі станції) синхронізують свій час з найближчим до них доступним контролером домену, дотримуючись топології AD.

Кореневий PDC може синхронізувати свій час як із зовнішнім джерелом, так і з самим собою, останнє задано стандартною конфігурацією і є абсурдом, про що періодично натякають помилки в системному журналі.

Синхронізація клієнтів кореневого PDC може здійснюватися як з його внутрішнього годинника, так і з зовнішнього джерела. У першому випадку сервер часу кореневого PDC оголошує себе як надійний (reliable).

Далі я наведу оптимальну з моєї точки зору конфігурацію сервера часу кореневого PDC, при якій сам кореневий PDC періодично синхронізує свій час від достовірного джерела в інтернеті, а час клієнтів, що звертаються до нього, синхронізує зі своїм внутрішнім годинником.

Конфігурація NTP-сервера на кореневому PDC

Конфігурування сервера часу (NTP-сервера) може здійснюватися як за допомогою утиліти командного рядка w32tm, і через реєстр. Де можливо, я наведу обидва варіанти.

Увімкнення синхронізації внутрішніх годинників із зовнішнім джерелом

• 
  "Type"="NTP"
• w32tm /config /syncfromflags:manual

Оголошення NTP-сервера як надійне

• 
  "AnnounceFlags"=dword:0000000a
• w32tm /config /reliable:yes

Увімкнення NTP-сервера

NTP-сервер за замовчуванням увімкнений на всіх контролерах домену, однак його можна включити і на рядових серверах.

• 
  "Enabled"=dword:00000001

Завдання списку зовнішніх джерел для синхронізації

• 
  "NtpServer"="time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 ru.pool.ntp.org,0x8"
• w32tm /config /manualpeerlist:"time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 ru.pool.ntp.org,0x8"

Прапор 0×8 на кінці означає, що синхронізація повинна відбуватися в режимі клієнта NTP через запропоновані цим сервером інтервали часу. Щоб задати свій інтервал синхронізації, необхідно використовувати прапор 0×1.

Завдання інтервалу синхронізації із зовнішнім джерелом

Час у секундах між опитуваннями джерела синхронізації, за умовчанням 900с = 15хв. Працює лише для джерел, помічених прапором 0×1.

• 
  "SpecialPollInterval"=dword:00000384

Встановлення мінімальної позитивної та негативної корекції

Максимальна позитивна та негативна корекція часу (різниця між внутрішнім годинником і джерелом синхронізації) у секундах, при перевищенні якої синхронізація не відбувається. Рекомендую значення 0xFFFFFFFF, у якому корекція зможе виконуватися завжди.

"MaxPosPhaseCorrection"=dword:FFFFFFFF
"MaxNegPhaseCorrection"=dword:FFFFFFFF

Все необхідне одним рядком

w32tm.exe /config /manualpeerlist:"time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 pool.ntp.org,0x8" /syncfromflags:manual / reliable:yes /update

Корисні команди

• Застосування внесених до конфігурації служби часу змін
  w32tm /config /update
• Примусова синхронізація від джерела
  w32tm / resync / rediscover
• Відображення стану синхронізації контролерів домену в домені
  w32tm/monitor
• Відображення поточних джерел синхронізації та їх статусу
  w32tm /query /peers

Особливості віртуалізованих контролерів домену

Контролери домену, які у віртуалізованому середовищі, вимагають себе особливого ставлення.

• Засоби синхронізації часу віртуальної машини та хостової ОС мають бути вимкнені. У всіх адекватних системах віртуалізації (Microsoft, vmWare тощо) присутні компоненти інтеграції гостьової ОС з хостовою, які значно підвищують продуктивність та керованість гостьової системи. Серед цих компонентів завжди є засіб синхронізації часу гостьової ОС з хостовою, який дуже корисний для рядових машин, але протипоказаний для контролерів домену. Тому що в цьому випадку дуже можливий цикл, при якому контролер домену та хостова ОС синхронізуватимуть один одного. Наслідки сумні.
• Для кореневого PDC синхронізація із зовнішнім джерелом має бути налаштована завжди. У віртуальному середовищігодинник не настільки точний як у фізичному, тому що віртуальна машинапрацює з віртуальним процесором та перериваннями, для яких характерне як уповільнення, так і прискорення щодо «звичайної» частоти. Якщо не настроїти синхронізацію віртуалізованого кореневого PDC із зовнішнім джерелом, час на всіх комп'ютерах підприємства може втікати/відставати на кілька годин на добу. Не важко уявити неприємності, які можуть принести таку поведінку.

Налаштування сервера NTP у Windows

Починаючи з Windows 2000 усі операційні системи Windowsвключають службу часу W32Time. Ця служба призначена для синхронізації часу в межах організації. W32Time відповідає за роботу як клієнтської, так і серверної частини служби часу, причому один і той же комп'ютер може бути одночасно клієнтом і сервером NTP (Network Time Protocol).

За промовчанням служба часу в Windows налаштована таким чином:

При встановленні операційної системи Windows запускає клієнта NTP та синхронізується із зовнішнім джерелом часу;
При додаванні комп'ютера до домену змінюється тип синхронізації. всі клієнтські комп'ютериі рядові сервери в домені використовують для синхронізації часу контролер домену, що перевіряє їхню справжність;
При підвищенні рядового сервера до контролера домену на ньому запускається NTP-сервер, який як джерело часу використовує контролер за участю PDC-емулятор;
PDC-емулятор, розташований у кореневому домені лісу, є основним сервером часу для організації. При цьому сам він також синхронізується із зовнішнім джерелом часу.

Така схема працює у більшості випадків і не потребує втручання. Однак структура сервісу часу в Windows може і не дотримуватися доменної ієрархії, і надійним джерелом часу можна призначити будь-який комп'ютер. Як приклад, я опишу налаштування NTP-сервера в Windows Server 2008 R2, хоча з часів Windows 2000 процедура не дуже змінилася.

Запуск сервера NTP

Відразу зазначу, що служба часу в Windows Server (починаючи з 2000 і до 2012) не має графічного інтерфейсуі налаштовується або з командного рядка, або шляхом прямого виправлення системного реєстру. Особисто мені ближчий другий спосіб, тому йдемо до реєстру.

Отже, насамперед нам треба запустити сервер NTP. Відкриваємо гілку реєстру
HKLM\System\CurrentControlSet\services\W32Time\TimeProviders\NtpServer.
Тут для увімкнення сервера NTP параметра Enabledтреба встановити значення 1 .

Потім перезапускаємо службу часу командою net stop w32time && net start w32time

Після перезапуску служби NTP сервер вже активний та може обслуговувати клієнтів. Переконатися в цьому можна за допомогою команди w32tm/query/configuration. Ця команда виводить повний списокпараметрів служби. Якщо розділ NtpServerмістить рядок Enabled:1, то все гаразд, сервер часу працює.

Для того, щоб NTP-сервер міг обслуговувати клієнтів, не забудьте на фаєрволлі відкрити UDP порт 123 для вхідного та вихідного трафіку.

Основні налаштування сервера NTP

NTP сервер увімкнули, тепер треба його налаштувати. Відкриваємо гілку реєстру HKLM\System\CurrentControlSet\services\W32Time\Parameters. Тут насамперед нас цікавить параметр Type, який визначає тип синхронізації. Він може приймати такі значення:

NoSync - NTP-сервер не синхронізується з будь-яким зовнішнім джерелом часу. Використовується годинник, вбудований у мікросхему CMOS самого сервера;
NTP - NTP-сервер синхронізується із зовнішніми серверами часу, які вказані у параметрі реєстру NtpServer;
NT5DS - NTP-сервер здійснює синхронізацію згідно з доменною ієрархією;
AllSync - NTP-сервер використовує всі доступні джерела для синхронізації.

Стандартне значення для комп'ютера, що входить до домену. NT5DS, для окремо комп'ютера, що стоїть — NTP.

І параметр NtpServer, в якому вказуються NTP-сервера, з якими синхронізуватиме час даний сервер. За промовчанням в цьому параметрі прописаний NTP-сервер Microsoft (time.windows.com, 0x1), за потреби можна додати ще кілька NTP-серверів, ввівши їх DNS імена або IP-адреси через пробіл. Список доступних серверів часу можна переглянути наприклад.

Наприкінці кожного імені можна додавати прапорець (напр. ,0x1) який визначає режим для синхронізації із сервером часу. Допускаються такі значення:

0x1- SpecialInterval, використання спеціального інтервалу опитування;
0x2- Режим UseAsFallbackOnly;
0x4- SymmetricActive, симетричний активний режим;
0x8– Client, надсилання запиту у клієнтському режимі.

При використанні прапора SpecialInterval, необхідно встановити значення інтервалу в ключі SpecialPollInterval. При значенні прапора UseAsFallbackOnly службі часу повідомляється, що сервер буде використовуватися як резервний і перед синхронізацією з ним будуть виконуватися звернення до інших серверів списку. Симетричний активний режим використовується NTP-серверами за замовчуванням, а клієнтський режим можна використовувати у разі проблем із синхронізацією. Детальніше про режими синхронізації можна подивитися, або не морочитися і просто ставити скрізь ,0x1(як радить Microsoft).

Ще один важливий параметр AnnounceFlagsзнаходиться у розділі реєстру HKLM\System\CurrentControlSet\services\W32Time\Config. Він відповідає за те, як про себе заявляє NTP-сервер і може приймати такі значення:

0x0 ( Not a time server) — сервер не оголошує себе через NetLogon як джерело часу. Він може відповідати на NTP запити, але сусіди не зможуть розпізнати його як джерело часу;
0x1(Always time server) — сервер завжди оголошуватиме себе незалежно від статусу;
0x2(Automatic time server) — сервер оголошуватиме себе лише, якщо він отримує надійний час від іншого сусіда (NTP або NT5DS);
0x4(Always reliable time server) — сервер завжди заявлятиме себе, як надійне джерело часу;
0x8(Automatic reliable time server) — контролер домену автоматично оголошується надійним, якщо він PDC-емулятор кореневого домену лісу. Цей прапор дозволяє головному лісу PDC заявити про себе як про авторизоване джерело часу для всього лісу навіть за відсутності зв'язку з вищими NTP-серверами. Жоден інший контролер або рядовий сервер (має за промовчанням прапор 0x2) не може заявити про себе, як надійне джерело часу, якщо він не може знайти джерело часу для себе.

Значення AnnounceFlagsскладає суму складових його прапорів, наприклад:

10 = 2 + 8 - NTP-сервер заявляє про себе як про надійне джерело часу за умови, що сам отримує час з надійного джерела або є PDC кореневого домену. Прапор 10 задається за замовчуванням як для членів домену, так і для серверів, що окремо стоять.

5=1+4 - NTP-сервер завжди заявляє про себе як про надійне джерело часу. Наприклад, щоб заявити рядовий сервер (не домен-контролер) як надійне джерело часу, потрібний прапор 5.

Ну і налаштуємо інтервал між оновленнями. За нього відповідає вже згадуваний вище ключ SpecialPollInterval,що знаходиться у гілці реєстру HKLM\System\CurrentControlSet\services\W32Time\TimeProviders\NtpClient. Він задається в секундах і за умовчанням його значення дорівнює 604 800, що становить 1 тиждень. Це дуже багато, тому варто зменшити значення SpecialPollInterval до розумного значення, скажімо до 1 години (3600).

Після налаштування необхідно оновити конфігурацію сервісу. Зробити це можна командою w32tm/config/update. І ще кілька команд для налаштування, моніторингу та діагностики служби часу:

w32tm /monitor – за допомогою цієї опції можна дізнатися, наскільки системний час даного комп'ютеравідрізняється від часу на контролері домену або на інших комп'ютерах. Наприклад: w32tm /monitor /computers:time.nist.gov
w32tm /resync – за допомогою цієї команди можна змусити комп'ютер синхронізуватися з сервером часу, що використовується.
w32tm /stripchart – показує різницю у часі між поточним та віддаленим комп'ютером, причому може виводити результат у графічному вигляді. Наприклад, команда w32tm /stripchart /computer:time.nist.gov /samples:5 /dataonlyзробить 5 порівнянь із зазначеним джерелом та виведе результат у текстовому вигляді.

w32tm /config – це основна команда, яка використовується для конфігурування служби NTP. З її допомогою можна задати список серверів часу, тип синхронізації та багато іншого. Наприклад, перевизначити значення за замовчуванням і налаштувати синхронізацію часу із зовнішнім джерелом можна командою w32tm /config /syncfromflags:manual /manualpeerlist:time.nist.gov /update
w32tm /query — показує поточні установки служби. Наприклад, команда w32tm /query /source покаже поточне джерело часу, а w32tm /query /configuration виведе всі параметри служби.

Ну і на крайній випадок 🙁
w32tm /unregister – видаляє службу часу з комп'ютера.
w32tm /register – реєструє службу часу на комп'ютері. При цьому створюється наново вся гілка параметрів у реєстрі.

оновлено 26.03.2012

Усі хочуть бачити на комп'ютері точний часКрім того, це дуже важливо для нормального функціонування домену Windows та AD. Здавалося б, чого простіше, налаштовуєш PDC емулятор на синхронізацію з яким-небудь ntp і все стає на місця само собою… Але ні, вже кілька разів, спостерігалася розсинхронізація контролерів домену між собою та скарги користувачів на те, що наш час відрізняється від точного на пару хвилин.

Здавалося б, смішна проблема – кілька хвилин, але для деякої роботи і кілька хвилин важливо. Особливо, якщо це редактора стрічки новин www.korrespondent.net . Щоправда, були ще й жартівливі скарги, що вони через цю проблему цілих 2, 3 або 5 хвилин переробляють:-)

Стандартні "танці з бубнами", які робив я, а потім і наш мережевий інженер, по керівництву Microsoft допомагали, але не довго. Тобто. час сходиться, помилки з лога зникають, а через пару годин, або, через добу, все починається заново. А потім, через пару-трійку тижнів, або місяць-другий, помилка знову досягає розміру понад 2 хвилини і все заново.

Тож хочеш щось зробити добре – зроби це сам. Що ми маємо, три контролери домену, що працюють під Windows 2003 Server R2, купу робочих станцій під Windows XP Professional SP3. Як ntp сервер у компанії служить Cisco 2821

Ознаками проблеми на DC, що є ще й PDC емулятором, є наявність наступних помилок в Event log:

Event Type: Warning
Event Source: W32Time
Event Category: None
Event ID: 47
Date: 17.11.2009
Time: 13:21:45
User: N/A
Комп'ютер: DC04
Description:
Time Provider NtpClient: Відсутня відповідь буде отримувати від manually configured peer ntp.mydomain.ua,0x1 after 8 attempts to contact it. Цей peer буде розглянутий як джерело часу і NtpClient буде прийняти до запису нового peer with this DNS name.

Event Type: Error
Event Source: W32Time
Event Category: None
Event ID: 29
Date: 17.11.2009
Time: 13:21:45
User: N/A
Комп'ютер: DC04
Description:
Time provider NtpClient is configured to acquire time from 1 or more time sources, when none of the sources are currently accessible. Відсутня потреба в контакті з джерелом, щоб зробити протягом 15 хвилин. NtpClient has не source of accurate time.

Event Type: Information
Event Source: W32Time
Event Category: None
Event ID: 38
Date: 17.11.2009
Time: 14:06:45
User: N/A
Комп'ютер: DC04
Description:
Time provider NtpClient може не отримувати або є поточно отримувати неправильний час від ntp.mydomain.ua
(ntp.m|0x1|192.168.0.50:123->10.10.72.17:123).

На решті контролерів домену, замість Event ID 47, присутній Event ID: 24

Event Type: Warning
Event Source: W32Time
Event Category: None
Event ID: 24
Date: 18.11.2009
Time: 6:46:56
User: N/A
Комп'ютер: DC03
Description:
Time Provider NtpClient: Відсутня відповідь буде надана від керуючого контролером pdacemul.addomain after 8 attempts to contact it. Цей домашній контролер буде розглянутий як поточний джерело і NtpClient буде вирішити, щоб виконати новий домашній контролер від якого до synchronize.

Отже, ось процедура відновлення працездатності сервісу w32tm

1. Якщо хтось не знає цього напам'ять, то так от знаходимо всі DC і того, хто з них PDC емулятор
   netdom query fsmo
2. Тепер перевіряю доступність PDC емулятора сервера часу.
   portqry –n ntp.mydomain.ua –e 123 –p UDPQuerying target system called:
   ntp.mydomain.ua
   Примітка до резолюції name to IP address…
   Name resolved to 10.10.72.17

   UDP port 123 (ntp service): LISTENING or FILTERED

   Має бути саме так “LISTENING or FILTERED”

   Ця утиліта входить до комплекту Support Tools для Windows 2003 Server. На жаль, Windows 2008 R2 вона не працює.

3. Потім за допомогою regedit відкриваю параметри ntp сервера
   Там має бути записана ip адреса або повна назва нашого ntp сервера і запис повинен обов'язково закінчуватися рядком “,0x1”. Лапки, ясна річ, треба прибрати. До речі, до цього суфікса я повернуся пізніше. Для впевненості в тому, що тут немає помилок, непогано б попхати скопійовану звідти адресу або ім'я.
4. Там же слід перейти до параметра
   HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type
   та переконатися, що там прописано NTP, а не NT5DS
5. Тепер слід перевірити ще одне значення
   HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags
   тут має бути 5
6. Перезапускаємо сервіс часу:
   
7. Тепер перезапускаю синхронізацію:
   w32tm / resync / rediscover
8. На решті контролерів домену рекомендується запустити:
   w32tm /unregister
   w32tm /register
   Ця операція видаляє службу часу, а потім знову її встановлює, причому, що важливо, видаляється, а потім знову створюється вся гілка параметрів в реєстрі.
9. Дуже рекомендується перезапустити контролер домену, що є pdc емулятором, та й решта теж.
10. Якщо на pdc емуляторі помилки з'являються заново, як у моєму випадку, варто спробувати замінити значення 0x1 на 0x08 у параметрі
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\NtpServer
    щоб стали надсилатися стандартні клієнтські запити.
11. Перезапускаємо сервіс часу
    net stop w32time && net start w32time

Default Domain Controllers group policy
Default Domain group policy

ну і всі інші, які мають відношення до домен контролерам, серверам та робочим станціям і в яких змінені будь-які значення в розділі

Computer configuration/Administrative Templates /System/Windows Time service/Time Providers

Переконайтеся, що всі значення там можуть “not configured”. При необхідності грати з параметрами слід пізніше.

12. Якщо щось змінювали у політиці, то перезапускаємо обслуговування часу:
    net stop w32time && net start w32time
13. Якщо і після цього нічого не допомогло, то потрібно обнулити параметри сервісу часу та на pdc емуляторі
    net stop w32time
    w32tm /unregister
    w32tm /register
    після чого потрібно буде налаштовувати всі параметри наново, починаючи з п.3. Якщо раптом на етапі видалення напише про заборону доступу, то потрібно перезавантажитися.

w32tm /config /manualpeerlist:PEERS /syncfromflags:manual /reliable:yes /update

де PEERS - сервера - джерела точного часу, причому значення це або DNS ім'я, або IP-адреса. Якщо джерел більше одного, між ними необхідно ввести пробіл, а сам список повинен бути в лапках: «time.domain.com time1.domain.com».

Операційні системи сімейства Windows містять службу часу W32Time. Ця служба призначена для синхронізації часу в межах організації. W32Time відповідає за роботу як клієнтської, так і серверної частини служби часу, причому один і той же комп'ютер може бути одночасно клієнтом і сервером NTP (NTP - Network Time Protocol).

За промовчанням служба часу в Windows налаштована таким чином:

Під час встановлення операційної системи Windows запускає клієнта NTP, який синхронізується із зовнішнім джерелом часу;

При додаванні комп'ютера до домену змінюється тип синхронізації. Всі клієнтські комп'ютери та рядові сервери в домені використовують для синхронізації часу контролер домену, що перевіряє їхню справжність;

При підвищенні рядового сервера до контролера домену на ньому запускається NTP-сервер, який як джерело часу використовує контролер за участю PDC-емулятор;

PDC-емулятор, розташований у кореневому домені лісу, є основним сервером часу для організації. При цьому сам він також синхронізується із зовнішнім джерелом часу.

Така схема працює у більшості випадків і не потребує втручання. Однак структура сервісу часу в Windows може і не дотримуватися доменної ієрархії і надійним джерелом часу можна призначити будь-який комп'ютер.

Як приклад наведемо налаштування NTP-сервера в Windows Server 2008 R2, за аналогією можна налаштувати NTP сервер і в Windows 7.

Запуск сервера NTP

Служба часу в Windows Server не має графічного інтерфейсуі налаштовується або з командного рядка, або шляхом прямого виправлення системного реєстру. Розглянемо другий спосіб:

Потрібно запустити сервер NTP. Відкриваємо гілку реєстру:

HKLM\System\CurrentControlSet\services\W32Time\TimeProviders\NtpServer.

Для увімкнення сервера NTP параметру Enabled треба встановити значення 1. Потім перезапускаємо службу часу командою net stop w32time && net start w32time.

Після перезапуску служби NTP сервер вже активний і може обслуговувати клієнтів. Переконатися в цьому можна за допомогою команди w32tm/query/configuration. Ця команда відображає повний список параметрів служби. Якщо розділ NtpServer містить рядок Enabled:1, то все гаразд, сервер часу працює.

Для того щоб NTP-сервер міг обслуговувати клієнтів, у брандмауері необхідно відкрити UDP порт 123 для вхідного та вихідного трафіку.

Основні налаштування сервера NTP

Відкриваємо гілку реєстру:

HKLM\System\CurrentControlSet\services\W32Time\Parameters.

NoSync - NTP-сервер не синхронізується з будь-яким зовнішнім джерелом часу. Використовується системний годинник, вбудований в мікросхему CMOS самого сервера (у свою чергу цей годинник може синхронізуватися від джерела NMEA по RS-232 наприклад);

NTP — NTP-сервер синхронізується із зовнішніми серверами часу, які вказані у параметрі реєстру NtpServer;

NT5DS - NTP-сервер здійснює синхронізацію згідно доменної ієрархії;

AllSync – NTP-сервер використовує для синхронізації всі доступні джерела.

Значення за замовчуванням для комп'ютера, що входить в домен - NT5DS, для комп'ютера, що окремо стоїть, - NTP.

У параметрі NtpServer вказуються NTP-сервера, з якими синхронізуватиме час даний сервер. За промовчанням у цьому параметрі прописаний NTP-сервер Microsoft (time.windows.com, 0×1), за потреби можна додати ще кілька NTP-серверів, ввівши їх DNS імена або IP адреси через пробіл. Наприкінці кожного імені можна додавати прапор (напр. ,0×1) який визначає режим синхронізації з сервером часу.

Допускаються такі значення режиму:

SpecialPollInterval, що знаходиться у гілці реєстру:

HKLM\System\CurrentControlSet\services\W32Time\TimeProviders\NtpClient.

Він задається в секундах і за умовчанням його значення дорівнює 604 800, що становить 1 тиждень. Це дуже багато, тому Варто зменшити значення SpecialPollInterval до розумного значення - 1 годину (3600).

Після налаштування необхідно оновити конфігурацію сервісу. Зробити це можна командою w32tm/config/update.

І ще кілька команд для налаштування, моніторингу та діагностики служби часу:

w32tm /monitor – за допомогою цієї опції можна дізнатися, наскільки системний час комп'ютера відрізняється від часу на контролері домену або інших комп'ютерах. Наприклад: w32tm /monitor /computers:time.nist.gov

w32tm /resync – за допомогою цієї команди можна змусити комп'ютер синхронізуватися з сервером часу, що використовується.

w32tm /stripchart – показує різницю у часі між поточним та віддаленим комп'ютером. Команда w32tm /stripchart /computer:time.nist.gov /samples:5 /dataonlyзробить 5 порівнянь із зазначеним джерелом та видасть результат у текстовому вигляді.

w32tm /config – це основна команда, яка використовується для налаштування служби NTP. З її допомогою можна задати список серверів часу, тип синхронізації та багато іншого. Наприклад, перевизначити значення за замовчуванням і налаштувати синхронізацію часу із зовнішнім джерелом можна командою w32tm /config /syncfromflags:manual /manualpeerlist:time.nist.gov /update

w32tm /query – показує поточні налаштування служби. Наприклад, команда w32tm /query /source покаже поточне джерело часу, а w32tm /query /configuration виведе всі параметри служби.

net stop w32time – зупиняє службу часу, якщо запущена.

w32tm /unregister – видаляє службу часу з комп'ютера.

w32tm /register – реєструє службу часу на комп'ютері. При цьому створюється наново вся гілка параметрів у реєстрі.

net start w32time - запускає службу.

Особливості, помічені у Windows 7 - служба часу не запускається автоматично під час старту Windows. Виправлено у SP1 для Windows 7.