dolezel.net

Co není v hlavě, je v blogu...

Synchronizace času v doménové hierarchii

V poslední době jsem několikrát řešil problémy s časem ve forestu, případně v doméně s vícero sajtami. Párkrát jsem se k tomu dostal v okamžiku, kdy někdo přede mnou dočasně “poléčil” problémy času na non-PDC DC fixním nastavením NTP serveru. To je řešení následků problému, nikoliv odstranění příčiny. Takže v prvním kroku je třeba uvést nastavení non-PDC do pořádku:

w32tm /config /syncfromflags:domhier /update
w32tm /resync /rediscover

Jiný postup opravy (pro krapet odlišný problém) jsem si uložil zde.

V druhém kroku pak následuje vysvětlení lokálnímu IT týmu, jak se věci mají, jak to funguje. K tomu je nejlepší tento obrázek, který jsem, přiznávám, někde ukradl (s odkazováním na externí URL obrázku mám špatné zkušenosti, někdo změní blogovací nástroj, tím pádem změní URL a obrázek je v háji):

NTP_in_forest

Obrázek je všeříkající, bez nutnosti složitě popisovat, co si odkud může vzít čas.

Pokud se jedná o virtualizovaný DC, je nutné vypnout podporu synchronizace času mezi DC a hypervisorem. Postup pro Hyper-V jsem si popsal zde.

Na závěr je třeba mrknout na nastavení PDC, otestování povolené komunikace mezi PDC a externím zdrojem času. Často jsem se setkal s chybějícími či chybnými pravidly v korporátním firewallu. A koneckonců je nutné se podívat i na korektní konfiguraci PDC – popsáno tady.

Pro tisk
Komentáře jsou uzavřeny