Synchronizace času v doménové hierarchii
V poslední době jsem několikrát řešil problémy s časem ve forestu, případně v doméně s vícero sajtami. Párkrát jsem se k tomu dostal v okamžiku, kdy někdo přede mnou dočasně “poléčil” problémy času na non-PDC DC fixním nastavením NTP serveru. To je řešení následků problému, nikoliv odstranění příčiny. Takže v prvním kroku je třeba uvést nastavení non-PDC do pořádku:
w32tm /config /syncfromflags:domhier /update
w32tm /resync /rediscover
Jiný postup opravy (pro krapet odlišný problém) jsem si uložil zde.
V druhém kroku pak následuje vysvětlení lokálnímu IT týmu, jak se věci mají, jak to funguje. K tomu je nejlepší tento obrázek, který jsem, přiznávám, někde ukradl (s odkazováním na externí URL obrázku mám špatné zkušenosti, někdo změní blogovací nástroj, tím pádem změní URL a obrázek je v háji):
Obrázek je všeříkající, bez nutnosti složitě popisovat, co si odkud může vzít čas.
Pokud se jedná o virtualizovaný DC, je nutné vypnout podporu synchronizace času mezi DC a hypervisorem. Postup pro Hyper-V jsem si popsal zde.
Na závěr je třeba mrknout na nastavení PDC, otestování povolené komunikace mezi PDC a externím zdrojem času. Často jsem se setkal s chybějícími či chybnými pravidly v korporátním firewallu. A koneckonců je nutné se podívat i na korektní konfiguraci PDC – popsáno tady.