хочу доменконтроллер шобы время брал с инета. нашел список серверов времени.. долго искал россию.. оказалось что мы не европа.. гы гы http://support.microsoft.com/kb/q262680/ Заодно подскажите как делать на сервере w2k стоит. я так понял надо сделать net time /setsntp:193.233.9.7 net stop w32time net start w32time ? попробовал на своей локальной хп это сделать. изменения в реестре есть.. однако по команде net time.. она показывает какое время на одном из ДК, вместо того чтобы показать какое время на инетовском серваке, который для меня и является сервером времени.. смущает как-то
Ессесно. Хотя у меня схема несколько более хитрая. Циска с матеров 3 стратума берет время, а внутренние машинки уже берут с циски. 2000 ный воркстейшин обновляю ручками через net time время от времени. AD дома нет.
Кстати, таже фигня, Sever 2003, читый, без сервис паков, стоит Russian MUI - нет internet-time в часиках. C:\>ver Microsoft Windows [Версия 5.2.3790] P.S. Russian MUI не я ставил, так что зачем не спрашивайте, видимо потому что по терминалу на ём юзвери работают.
Кстати, у него именно 2000: "на сервере w2k стоит." http://forum.wbfree.net/forums/showpost.php?p=499418&postcount=1
Ага, ну вобщем я про это все уже и подумал собственно все ссылки в поиске вели на телегу, которую я привел в первом посте.. либо на сайте майкрософт есть дока, где можно пойти путем нормальных геров и самому изменять все в реестре. Мне хотелось подтверждения собсно что да так и делается и хотелось узнать как проверить шо действительно время берется с внешних ntp неужели никто в домене время не синхронизит? зы: а дома у меня chameleon clocks время синхронизит
ужас, попытаюсь сформулировать заново на домен-контроллере стоит w2k server (может быть adv.server). Домен-контроллеров 2 штуки. Нужно на одном из них брать время с интернета. С него будут брать время все остальные. Я прочитал что это делается путем запускания на ДК: net time /setsntp:<список ntp serverov> net stop w32time net start w32time Вопросы: 1) Действительно ли эти действия надо совершать и достаточно ли их? 2) как проверить что ДК начал брать время с этих ntp-серверов, а не продолжает юзать локальное? 3) Какой из двух ДК считается (блин слово забыл).. ээ.. главным сервером времени? То бишь по какому аспекту это определяется.. по конкретной роли или по набору ролей? Примечание: тестил на wxpsp2, введена в домен. произвел на ней вышеприведенные команды. Уменьшил руками на ней время на минуту. Хпя перестала брать время с домена, потому как скажем на одном из серваком время на минуту больше. Однако не уверен что ХПя стала брать время с инета.. ибо по команде net time выдается: C:\>net time Текущее время на \\SERV01 равно 8/2/2006 3:56 PM Команда выполнена успешно. вобщем нет уверенности.. посмотрел system log.. 26-го числа.. запись от w32time об успешной синхронизации времени с ДК. 2-го числа августа: Службе времени не удалось синхронизовать системное время в течение 49152 сек., поскольку ни один из поставщиков времени не смог предоставить пригодный штамп времени. Системные часы не синхронизованы. на фаерволе с моей машины разрешено на выход tcp/udp 123 или какой там порт прописаны в качестве ntp через запятую 3 ip российских ntp-серверов из списка майкрософт. Щаз мне еще вспомнилась инфа.. что навроде бы майкрософт юзает в сети sntp, а не ntp.. и шо такое ntp он не знает, соответственно и из инета брать ничего не может.. здесь тогда может быть еще большая путаница... может w2k не умеет ntp, а w2003 умеет.. может оба не умеют, может оба умеют... в доках майкрософта о настройке этого дела упоминается слова как sntp так и ntp.. фиг поймешь вобщем.. Ясность внесите
"Данная программа реализует клиент/сервер SNTP (Simple Network Time Protocol Version 4 for IPv4, IPv6 and OSI, RFC 2030) - протокол синхронизации времени с точностью от 1 до 50 миллисекунд. Программа может работать как сервис WindowsNT, и как обыкновенное приложение Win32." Пользую не первый год. Переименуй в zip.
лениво? http://old.osp.ru/win2000/2001/04/074.htm http://www.windowsnetworking.com/articles_tutorials/Configuring-Windows-Time-Service.html http://www.microsoft.com/technet/prodtechnol/Windows2000Pro/maintain/w2kmngd/16_2kwts.mspx
искать плохо умею вобщем рискнул здоровьем.. запустил на дц главном 3 команды.. он сцуко время тут же выставил правильное.. а спешил почти на 10 минут.. я вот терь думаю... не отпадут ли клиенты нах из-за того что по керберосу разница должна быть не более 5 минут.. те кто с сервака не обновит по крайней мере.. ебнется вся сеть и кирдык... хорошо что у меня не лес деревьев с общим количеством компов за 1000.. вот бы я тогда боялся.. у него же по идее механизм есть, что если разница по времени большая то постепенно изменять время, приводя к нужному.. а он хуяк и 10 минут сразу низверг... интересно как и что будет происходить при переходе на зимнее время
http://security.nnov.ru/advisories/timesync.asp вот и посинхронизируйся с инетом.. грохнут сеть через этот ntp и кирдык
6. Только в случае использования Windows 2000 с пакетом обновления 4 (SP4) необходимо задать параметр коррекции времени. Для этого выполните следующие действия:a. Найдите и выделите следующий раздел реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters b. На правой панели щелкните правой кнопкой мыши параметр MaxAllowedClockErrInSecs и выберите команду Изменить. c. В появившемся окне Изменение параметра DWORD в поле Значение введите TimeInSeconds и нажмите кнопку ОК. Примечание.TimeInSeconds ? это интервал времени (в секундах) между двумя опросами. Для данного параметра рекомендуется устанавливать значение 900. При этом опрос будет выполняться каждые 15 минут. 7. Чтобы задать интервал опроса, выполните следующие действия:a. Найдите и выделите следующий раздел реестра: HKEY LOCAL MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters b. На правой панели щелкните правой кнопкой мыши параметр Period и выберите команду Изменить. c. В появившемся окне Изменение параметра DWORD в поле Значение введите 24 и нажмите кнопку ОК. ------------------------------ Пункт 6. я так понимаю 900 надо вводить в десятичном исчислении.. и странно.. это пункт 6 с сайта майкрософт... похоже что написана чушь.. типа это интервал опроса.. при этом в пункте 7 тоже интервал опроса... а вот здесь http://security.nnov.ru/advisories/timesync.asp написано: MaxAllowedClockErrInSecs This value allows to set maximum correction time allowed for external source (it's never applied to internal domain synchronization. This parameter doesn't eliminate problem but it's possible to use it on forest's root PDC emulator to prevent most important services from immediate attack, but it's still possible to launch attack against time precision and skew calculation. Default value is 43200 (12 hours). 12 hours is huge period that allows a lot of services to be attacked. I recommend value below 60 to be used on forest's root PDC emulator. что если я правильно понял означает максимальную разницу времени на которую можно переводить часы и чувак рекомендует меньше 60 секунд ставить... Пункт 7. По умолчанию параметр Period имеет тип REG_SZ и равен тексту SpecialSkew.. ничего в пункте об этом не сказано.. я так понимаю подразумевается, что я должен изменить тип параметра на REG_DWORD и потом уже вводить туды число 24.. Что думаете по этому поводу?
