INFORMATICS

Dla prawidłowego działania niektórych programów wymagana jest synchronizacja czasu. Komputery pracujące w domenie powinny pobierać czas z serwera AD. Ponieważ serwer ten kontroluje czas na maszynach należy podać mu prawidłowy czas z zegara atomowego. Serwer odpowiadający za kontrole czasu w domenie nazywamy kontrolerem z rolą PDC Operation Master. Istnieje kilka serwerów czasu możemy wybrać sobie np.

recesja.icm.edu.pl 193.219.28.149

tempus1.gum.gov.pl   212.244.36.227 – Główny Instytut Miar

tempus2.gum.gov.pl  212.244.36.228

Czas atomowy można zobaczyć poprzez przeglądarkę na stronie http://www.gum.gov.pl/pl/site/zegar

Zasada działania serwera czasu:

Klient kontaktuje się z kontrolerem domeny. Wymienia z nim pakiety a usługa W32Time określa czas który zostanie ustawiony lokalnie.

Klient reguluje czas lokalny – jeżeli czas docelowy jest późniejszy od czasu lokalnego następuje natychmiastowe ustawienie czasu na komputerze. W przypadku gdy czas jest wcześniejszy od czasu lokalnego zegar lokalny jest spowalniany aż do osiągnięcia prawidłowej wartości chyba że różnica jest większa niż 3 minuty wtedy czas lokalny jest ustawiany natychmiast.

Klient serwera sprawdza czas okresowo początkowo ten okres domyślnie wynosi 45 minut przy czym po trzech udanych próbach serwer zwiększa czas sprawdzania do 8 godzin. Gdy trzy próby synchronizacji nie powiodą się serwer ponownie zmniejsza czas do 45 minut.

Komputery klienckie w domenie wybierają uwierzytelniony serwer kontrolera domeny zwracany przez funkcję DSGetDCName()

FSMO PDC w domenie głównej lasu jest autorytatywne.

W celu poprawnego działania serwera czasu należy otworzyć port UDP 123 (in and outbound) na zabezpieczeniach sieciowych

Kroki które wykonujemy w celu konfiguracji zegara czasu w środowisku AD.

1. Sprawdzamy który serwer ma rolę - PDC Server. Uruchamiamy poleceniem cmd linien poleceń i w niej wpisujemy polecenie -  netdom /query fsmo wynikiem będzie informacja z nazwą serwera

2. Wiedząc który kontroler ma rolę PDC Server logujemy się na niego i zatrzymujemy W32Time Service komendą -  net stop w32time

3. Ustawiamy konfigurację zewnętrzenego źródła z GUM poleceniem - w32tm /config /syncfromflags:manual /manualpeerlist:recesja.icm.edu.pl,0x1 w32tm /config /manualpeerlist:<serwer>,0x4 /syncfromflags:MANUAL gdzie serwer to serwer czasu np. rececja.icm.edu.pl Uwaga: jeśli podajemy nazwy DNS zamiast IP ważne jest umieszczenie 0x1 na końcu. Aby wymusić wysyłanie przez usługę W32time normalnych żądań klienta zamiast pakietów w trybie symetrycznym aktywnym, należy użyć flagi 0x8. Serwer NTP odpowiada w normalny sposób na te zwykłe żądania klienta.

4. Prawidłowe wykonanie punktu 3 sprawdzamy włączając edytor rejestru regedit. Sprawdzamy wartość klucza HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters

5. Aby kontroler stał się źródłem czasu dla komputerów klienckich uruchamiamy polecenie -  w32tm /config /reliable:yes

6. Włączamy usługę czasu net start w32time a następnie sprawdzamy konfigurację serwera poleceniem w32tm /query /configuration

7. Po włączeniu usługi serwer natychmiast komunikuje się z serwerem czasu i informację wpisuje do logu serwera – System. Wpis ma następującą postać  Dostawca czasu NtpClient otrzymuje obecnie prawidłowe dane o czasie z recesja.icm.edu.pl, (ntp.m|0x0|0.0.0.0:123->193.219.28.149:123).

Diagnostyka ogólna problemów z czasem:

 Sprawdzanie przesunięcia czasowego pomiędzy kontrolerami: w32tm /stripchart /computer:<cel> /samples:<liczba> /dataonly Sprawdzanie konfiguracji czasu na danym komputerze:

XP/2000/2003: net time /querysntp

Vista/7/2008/R2: w32tm /query

Wpisy rejestru związane z usługą Czas systemu Windows Następujące wpisy rejestru znajdują się w kluczu: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\

Wpis rejestru MaxPosPhaseCorrection Ścieżka HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config Uwaga: Ten klucz określa największą dodatnią korektę czasu w sekundach, wprowadzaną przez tę usługę. Jeżeli usługa ustali, że konieczne jest wprowadzenie większej zmiany, rejestruje odpowiednie zdarzenie w dzienniku. W szczególnym wypadku (0xFFFFFFFF) korekta czasu jest zawsze wprowadzana. Wartość domyślna dla członków domeny jest równa 0xFFFFFFFF. Wartość domyślna dla klientów i serwerów autonomicznych jest równa 54 000 (15 godzin).

Wpis rejestru MaxNegPhaseCorrection Ścieżka HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config Uwaga: Ten klucz określa największą ujemną korektę czasu w sekundach, wprowadzaną przez tę usługę. Jeżeli usługa ustali, że konieczne jest wprowadzenie większej zmiany, rejestruje odpowiednie zdarzenie w dzienniku. W szczególnym wypadku (-1) korekta czasu jest zawsze wprowadzana. Wartość domyślna dla członków domeny jest równa 0xFFFFFFFF. Wartość domyślna dla klientów i serwerów autonomicznych jest równa 54 000 (15 godzin).

Wpis rejestru MaxPollInterval Ścieżka HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config Uwaga:  Ten wpis określa największy dopuszczalny systemowy interwał sondowania (w sekundach). Należy zauważyć, że system musi sondować zgodnie z zaplanowanym interwałem, jednak dostawca może odmówić utworzenia żądanych próbek. Wartość domyślna dla członków domeny jest równa 10. Wartość domyślna dla klientów i serwerów autonomicznych jest równa 15.

Wpis rejestru SpecialPollInterval Ścieżka HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient Uwaga  Ten wpis określa specjalny interwał sondowania w sekundach dla końcówek konfigurowanych ręcznie. Po włączeniu flagi SpecialInterval 0x1 usługa W32Time używa tego interwału sondowania zamiast interwału sondowania określonego przez system operacyjny. Wartość domyślna dla członków domeny jest równa 3600. Wartość domyślna dla klientów i serwerów autonomicznych jest równa 604 800.

Wpis rejestru MaxAllowedPhaseOffset Ścieżka HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config Uwaga:  Ten wpis określa maksymalne przesunięcie (w sekundach), dla którego usługa W32Time usiłuje dostosować zegar komputera, modyfikując częstotliwość. W przypadku większego przesunięcia usługa W32Time konfiguruje zegar komputera bezpośrednio. Wartość domyślna dla członków domeny jest równa 300. Wartość domyślna dla klientów i serwerów autonomicznych jest równa 1.

Co zrobić gdy klient nie podłącza się do serwera WSUS??

Należy to zdiagnozować.

Diagnoza wygląda następująco.

1. Sprawdzamy czy serwer WSUS odpowiada wpisujemy w lini poleceń komendę

ping serwerwsus.local   i sprawdzamy czy ping odpowiada

2. Sprawdzamy cze serwer IIS - WSUS pracuje poprawnie w tym celu uruchamiamy przeglądarkę internetową i wpisujemy http://serwerwsus.local : numer portu  jeżeli numer portu jest standardowy 80 nie trzeba go wpisywać.

WSUS nasłuchuje na portach (80, 443 -SSL, 8530, 8531). Jeżeli jesteś w stanie się połączyć IIS działa.

3. Sprawdzamy czy możemy pobrać poprawkę z serwera IIS wpisujemy w przeglądarce:

http://serwerwsus.local/selfupdate/wuident.cab Jeżeli wyskoczy nam okno pobierania pliku znaczy się że jest komunikacja z serwerem WSUS.

4. Sprawdzamy teraz czy na serwerze poprawnie zostały skonfigurowane policy. Wchodzimy do rejestru systemu uruchamiając z lini poleceń regedit a następnie szukamy klucza w rejestrze o nazwie

HKLM \ SOFTWARE \ Policies \ Microsoft \ Windows \ WindowsUpdate

jeżeli klucz istnieje oraz istnieje w nim wpis wskazująy na serwer WSUS

WUServer REG_SZ http://serwerwsus.local

oznacza to że konfiguracja od strony serwera jest poprawna.

Przystawiki w systemie windows - są zależne od systemu operacyjnego oraz obecności dodatkowego oprogramowania.

Przystawki:

azman.msc ----> Menedżer autoryzacji

certmgr.msc ----> Certyfikaty

certsrv.msc ----> Urząd certyfikacji

certtmpl.msc ----> Szablony certyfikatów

ciadv.msc ----> Usługa indeksowania

comexp.msc ----> Usługi składowe

compmgmt.msc ----> Zarządzanie komputerem

dcpol.msc ----> Domyślne ustawienia zabezpieczeń kontrolera domeny

devmgmt.msc ----> Menadżer urządzeń

dfrg.msc ----> Defragmentator dysków

dfsgui.msc ----> Rozproszony system plików (DFS)

dhcpmgmt.msc ----> Menedżer DHCP

diskmgmt.msc ----> Zarządzanie dyskami

dnsmgmt.msc ----> Menedżer DNS

domain.msc ----> Domeny i relacje zaufania usługi Active Directory

dompol.msc ----> Domyślne ustawienia zabezpieczeń domeny

dsa.msc ----> Użytkownicy i komputery usługi Active Directory

dssite.msc ----> Lokacje i usługi Active Directory

eventvwr.msc ----> Podgląd zdarzeń

fsmgmt.msc ----> Foldery udostępnione

filesvr.msc ----> Zarządzanie serwerem plików

gpedit.msc ----> Zasady grupy

gpmc.msc ----> Zarządzenie zasadami grupy

ias.msc ----> Usługa uwierzytelniania internetowego

iis.msc ----> Menedżer internetowych usług informacyjnych (IIS)

iis6.msc ----> Menedżer internetowych usług informacyjnych (IIS) 6.0

lusrmgr.msc ----> Użytkownicy i grupy lokalne

napclcfg.msc ----> Konfiguracja klienta ochrony dostępu do sieci

ntmsmgr.msc ----> Magazyn wymienny

ntmsoprq.msc ----> Żądania operatora magazynu wymiennego

perfmon.msc ----> Wydajność (Monitor niezawodności i wydajności)

printmanagement.msc ----> Zarządzanie drukowaniem

rrasmgmt.msc ----> Routing i dostęp zdalny

rsop.msc ----> Wynikowy zestaw zasad

secpol.msc ----> Ustawienia zabezpieczeń lokalnych

services.msc ----> Usługi

SQLServerManager.msc ----> SQL Server Configuration Manager

taskschd.msc ----> Harmonogram zadań

tapimgmt.msc ----> Telefonia

tpm.msc ----> Zarządzanie modułem TPM na komputerze lokalnym

tscc.msc ----> Konfiguracja usług terminalowych\Połączenia

tsmmc.msc ----> Pulpity zdalne

wf.msc ----> Zapora systemu Windows z zabezpieczeniami zaawansowanymi

wmimgmt.msc ----> Sterowanie usługą WMI (Windows Management Infrastructure)