Обновлено 24.03.2021
Добрый день! Уважаемые читатели и гости крупного IT блога Pyatilistnik.org. В прошлый раз мы разобрали, по какой причине в нашем домене у принтера были статус отключен (Offline). Не так давно один из моих подписчиков задал мне по почте письмо, где он спрашивал, каким образом можно найти все серверы лицензирования RDS ферм и терминальных столов в Active Directory. Я поступаю в свойственной своей манере и отвечу на вопрос данной заметкой. Уверен, что данная статья будет полезна для администраторов, которые изучают свою инфраструктуру или сменили работу, а теперь проводят аудит своей новой инфраструктуре.
Методы поиска серверов лицензирования терминалов в Active Directory
Ранее я вам подробно рассказывал, как устанавливается и настраивается сервер лицензирования. Представим ситуацию, что я его развернул и не рассказал своим коллегам, где. Ушел в отпуск, и тут нужно либо добавить лицензий, или же сконфигурировать RDS на получение с него лицензий. Что делать, так как я могу быть не доступен. Существует несколько способов, которые вам помогут отыскать в вашем домене сервера лицензирования RDS и TS. Я могу выделить метода:
- Через оснастку «Active Directory — Пользователи и компьютеры».
- С использованием PowerShell
- Через утилиту dsquery
- Через настройки коллекции RDS фермы
Использование ADUC
Откройте оснастку ADUC. Перейдите в контейнер «Builtin». Данный контейнер включает в себя группы, которые устанавливаются при инсталляции Active Directory. Найдите тут группу безопасности «Серверы лицензий сервера терминалов». Откройте ее и перейдите на вкладку «Члены группы», в данном списки будут все зарегистрированные серверы лицензирования RDS и терминальных столов.
Когда сервер зарегистрирован так в Active Directory, то это означает, что есть специальная запись SCP (Service Connection Point) CN= TermServLicensing. Зная эту информацию. можно сделать запрос, чтобы получить список серверов.
Поиск сервера лицензирования через PowerShell и dsquery
Поможет нам в этом утилита dsquery и командлет Get-ADObject. Откройте оснастку PowerShell. и введите команду:
dsquery * -filter «(&(CN=TermServLicensing)(objectClass=serviceConnectionPoint))»
В результате я получил список, он состоит из одного сервера «»CN=TermServLicensing,CN=SVT2019S01,CN=Computers,DC=root,DC=pyatilistnik,DC=org»»
То же самое можно получить и из командлета Get-ADObject
Get-ADObject -LDAPFilter «(&(CN=TermServLicensing)(objectClass=serviceConnectionPoint))» | ft -autosize
или вот так
Get-ADObject -Filter {objectClass -eq ‘serviceConnectionPoint’ -and Name -eq ‘TermServLicensing’}| ft -autosize
На выходе вы получите три столбца, которые будут содержать DistinguishedName, имя записи и класс объекта (ObjectClass).
Если посмотреть на эту запись в редакторе атрибутов ADSIEdit, то вы увидите. что объект CN=Имя вашего сервера содержит дополнительные контейнеры, где один из них называется CN=TermServLicensing.
Ипользование диспетчера серверов
Логично, что не все но некоторые адреса серверов отвечающих за выдачу лицензий для удаленного подключения вы можете посмотреть и через настройки вашей RDS и терминальной фермы. Я не так давно рассказывал, как собрать консоль управления RDS фермой, выполните это действие. Далее откройте оснастку диспетчер сервером и перейдите в общие сведения коллекции. Там в списке серверов развертывания найдите «Лицензирование удаленных рабочих столов»
Еще один из методов получения DNS имен серверов лицензирования, это поиск в реестре. Предположим, что вы точно знаете, что у вас на определенном сервере есть настройка добавляющая туда клиентские лицензии. Найти ее можно в локальных политиках по адресу:
Как указать сервер лицензирования терминалов через реестр
Так же можно найти и в реестре Windows в ветке:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices TermServiceParametersLicenseServers
Тут будут NetBIOS -имена текущих серверов
Отголоски прошлого для Windows Server 2003
Я считаю, что Windows Server 2003 очень хорошая и качественная система, но нужно быть реалистом, она морально и безнадежно устарела. Если же у вас еще по каким-то причинам сервера лицензирования терминалов на 2003, то у вас в AD должны быть записи CN=TS-Enterprise-License-Server. Найти их можно так же через powershell скрипт:
$sConfiguration = ([adsi]»LDAP://rootdse»).ConfigurationNamingContext
$oDSE = [adsi]»LDAP://$sConfiguration»
$oSearcher=New-Object DirectoryServices.DirectorySearcher ($oDSE,»CN=TS-Enterprise-License-Server»)
$aLicenseServer=$oSearcher.FindAll()
$aLicenseServer|%{$_.Properties.siteserver}
- Remove From My Forums
Как узнать на какой сервер обновлений настроем компьютер?
-
Вопрос
-
Здравствуйте. Есть ли, какой-либо удобный способ узнать на какой сервер обновлений настроен компьютер?
Ответы
-
Добрый день.
1.Если настройки приходят политиками, то rsop или gpresult
2.В реестре HKMLSoftwarepoliciesmicrosoftwindowswindosupdate
3.В логе c:windowswindowsupdate.log ищите строку WSUS server-
Помечено в качестве ответа
Egor Lukin
24 июня 2016 г. 10:19
-
Помечено в качестве ответа
Все ответы
-
Добрый день.
1.Если настройки приходят политиками, то rsop или gpresult
2.В реестре HKMLSoftwarepoliciesmicrosoftwindowswindosupdate
3.В логе c:windowswindowsupdate.log ищите строку WSUS server-
Помечено в качестве ответа
Egor Lukin
24 июня 2016 г. 10:19
-
Помечено в качестве ответа
-
Добрый день.
1.Если настройки приходят политиками, то rsop или gpresult
2.В реестре HKMLSoftwarepoliciesmicrosoftwindowswindosupdate
3.В логе c:windowswindowsupdate.log ищите строку WSUS serverЭто самые удобные способы? ))))
-
А что может быть удобнее, чем открыть текстовый файл и посмотреть содержимое?
S.A.
-
Разве что журнал событий, если мы говорим о логах. Ведь вроде для этого и был создал это журнал событий, чтобы не искать какие-то текстовые файлы, которые неизвестно где хранятся…
А если говорить о данном случае, то еще удобнее, чем журнал событий, будет меню в котором пользователь нажимает на кнопку «Поиск обновлений». Нажал на кнопку и тебе тут же показали, куда обращается ОС за поиском
этих самый обновлений.Хотя может реально удобное сначала в поисковике несколько минут выяснять где хранятся логи Центра обновления, а затем лезть в системные разделы и искать там текстовый файл….
Содержание
- — Где в реестре сетевые подключения?
- — Где хранятся IP-адреса в реестре?
- — Как мне увидеть все сетевые подключения?
- — Как я могу увидеть скрытые сетевые подключения?
- — Где хранятся IP-адреса в роутере?
- — Как избавиться от статического IP-адреса?
- — Как мне сбросить настройки сети в реестре?
- — Как определить свой сетевой адаптер?
- — Как мне найти свою сетевую карту?
- — Как мне увидеть все устройства в моей сети Windows?
- — Как я могу увидеть все IP-адреса в моей сети?
- — Как я могу увидеть все сети Wi-Fi с помощью CMD?
Подключения Windows 2000 состоят из записей не только удаленных подключений, таких как ваш ISP, но также и вашего подключения по локальной сети, и они содержатся в разделе реестра HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control Network GUID Connection, GUID которого является глобальным. Уникальный идентификатор …
Где в реестре сетевые подключения?
1- Чтобы открыть редактор реестра, нажмите клавиши Windows + R, чтобы открыть диалоговое окно «Выполнить», введите regedit и нажмите Enter. При появлении запроса от UAC нажмите Да. 2- Перейдите в эту папку: HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion NetworkList Profiles.
Где хранятся IP-адреса в реестре?
Все параметры TCP / IP — это значения реестра, расположенные в одном из двух разных подразделов HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services: Tcpip Параметры. Tcpip Parameters Interfaces ID для адаптера.
Как мне увидеть все сетевые подключения?
Шаг 1. В строке поиска введите «cmd» (командная строка) и нажмите клавишу ВВОД. Это откроет окно командной строки. «Netstat -a» показывает все активные в данный момент соединения, а в выходных данных отображаются адреса протокола, источника и назначения, а также номера портов и состояние соединения.
Как я могу увидеть скрытые сетевые подключения?
Примечание. Чтобы просмотреть скрытые устройства, перейдите в Мой компьютер> Свойства> Оборудование> Диспетчер устройств> Просмотр> Показать скрытые устройства.
Где хранятся IP-адреса в роутере?
На странице Wi-Fi коснитесь сети Wi-Fi, к которой вы подключены. 3. Прокрутите вниз до раздела «АДРЕС IPV4».. IP-адрес вашего маршрутизатора будет указан рядом с надписью «Маршрутизатор».
Как избавиться от статического IP-адреса?
Удалите все числа в поле «IP-адрес». используя клавишу «Backspace» на клавиатуре; это удалит статический IP-адрес с вашего компьютера.
Как мне сбросить настройки сети в реестре?
1) Пуск> Выполнить> введите «regedit»> нажмите Enter.
…
Метод 2: сбросить Winsock.
- Нажмите клавишу Windows на клавиатуре, в поле поиска введите Командная строка. Щелкните правой кнопкой мыши командную строку и выберите «Запуск от имени администратора».
- Нажмите «Да» в ответ на запрос управления учетными записями пользователей. .
- Введите в командной строке netsh Winsock reset и нажмите клавишу ВВОД.
Как определить свой сетевой адаптер?
Щелкните правой кнопкой мыши «Мой компьютер» и выберите «Свойства». Щелкните вкладку Оборудование, а затем щелкните Диспетчер устройств. Чтобы увидеть список установленных сетевых адаптеров, разверните Сетевой адаптер (ы).
Как мне найти свою сетевую карту?
На компьютере нажмите «Пуск», затем «Панель управления». Выберите значок сети и подключения к Интернету.. Щелкните значок Сетевые подключения. В категории «LAN» или «Высокоскоростной Интернет» найдите имя карты Ethernet (Совет: в имени карты могут содержаться такие слова, как адаптер Ethernet, Ethernetlink или адаптер LAN).
Как мне увидеть все устройства в моей сети Windows?
Чтобы увидеть все устройства, подключенные к вашей сети, введите arp -a в окне командной строки. Это покажет вам назначенные IP-адреса и MAC-адреса всех подключенных устройств.
Как я могу увидеть все IP-адреса в моей сети?
Самый простой способ найти все IP-адреса в сети — это ручное сканирование сети.
…
Как найти все IP-адреса в сети
- Откройте командную строку.
- Введите команду «ipconfig» для Mac или «ifconfig» в Linux. …
- Затем введите команду «arp -a». …
- Необязательно: введите команду «ping -t».
Как я могу увидеть все сети Wi-Fi с помощью CMD?
В командной строке введите netsh wlan show wlanreport. Будет создан отчет о беспроводной сети, который будет сохранен в виде HTML-файла, который вы можете открыть в своем любимом веб-браузере. Отчет показывает все события Wi-Fi за последние три дня и группирует их по сеансам подключения Wi-Fi.
Интересные материалы:
Как отключить игровые уведомления?
Как отключить игры на Android?
Как отключить микрофон на игровой панели Xbox?
Как отключить панель уведомлений во время игры?
Как отключить средство запуска игры?
Как открыть порты на роутере для игр?
Как открыть Samsung Game Booster?
Как отрегулировать игровое кресло?
Как переместить игры из локального хранилища на SD-карту?
Как перенести игровые данные на новый планшет?
Содержание
- Как проверить текущую конфигурацию NTP системы?
- 6 ответов
- Как найти сервер времени в домене?
- 4 ответа
- Повторная синхронизация (требуется права администратора):
- Повторная синхронизация с конкретным компьютером (требуется права администратора):
- Показывать сервер, который в настоящее время используется (требует прав администратора):
- Двойная проверка, если он работает:
- См. настройки:
- Как найти NTP-сервер в домене для синхронизации всех компьютеров
- Зарегистрируйтесь и начните
- W32tm / запрос
- /положение дел
- /положение дел /подробный
- /источник
- / конфигурации
- / сверстники
- w32tm / ресинхронизации
- / Компьютер:
- /Нет, подождите
- /мягкий
- w32tm / конфигурации
- / Manualpeerlist:
- /Обновить
- / Localclockdispersion:
- / Надежность:
- / Largephaseoffset:
- w32tm / dumpreg
- / Подраздел:
- / Компьютер:
- w32tm / отладки
- /включить или / отключить
- /размер:
- / записи:
- Как найти сервер времени в домене?
- Настройка NTP сервера в Windows
- Запуск NTP сервера
- Основные настройки NTP сервера
Как проверить текущую конфигурацию NTP системы?
Мне нужно проверить текущую конфигурацию NTP на некоторых системах Windows. В идеале я хотел бы сделать это через командную строку вместо навигации по экранам конфигурации.
(Я работаю над несколькими версиями ОС, а экраны конфигурации не всегда находятся в одном месте по всем версиям.)
Я надеюсь найти быструю, запоминающуюся команду, которую я могу просто пробить в консоли CMD, чтобы получить результат. Пакетный файл, который я могу носить с собой, также будет работать.
В частности, мне нужно следующее:
Какие команды необходимы для достижения этих результатов?
Ищем решение, совместимое с Windows XP, 7, Server 2003 и Server 2008.
6 ответов
В командной строке введите
w32tm /query /configuration предоставляет конфигурацию, которую вы настроили.
w32tm /query /status предоставляет информацию, такую как:
time /T выводит текущее системное время.
Примечание: w32tm /query был впервые предоставлен в версиях Windows Vista для Windows Vista и Windows Server 2008. См. Инструменты и настройки Windows Time
Это ответ на ваш последний вопрос:
Откройте командную строку и введите точно:
w32tm /stripchart /computer:NTPServerNameOrIP /dataonly /samples:x (сколько возвращается вы хотите)
Возвращает время и разницу времени сервера NTP. Если он возвращает время, ошибка: 0x80072746, то это не ваш NTP-сервер.
Ниже приведен пример команды:
На другой машине я получил:
На другой машине я получил страницу справки, также сказав:
Итак, в основном служба не запускалась. Следуя этих инструкций, я сделал:
следуя инструкциям из %20%D0%B7%D0%B4%D0%B5%D1%81%D1%8C%20,%20%D0%BD%D0%BE,%20%D0%B2%D0%BE%D0%B7%D0%BC%D0%BE%D0%B6%D0%BD%D0%BE,%20%D1%8D%D1%82%D0%BE%20%D0%B1%D1%8B%D0%BB%D0%BE%20%D1%82%D0%B0%D0%BA%20%D0%BF%D1%80%D0%BE%D1%81%D1%82%D0%BE:%20
Наконец, вам может потребоваться сделать следующее, что не было необходимо для меня:
ПРИМЕЧАНИЕ: если w32tm /config /update w32tm /resync /rediscover завершится с ошибкой 1290 (запуск службы невозможен, поскольку одна или несколько служб в одном процессе имеют несовместимую службу SID), затем выполните шаги здесь :
Затем следуйте приведенным выше.
ПРИМЕЧАНИЕ 2: если служба NTP не запускается автоматически при перезагрузке, это может быть связано с ее настройками запуска, как описано здесь : в зависимости от ваших окон его можно настроить только тогда, когда он присоединяется к домену. Вы можете проверить:
Если он настроен для запуска при присоединении к домену и у вас нет домена, настроенного на вашем компьютере, он не запустит службу и не установит время. Вероятно, он не входит в домен, потому что вы этого не хотите. В любом случае просто измените, какой триггер запускает его. Например, чтобы начать, когда машина имеет сеть (и, следовательно, имеет доступ к серверу), выполните:
В командной строке вы можете получить такую информацию:
Кажется, этого должно быть достаточно, по крайней мере, чтобы идти в этом направлении, то есть, если бы я понял ваш вопрос. AFAIK, команда «reg» работает на всех этих разных платформах если у вас есть правильные сервисы.
Источник
Как найти сервер времени в домене?
В домене Windows PDC необязательно сервер времени домена. Как я могу определить авторитетный сервер времени?
4 ответа
Я предполагаю, что вы ищете сервер, используемый службой W32Time, для выполнения синхронизации времени на компьютерах с доменными именами.
В дистрибутиве Active Directory единственным компьютером, настроенным с временным сервером, явным образом будет компьютер, содержащий роль FSMO эмулятора PDC в корневом домене леса. Все контроллеры домена в корневом домене леса синхронизируют время с держателем роли FSMO эмулятора PDC. Все держатели роликов FSMO-эмулятора PDC в дочерних доменах синхронизируют свое время с контроллерами домена в своем родительском домене (в том числе потенциально обладателя роли FSMO для эмулятора PDF в корневом домене леса). Все компьютеры-члены домена синхронизируют время с компьютерами контроллера домена в своих соответствующих доменах.
Чтобы определить, настроен ли член домена для синхронизации времени домена, проверьте значение REG_SZ в HKLM System CurrentControlSet Services W32Time Parameters Type. Если установлено значение «Nt5DS», компьютер синхронизирует время с иерархией времени Active Directory. Если он настроен со значением «NTP», то comptuer синхронизирует время с сервером NTP, указанным в значении REG_SZ NtpServer в том же ключе реестра.
Информация о низкоуровневом протоколе синхронизации времени доступна в этой статье: Как работает служба времени Windows
Помните, что не каждый контроллер домена (KDC, так как Джеймс направляет вас на поиск через DNS в своем сообщении) может работать служба времени. В развертывании AD AD каждый контроллер домена будет, но некоторые развертывания могут использовать виртуализированные контроллеры домена, для которых отключена служба W32Time (для облегчения синхронизации по времени на основе гипервизора), и, как таковой, вам, вероятно, следовало бы реализовать функции, описанные в статья «Как работает служба времени Windows», если вы разрабатываете часть программного обеспечения, которая должна синхронизировать время таким же образом, что и компьютер члена домена.
Некоторые полезные команды
Повторная синхронизация (требуется права администратора):
Повторная синхронизация с конкретным компьютером (требуется права администратора):
Показывать сервер, который в настоящее время используется (требует прав администратора):
Двойная проверка, если он работает:
См. настройки:
Затем посмотрите на Type:
NoSync
Клиент не синхронизирует время.
NTP
Клиент синхронизирует время с внешним источником времени. Просмотрите значения в строке NtpServer на выходе, чтобы увидеть имя сервера или серверов, которые клиент использует для синхронизации времени.
NT5DS
Клиент настроен на использование иерархии домена для временной синхронизации.
AllSync
Клиент синхронизирует время с любым доступным источником времени, включая иерархию доменов и внешние источники времени.
Настройки реестра, найденные здесь:
Чтобы определить, кто в настоящее время держит роль эмулятора PDC в вашем домене, используйте:
Если вам нужно выполнить какое-либо регулярное или текущее обслуживание вашей настройки сервера времени, то что-то не так.
Источник
Как найти NTP-сервер в домене для синхронизации всех компьютеров
Сохранить все ПК
синхронизация, обновление времени в Интернете поможет вам справиться с этим. И делать
что вам нужно сначала найти NTP (сетевой протокол времени).
Командная строка Windows доставит вас туда. А также
если вы не знаете, с чего начать, не волнуйтесь.
В этом посте
вы узнаете, что вам нужно, как найти NTP-сервер для домена.
Зарегистрируйтесь и начните
Если вы не
зарегистрированный Windows Time Service пока что, приведенные ниже команды покажут вам, как это сделать
Это. Вам также нужно запустить службу, прежде чем вы сможете синхронизировать время вашего компьютера
с вашим NTP-сервером.
Сначала нужно
Запустите командную строку. Выберите «Запуск от имени администратора».
Затем введите
Следующая команда для регистрации вашей системы: w32tm
/регистр
Как только вы нажмете
введите, вы узнаете, если регистрация прошла успешно.
Теперь начнем
с помощью этой команды: sc start
w32time
W32tm / запрос
Теперь, когда
Служба времени Windows зарегистрирована и работает, вы можете получить информацию от
Это. Вы можете сделать это, набрав следующее: w32tm / query и сопоставив его со следующими параметрами.
/положение дел
Это покажет
у вас статус службы времени Windows.
/положение дел
/подробный
Это установит
подробный режим, чтобы показать вам больше информации.
/источник
Это покажет
Вы источник времени.
/ конфигурации
Это покажет
вы конфигурация и настройки во время выполнения.
/ сверстники
Это покажет
список людей, использующих вашу систему.
w32tm
/ ресинхронизации
Вы также можете использовать
Командная строка для повторной синхронизации
часы как можно скорее.
Вот
обсуждение каждого параметра этой команды:
/ Компьютер:
Это позволяет вам
укажите компьютер, который будет синхронизирован. Если вы оставите это поле пустым,
темой будет локальный компьютер.
/Нет, подождите
Это позволяет вам
исключить время ожидания для повторной синхронизации. Это означает, что вы не будете
придется ждать завершения процесса, прежде чем результаты будут возвращены.
/мягкий
Это позволяет вам
повторно синхронизировать часы, используя существующие ошибки. Конечно, это не сделает вас
хорошо. Но вы можете обратиться к информации, которую он предоставляет для совместимости.
w32tm
/ конфигурации
Используйте эту команду
настроить вашу систему.
Давайте посмотрим на его
компоненты:
/ Manualpeerlist:
Это позволяет вам установить
список пэров. Это список IP-адресов.
Вы можете оставить это
пусто и по умолчанию будет установлено значение
/Обновить
Это позволяет вам
уведомить службу о новых изменениях, которые должны вступить в силу.
/ Localclockdispersion:
Это настраивает
Точность внутренних часов.
/ Надежность:
Это позволяет вам
указать, является ли система надежным источником времени.
/ Largephaseoffset:
Это позволяет вам установить
разница во времени с вашим местным и сетевым временем.
w32tm
/ dumpreg
Получить
Информацию о ключе реестра вы также можете перейти в командную строку. Там введите следующее вместе с w32tm / dumpreg
/ Подраздел:
Это показывает вам
значения, связанные с вложенным ключом ключа по умолчанию.
/ Компьютер:
Это показывает вам
параметры реестра запросов для указанного компьютера.
w32tm
/ отладки
Командная строка также там, где вы можете
получить доступ к личному журналу вашего компьютера. Вот краткое обсуждение параметров
в этой категории.
/включить
или / отключить
Это позволяет вам включить или отключить личный журнал. Потому что вы хотите получить доступ к этому журналу,
Разрешение — это путь.
Это позволяет вам
укажите название вашего файла. В приведенном ниже примере, скажем, название нашего
файл «ххх».
/размер:
Это позволяет вам
укажите размер вашего файла. То, что вы должны ввести здесь, это максимальное количество
oftes.в примере, размер нашего файла составляет 100 байт.
/ записи:
Это позволяет вам
перечислить значение для ваших записей. Допустимые числа для этого поля:
от 0 до 300. В данном примере значение равно 10.
Источник
Как найти сервер времени в домене?
В домене Windows PDC не обязательно является сервером времени домена. Как я могу определить авторитетный сервер времени?
Я предполагаю, что вы ищете сервер, используемый службой W32Time для синхронизации времени на компьютерах, входящих в домен.
В стандартном развертывании Active Directory единственным компьютером, явно настроенным с сервером времени, будет компьютер, выполняющий роль FSMO эмулятора PDC в корневом домене леса. Все контроллеры домена в корневом домене леса синхронизируют время с держателем роли PDM Emulator FSMO. Все обладатели ролей PDM Emulator FSMO в дочерних доменах синхронизируют свое время с контроллерами домена в своем родительском домене (включая, потенциально, держателя роли PDF Emulator FSMO в корневом домене леса). Все компьютеры-члены домена синхронизируют время с компьютерами контроллера домена в соответствующих доменах.
Чтобы определить, настроен ли член домена для синхронизации времени домена, проверьте значение REG_SZ в HKLM System CurrentControlSet Services W32Time Parameters Type. Если установлено значение «Nt5DS», то компьютер синхронизирует время с иерархией времени Active Directory. Если он настроен со значением «NTP», то компьютер синхронизирует время с NTP-сервером, указанным в значении REG_SZ NtpServer в том же разделе реестра.
Сведения о низкоуровневом протоколе синхронизации времени доступны в этой статье: Как работает служба времени Windows
Помните, что не каждый контроллер домена (KDC, как Джеймс указывает вам при поиске через DNS в своем посте) может использовать службу времени. В стандартном развертывании AD каждый контроллер домена будет, но в некоторых развертываниях могут использоваться виртуализированные контроллеры домена, у которых отключена служба W32Time (для облегчения синхронизации времени на основе гипервизора), и, как таковая, вы, вероятно, преуспели бы в реализации функциональности, как описано в статью «Как работает служба времени Windows», если вы разрабатываете программное обеспечение, которое должно синхронизировать время так же, как это делает компьютер, являющийся членом домена.
Источник
Настройка NTP сервера в Windows
Начиная с Windows 2000 все операционные системы Windows включают в себя службу времени W32Time. Эта служба предназначена для синхронизации времени в пределах организации. W32Time отвечает за работу как клиентской, так и серверной части службы времени, причем один и тот же компьютер может быть одновременно и клиентом и сервером NTP (Network Time Protocol).
По умолчанию служба времени в Windows сконфигурирована следующим образом:
• При установке операционной системы Windows запускает клиента NTP и синхронизируется с внешним источником времени;
• При добавлении компьютера в домен тип синхронизации меняется. Все клиентские компьютеры и рядовые сервера в домене используют для синхронизации времени контроллер домена, проверяющий их подлинность;
• При повышении рядового сервера до контроллера домена на нем запускается NTP-сервер, который в качестве источника времени использует контроллер с ролью PDC-эмулятор;
• PDC-эмулятор, расположенный в корневом домене леса, является основным сервером времени для всей организации. При этом сам он также синхронизируется с внешним источником времени.
Такая схема работает в большинстве случаев и не требует вмешательства. Однако структура сервиса времени в Windows может и не следовать доменной иерархии, и надежным источником времени можно назначить любой компьютер. В качестве примера я опишу настройку NTP-сервера в Windows Server 2008 R2, хотя со времен Windows 2000 процедура не особо изменилась.
Запуск NTP сервера
Сразу отмечу, что служба времени в Windows Server (начиная с 2000 и заканчивая 2012) не имеет графического интерфейса и настраивается либо из командной строки, либо путем прямой правки системного реестра. Лично мне ближе второй способ, поэтому идем в реестр.
Итак, первым делом нам надо запустить сервер NTP. Открываем ветку реестра
HKLMSystemCurrentControlSetservicesW32TimeTimeProvidersNtpServer.
Здесь для включения сервера NTP параметру Enabled надо установить значение 1.
Затем перезапускаем службу времени командой net stop w32time && net start w32time
Для того, чтобы NTP-сервер мог обслуживать клиентов, не забудьте на файерволле открыть UDP порт 123 для входящего и исходящего траффика.
Основные настройки NTP сервера
NTP сервер включили, теперь надо его настроить. Открываем ветку реестра HKLMSystemCurrentControlSetservicesW32TimeParameters. Здесь в первую очередь нас интересует параметр Type, который задает тип синхронизации. Он может принимать следующие значения:
NoSync — NTP-сервер не синхронизируется с каким либо внешним источником времени. Используются часы, встроенные в микросхему CMOS самого сервера;
NTP — NTP-сервер синхронизируется с внешними серверами времени, которые указаны в параметре реестра NtpServer;
NT5DS — NTP-сервер производит синхронизацию согласно доменной иерархии;
AllSync — NTP-сервер использует для синхронизации все доступные источники.
Значение по умолчанию для компьютера, входящего в домен — NT5DS, для отдельно стоящего компьютера — NTP.
И параметр NtpServer, в котором указываются NTP-сервера, с которыми будет синхронизировать время данный сервер. По умолчанию в этом параметре прописан NTP-сервер Microsoft (time.windows.com, 0x1), при необходимости можно добавить еще несколько NTP-серверов, введя их DNS имена или IP адреса через пробел. Список доступных серверов времени можно посмотреть например здесь.
В конце каждого имени можно добавлять флаг (напр. ,0x1) который определяет режим для синхронизации с сервером времени. Допускаются следующие значения:
0x1 – SpecialInterval, использование специального интервала опроса ;
0x2 – режим UseAsFallbackOnly;
0x4 – SymmetricActive, симметричный активный режим;
0x8 – Client, отправка запроса в клиентском режиме.
При использовании флага SpecialInterval, необходимо установленное значение интервала в ключе SpecialPollInterval. При значении флага UseAsFallbackOnly службе времени сообщается, что данный сервер будет использоваться как резервный и перед синхронизацией с ним будут выполнятся обращения к другим серверам списка. Симметричный активный режим используется NTP-серверами по умолчанию, а клиентский режим можно задействовать в случае проблем с синхронизацией. Подробнее о режимах синхронизации можно посмотреть здесь, либо не морочиться и просто ставить везде ,0x1 (как советует Microsoft).
Еще один важный параметр AnnounceFlags находится в разделе реестра HKLMSystemCurrentControlSetservicesW32TimeConfig. Он отвечает за то, как о себе заявляет NTP-сервер и может принимать следующие значения:
0x0 (Not a time server) — сервер не объявляет себя через NetLogon, как источник времени. Он может отвечать на NTP запросы, но соседи не смогут распознать его, как источник времени;
0x1 (Always time server) — сервер будет всегда объявлять о себе вне зависимости от статуса;
0x2 (Automatic time server) — сервер будет объявлять о себе только, если он получает надежное время от другого соседа (NTP или NT5DS);
0x4 (Always reliable time server) — сервер будет всегда заявлять себя, как надежный источник времени;
0x8 (Automatic reliable time server) — контроллер домена автоматически объявляется надежным если он PDC-эмулятор корневого домена леса. Этот флаг позволяет главному PDC леса заявить о себе как об авторизованном источнике времени для всего леса даже при отсутствии связи с вышестоящими NTP-серверами. Ни один другой контроллер или рядовой сервер (имеющие по умолчанию флаг 0x2) не может заявить о себе, как надежном источнике времени, если он не может найти источник времени для себя.
Значение AnnounceFlags составляет сумму составляющих его флагов, например:
10=2+8 — NTP-сервер заявляет о себе как о надежном источнике времени при условии, что сам получает время из надежного источника либо является PDC корневого домена. Флаг 10 задается по умолчанию как для членов домена, так и для отдельно стоящих серверов.
5=1+4 — NTP-сервер всегда заявляет о себе как о надежном источнике времени. Например, чтобы заявить рядовой сервер (не домен-контроллер) как надежный источник времени, нужен флаг 5.
Ну и настроим интервал между обновлениями. За него отвечает уже упоминавшийся выше ключ SpecialPollInterval, находящийся в ветке реестра HKLMSystemCurrentControlSetservicesW32TimeTimeProvidersNtpClient. Он задается в секундах и по умолчанию его значение равно 604800, что составляет 1 неделю. Это очень много, поэтому стоит уменьшить значение SpecialPollInterval до разумного значения, скажем до 1 часа (3600).
После настройки необходимо обновить конфигурацию сервиса. Сделать это можно командой w32tm /config /update. И еще несколько команд для настройки, мониторинга и диагностики службы времени:
w32tm /monitor – при помощи этой опции можно узнать, насколько системное время данного компьютера отличается от времени на контроллере домена или других компьютерах. Например: w32tm /monitor /computers:time.nist.gov
w32tm /resync – при помощи этой команды можно заставить компьютер синхронизироваться с используемым им сервером времени.
w32tm /stripchart – показывает разницу во времени между текущим и удаленным компьютером, причем может выводить результат в графическом виде. Например, команда w32tm /stripchart /computer:time.nist.gov /samples:5 /dataonly произведет 5 сравнений с указанным источником и выведет результат в текстовом виде.
w32tm /config – это основная команда, используемая для конфигурирования службы NTP. С ее помощью можно задать список используемых серверов времени, тип синхронизации и многое другое. Например, переопределить значения по умолчанию и настроить синхронизацию времени с внешним источником, можно командой w32tm /config /syncfromflags:manual /manualpeerlist:time.nist.gov /update
w32tm /query — показывает текущие настройки службы. Например команда w32tm /query /source покажет текущий источник времени, а w32tm /query /configuration выведет все параметры службы.
Ну и на крайний случай 🙁
w32tm /unregister — удаляет службу времени с компьютера.
w32tm /register – регистрирует службу времени на компьютере. При этом создается заново вся ветка параметров в реестре.
Источник
Вопрос
В нашем домене настроено несколько серверов WSUS; один из них работает с обновлениями Windows, а другой настроен только на обновления Endpoint Protection (через SCCM 2012). Обновления Endpoint Updates работают должным образом на всех машинах, в то время как обновления Windows Updates работают только на некоторых. На тех машинах, где обновления не работают, Windows Update все еще говорит: «Вы получили обновления: Управляется вашим системным администратором»
Все клиенты — Windows 7, а серверы — 2008 R2 с SCCM 2012 на том, который занимается Endpoint Protection.
Поэтому мне интересно, есть ли способ проверить, к какому серверу подключаются клиенты для получения обновлений Windows?
4
2013-01-22T21:40:38+00:00
5
Решение / Ответ
22-го января 2013 в 9:57
2013-01-22T21:57:42+00:00
#37375791
HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsWindowsUpdateWUServer
Ответ на вопрос
22-го января 2013 в 10:04
2013-01-22T22:04:34+00:00
#37375792
Ключ реестра, упомянутый jbsmith, нужно искать на самом клиенте.
Вы также можете найти информацию в %WINDIR%Windowsupdate.log.
В этом журнале также можно проверить, почему обновления не удалось установить.
Кроме того: Если у вас есть доступ к самим серверам WSUS, вы можете использовать интерфейс управления, чтобы посмотреть, какие машины зарегистрированы на данном сервере.
Ответ на вопрос
11-го февраля 2013 в 6:45
2013-02-11T18:45:10+00:00
#37375794
Простое решение здесь… клиент может быть назначен только на ONE WSUS Server. Является ли это автономным WSUS-сервером или точкой обновления программного обеспечения Configuration Manager (SUP), не имеет значения — но ограничение равно единому.
Основной причиной здесь является ошибочное убеждение, что функциональность обновлений ОС и обновлений определения FEP можно разделить на несколько серверов WSUS для одних и тех же клиентов. Это не может.
Ответ на вопрос
22-го мая 2014 в 11:09
2014-05-22T23:09:25+00:00
#37375796
На вашем сервере WSUS перейдите к узлу компьютеров. Любой компьютер, который указан на этом сервере, появится в этом списке.
Но @Lawrence прямо здесь. Компьютер можно указать только на один сервер WSUS. Вы можете иметь несколько серверов, и вы можете ориентировать некоторые машины на одну или другую с помощью групповой политики, но вы не можете разделять обновления, чтобы обновления ОС приходили с одного и вирусные защиты от другого. Это не работает таким образом.