Протокол аутентифікації і і Kerberos, який використовується Active Directory, вимагає, щоб всі комп'ютери в домені були синхронізовані один з одним. Якщо якийсь комп'ютер втрачає зв'язок з контролером домену на період більше п'яти хвилин, буде можливість підключитися до мережі, але всі служби можуть працювати неправильно до тих пір, поки не буде скориговано або синхронізовано час.
Обмеження змін показання часу за допомогою групової політики
Часто адміністратори налаштовують групову політику (Group Policy), щоб користувачі не могли змінювати показання часу і ненавмисне вилучати свої системи з домена. Налаштування System Time Group Policy (Групова політика системного часу) знаходиться в Computer / PoliciesWindows Settings / Security Settings / Local Policies / User Right Assignment (Комп'ютер / Політики / Налаштування Windows / Налаштування безпеки / Локальні політики / Призначення прав користувачам).
Для перевірки і синхронізації часу буде застосовуватися служба часів і Windows (Windows Time Service; w32tm). Служба w32tm запускається і з командного рядка.
Представлена нижче команда дозволяє порівняти п'ять вибірок поточного часу з даними з сервера часу Microsoft (time. Windows.com) і проконтролювати, наскільки точними вони є. У висновку буде відображено, випереджають чи показання часу на вашому сервері (позначено за допомогою +) або ж відстають (позначено за допомогою -):
w32tm / stripchart /computer:time.windows.com / samples: 5 / dataonly
Синхронізувати час на контролері домену з роллю PDC Operations Master можна з використанням внутрішнього джерела часу, якщо він є, і зовнішнього джерела часу в іншому випадку. При синхронізації і з зовнішнім сервером NTP за допомогою служби w32tm упевніться, що UDР-порт 1 23 відкритий в брандмауері.
За допомогою показаної далі команди час в системі можна синхронізувати з зовнішнім сервером часу. Доступно декілька серверів часу, але в даному прикладі застосовується сервер часу M icrosoft (time.windows.com) і сервер часу NIST (time.nist.gov):
W32tm / config «/manualpeerlist:time.windows.com, time.nist.gov» / syncfromflags: manual / reliable: yes / update
Параметр syncfromflags вказує, що сервер буде синхронізуватися з одним з серверів в групі manualpeerlist. Можна задати тільки один сервер часу (і тоді опустити лапки) або доставити безліч таких серверів, розділених комами, як зроблено в прикладі команди.
Крім того, має сенс перезапустити службу часів і з використанням наступних команд:
Після перезапуску служби можна ввести показану раніше команду w32tm, щоб перевірити точність свідчення часу. Якщо ви зміните час. то може пройти п'ять хвилин, перш ніж служба w32tm знову проведе синхронізацію і встановить правильне встановити правильний час.