В статье показано как управлять временем в домене под управлением операционной системы Windows Server 2012 R2.

Протокол аутентификации и и Kerberos, используемый Active Directory, требует, чтобы все компьютеры в домене были синхронизированы друг с другом. Если какой-то компьютер теряет связь с контроллером домена на период более пяти минут, будет возможность подключиться к сети, но все службы могут работать неправильно до тех пор, пока не будет скорректировано или синхронизировано время.

Ограничение изменений показания времени с помощью групповой политики
Часто администраторы настраивают групповую политику (Group Policy), чтобы пользователи не могли изменять показания времени и непредумышленно изымать свои системы из домена. Настройка System Time Group Policy (Групповая политика системного времени) находится в Computer/PoliciesWindows Settings/Security Settings/Local Policies/User Right Assignment ( Компьютер/Политики/Настройки Windows/Настройки безопасности/Локальные политики/Назначение прав пользователям).

Для проверки и синхронизации времени будет применяться служба времен и Windows (Windows Time Service; w32tm). Служба w32tm запускается и з командной строки.
Представленная ниже команда позволяет сравнить пять выборок текущего времени с данными из сервера времени Microsoft (time. windows.com) и проконтролировать, насколько точными они являются. В выводе будет отражено, опережают ли показания времени на вашем сервере (обозначено с помощью +) или же отстают (обозначено с помощью — ):

w32tm /stripchart /computer:time.windows.com /samples:5 /dataonly

Синхронизировать время на контроллере домена с ролью PDC Operations Master можно с использованием внутреннего источника времени, если он есть, и внешнего источника времени в противном случае. При синхронизации и с внешним сервером NTP посредством службы w32tm удостоверьтесь, что UDР-порт 1 23 открыт в брандмауэре.
С помощью показанной далее команды время в системе можно синхронизировать с внешним сервером времени. Доступно несколько серверов времени, но в данном примере применяется сервер времени M icrosoft (time.windows.com) и сервер времени NIST (time.nist.gov):

W32tm /config «/manualpeerlist:time.windows.com, time.nist.gov» /syncfromflags:manual / reliable:yes /update

Параметр syncfromflags указывает, что сервер будет синхронизироваться с одним из серверов в группе manualpeerlist . Можно задать только один сервер времени (и тогда опустить кавычки) или доставить множество таких серверов, разделенных запятыми, как сделано в примере команды.
Кроме того, имеет смысл перезапустить службу времен и с использованием следующих команд:

Net stop w32time
Net start w32time

После перезапуска службы можно ввести показанную ранее команду w32tm, чтобы проверить точность показания времени. Если вы измените время , то может пройти пять минут, прежде чем служба w32tm снова проведет синхронизацию и установит правильное показание времени .