Служба синхронизации времени

В подразделе осуществляется добавление и удаление серверов синхронизации времени (NTP-серверов)

• Внешний пул NTP-серверов
• Корневые NTP-серверы домена

Выбор источника точного времени в домене для каждого компьютера осуществляется на основании иерархической системы:

# КД - контроллер домена

Внешний источник (или другой эталон)

    Корневой КД сайта

        Корневой КД домена

            Обычный КД сайта

                Обычный КД домена (не из сайта)

Внешний источник задается и настраивается на вкладке Внешний пул NTP-серверов. Корневые NTP-серверы домена задаются на вкладке Корневые NTP-серверы домена.

Корректная работа синхронизации времени в домене выполняется с помощью службы chrony, которая в свою очередь настраивается групповой политикой времени. Данная политика является коробочной и начинает свою работу после установки ALD Pro на контроллере и на клиенте домена.

В случае отсутствия в указанной выше иерархии связи с корневыми NTP-серверам домена, обычный контроллер домена из произвольного сайта может выступать источником точного времени для подключающихся к нему клиентов этого сайта. Для этого у службы chrony есть специальный алгоритм, основанный на возможности «самоорганизации» нескольких источников времени (в соответствии с их параметром RefID, который в этом случае формируется из IP-адреса сервера-источника).

Служба сhrony переключается на этот алгоритм при соблюдении нескольких условий:

1. к директиве local добавлена директива orphan;

2. источников с лучшим stratum, чем дает local orphan - нет

3. в списке источников есть серверы со stratum строго равным получаемому из директивы local.

В ALD Pro для контроллеров домена, выступающих в роли обычных (некорневых) NTP-серверов коробочной групповой политикой времени задаются необходимые параметры, позволяющие службе chrony использовать описанный выше алгоритм при выборе источника.

В ситуации, когда связь между обычным контроллером домена (выступает в качестве некорневого NTP-сервера) и контроллером домена, выступающим в роли корневого NTP-сервера в домене, нарушается, служба chrony переключается на алгоритм работы с равноранговыми NTP-серверами и синхронизация времени как между этими NTP-серверами, так и между их клиентами продолжает работать корректно.

Следует помнить, что такой режим работы не должен быть постоянным, поскольку в этом случае время между теми сайтами, которые потеряли связь с корневыми NTP-серверами в домене, и сегментом домена, в котором корневые NTP-серверы продолжают присутствовать, может в короткий срок сильно разойтись, что впоследствии может привести к краткосрочным проблемам при восстановлении связи.

Администраторам не рекомендуется использовать такой режим на постоянной основе. Предлагается использовать стандартную иерархическую схему синхронизации времени, где самыми надежными являются внешние источники, затем обязательно присутствуют контроллеры домен с ролью корневого NTP-сервера (или хотя бы один такой контроллер), и затем обычные контроллеры домена.

Если необходимо добавить приоритетный источник, с которым должны синхронизироваться компьютеры в подразделении/подразделениях, то создаются пользовательские групповые политики, в которых настраиватся необходимые администратору параметры синхронизации времени: Параметры компьютеров - Система - Дата и время, параметры Настройки сервиса сетевого времени Chrony или Параметры сервера или пула сетевого времени (см. раздел Настройка групповой политики). Обязательно должно быть выбрано подразделение или подразделения на вкладке Подразделения этих групповых политик для применения заданных администратором параметров синхронизации времени к компьютерам, находящимся в выбранных подразделениях.

Созданная групповая политика распространяется на все компьютеры, которые входят в состав подразделений, выбранных на вкладке групповой политики Подразделения.

Подробная информация по атрибутам групповой политики представлена в справке (значок (?)). Ниже описаны особенности функционирования и настройки параметров времени групповых политик.

Настройки сервиса сетевого времени Chrony

«Коробочная» (предустановленная) групповая политика времени запускается каждый раз при старте операционной системы на каждом компьютере домена. Если какие-то из атрибутов данного параметра не заданы администратором, то для этих атрибутов используется значение по умолчанию:

• Путь к файлу смещения: driftfile /var/lib/chrony/chrony.drift;

• Путь к файлу ключей: keyfile /etc/chrony/chrony.keys;

• Путь к директории журнала: logdir /var/log/chrony;

• Максимальное искажение для обновления: maxupdateskew 100.0;

• Настройка коррекции «шагом»: makestep 1 3;

• Использовать rtcsync: строка rtcsync в файле отсутствует.

Значение атрибута makestep службы chrony складывается из значений трех полей:

• Настройка коррекции «шагом» - Включить: если атрибут включен, то учитываются значения двух следующих полей;

• Настройка коррекции «шагом» - Порог: минимальная величина отклонения (в секундах), при которой разрешается выполнение «шагового» изменения времени;

• Настройка коррекции «шагом» - Предел: максимальное количество раз, которое «шаговое» изменение времени может быть выполнено при первичной синхронизации с сервером.

Параметры сервера или пула сетевого времени

В поле Адрес сервера или пула указывается имя сервера (пула), который добавляется в конфигурацию службы chrony для компьютеров, на которую распространяется действие данной групповой политики.

Поле Минимальный стратум содержит значение минимального стратума для источника времени, чем оно меньше, тем источник более приоритетен при выборе в службе chrony. Допустимые значения: от 1 до 10 - при задании значений из этого диапазона сервер (пул) будет иметь приоритет над заданными с помощью «коробочной» групповой политики времени источниками.