Архив рубрики: Администрирование

Программа для системных администраторов Alladmin

0409020180028

Для работы системным администратором я написал себе программу, прошу оценить.

Программа Alladmin призвана помочь одному или группе системных администраторов организовать хаос в учете парка серверов и наложить на данную информацию функционал.
Данная программа использует уже существующие инструменты такие как Putty, Microsoft Remoute Desktop и прочее.
За более подробной информацией о данной программе прошу перейти по этой ссылке.

Со всеми вопросами обращайтесь по email fil-23@ya.ru.

или skype: filfil-23

 

 

 

sysadmins.ru

Brocade настройка

Предварительные действия

Очистим текущую конфигурацию устройства, для этого в привилегированном режиме выполним команду

ICX7450-48 Router#erase startup-config

Устройство перезагрузится.
Посмотрим текущую конфигурацию командой

ICX7450-48 Router#show running-config

Переходим в режим configure terminal

ICX7450-48 Router#;enable
ICX7450-48 Router#configure terminal

Посмотрим состояние интерфейсов

ICX7450-48 Router(config)#show interfaces brief

Как видно первый и второй порт находятся в режиме UP

Port Link State Dupl Speed Trunk Tag Pvid Pri MAC Name
1/1/1 Up Forward Full 1G None No 1 0 609c.9f29.9460
1/1/2 Up Forward Full 1G None No 1 0 609c.9f29.9461
1/1/3 Down None None None None No 1 0 609c.9f29.9462
1/1/4 Down None None None None No 1 0 609c.9f29.9463

Настройка IP адреса VLAN

Принцип такой. IP вешается на интерфейс VE (Virtual port). А на VLAN уже «вешается» сам интерфейс VE
Возьмем дефолтный VLAN1 и назначим ему адрес.

ICX7450-48 Router(config)#vlan 200
ICX7450-48 Router(config-vlan-200)#router-interface ve 1
ICX7450-48 Router(config-vlan-1)#interface ve 1
ICX7450-48 Router(config-vif-1)#ip address 192.168.1.1/24

Еще пример, создадим vlan 1600, дадим ему имя ROSTELEKOM, назначим данный VLAN на второй порт второго юнита первого маршрутизатора и назначим ему IP адреса.

7450-48-core(config)#vlan 1600 name ROSTELEKOM
7450-48-core(config-vlan-1600)#tagged ethernet 1/2/2
7450-48-core(config-vlan-1600)#router-interface  ve 1600
7450-48-core(config-vlan-1600)#interface ve 1600
7450-48-core(config-vif-1600)#ip address 192.168.255.13/30

Сохраним настройки

ICX7450-48 Router(config)#write memory

Настройка IP адреса порта

Если порт находится в VLAN у которого назначен VE интерфейс (с IP адресом), то невозможно назначить порту IP адрес.
Для назначения порту IP адреса

ICX7450-48 Router(config)#interface ethernet 1/1/7
ICX7450-48 Router(config-if-e1000-1/1/7)#ip address 192.168.4.1/24

Настройка подключения SSH

Для подключения к коммутатору через SSH требуется сделать следующие настройки
— Для начала генерируем SDA и RSA ключи

ICX7450-48 Router(config)#crypto key generate

— Создаем локального пользователя с указанием уровня доступа 0

ICX7450-48 Router(config)#username admin privilege 0 password p@$$w0rd

Установим метод проверки подлинности. Аутентификация по логину из локальных настроек.

ICX7450-48 Router(config)#aaa authentication login default local

— Сохраним настройки

ICX7450-48 Router(config)#write memory

Настройка подключения через WEB

Разрешим web доступ на определенном порту/VLAN

ICX7450-48 Router(config)#web-management enable ethernet 1/1/9

Создадим ssl сертификат

ICX7450-48 Router(config)#crypto-ssl certificate generate

Создадим пользователя

ICX7450-48 Router(config)#username admin privilege 0 password p@$$w0rd
ICX7450-48 Router(config)#aaa authentication login default local
ICX7450-48 Router(config)#aaa authentication web-server default local

Настройка LAG

В режиме конфигурированния введем команду создания LAG, его имя, укажем что он динамический и сразу переместимся в режим настройки LAG

ICX7450-48 Router(config)#lag LAG1 dynamic

Укажем какие порты мы будем использовать для агрегирования.

ICX7450-48 Router(config-lag-LAG1)#ports ethernet 1/1/47 ethernet 1/1/48

Укажем какой порт является Primary

ICX7450-48 Router(config-lag-LAG1)#primary-port 1/1/47

Запустим наш LAG

ICX7450-48 Router(config-lag-LAG1)#deploy
LAG LAG1 deployed successfully!

Посмотрим наш LAG

ICX7450-48 Router(config-lag-LAG1)#show lag
Total number of LAGs: 1
Total number of deployed LAGs: 1
Total number of trunks created:1 (255 available)
LACP System Priority / ID: 1 / 609c.9f29.9460
LACP Long timeout: 120, default: 120
LACP Short timeout: 3, default: 3

=== LAG "LAG1" ID 1 (dynamic Deployed) ===
LAG Configuration:
Ports: e 1/1/47 to 1/1/48
Port Count: 2
Primary Port: 1/1/47
Trunk Type: hash-based
LACP Key: 20001
Deployment: HW Trunk ID 1
Port Link State Dupl Speed Trunk Tag Pvid Pri MAC Name
1/1/47 Down None None None 1 No 1 0 609c.9f29.9460
1/1/48 Down None None None 1 No 1 0 609c.9f29.9460

Port [Sys P] [Port P] [ Key ] [Act][Tio][Agg][Syn][Col][Dis][Def][Exp][Ope]
1/1/47 1 1 20001 Yes S Agg Syn No No Def No Dwn
1/1/48 1 1 20001 Yes S Agg Syn No No Def No Dwn

Partner Info and PDU Statistics
Port Partner Partner LACP LACP
System ID Key Rx Count Tx Count
1/1/47 1-0000.0000.0000 46 0 0
1/1/48 1-0000.0000.0000 47 0 0

Тоже самое следуем проделать на втором коммутаторе.

Маршрутизация Manual

Добавление маршрута: сеть доставки, маска сети. IP адрес следующего прыжка.

ICX7450-48 Router(config)#ip route 192.168.5.0 255.255.255.0 192.168.4.1

Просмотр маршрутов

ICX7450-48 Router(config)#show ip route

Пример конфигурации Route1

interface ethernet 1/1/7
route-only
ip address 192.168.4.1 255.255.255.0

interface ethernet 1/1/9
route-only
ip address 192.168.5.1 255.255.255.0

ip route 192.168.6.0/24 192.168.4.2

Пример конфигурации Route2

interface ethernet 1/1/7
route-only
ip address 192.168.4.2 255.255.255.0

interface ethernet 1/1/11
route-only
ip address 192.168.6.2 255.255.255.0

ip route 192.168.5.0/24 192.168.4.1

Просмотрим таблицу маршрутизации Router2

ICX7450-48 Router(config)#show ip route
Total number of IP routes: 3
Type Codes - B:BGP D:Connected O:OSPF R:RIP S:Static; Cost - Dist/Metric
BGP Codes - i:iBGP e:eBGP
OSPF Codes - i:Inter Area 1:External Type 1 2:External Type 2
Destination Gateway Port Cost Type Uptime
1 192.168.4.0/24 DIRECT e 1/1/7 0/0 D 45m32s
2 192.168.5.0/24 192.168.4.1 e 1/1/7 1/1 S 6m40s
3 192.168.6.0/24 DIRECT e 1/1/11 0/0 D 42m41s

Маршрутизация OSFP

Нужно включить и настроить зону OSPF

ICX7450-48 Router(config)#router ospf
ICX7450-48 Router(config-ospf-router)#area 0

Требуется запустить протокол маршрутизации на порту где требуется маршрутизация

ICX7450-48 Router(config-if-e1000-1/1/7)#ip ospf area 0

Пример конфигурации Router1

router ospf
area 0

interface ethernet 1/1/7
route-only
ip address 192.168.4.1 255.255.255.0
ip ospf area 0

interface ethernet 1/1/9
route-only
ip address 192.168.5.1 255.255.255.0
ip ospf area 0

Пример конфигурации Router2

router ospf
area 0

interface ethernet 1/1/7
route-only
ip address 192.168.4.2 255.255.255.0
ip ospf area 0

interface ethernet 1/1/11
route-only
ip address 192.168.6.2 255.255.255.0
ip ospf area 0

Маршрутизация BGP

Разрешаем протокол маршртизации BGP (на первом и втором маршрутизаторе)

ICX7450-48 Router(config)#router bgp

Конфигурируем AS

1 ICX7450-48 Router(config-bgp-router)#local-as 100
2 ICX7450-48 Router(config-bgp-router)#local-as 200

Указываем соседей адреса соседних маршрутизаторов с указанием их AS

1 ICX7450-48 Router(config-bgp-router)#neighbor 192.168.4.2 remote-as 200
2 ICX7450-48 Router(config-bgp-router)#neighbor 192.168.4.1 remote-as 100

Указываем какие сети будем транслировать

1 ICX7450-48 Router(config-bgp-router)#network 192.168.5.0 255.255.255.0
2 ICX7450-48 Router(config-bgp-router)#network 192.168.6.0 255.255.255.0

Настройка SNMP

Включаем SNMP, задаем community (логин), указываем уровень доступа, чтение ro или запись rw

ICX7450-48 Router(config)#snmp-server community unpublic ro

CriptoPro или как перенести ключ на другой ПК без флешки и рутокена

Разберем проблему, когда нужно перенести ключ доступа банк-клиента или другого приложения из CryptoPro на другую систему, но не имеется дисковода, USB порта, диска, рутокена, вообще одним словом ни чего кроме сети.
Перво на перво запустим редактор реестра. REGEDIT.EXE и перейдем по следующему пути
HLKM->SOFTWARE->Если у вас 64-битная то Wow6432Node -> Crypto Pro -> Settings -> Users
Вот тут момент, у вас несколько пользователей в системе, и у каждого могут быть ключи, но у активного пользователя (т.е. из под которого вы сейчас смотрите И у которого сейчас находятся эти ключи) есть на против контейнера указатель с возможностью развернуть эту ветку.
Разворачиваем ветку, там контейнер Keys, вот в нем лежат все ключи этого пользователя.
Выбираем нужный нам контейнер с ключем, правой кнопкой мышки — экспортировать, сохраняем REG файл.
Любым доступным способом переносим данный REG файл на нужный нам ПК.
На нужном нам ПК, открываем редактор реестра, заходим по такому же пути (почти), заметим что номер контейнера будет другой (ведь другой ПК уже). Запоминаем название контейнера, это понадобится для замены в REG файле.
На присланном REG файле правой кнопкой мыши -> изменить. Откроется блокнот, в первых строках содержится путь до контейнера, меняем этот путь на текущий путь текущего пользователя или просто меняем только контейнер пользователя.
Сохраняем, запускаем. Изменения внесены, теперь надо добавить это дело в CryptoPro.
Запускаем CryptoPro -> Сервис -> Просмотреть сертификаты в контейнере -> Обзор -> Выбираем наш сертификат -> Далее -> Установить -> Готово

Cisco Ironport просмотр Spam Quarantine конечному пользователю

Задача, дать пользователю доступ для просмотра писем помещенный в спам карантин IronPort’а.
Перейдем в панель настроек Spam Quarantine, Monitor -> Spam Quarantine -> Spam Quarantine (Quarantine Name).
Проверьте установлен ли флажок на Enable End-User Quarantine Access
101920052016
Укажите в пункте Do not display message bodies to end-users until message is released стоит ли отображать тело сообщения или нет перед освобождением сообщения из карантина. Если флажок установлен, то пользователи не смогут просматривать тело сообщения через страницу Spam IronPort.
В пункте End-User Authentication: укажите метод аутентификации пользователя, для просмотра своего карантина.
Обратите внимание, что вы можете разрешить доступ конечных пользователей в карантин IronPort Spam, без включения проверки подлинности. В этом случае пользователи могут получить доступ в карантин по ссылке, включенной в сообщение уведомления и система не будет пытаться выполнить проверку подлинности пользователя. Если вы хотите обеспечить доступ конечных пользователей без аутентификации, выберите пункт None в меню метода аутентификация конечного пользователя.

Mailbox Authentication: Для случая, когда нет каталога LDAP. Есть возможность проверки почтового адреса пользователя и пароля, основываясь на стандартах IMAP или POP протоколах, в зависимости как настроен ваш сервер на котором лежит почтовый ящик. При входе в веб-интерфейс, пользователь вводит свой полный адрес электронной почты и пароль почтового ящика. IronPort Spam будет использовать данный логин\пароль чтобы попытаться войти на сервер почтовых ящиков в качестве этого пользователя. Если вход будет успешный, то пользователь проходит проверку подлинности IronPort Spam. Сам же IronPort Spam немедленно выходит из системы не внося ни каких изменений в почтовый ящик пользователя. Использование проверки подлинности почтовых ящиков хорошо подходит для мест, которые не работают с каталогом LDAP, но проверка подлинности почтовых ящиков не может представлять пользователю с сообщениями, которые могут быть связаны для сообщений электронной почты псевдонима.

Сохраните и зафиксируйте настройки.

Asterisk autoprovision Yealink логотип ч.2

В этой части поговорим о загрузке собственного логотипа в телефонный аппарат с помощью autoprovision. Для этого нам понадобится программа для создания *.dob файлов.
В следующей таблице перечислены поддерживаемый формат файла логотипа, разрешение и общий размер файла для каждой модели телефона:

Phone Model Logo File Format Resolution Total File Size
SIP-T28P .dob <=236*82 2 gray svale <=100К
SIP-T26P/T22P .dob <=132*64 2 gray svale <=100К
SIP-T21P/T19P .dob <=132*64 2 gray svale <=200К
SIP-T42G/T31P .dob <=192*64 2 gray svale <=100К
SIP-T23G .dob <=132*64 2 gray svale <=100К

У нас модель телефона T23G, будем делать свой логотип под нее.
Откроем редактор PAINT, выставим границы изображения в размере 132 на 64. Нанесем свой рисунок. В панели управления, выберем пункт Файл, далее выберем пункт сохранить как …. Из предложенных типов файлов, выберем Монохромный рисунок (*.bmp;*.dib)
Переходим в папку со скаченным архивом, запускаем приложение PictureExDemo.exe. В появившемся окне, для выбора нашего нового логотипа, нажмем кнопку Add. После загрузки логотипа в программу, нам понадобиться преобразовать его в .dob файл, для этого следует нажать кнопку Convert. С конвертированное изображение появится в папке adv, которая лежит в том же месте где и сама программа конвертации.
Загрузим конвертированный логотип на TFTP сервер, в нашем случае в директорию /srv/tftp/.
Теперь требуется внести изменения в глобальный конфигурационный файл
Параметр phone_setting.lcd_logo.mode определят вид отображения логотипа.
0 — IP-телефон не может отобразить логотип.
1 — Отображать системный логотип (надпись Yealink)
2 — Отображать пользовательский логотип
Нам подходить режим 2:

phone_setting.lcd_logo.mode = 2

Параметр lcd_logo.url указывает телефонному аппарату URL путь к файлу логотипа.

lcd_logo.url = tftp://192.168.120.200/mylogo.dob

Сохраняем, перезапустим телефонный аппарат, если все правильно то логотип будет отображаться.

Asterisk autoprovision Yealink ч.1

Задача, настроить на сервер Asterisk, autoprovision для телефонов Yealink в моем случае это будет модель T23G.
Перво на перво нам понадобятся знания о том что из себя представляет конфигурационный файлы, для этого обратимся к официальной источниками и данным:
Ссылка на офф.сайт
— Конфигурационные файлы с официального сервера или не с официального
— Инструкция с официального сайта.

Файл с название Common.cfg содержит общие настройки для всех телефонных аппаратом, например такие как Часовой пояс, NTP сервер, и прочее.
Файл с названием MAC.cfg содержит настройки для каждого отдельно взятого телефонного аппарата. Вместо MAC — вписывается mac адрес телефонного аппарат. В данном файле содержатся такие настройки как: логин, пароль, номер линии и прочее.

Autoprovision для данного вендера работает на различных протоколах передачи данных (таких как HTTP, FTP, HTTPS), мы будем использовать TFTP. Для начала нам потребуется установить TFTP сервер. Устанавливать будем на ту же машину на которой у нас крутится сервер Asterisk, под управлением Ubuntu 14.04. Установка:

sudo apt-get install openbsd-inetd tftpd tftp

После этого уже можно использовать TFTP сервер, но лучше проверить файл.

sudo nano /etc/inetd.conf

В этом файле найдем строку вида.

tftp        dgram   udp wait    nobody  /usr/sbin/tcpd  /usr/sbin/in.tftpd /srv/tftp

Тут указано, что файлы для загрузки будут находится в директории /srv/tftp, если вас это не устраивает, измените последний параметр.
Так же следует на папку, где будут лежать файлы изменить права доступа

udo chown -R nobody /srv/tftp

Перезапустим службу inetd

sudo /etc/init.d/openbsd-inetd restart

Проверим работу TFTP сервера. Для начала установим TFTP клиент, чтобы можно было подключаться к TFTP северу. Для установки TFTP клиента выполните в терминале команду:

sudo apt-get install tftp

Теперь создадим на сервере в директории /srv/tftp какой-нибудь файл, например, myfile. Для создания файла myfile и записи в него текста «This is my file» выполните в терминале команду:

echo This is my file > /srv/tftp/myfile

Теперь мы можем запустить TFTP клиент командой tftp. Команда tftp принимает в качестве параметра IP адрес сервера. Если вы запускаете клиент на локальном компьютере, то укажите IP адрес 127.0.0.1, если же на удаленном компьютере, то укажите IP адрес сервера.

tftp 127.0.0.1

Когда клиент запустится, вы попадете в режим ввода команд для клиента TFTP. Выполните команду get myfile, которая означает получить файл с именем myfile с сервера.

tftp> get myfile

В случае, если вы все сделали правильно, файл myfile загрузится с TFTP сервера. Для выхода из TFTP клиента введите команду quit.

Так же для Autoprovision требуется DHCP сервер с включенной опцией 66 и внесенным в неё параметром адреса TFTP сервера.

TFTP сервер установлен, DHCP настроен, теперь можно заняться Autoprovision.
Переименуем файл Common.cfg в y000000000044.cfg, загрузим его на сервер в директорию /srv/tftp/ и внесем изменения.

sudo nano y000000000044.cfg

Укажем адрес сервера Auto provision (tftp)

auto_provision.server.url = 192.168.120.200

Больше пока ни чего не надо.

Переименуем файл MAC.cfg в мак адрес вашего телефонного аппарата 001565abcdef.cfg, загрузим его на сервер в директорию /srv/tftp/ и внесем изменения.

sudo nano 001565abcdef.cfg

Параметр указывает отключаем или включаем учетную запись, в нашем случае включаем.

account.1.enable = 1

Указывает имя отображаемое на дисплее

account.1.auth_name = 4201

Указывает имя авторизации (login)

account.1.user_name = 4201

Указывает пароль пользователя

account.1.password = pass4201

Указываем адрес SIP сервера

account.1.sip_server.1.address = 192.168.120.200

Сохраняем данные.
Можно запускать телефонный аппарат, если все сделано правильно, то он подхватит конфигурационные файлы.

Ссылка 1

Ubuntu и как установить средства интеграции с Hyper-V 2012

Доброго дня.

Сегодня разберем вопрос интеграции служб Hyper-V на виртуальную машину Ubuntu 14.04.
Перво на перво обновим нашу информацию об установленных пакетах.

sudo apt-get update

После обновим сами пакеты

sudo apt-get upgrade

Установим отдельно обновления безопасности

sudo unattended-upgrade
sudo apt-get install unattended-upgrades

Перезагрузим ОС

sudo reboot

В нашем случае для установки пакетов интеграции Hyper-V требуется ядро не ниже 3.16, проверяем:

uname -r
3.13.0-77-generic

Данное ядро нам не подходит, попробуем обновить:

sudo apt-get install --install-recommends linux-generic-lts-vivid

После, обновим загрузчик GRUB

sudo update-grub

Перезапустим нашу систему

sudo reboot

После запуска снова проверяем версию ядра

uname -r
3.19.0-49-generic

То что нужно. Запомним эти данные и продолжим.
Найдем пакеты соответствующий нашему ядру и начнем их установку:

sudo aptitude install hv-kvp-daemon-init linux-tools-3.19.0-49-generic
sudo aptitude install linux-cloud-tools-3.19.0.49-generic

Перезагружаем

sudo reboot

После запуска системы нужно проверить корректно ли запустились службы интеграции Hyper-V

cat /var/log/boot.log | grep Hyper
* Starting Hyper-V VSS Protocol Daemon  [ OK ]
* Starting Hyper-V KVP Protocol Daemon  [ OK ]
* Stopping Hyper-V VSS Protocol Daemon  [ OK ]
* Stopping Hyper-V KVP Protocol Daemon  [ OK ]

Убеждаемся в том, что дополнительно установленные сервисы, в частности VSS, запущены:

ps -ef | egrep "hv.*daemon"
root  1323  1  0 20:23 ?   00:00:00 /usr/lib/linux-tools/3.13.0-27-generic/hv_vss_daemon
root  1341  1  0 20:23 ?   00:00:04 /usr/lib/linux-tools/3.13.0-27-generic/hv_kvp_daemon

Статьи:
Ссылка 1

Ironport C170 блокируем архив с исполняемым файлом

Доброго дня.

Требуется оградить пользователей от разного рода вирусов в почтовых сообщениях. Часто пользователи запускают вирус получая его в почту в виде архива.
И так, имеется железка CISCO Ironport C170. Заходим в Mail Policies — Incoming Content Filters — Add Filter….
Новому фильтру Выставляем имя новому фильтру.
Добавляем условие по которому мы будем проверять сообщения — Add Conditions …
В условии выставляем, что мы будем выбирать письма которые содержат прикрепленные данные в виде архива File type is — Compressed
132408022016
Теперь требуется предпринять какие-то действия с этим письмом, для этого добавляем Add Action …
В разделе Strip Attachment by File Info в пункте File type is: выставляем Executables
132808022016
Так же в пункт Replacement Message можно добавить от себя сообщение для пользователя о том, что содержимое было заблокировано.

Exchange восстановление удаленного письма

Для того чтобы востановить письма, нужно находиться в Группе управлением обнаружением (Discovery Management). Введем команду

Add-RoleGroupMember -Identity "Discovery Management" -Member User1

Перезапускам EMS
Восстанавливаем удаленные письма, в том числе и удаленные из папки «удаленные»

Search-Mailbox "исходный ящик" -TargetMailbox целевой ящик -TargetFolder RECOVER

Исходный ящик» это тот, из которого письма удалили, целевой — тот, в который они будут восстановлены. Соответственно, всё что будет восстановлено, появится в целевом ящике в папке RECOVER. Указывать один и тот же ящик в роли исходного и целевого нельзя.
Если надо восстанавливать на все письма, а письма только с определённой темой, то синтаксис может быть таким:

Search-Mailbox "Исходный ящик" -SearchQuery subject:"Тема письма" -TargetMailbox Целевой ящик -TargetFolder Соответствующая папка

Есть один момент, когда у вас Русский Exchange то при указании параметров на английском, выходит ошибка. Покажу на примере

[PS] C:\Windows\system32>Search-Mailbox ivanov -SearchQuery "from:sidorov@gmail.com" -TargetMailbox petrov -TargetFolder RECOVER
Ключевое слово property не поддерживается.
    + CategoryInfo          : InvalidArgument: (:) [], ParserException
    + FullyQualifiedErrorId : 73EC546F

Данную ошибку можно устранить заменить параметр на Русский перевод:

[PS] C:\Windows\system32>Search-Mailbox ivanov -SearchQuery "Откого:sidorov@gmail.com" -TargetMailbox petrov -TargetFolder RECOVER

Ссылка 1

NTP

По сути когда у вас домен, время должно распространятся от корневого контролера — вниз до обычных хостов.
Корневой PDC может синхронизировать свое время как со внешним источником, так и с самим собой, последнее задано конфигурацией по умолчанию и является абсурдом, о чем периодически намекают ошибки в системном журнале.
Синхронизация клиентов корневого PDC может осуществятся как с его внутренних часов, так и с внешнего источника. В первом случае сервер времени корневого PDC объявляет себя как «надежный» (reliable).

Конфигурация NTP-сервера на корневом PDC
Конфигурирование сервера времени (NTP-сервера) может осуществляться как с помощью утилиты командной строки w32tm, так и через реестр. Где возможно, я приведу оба варианта.
Открываем ветку реестра:

HKLM\System\CurrentControlSet\services\W32Time\Parameters

Здесь в первую очередь нас интересует параметр Type, который задает тип синхронизации. Он может принимать следующие значения:
NoSync— Служба времени не синхронизируется с другими источниками.
NTP— Служба времени выполняет синхронизацию с серверами, указанными в записи реестра NtpServer.
NT5DS— Служба времени выполняет синхронизацию на основе иерархии домена.
AllSync— Служба времени использует все доступные механизмы синхронизации.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters]
"Type"="NTP"
w32tm /config /syncfromflags:manual

В параметре NtpServer указываются NTP-сервера, с которыми будет синхронизировать время данный сервер. По умолчанию в этом параметре прописан NTP-сервер Microsoft (time.windows.com, 0?1), при необходимости можно добавить еще несколько NTP-серверов, введя их DNS имена или IP адреса через пробел. В конце каждого имени можно добавлять флаг (напр. ,0?1) который определяет режим для синхронизации с сервером времени.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters]
"NtpServer"="server1,0x8 server2,0x8"
w32tm /config /manualpeerlist:"server1,0x8 server2,0x8"

Допускаются следующие значения режима:
0?1 – SpecialInterval, использование временного интервала опроса;
0?2 – режим UseAsFallbackOnly;
0?4 – SymmetricActive, симметричный активный режим;
0?8 – Client, отправка запроса в клиентском режиме.

Объявление NTP-сервера в качестве надежного

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config]
"AnnounceFlags"=dword:0000000a
w32tm /config /reliable:yes

Включение NTP-сервера

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer]
"Enabled"=dword:00000001

Задание интервала синхронизации с внешним источником
Время в секундах между опросами источника синхронизации, по умолчанию 900с = 15мин. Работает только для источников, помеченных флагом 0?1.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient]
"SpecialPollInterval"=dword:00000384

Установка минимальной положительной и отрицательной коррекции
Максимальная положительная и отрицательная коррекция времени (разница между внутренними часами и источником синхронизации) в секундах, при превышении которой синхронизация не происходит. Рекомендую значение 0xFFFFFFFF, при котором коррекция сможет производиться всегда.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config]
"MaxPosPhaseCorrection"=dword:FFFFFFFF
"MaxNegPhaseCorrection"=dword:FFFFFFFF

После настройки необходимо обновить конфигурацию сервиса. Сделать это можно командой

w32tm /config /update.

Можно узнать, насколько системное время данного компьютера отличается от времени на контроллере домена или других компьютерах. Например:

w32tm /monitor /computers:time.nist.gov

можно заставить компьютер синхронизироваться с используемым им сервером времени.

w32tm /resync

показывает разницу во времени между текущим и удаленным компьютером. Команда w32tm /stripchart /computer:time.nist.gov /samples:5 /dataonly произведет 5 сравнений с указанным источником и выдаст результат в текстовом виде.

w32tm /stripchart

основная команда, используемая для настройки службы NTP. С ее помощью можно задать список используемых серверов времени, тип синхронизации и многое другое. Например, переопределить значения по умолчанию и настроить синхронизацию времени с внешним источником, можно командой w32tm /config /syncfromflags:manual /manualpeerlist:time.nist.gov /update

w32tm /config

показывает текущие настройки службы. Например команда w32tm /query /source покажет текущий источник времени, а w32tm /query /configuration выведет все параметры службы.

w32tm /query

net stop w32time — останавливает службу времени, если запущена.
w32tm /unregister — удаляет службу времени с компьютера.
w32tm /register – регистрирует службу времени на компьютере. При этом создается заново вся ветка параметров в реестре.
net start w32time — запускает службу.

Особенности виртуализированных контроллеров домена

Контроллеры домена, работающие в виртуализированной среде, требуют к себе особенного отношения.
Средства синхронизации времени виртуальной машины и хостовой ОС должны быть выключены. Во всех адекватных системах виртуализации (Microsoft, vmWare и т. д.) присутствуют компоненты интеграции гостевой ОС с хостовой, которые значительно повышают производительность и управляемость гостевой системой. Среди этих компонентов всегда есть средство синхронизации времени гостевой ОС с хостовой, которое очень полезно для рядовых машин, но противопоказано для контроллеров домена. Потому как в этом случае весьма вероятен цикл, при котором контроллер домена и хостовая ОС будут синхронизировать друг друга. Последствия печальны.
Для корневого PDC синхронизация с внешним источником должна быть настроена всегда. В виртуальной среде часы не настолько точны как в физической, потому как виртуальная машина работает с виртуальным процессором и прерываниями, для которых характерно как замедление, так и ускорение относительно «обычной» частоты. Если не настроить синхронизацию виртуализированного корневого PDC с внешним источником, время на всех компьютерах предприятия может убегать/отставать на пару часов в сутки. Не трудно представить неприятности, которые может принести такое поведение.

Источник1,Источник 2