Сьогодні мова піде про деякі особливості налаштування служби часу на віртуальних контролерів домену. Зазвичай схема синхронізації часу в домені Active Directory виглядає наступним чином:

• Всі рядові сервера і робочі станції синхронізують свій час з найближчим доступним контролером домену;
• Усі контролери домену синхронізуються з контролером, якому належить роль PDC-емулятор;
• PDC-емулятор є головним джерелом часу в домені і тому повинен бути налаштований на синхронізацію з надійним зовнішнім джерелом часу.

Наприклад так виглядають настройки часу на нашому віртуальному контролері домену. Як бачите, на ньому за допомогою групових політик налаштована синхронізація з зовнішнім джерелом pool.ntp.org.

Однак якщо перевірити поточний джерело часу, то можна досить сильно здивуватися, т.к. в якості джерела виступає незрозуміла суть з назвою VM IC Time Synchronization Provider.

Справа в тому, що за замовчуванням віртуальні машини Hyper-V синхронізують свій час з хостом, причому незалежно від налаштувань служби часу всередині машини. В результаті може вийти досить дивна ситуація, коли хост є членом домену і синхронізується з контролером, який в свою чергу є віртуальною машиною і синхронізується з хостом.

Для того, щоб уникнути подібної ситуації, для віртуальних контролерів домену необхідно відключити синхронізацію часу з хостом. Зробити це можна двома способами.

Спосіб перший - відключити синхронізацію у властивостях ВМ. Для цього треба в оснащенні Hyper-V Manager відкрити властивості віртуальної машини, перейти в розділ «Integration Services» і зняти галку з пункту «Time synchronization».

Або те ж саме за допомогою PowerShell. Наприклад такою командою виведемо стан служби для ВМ:

Get-VMIntegrationService -VMName SRV1 -Name "Time synchronization"

А такий відключимо синхронізацію:

Get-VMIntegrationService -VMName SRV1 -Name "Time synchronization" | Disable-VMIntegrationService

Спосіб другий - відредагувати реєстр всередині віртуальної машини.Для відключення синхронізації треба виставити значення 0 для параметра Enabled, що знаходиться в розділі HKLM \ SYSTEM \ CurrentControlSet \ Services \ W32Time \ TimeProviders \ VMICTimeProvider.

Цю настройку можна зробити з командного рядка, виконавши команду:

reg add HKLM \ SYSTEM \ CurrentControlSet \ Services \ W32Time \ TimeProviders \ VMICTimeProvider/v Enabled/t reg_dword/d 0

Після відключення синхронізації будь-яким з описаних способів необхідно гарненько штовхнути службу часу, щоб вона перебудувалася на нове джерело.На контролері домену з роллю PDC-emulator необхідно рестартовать службу і запустити синхронізацію:

net stop w32time & net start w32time
w32tm/resync/force

На інших контролерах додатково треба виконати команду:

w32tm/config/syncfromflags: DOMHIER/update

Це змусить службу часу вибрати в якості джерела PDC-emulator згідно доменної ієрархії.Таким чином ми отримаємо правильну схему синхронізації часу в домені.