Cинхронизация времени в домене, но не с ним

После расширение сети (объединение с другими колледжами через vpn соединение) возникла проблема с синхронизацией времени на компьютерах. То есть один главный домен не мог раздать правильное время через связку Трафик инспектор шифрованное vpn Трафик инспектор. Открытие портов udp 123, не помогло. ДО использование Трафик инспектора все прекрасно работало. А пользовались сначала endianОМ потом ideco.

Отличалась время с сервером бывало на несколько секунд, а бывало и на несколько десятков минут в зависимости от насколько долго компьютер не мог найти источник времени. В журналах безопасности постоянно появлялись такие записи:

NTP-клиент поставщика времени не смог найти контроллер домена для использования как поставщика времени. NTP-клиент повторит попытку через 30 мин.

NTP-клиент поставщика времени настроен на получение времени из одного  или нескольких источников, однако ни один из этих источников недоступен.  Попытки подключения к источнику не будут выполняться в течение 29 мин. NTP-клиент не имеет источника правильного времени.

NTP-клиент поставщика времени не смог найти контроллер домена для использования как поставщика времени. NTP-клиент повторит попытку через 60 мин.

Из-за это возникали проблемы с авторизацией пользователей, к доступу на сетевые ресурсы и тд.

Что бы решить эту проблему пробовал установить синхронизацию на каждом компьютере  с сервером синхронизации типа time.windows.com (поскольку основной домен синхронизировался именно так) и подобными серверами.  Но это не помогло, так как скорей всего на таких серверах стоит лимит на обращений с одного ip адреса (защита от dos атак), потом у что когда несколько компьютеров настроил, то синхронизация проходила и все работало, а когда все настроил (около 100) то начались проблемы, не доступен сервер и так далее.

Поскольку основной домен не мог дать время только в моей сети, которая защищена файрволом (для теста его отключал, не помогло), а изменять конфигурацию моего домен нельзя (что бы не было конфликтов), решил поднять свой сервер времени на debiane.

Основные моменты при установки ntp сервера на debian

Установил пакет ntp (в разных версиях заметил, что название иногда отличаются)

debian:~# apt-get install ntpq

смотрим как работает с помощью команды ntpq -p

должен появиться список серверов, ip адреса, задержки, стратум и тд.

Далее все вроде должно работать, но у меня почему то не работало, начал ковыряться.

Благодаря разным статьям в интернет сделал вот такой рабочий конфиг в файле ntp.conf

[reclam]

#---------------------------------------------------------------------------------------------

# /etc/ntp.conf, configuration for ntpd; see ntp.conf (5) for help

driftfile /var/lib/ntp/ntp.drift

# Enable this if you want statistics to be logged.

#statsdir /var/log/ntpstats/

statistics loopstats peerstats clockstats

filegen loopstats file loopstats type day enable

filegen peerstats file peerstats type day enable

filegen clockstats file clockstats type day enable

# You do need to talk to an NTP server or two (or three).

#server ntp.your-provider.example

# pool.ntp.org maps to about 1000 low-stratum NTP servers.  Your server will

# pick a different set every time it starts up.  Please consider joining the

# сюда добавил стандартные сервера времени которые нашел для России

server 0.debian.pool.ntp.org iburst

server 1.debian.pool.ntp.org iburst

server 2.debian.pool.ntp.org iburst

server 3.debian.pool.ntp.org iburst

server time.windows.com iburst

server ntp1.imvp.ru iburst

server ntp2.imvp.ru iburst

server 0.ru.pool.ntp.org

server 1.ru.pool.ntp.org

server 2.ru.pool.ntp.org

server 3.ru.pool.ntp.org

# By default, exchange time with everybody, but don't allow configuration.

restrict -4 default kod notrap nomodify nopeer noquery

restrict -6 default kod notrap nomodify nopeer noquery

# Local users may interrogate the ntp server more closely.

restrict 127.0.0.1

restrict ::1

# Clients from this (example!) subnet have unlimited access, but only if

# cryptographically authenticated.

# здесь прописал внутреннею сеть в которой нужно работать

restrict 10.33.0.0 mask 255.255.0.0 notrap nomodify nopeer

# If you want to provide time to your local subnet, change the next line.

# (Again, the address is an example only.)

# так же внутренняя сеть

broadcast 10.33.255.255

# If you want to listen to time broadcasts on your local subnet, de-comment the

# next lines.  Please do this only if you trust everybody on the network!

disable auth

#broadcastclient

#---------------------------------------------------------------------------------------------

[reclam]

После сохранения нужно перезапустить службу, или сразу компьютер.

После все этого работать стало еще лучше, проблем с разнице во времени практически не возникало.

Дальше я поместил в active directory в конфигурацию windows \сценарии (запуск/ завершения) батник с командой который насильно ставит разов время на всех компьютерах как на главном сервер

net time \\10.22.0.100 /set /y,

далее выполняется следящая команда

w32tm /config /syncfromflags:manual /manualpeerlist:10.33.0.150,

она означает сделать сервером времени мой сервер на Дебине 10.33.0.150.  Как раз с ним и начинает синхронизироваться компьютер. Время на моем сервере времени и главном домене идентичны.

В журналах стало появляться сообщение что синхронизация прошла успешна.

Для особо тупых компьютерах сделал выполнение батника с командой

net time \\10.22.0.100 /set /y еще и при выключение.

И вот только после всех этих танцев, у меня, наконец то пропала это ненавистная мне проблема с синхронизацией времени.

Ps: просто стандартными способами решить этот косяк не получалось.

Что бы понять что сервер времени работает, нужно на клиентском компьютере опробовать команду w32tm /monitor в появившемся списке будет видно откуда данный компьютер пытается взять время для  себя.