Windowsin aikapalvelun vianmääritys

Windowsin aikapalvelu on erittäin tärkeä Active Directory -palvelussa. Kerberos-todennus edellyttää oletusarvoisesti, että kaikkien toimialueen koneiden kellot synkronoidaan viiden minuutin tarkkuudella, kun aikavyöhyke-erot ja kesäaika korjataan. Koneet, joiden kellot ovat tämän vaihteluvälin ulkopuolella, eivät pysty todennukseen eivätkä näin ollen pääse käyttämään toimialueen resursseja.

Ad-toimialueen sisällä PDC Emulator FSMO -roolin omaava toimialueen ohjain (DC) on koko toimialueen pääaikapalvelin. Tämä ei kuitenkaan tarkoita, että jokainen toimialueen kone synkronoi kellonsa suoraan PDC Emulatorin kanssa. Muut DC:t synkronoivat PDC Emulatorin kanssa, kun taas jäsenpalvelimet ja -asiakkaat voivat synkronoida minkä tahansa DC:n kanssa. Tässä hierarkiassa PDC Emulatorin pitäisi olla ainoa kone, joka on määritetty synkronoimaan ulkoisen aikalähteen, kuten julkisen NTP-palvelimen, kanssa. Kaikki muut toimialueen koneet olisi määritettävä synkronoimaan AD:n kanssa. Mikä tahansa muu konfigurointi voi johtaa kellon synkronoinnin katoamiseen.
Tällä TechNet-sivustolla on yksityiskohtaista tietoa siitä, miten Windows Time -palvelu toimii.
Määritä ongelman laajuus
Ensimmäisenä askeleena Windows Time -palvelun ongelman vianmäärityksessä on määritettävä, kuinka monta konetta ongelma koskee. Jos kellonaika on virheellinen vain yhdessä koneessa, ongelman korjaamiseen tarvittavat toimenpiteet eroavat koko toimialueen laajuisen aikaongelman korjaamiseen tarvittavista toimenpiteistä.
Jos ongelma koskee vain muutamaa konetta

1. Jos ongelmaan vaikuttavassa koneessa on Windows Vista tai uudempi käyttöjärjestelmä, suorita komentorivillä w32tm /query /source määrittääksesi ongelman kohteena olevan koneen aikalähteen. Ulkoisen aikalähteen pitäisi näkyä luettelossa vain, jos tämä komento suoritetaan PDC-emulaattorissa; muussa tapauksessa komennon pitäisi tulostaa toimialueeseen kuuluvan DC:n nimi.
2. W32tm /query /status -komento näyttää myös koneen aikalähteen sekä muita mahdollisesti hyödyllisiä tietoja. Kytkin /verbose antaa vielä enemmän tietoa. Kuten ensimmäinen komento, nämä kytkimet ovat käytettävissä vain koneissa, joissa on Windows Vista tai uudempi.
3. Jos oikea aikalähde on listattu, voit käyttää w32tm /resync-komentoa yrittääksesi synkronoida koneen kellon uudelleen aikalähteen kanssa. Kun tähän komentoon lisätään /rediscover-kytkin, kone yrittää ensin löytää verkon aikalähteet ja yrittää sitten uudelleensynkronointia.
4. Koneen aikalähteen vaihtamiseksi voit käyttää jompaakumpaa seuraavista komennoista:
   w32tm /config /syncfromflags:DOMHIER /update määrittää koneen käyttämään aikalähteenä toimialueen hierarkiaa (AD).
   w32tm /config /syncfromflags:MANUAL /manualpeerlist:<list> /update määrittää koneen käyttämään aikalähteenään kohdassa <list> olevia aikapalvelimia.
   HUOMAUTUS: Jos kohdassa <list> on määritetty useita aikapalvelimia, ne on erotettava toisistaan välilyönneillä, ja koko luettelon on oltava lainausmerkkien sisällä.

Jos ongelma koskee koko toimialuetta

1. Jos aika on väärä kaikissa toimialueen koneissa, ongelman lähde on hyvin todennäköisesti PDC-emulaattori. Suorita komento netdom query fsmo DC:ssä määrittääksesi, millä DC:llä on PDC-emulaattorin rooli.
2. Suorita komentokehotteesta PDC-emulaattorin komento w32tm /query /source varmistaaksesi, että se on määritetty synkronoimaan ulkoisen aikalähteen kanssa. PDC-emulaattoria ei pitäisi koskaan määrittää synkronoitavaksi toimialueen kanssa, koska se on toimialueen pääaikalähde.
3. Jos PDC-emulaattori on virtuaalikone (VM), poista vieras-isännän kellon synkronointi käytöstä. Tämän tekeminen riippuu virtualisointi-isännän käyttöjärjestelmästä.
4. Jos haluat määrittää PDC-emulaattorin synkronoimaan yhden tai useamman ulkoisen aikapalvelimen kanssa, käytä seuraavaa komentoa:
   w32tm /config /syncfromflags:MANUAL /manualpeerlist:<list> /update
   HUOMAUTUS: Jos <list>-kohdassa määritetään useita aikapalvelimia, ne on erotettava toisistaan välilyönneillä ja koko luettelo on suljettava lainausmerkkien sisään.

Windows Time -palvelun rekisteriasetukset
Yllä olevissa toimenpiteissä määritetyt w32tm-komennot tekevät muutoksia Windows Time -palvelun rekisteriarvoihin, jotka kaikki sijaitsevat seuraavan rekisteriavaimen alla:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time
Näiden arvojen asettaminen manuaalisesti w32tm-komennon käyttämisen sijasta on tietysti mahdollista. Jos päätät tehdä niin, seuraavat sivustot voivat osoittautua hyödyllisiksi:

• Windows-aikapalvelun työkalut ja asetukset (sisältää osion rekisteriasetuksista)
• How to Configure an Authoritative Time Server in Windows Server

Ryhmäkäytäntö
Jos teet muutoksia Windows-aikapalveluun w32tm-komennoilla tai rekisterin kautta, mutta nämä muutokset eivät tule lainkaan voimaan tai ne tulevat voimaan vain lyhyen aikaa ennen kuin ne palaavat aiempiin arvoihinsa, voi olla olemassa ryhmäkäytäntöobjekti (GPO), joka ohittaa tekemäsi muutokset. Windows Time -palvelun ryhmäkäytäntöasetukset sisältävät monia samoja kohteita, jotka voidaan määrittää rekisterin tai w32tm-komentojen avulla. Nämä asetukset löytyvät seuraavasta paikasta:
Computer Configuration\Policies\Administrative Templates\System\Windows Time Service
Windows Time -palvelun rekisteriarvojen palauttaminen oletusasetuksiin
Jos kaikki muu epäonnistuu, tämä toimenpide palauttaa Windows Time -palvelun oletusasetukset:

1. Avaa Palvelut-konsoli (Services console) ja pysäytä Windows Time -palvelu (tai suorita komentorivin komentoriviltä komentorivi komentorivi komennon ”net stop w32time” avulla), jos Windows Time -palvelu on käynnissä.
2. Avaa korotettu komentorivi ja poista Windows Time -palvelu rekisteristä suorittamalla w32tm /unregister. Palvelua ei enää luetella Palvelut-konsolissa.
3. Suorita w32tm /register luodaksesi palvelun uudelleen oletusarvoisin rekisteriasetuksin.
4. Tee tarvittavat muutokset rekisteriin ja käynnistä sitten Windows Time -palvelu Palvelut-konsolissa tai komennolla net start w32time.