NTP сервер в samba домене

[kim5521]

Добрый день уважаемые форумчане!
Поднял по статьям с вики самбы контроллер домена, связка samba4, bind9, ntpd. Авторизация виндовых клиентов проходит хорошо.
Спустя несколько месяцев заметил на всех виндовых клиентах расхождение времени на часах (расхождения разные от 1 минуты до 4 минут). Начал копать. Первое что проверил, запущен ли ntpd, не запущен, решил проблему запуска при загрузки отключением timedatectl. Теперь демон запускается.
Через политики самбы, как описано на вики самбы, создал отдельную политику с настройкой параметров клиента NTP для виндовых машин. Итог, время не синхронизируется.

w32tm /resync

синхронизация не проходит

net time 192.168.55.200 /set /y

синхронизация проходит

В логах ntpd ошибок нет
Куда ещё копать?

Добавлю, через поиск на форуме прочитал как мне кажется всё что связано с ntpd, все советы пробовал, но синхронизация всё равно не проходит.

Ещё добавлю, система работает на виртуальной машине, гипервизор proxmox.

Сейчас перечитал вики самбы про настройку ntpd, не понял последних строк:

Notes:
The default Type NT5DS ignores the parameter NtpServer, and syncs with the DC. If ntpd on your DC is not configured for mssntp with ntpsigndsocket, use Type NTP.
If a client will not be able to connect to the DC for a long time (for example a laptop), use Type AllSync and set NtpServer to "time.windows.com,0x9". This will cause the client to try both NT5DS to your DC, and NTP to NtpServer.

[AnrDaemon]

Напомните вечером, я гляну, как у меня настроено.

[kim5521]

Напомните вечером, я гляну, как у меня настроено.

Хорошо.

[Dzhoser]

Покажите

Код: [Выделить]

cat /etc/ntp.conf

[kim5521]

Покажите

Код: [Выделить]

cat /etc/ntp.conf

(Нажмите, чтобы показать/скрыть)

# Local clock. Note that is not the "localhost" address!
server 127.127.1.0
fudge  127.127.1.0 stratum 10

# Where to retrieve the time from
server 0.pool.ntp.org     iburst prefer
server 1.pool.ntp.org     iburst prefer
server 2.pool.ntp.org     iburst prefer

driftfile       /var/lib/ntp/ntp.drift
logfile         /var/log/ntp
ntpsigndsocket  /var/lib/samba/ntp_signd/

# Access control
# Default restriction: Allow clients only to query the time
restrict default kod nomodify notrap nopeer mssntp

# No restrictions for "localhost"
restrict 127.0.0.1

# Enable the time sources to only provide time to this host
restrict 0.pool.ntp.org   mask 255.255.255.255    nomodify notrap nopeer noquery
restrict 1.pool.ntp.org   mask 255.255.255.255    nomodify notrap nopeer noquery
restrict 2.pool.ntp.org   mask 255.255.255.255    nomodify notrap nopeer noquery
restrict 192.168.55.0 mask 255.255.255.0 nomodify notrap

tinker panic 0 

[AnrDaemon]

Кстати, а клиенты у вас только виндовые или линух тоже есть?

[kim5521]

Кстати, а клиенты у вас только виндовые или линух тоже есть?

Пока что только виндовые клиенты, в необозримом будущем планируется и линуксовые.

Отвечу проще, только виндовые.

[AnrDaemon]

Вот, нашёл.
В домене создана отдельная политика - Local systems.
В ней включена только "конфигурации компьютера", в том числе:
Политики -> Адм. шаблоны -> Система -> Служба времени Windows -> Поставщики времени
NtpServer = ntp.example.lan
Тип = NTP
CrosssiteSyncFlags = 2

Политика применяется к системам в доменной группе LocalSystems.

P.S.
Не советую трогать Default Domain Policy. Вообще.
А если вы добавили настройку времени ТУДА, она работать не будет.

[kim5521]

В домене создана отдельная политика - Local systems.
В ней включена только "конфигурации компьютера", в том числе:
Политики -> Адм. шаблоны -> Система -> Служба времени Windows -> Поставщики времени
NtpServer = ntp.example.lan
Тип = NTP
CrosssiteSyncFlags = 2

У меня создан отдельный контейнер, в нём подконтейнеры с компьютерами и пользователями. Я создавал отдельную политику для контейнера, единственное отличие, у меня:

Тип = NT5DS

Политика применяется к системам в доменной группе LocalSystems.

Не понял про что речь.

P.S.
Не советую трогать Default Domain Policy. Вообще.
А если вы добавили настройку времени ТУДА, она работать не будет.

Если я эту политику всё равно "потрогал", но вернул в исходное состояние, у меня в будущем будут проблемы? (устрашающе звучит слово "Вообще")

Дополню. Вечером попробую прописать по вашей рекомендации настройки и отпишусь.

[AnrDaemon]

у меня:

Тип = NT5DS

А что, ntpd умеет NT5DS?

[kim5521]

А что, ntpd умеет NT5DS?

Повторюсь. У меня связка samba+bind9 PDC. На сайте самбы написано что синхронизацию надо настраивать в винде как NT5DS

[AnrDaemon]

Мне по… в общем, по, что там написано. У меня уже восемь лет настроено так, как я выше сказал, никаких проблем нет, пока у клиентов батарейка на BIOS не садится.

Кстати, в Samba AD нет такого понятия, как PDC.

[kim5521]

В ней включена только "конфигурации компьютера", в том числе:
Политики -> Адм. шаблоны -> Система -> Служба времени Windows -> Поставщики времени
NtpServer = ntp.example.lan
Тип = NTP
CrosssiteSyncFlags = 2

Результат есть, на части компов время синхронизировалось, спасибо за помощь. Для меня остался не известный параметр ntpsigndsocket, как я понял он отвечает за синхронизацию времени через NT5DS. Если разберусь о результате отпишусь. Еще раз спасибо.