Změňte čas v počítači domény. Nastavení synchronizace času NTP pomocí zásad skupiny. Nastavení zásady synchronizace NTP na řadiči domény PDC
Funkce nastavení času pro regulátory virtuálních domén
Dnes bude o některých funkcích nastavení času na virtuálních řadičích domény. Systém synchronizace času v doméně Active Directory obvykle vypadá takto:
Všechny servery a pracovní stanice synchronizují svůj čas s nejbližším řadičem domény;
Všechny řadiče domény jsou synchronizovány s regulátorem, ke kterému patří role emulátoru PDC;
Emulátor PDC je hlavní zdroj času v doméně, a proto musí být nakonfigurován tak, aby synchronizoval se spolehlivým zdrojem externího času.
Vyberte počítač pro server jako autoritativní interní zdroj času.
Veškerá práce není naštěstí synchronizovat vše. První věc, kterou chcete udělat, se rozhodnete, který stroj chcete být včas ve vaší doméně. Stroj, který si vyberete, bude pravidelně konzultovat s internetovými zdroji, takže pokud jste v režimu s vysokým zabezpečením, můžete zvážit přenos této role do jiného počítače.
Nastavení autorizovaného počítače
Můžete mít několik strojů, které slouží jako autoritativní zdroje času, ale více než jedno místo, zpravidla nepotřebují. Váš autoritativní server bude potřebovat, že port otevře příchozí. To vám ukáže, co děláte a kde. Jakmile to uděláte, upravený počítač bude periodicky "deklarovat", že je renomovaný zdroj času. Ve skutečnosti, toto oznámení bude pravděpodobně přijímá většina počítačů vaší domény.
Vypadá například například nastavení času na našem virtuálním řadiči domény. Jak vidíte, na něm zásady skupiny Konfigurovaná synchronizace s externím zdrojem bazén.nttp.org..
Pokud však zkontrolujete aktuální zdroj času, pak je možné překvapit velmi moc, protože Jako zdroj, nepochopitelná podstata s názvem Poskytovatel synchronizace VM IC IC.
Určete, jak chcete zvládnout virtualizované hosty
Vzhledem k tomu, že opravdu potřebujete pouze jeden zdroj, nejjednodušší způsob, jak jej nainstalovat jako varianta serveru, i když je určitě nainstalovat v každé jednotlivé oblasti jako parametr oblasti. Všechny moderní hypervisors mají schopnost synchronizovat čas s hostujícími stroji pomocí těchto nástrojů pro integraci hypervisoru. Pokud se zapne, host auta stráví čas od fyzického hostitele, na kterém běží. Pro všechny ostatní hosty toto řešení.
Faktem je, že ve výchozím nastavení virtuální hyper-V stroje Synchronizace času s hostitelem a bez ohledu na nastavení času uvnitř stroje. V důsledku toho se poněkud podivná situace může ukázat, když je hostitelem členem domény a synchronizován s regulátorem, který je zase virtuální stroj a synchronizován s hostitelem.
Rozhodli jste se však s tím zvládat, je důležité se ujistit, že jste konzistentní. Zrušte zaškrtnutí políčka Zaškrtněte políčko "Časová synchronizace" volitelné. Pro další hypervisors naleznete v dokumentaci výrobce. 
I když najdete odkazy na dílčí odpojení služby, již není účinný.
Nejprve, pokud vaše doména ještě není nakonfigurována pro použití specializovaných organizačních jednotek pro vaše počítače, nakonfigurujte je nyní. Neexistuje žádná "správná cesta" pro jejich konfiguraci, takže vyvíjíme režim, který má smysl pro vaši organizaci. Neexistuje žádná výhoda, která by byla nadbytečná, tak se snaží o jednoduchost. Vždy můžete reorganizovat a rozšířit později, pokud zjistíte, že to není dost těžké. Pro tento příspěvek je vaším celkovým cílem rozdělit počítače, které musí mít určitý časový server z těch, kteří ne.
Aby se zabránilo podobné situaci, pro virtuální řadiče domény musíte zakázat synchronizaci času s hostitelem. To lze provést dvěma způsoby.
Způsob je první - zakázat synchronizaci ve vlastnostech VM. Chcete-li to provést, je nutné otevřít vlastnosti v Snímku Správce Hyper-V virtuální stroj, Přejděte do sekce "Integration Services" a odstraňte DAW z položky Synchronizace času.
Příklady použití příkazu w32tm
Například, pokud máte notebooky, které budou použity hlavně na stránkách, které nejsou ovládány vás, nemůžete pro ně nainstalovat žádné časové servery, nebo budete chtít, aby zmírnili stejné internetové zdroje, protože váš autoritativní systém může mít konfigurovat různé časové servery pro různá fyzická místa a zajistit, aby byly místní počítače na místní zdroj.
To způsobí, že všechny druhy problémů, a ne všechny z nich se snadno eliminují. 
Nastavte parametry podobné následujícímu snímku. 
Mohou se však chovat špatně. Kvůli všem můžete jednoduše ponechat zbývající řadiče domény. Zkontrolujte svou práci.
Nebo stejné s PowerShell. Takový příkaz stáhne stav služby pro VM:
GET-VMINTEGRACESERVICE -VMNAME SRV1 -NAME "Čas Synchronizace"
A takové vypnutí synchronizace:
GET-VMINTEGRACESERVICE -VMNAME SRV1 -NAME "Čas Synchronizace" | Zakázat-Vmintegrationervice.
Začněme synchronizací času řadičů virtuálních domén. Místo toho je lístek Kerberos podává a zkontrolována lesem. Šifrování a zabezpečení mezi klientem a řadičem domény, vynikající jízdenkou, vyžadují výměnu hesel a konfigurace zabezpečeného kanálu.
Takže uživatelé nemohou poslouchat síťové a opětovné použití balíčků ověřování zákazníků, všechny pakety zahrnují časovou značku. Pokud časová značka vycházející z klienta se liší více než 5 minut od doby řadičů domény, vyhodí balíček jako falešný. Řadič domény a klient s časem, které nejsou stejné, mohou zabránit přihlášení a přístupu k síťovým prostředkům. Proč se synchronizace času nezdaří, když jsou řadiče domény virtuální.
Způsob druhého je upravit registr uvnitř virtuálního počítače. Chcete-li zakázat synchronizaci, musíte nastavit hodnotu. 0 Pro parametr Povoleno.Nachází se v sekci HKLM System CurrentControlSet Služby W32time TimePoviders \\ VmictimeProvider.
Toto nastavení lze vyrobit z příkazový řádekVyplněním příkazu:
Virtuální stroje budou mít výchozí různé zdroje, hodiny procesoru atd. To vede k tomu, co se obvykle nazývá čas drift, hodiny a "klíšťata", které používá k udržení času, někdy pracuje rychleji nebo pomalejší. Některé systémy jsou instalovány ne více než 15 minut, 1 hodinu, 15 hodin nebo dokonce synchronizovány bez ohledu na časový rozdíl.
Může také zabránit synchronizaci, protože čas je příliš mnoho posunutý z poslední synchronizace. Časová služba v řadičích domény také funguje jako časový server pro všechny klienty v doméně, takže není snadné odpojit tuto službu, pokud nepotřebujete funkce zákazníků! Toto omezení platí pouze pro periodickou synchronizaci hodin.
reg Přidat HKLM System CurrentControlSet Služby W32Time TimeProviders \\ VMICTimeProvider / V Zapnuto / T
Po vypnutí synchronizace některým z popsaných metod je nutné udělat dobrý čas zkontrolovat časovou službu tak, aby byl přestavěn na nový zdroj. Na řadiči domény s rolí emulátoru PDC, musíte restartovat službu a spustit synchronizaci:
Pokud se to stane, nejlepším akcí je okamžitě zrušit pokročilý řadič domény, protože tento řadič domény nikdy nebude mít správné informace a může také získat změny, že nebude replikovat s jinými řadiči domény.
Kromě toho budou ztraceny všechny změny provedené vaditelnému řadiči domény, když to bylo, budou ztraceny. Kdyby pracoval dlouho a má důležitá informace, Zvažte exportní informace do zdravých řadičů domény.
nET STOP W32TIME & NET START W32TIME
w32TM / RESYNC / FORCE
Na ostatních regulátorech navíc musí příkaz provést:
w32TM / CONFIG / SYNCFROMFLAGS: DOMHIER / UPDATE
Tím se čas vybrat jako zdrojový PDC emulátor podle hierarchie domény. Dostaneme tedy správné schéma synchronizace času v doméně.
Výše uvedené informace jasně ukazují proč. Výkon je problém, ale existuje něco speciálního pro regulátory virtuálních domén? Běží na fyzických strojích i malý hardware slouží mnoho uživatelů a strojů s malým využitím strojních schopností.
Nastavení minimální pozitivní a záporné korekce
Musíme však mít na paměti, že zahrnutí řadičů domény na přetížené virtuální prostředí nebo příliš málo vyhrazených zdrojů může vést ke špatnému výkonu, zpoždění přístupu zákazníků ve zdrojích, vstupech atd. Zvažte proto, kolik zdrojů potřebujete pečlivě a kde tyto služby.
Služba Windows Time Service, navzdory zdánlivému jednoduchosti, je jedním ze základních nezbytných pro normální fungování domény Active Directory. V řádně nakonfigurované inzeráti funguje časová služba následujícím způsobem: Uživatelské počítače se dostanou přesný čas Z nejbližšího řadiče domény, na kterém se zaregistrovali. Všechny řadiče domény zase přijímají přesný čas z DC s " Emulátor PDC"A řadič PDC synchronizuje svůj čas s některými. Jeden nebo více NTP serverů může fungovat jako externí časový zdroj, například čase.windows.com nebo server NTP svého poskytovatele internetu. Je také třeba poznamenat, že standardním zákazníkům v doméně synchronizovat čas pomocí služby Windows Time Service (Windows Čas) a nepoužíváte protokol NTP.
Ujistěte se, že virtuální prostředí lze stáhnout a spustit správně, když byly všechny virtuální počítače zakázány. Další materiály a zdroje pro získání pro více informací. Osobně mám velmi dobré zkušenosti s použitím virtuálních řadičů domény, a to jak pro výkon, tak jeho schopnost mít velmi vysokou dostupnost.
Jedním z celkových důvodů pro ruční synchronizaci času počítače je krok odstraňování problémů. Zpravidla se neúspěšná doba synchronizace je výsledkem neschopnosti počítače kontaktovat doménu. Regulátor a tento problém musíte eliminovat přímo. Chcete-li ručně synchronizovat čas, otevřete okno příkazového řádku a spustit.
Pokud jste se setkali se situací, kdy se čas na zákazníka a řadiči domény liší, možná ve vaší doméně existují problémy s synchronizací času a tento článek bude pro vás užitečný.
Nejprve vyberte vhodný NTP server, který byste mohli použít. Seznam veřejných NTP serverů je k dispozici na stránkách http://ntp.org. V našem příkladu budeme používat servery NTP z Pula ru.pool.nttp.org:
Nastavení zásady synchronizace NTP na řadiči domény PDC
Zprávy. Přesvědčivý fakt je, že v doméně nejsou žádné technické problémy, protože časový rozdíl mezi systémy je poměrně nízký. Nicméně "absolutní čas" je jednoduše nesprávný. Aby byl řadič domény považován za spolehlivý zdroj času, mělo by být výslovně indikováno. Není třeba synchronizovat čas s externí časovou službu. Pokud je vestavěné serverové hodiny poměrně spolehlivé, protože jsou instalovány a nainstalovány rádiové frekvence, lze tuto dobu instalovat, může být také vysvětlen jako "spolehlivý".
- 0.U.pool.nttp.org.
- 1.Ru.pool.nttp.org.
- 2.Ru.pool.ntp.org.
- 3.RU.pool.nttp.org.
Nastavení synchronizace času v doméně pomocí zásad skupiny se skládá ze dvou kroků:
1) Vytvoření GPO pro řadič domény s PDC rolí
2) Vytvoření GPO pro zákazníky (volitelné)
Nastavení zásady synchronizace NTP na řadiči domény PDC
Tento krok zahrnuje nastavení řadiče domény s rolí emulátoru PDC pro synchronizaci času s externím serverem NTP. Protože Teoreticky, role emulátoru PDC se může pohybovat mezi řadiči domény, musíme provést politiku, která by byla aplikována pouze na aktuální vlastník role PDC. Chcete-li to udělat v konzole pro správu Konzola správy zásad skupiny (GPMC.MSC), vytvořit nový. K tomu v sekci WMI filtry. Vytvořte filtr a jméno Emulátor PDC a požadavek WMI: Vyberte * od Win32_Computersystem, kde domainRole \u003d 5
Grafická podpora pro konfiguraci chybí, takže existují dva dokumentární možnosti. Pro nucenou synchronizaci můžete zadat následující příkaz. Samozřejmě není nutné ručně spustit synchronizaci ručně, ale servisní služba to dělá s pevným intervalem. Na obr. 187 je možné vidět, že dočasný průzkum se skutečně koná pravidelně. Interval průzkumu se však poněkud změní.
Obrázek 187 Doba tohoto řadiče domény je periodicky synchronizována. Obrázek 188. Časový stav na klientovi. Volání z "net-time" by měl zobrazit čas serveru. V malém prostředí s doménou a jedním nebo dvěma řadiči domény se nemusíte obávat struktury dočasné synchronizace. Ve složitějším médiu se však jedná o poměrně vzrušující téma. Obrázek 189 ukazuje sekvenci v společná struktura Se dvěma doménami.
Vytvořte nový GPO a přiřaďte jej k kontejneru řadičů domény.
Přepněte do režimu editace zásad a nasazte následující zásady: Konfigurace počítače-\u003e Administrativní šablony-\u003e System-\u003e Windows Time Service-\u003e Poskytovatelé času
Máme zájem o tři politici:
- Konfigurace klienta Windows NTP: Povoleno (nastavení zásad je popsána níže)
- Povolit klientovi systému Windows NTP: Povoleno.
- Povolit server Windows NTP serveru: Povoleno.
V nastavení zásad Konfigurace klienta Windows NTP Určete následující parametry:
Oznámení serveru NTP jako spolehlivý
Obrázek 189 Stav nastavení času ve větším prostředí. Volba, se kterou je čas řadiče domény nakonec synchronizována, mimochodem není náhodná. Systém provádí některé požadavky a vytvoří seznam hodnocení, ve kterém je hodnota přiřazena možným dočasným synchronizačním partnerům v souladu s tabulkou 4.
Výchozí synchronizace
Vždy se těšíme na vaše přátelské a kritické zpětná vazba. Pravidelný členové, ať už klienti nebo servery synchronizovat svůj čas s jedním z řadičů domény. Mohou být také spuštěny přímo z pracovní plochy. V dalším manuálu vám ukážeme, jak to funguje. Mnoho pověstí je oficiálně potvrzeno. První rozložení jsou již k dispozici pro prohlížení na internetu.
- Ntserver.: 0.RU.POOL.NTP.org.0x1, 1.Ru.pool.nttp.org.0x1, 2.Ru.pool.nttp.org.0x1, 3.ru.pool.nttp.org.0x1
- Typ: Ntp.
- Crossitesyncflags.: 2
- Resolvepeerbackoffminuts.: 15
- Vyřešit peer backoffmaxtimes.: 7
- SpecilalPoolInterval.: 3600
- EventLogflags.: 0
Rada. Nezapomeňte nakonfigurovat bránu firewall tak, aby server PDC mohl přistupovat k externím serverům NTP protokol NTP (UDP port 123).
Synchronizace virtualizace a času
Již vidíte velmi specifickou recenzi. uživatelské rozhraní a rozsah funkcí. Počítačová virtualizace klíšťata trochu různých hodin. Toto prohlášení lze přijmout doslova a ukazuje základní problém. Virtualizační počítače, musíte se ujistit, že tyto virtuální počítače nebo hosté pravidelně kontrolují svůj systémový čas a v případě potřeby upravit. Pokud systémový čas virtuálního počítače neodpovídá zbytku sítě, mohou nastat komunikační problémy.
Použijte dříve vytvořený filtr Emulátor PDC k této politice.
Rada. Najít název serveru s rolí PDC můžete použít příkaz: netdom dotaz fsmo
Zůstává aktualizovat politiky na řadiči PDC:
GPUPDATE / FORCE
Ručně spustit synchronizaci času:
W32tm / resync.
Zkontrolujte aktuální nastavení NTP.:
W32TM / dotaz / stav
Rada. V případě, že čas není synchronizován, restartujte službu Čas Windows a obnovte aktuální nastavení:
NET STOP W32TIME.
W32tm.exe / Neregister
W32tm.exe / Registrace
NET STOP W32TIM.
Konfigurace synchronizace času na klienty domény
Ve službě Active Directory, výchozí klienti domény synchronizují svůj čas s řadiči domény (možnost NT5DS. - Synchronizace času podle hierarchie domény). Toto schéma funguje zpravidla a nevyžaduje rekonfiguraci. Pokud však existují problémy s synchronizací času na klienty domény, můžete zkusit násilně přiřazovat časový server pro zákazníky pomocí GPO.
Chcete-li to provést, vytvořte nový GPO a přiřaďte jej na kontejnery (OU) s počítači. V editoru GPO přejděte do sekce Konfigurace počítače -\u003e Správní šablony -\u003e Systém -\u003e Windows Time Service -\u003e Poskytovatelé času a povolit politiky Konfigurace klienta Windows NTP.
Jako server NTP určete název nebo IP adresu PDC, jako je MSK-DC1.Sype, 0x9 a jako typ synchronizace - NT5DS
Aktualizujte nastavení zásad skupiny klientům a ověřte, zda zákazníci úspěšně synchronizovali svůj čas s PDC.
Rada. Toto schéma je použitelné pouze na malé domény. Pro velké distribuované domény s velké množství DC a stránky budou muset vytvořit samostatné zásady pro každý web, aby zákazníci synchronizovali svůj čas s DC na webu.
