Konfigurowanie mechanizmu czasu dla maszyn wirtualnych z systemem Windows w usłudze Active Directory na platformie Azure
Dotyczy: ✔️ Maszyny wirtualne z systemem Windows
Skorzystaj z tego przewodnika, aby dowiedzieć się, jak skonfigurować synchronizację czasu dla maszyn wirtualnych platformy Azure z systemem Windows należących do domena usługi Active Directory.
Hierarchia synchronizacji czasu w usługach domena usługi Active Directory
Synchronizacja czasu w usłudze Active Directory powinna być zarządzana tylko przez zezwolenie kontrolera PDC na dostęp do zewnętrznego źródła czasu lub serwera NTP.
Wszystkie inne kontrolery domeny będą następnie synchronizować czas z kontrolerem PDC, a wszyscy inni członkowie otrzymają swój czas od kontrolera domeny, który spełnia żądanie uwierzytelniania tego członka.
Jeśli masz domenę usługi Active Directory uruchomioną na maszynach wirtualnych hostowanych na platformie Azure, wykonaj następujące kroki, aby prawidłowo skonfigurować synchronizację czasu.
Uwaga
Ten przewodnik koncentruje się na używaniu konsoli zarządzania zasadami grupy do wykonania konfiguracji. Te same wyniki można osiągnąć przy użyciu wiersza polecenia, programu PowerShell lub ręcznie modyfikując rejestr; jednak te metody nie znajdują się w zakresie w tym artykule.
Obiekt zasad grupy umożliwiający synchronizację kontrolera PDC z zewnętrznym źródłem NTP
Aby sprawdzić bieżące źródło czasu w kontrolerze PDC, w wierszu polecenia z podwyższonym poziomem uprawnień uruchom polecenie w32tm /query /source i zanotuj dane wyjściowe do późniejszego porównania.
- Z menu Uruchom polecenie gpmc.msc.
- Przejdź do lasu i domeny, w której chcesz utworzyć obiekt zasad grupy.
- Utwórz nowy obiekt zasad grupy, na przykład synchronizację czasu podstawowego kontrolera domeny, w obiektach zasad grupy kontenera.
- Kliknij prawym przyciskiem myszy nowo utworzony obiekt zasad grupy i edytuj.
- Przejdź do zasad Globalnych ustawień konfiguracji w obszarze Konfiguracja komputera ->Szablony administracyjne ->System ->Usługa czasowa systemu Windows.
- Ustaw dla niego wartość Włączone i skonfiguruj parametr AnnounceFlags na wartość 5.
- Przejdź do pozycji Konfiguracja komputera ->Szablony administracyjne ->System ->Usługa czasowa systemu Windows ->Dostawcy czasu.
- Kliknij dwukrotnie zasady Konfiguruj klienta systemu Windows NTP i ustaw je na Włączone, skonfiguruj parametr NTPServer, aby wskazać adres IP lub nazwę FQDN serwera czasowego, a następnie
,0x9
na przykład:131.107.13.100,0x9
i skonfigurować typ na NTP. Dla wszystkich pozostałych parametrów można użyć wartości domyślnych lub użyć niestandardowych zgodnie z potrzebami firmy. - Kliknij przycisk Dalej ustawienie, ustaw opcję Włącz zasady klienta systemu Windows NTP na Włączone, a następnie kliknij przycisk OK
- Na karcie Zakres nowo utworzonego obiektu zasad grupy przejdź do filtrowania zabezpieczeń i wyróżnij grupę Uwierzytelnieni użytkownicy —> kliknij przycisk Usuń ->OK -OK>
- Utwórz filtr WMI, aby dynamicznie uzyskać kontroler domeny, który zawiera rolę kontrolera PDC:
- W konsoli zarządzania zasadami grupy przejdź do filtrów WMI, kliknij go prawym przyciskiem myszy i wybierz pozycję Nowy.
- W oknie Nowy filtr WMI nadaj nazwę nowemu filtrowi, na przykład Pobierz emulator kontrolera PDC —> wypełnij pole Opis (opcjonalnie) —> kliknij przycisk Dodaj.
- W oknie Zapytanie usługi WMI pozostaw przestrzeń nazw, tak jak to jest, w polu tekstowym Zapytanie wklej następujący ciąg
Select * from Win32_ComputerSystem where DomainRole = 5
, a następnie kliknij przycisk OK. - W oknie Nowy filtr WMI kliknij przycisk Zapisz.
- Na karcie Zakres nowo utworzonego obiektu zasad grupy przejdź do menu rozwijanego Filtrowanie WMI i wybierz wcześniej utworzony filtr WMI, a następnie kliknij przycisk OK.
- Na karcie Zakres nowo utworzonego obiektu zasad grupy przejdź do filtrowania zabezpieczeń kliknij przycisk Dodaj i przejdź do grupy Kontrolery domeny, a następnie kliknij przycisk OK.
- Połącz obiekt zasad grupy z jednostką organizacyjną kontrolerów domeny.
Uwaga
Może upłynąć do 15 minut, aż te zmiany zostaną odzwierciedlone przez system.
W wierszu polecenia z podwyższonym poziomem uprawnień uruchom ponownie polecenie w32tm /query /source i porównaj dane wyjściowe z danymi wyjściowymi zanotowanym na początku konfiguracji. Teraz zostanie ona ustawiona na wybrany serwer NTP.
Napiwek
Jeśli chcesz przyspieszyć proces zmiany źródła NTP na kontrolerze PDC, z wiersza polecenia z podwyższonym poziomem uprawnień uruchom gpupdate /force, a następnie w32tm /resync /nowait, a następnie uruchom ponownie w32tm /query /source; dane wyjściowe powinny być serwerEM NTP używanym w powyższym obiekcie zasad grupy.
Obiekt zasad grupy dla członków
Zazwyczaj protokół NTP w usługach domena usługi Active Directory będzie postępować zgodnie z hierarchią czasu usług AD DS wymienioną na początku tego artykułu i nie jest wymagana żadna dalsza konfiguracja.
Niemniej jednak maszyny wirtualne hostowane na platformie Azure mają określone ustawienia zabezpieczeń stosowane bezpośrednio przez platformę Cloud.
W przypadku wszystkich innych członków domeny, które nie są kontrolerami domeny, należy zmodyfikować rejestr i ustawić wartość 0 w kluczu Włączony w obszarze HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProviders
Ważne
Pamiętaj, że w przypadku nieprawidłowej modyfikacji rejestru mogą wystąpić poważne problemy. W związku z tym należy dokładnie wykonać te kroki i przetestować je na kilku testowych maszynach wirtualnych, aby upewnić się, że uzyskasz oczekiwany wynik. Aby zapewnić dodatkową ochronę, utwórz kopię zapasową rejestru przed przystąpieniem do jego modyfikacji. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać kopię zapasową i przywrócić rejestr systemu Windows, wykonaj poniższe kroki.
Tworzenie kopii zapasowej rejestru
- W menu Start wpisz regedit.exe, a następnie naciśnij
Enter
. Jeżeli zostanie wyświetlony monit o potwierdzenie lub podanie hasła administratora, wpisz hasło lub potwierdź operację. - W oknie Edytor rejestru znajdź i kliknij klucz rejestru lub podklucz, którego kopię zapasową chcesz utworzyć.
- W menu Plik wybierz pozycję Eksportuj.
- W oknie dialogowym Eksportowanie pliku rejestru wybierz lokalizację, do której chcesz zapisać kopię zapasową, wpisz nazwę pliku kopii zapasowej w polu Nazwa pliku, a następnie kliknij przycisk Zapisz.
Przywracanie kopii zapasowej rejestru
- W menu Start wpisz regedit.exe, a następnie naciśnij
Enter
. Jeżeli zostanie wyświetlony monit o potwierdzenie lub podanie hasła administratora, wpisz hasło lub potwierdź operację. - W oknie Edytor rejestru z menu Plik wybierz pozycję Importuj.
- W oknie dialogowym Importowanie pliku rejestru wybierz lokalizację, do której zapisano kopię zapasową, wybierz plik kopii zapasowej, a następnie kliknij przycisk Otwórz.
Obiekt zasad grupy, aby wyłączyć obiekt VMICTimeProvider
Skonfiguruj następujący obiekt zasad grupy, aby umożliwić członkom domeny synchronizowanie czasu z kontrolerami domeny w odpowiedniej lokacji usługi Active Directory:
Aby sprawdzić bieżące źródło czasu, zaloguj się do dowolnego elementu członkowskiego domeny i z wiersza polecenia z podwyższonym poziomem uprawnień uruchom polecenie w32tm /query /source i zanotuj dane wyjściowe do późniejszego porównania.
- W kontrolerze domeny przejdź do pozycji Uruchom uruchom polecenie gpmc.msc.
- Przejdź do lasu i domeny, w której chcesz utworzyć obiekt zasad grupy.
- Utwórz nowy obiekt zasad grupy, na przykład Synchronizacja czasu klientów, w obiektach zasad grupy kontenera.
- Kliknij prawym przyciskiem myszy nowo utworzony obiekt zasad grupy i edytuj.
- Przejdź do pozycji Konfiguracja komputera ->Preferencje ->Ustawienia systemu Windows —> kliknij prawym przyciskiem myszy pozycję Rejestr -Nowy ->>Element rejestru
- W oknie Nowe właściwości rejestru ustaw następujące wartości:
- Akcja : aktualizacja
- W programie Hive: HKEY_LOCAL_MACHINE
- Na ścieżce klucza: przejdź do folderu SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider
- W polu Nazwa wartości, w polu Włączone
- Na typ wartości: REG_DWORD
- W polu Dane wartości: wpisz 0
- Dla wszystkich pozostałych parametrów użyj wartości domyślnych, a następnie kliknij przycisk OK
- Połącz obiekt zasad grupy z jednostką organizacyjną, w której znajdują się twoi członkowie.
- Zaczekaj lub ręcznie wymuś aktualizację zasad grupy na elemencie członkowskim domeny.
Wróć do elementu członkowskiego domeny i z wiersza polecenia z podwyższonym poziomem uprawnień ponownie uruchom polecenie w32tm /query /source i porównaj dane wyjściowe z danymi wyjściowymi zanotowanym na początku konfiguracji. Teraz zostanie ono ustawione na kontroler domeny, który spełnia żądanie uwierzytelniania członka.
Następne kroki
Poniżej znajdują się linki do dodatkowych szczegółów dotyczących synchronizacji czasu: