共用方式為

在 Azure 中設定 Active Directory Windows 虛擬機器的時間機制

  • 發行項

適用於: ✔️ Windows 虛擬機器

使用本指南了解如何為屬於 Active Directory 網域的 Azure Windows 虛擬機器,設定時間同步化。

Active Directory 網域服務中的時間同步階層

要管理 Active Directory 中的時間同步化時,應該只讓 PDC 存取外部的時間來源或 NTP 伺服器。

接著,所有其他網域控制站會同步處理 PDC 的時間,而所有其他成員會從滿足該成員驗證要求的網域控制站取得其時間。

如果您在裝載於 Azure 的虛擬機器上執行 Active Directory 網域,請遵循下列步驟以正確設定時間同步化。

注意

本指南著重於使用群組原則管理主控台來執行設定。 您不妨使用命令提示字元、PowerShell 或手動修改登錄來達到相同的結果,不過這些方法不在本文的範圍內。

讓 PDC 與外部 NTP 來源同步的 GPO

若要檢查 PDC 中目前的時間來源,請在提升權限的命令提示字元中執行 w32tm /query /source,並記下輸出以供稍後比較。

  1. 從 [開始] 執行 gpmc.msc
  2. 流覽至您要在其中建立 GPO 的樹系和網域。
  3. 在容器「群組原則物件」中建立新的 GPO,例如「PDC 時間同步」
  4. 以滑鼠右鍵按一下新建立的 GPO 並 [編輯]。
  5. 瀏覽到 [電腦設定] ->[系統管理範本] ->[系統] ->[Windows 時間服務] 底下的 [全域組態設定]
  6. 將其設為 [已啟用],並將 AnnounceFlags 參數設 5
  7. 瀏覽到 [電腦設定] ->[系統管理範本] ->[系統] ->[Windows 時間服務] ->[時間提供者]
  8. 按兩下 [設定 Windows NTP 用戶端] 原則,並將其設為 [已啟用],設定 NTPServer 參數以指向時間伺服器的 IP 位址或 FQDN,後面接著 ,0x9 (例如:131.107.13.100,0x9),並將 [類型] 設定為 [NTP]。 針對所有其他參數,您可以使用預設值,或根據貴公司需求使用自訂參數。
  9. 按下 [下個設定] 按鈕,將 [啟用 Windows NTP 用戶端] 原則設定為 [已啟用],然後按一下 [確定]
  10. 在新建立之 GPO 的 [範圍] 索引標籤中,瀏覽至 [安全性篩選],並醒目提示 [已驗證的使用者] 群組 -> 按一下 [移除] 按鈕 -> [確定] -> [確定]
  11. 建立 WMI 篩選條件,以動態取得擔任 PDC 角色的網域控制站:
    • 在 [群組原則管理] 主控台,瀏覽至 [WMI 篩選條件],以滑鼠右鍵按一下,然後選取 [新增]
    • 在 [新增 WMI 篩選條件] 視窗中,為新的篩選條件指定名稱,例如 Get PDC Emulator -> 填寫 [描述] 欄位 (選擇性) -> 按一下 [新增] 按鈕。
    • 在 [WMI 查詢] 視窗中,維持 [命名空間] 的現狀,然後在 [查詢] 文字方塊裡貼上下列字串 Select * from Win32_ComputerSystem where DomainRole = 5,然後按一下 [確定] 按鈕。
    • 回到 [新增 WMI 篩選條件] 視窗,按一下 [儲存] 按鈕。
  12. 在新建立之 GPO 的 [範圍] 索引標籤中,瀏覽至 [WMI 篩選條件] 下拉式功能表,選取先前建立的 WMI 篩選條件,然後按一下 [ 確定]
  13. 在新建立之 GPO 的 [範圍] 索引標籤中,瀏覽至 [安全性篩選],按一下 [新增] 按鈕並瀏覽找到 [網域控制站] 群組,然後按一下 [確定] 按鈕。
  14. 將 GPO 連結至 [網域控制站] 組織單位。

注意

系統最多可能需要 15 分鐘的時間才會反映這些變更。

在提升權限的命令提示字元中,重新執行 w32tm /query /source,並將輸出與您在設定開頭所記錄的輸出進行比較。 現在,它會設定為您選擇的 NTP 伺服器。

提示

如果您想要加快變更 PDC 上 NTP 來源的過程,請從提升權限的命令提示字元執行 gpupdate /force,後面接著 w32tm /resync /nowait,然後重新執行 w32tm /query /source;輸出應該是您在上述 GPO 中使用的 NTP 伺服器。

成員的 GPO

通常,Active Directory Domain Services 中的 NTP 會遵循本文開頭所述的 AD DS 時間階層,而且不需要進一步的設定。

不過,雲端平台會直接對 Azure 託管的虛擬機器套用特定的安全性設定。

對於非網域控制站的所有其他網域成員,您必須修改登錄,並將 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider] 底下,機碼 [Enabled] 中的值設定為 [0]

重要

請記住,若未正確修改登錄,可能會發生嚴重的問題。 因此,請務必仔細遵循這些步驟,並在幾台測試虛擬機器上進行測試,以確保您獲得預期的結果。 為增加保護起見,請先備份登錄,再進行修改。 然後,如果發生問題,您就可以還原登錄。 若要了解如何備份和還原 Windows 登錄,請遵循下列步驟。

備份登錄

  1. 從 [開始],輸入 regedit.exe,然後按下 Enter。 如果出現要求您輸入系統管理員密碼或確認的提示,請輸入密碼或提供確認。
  2. 在 [登錄編輯程式] 視窗中,找出並按一下您要備份的登錄機碼或子機碼。
  3. 從 [檔案] 功能表中,選取 [匯出]
  4. 在 [匯出登錄檔案] 對話方塊中,選取要儲存備份複本的位置,然後在 [檔案名稱] 欄位中輸入備份檔的名稱,接著按一下 [儲存]

還原登錄備份

  1. 從 [開始],輸入 regedit.exe,然後按下 Enter。 如果出現要求您輸入系統管理員密碼或確認的提示,請輸入密碼或提供確認。
  2. 在 [登錄編輯程式] 視窗中,從 [檔案] 功能選取 [匯入]
  3. 在 [匯入登錄檔案] 對話方塊中,選取儲存備份複本的位置、選取備份檔,然後按一下 [開啟]

停用 VMICTimeProvider 的 GPO

設定下列群組原則物件,讓網域成員能夠同步處理其對應 Active Directory 站台中的網域控制站時間:

若要檢查目前的時間來源,請登入任何網域成員,然後從提升權限的命令提示字元中執行 w32tm /query /source,並記下輸出以供稍後比較。

  1. 移至網域控制站中的 [開始],執行 gpmc.msc
  2. 流覽至您要在其中建立 GPO 的樹系和網域。
  3. 在容器「群組原則物件」中建立新的 GPO,例如「用戶端時間同步」
  4. 以滑鼠右鍵按一下新建立的 GPO 並 [編輯]。
  5. 瀏覽至 [電腦設定] -> [喜好設定] -> [Windows 設定] -> 以滑鼠右鍵按一下 [登錄] -> [新增] -> [登錄項目]
  6. 在 [新增登錄屬性] 視窗中,設定下列值:
    • [動作:] [更新]
    • [登錄區:] [HKEY_LOCAL_MACHINE]
    • [機碼路徑]:瀏覽至 SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider
    • [數值名稱]:輸入 Enabled
    • [數值類型]REG_DWORD
    • [數值資料]:輸入 0
  7. 對於所有其他參數,請使用預設值,然後按一下 [確定]
  8. 將 GPO 連結到成員所在的組織單位。
  9. 等候或手動強制對網域成員進行群組原則更新

回到網域成員並在提升權限的命令提示字元中,重新執行 w32tm /query /source,並將輸出與您在設定開頭所記錄的輸出進行比較。 現在,這會設定為符合成員驗證要求的網域控制站。

下一步

以下是時間同步的更多詳細資訊: