Udostępnij przez

Konfigurowanie mechanizmu czasu dla maszyn wirtualnych z systemem Windows w usłudze Active Directory na platformie Azure

Dotyczy: ✔️ Maszyny wirtualne z systemem Windows

Skorzystaj z tego przewodnika, aby dowiedzieć się, jak skonfigurować synchronizację czasu dla maszyn wirtualnych platformy Azure z systemem Windows należących do domena usługi Active Directory.

Hierarchia synchronizacji czasu w usługach domeny Active Directory

Synchronizacja czasu w usłudze Active Directory powinna być zarządzana tylko przez zezwolenie kontrolera PDC na dostęp do zewnętrznego źródła czasu lub serwera NTP.

Wszystkie inne kontrolery domeny będą następnie synchronizować czas z kontrolerem PDC, a wszyscy inni członkowie otrzymają swój czas od kontrolera domeny, który spełnia żądanie uwierzytelniania tego członka.

Jeśli masz domenę usługi Active Directory uruchomioną na maszynach wirtualnych hostowanych na platformie Azure, wykonaj następujące kroki, aby prawidłowo skonfigurować synchronizację czasu.

Uwaga

Ten przewodnik koncentruje się na używaniu konsoli zarządzania zasadami grupy do wykonania konfiguracji. Te same wyniki można osiągnąć przy użyciu wiersza polecenia, programu PowerShell lub ręcznie modyfikując rejestr; jednak te metody nie znajdują się w zakresie w tym artykule.

Grupowy obiekt zasad umożliwiający synchronizację kontrolera PDC z zewnętrznym źródłem NTP

Aby sprawdzić bieżące źródło czasu w kontrolerze PDC, w wierszu polecenia z podwyższonym poziomem uprawnień uruchom polecenie w32tm /query /source i zanotuj dane wyjściowe do późniejszego porównania.

  1. Z Start uruchom gpmc.msc.
  2. Przejdź do lasu i domeny, w której chcesz utworzyć obiekt zasad grupy (GPO).
  3. Utwórz nowy obiekt zasad grupy, na przykład PDC Time Sync, w kontenerze Group Policy Objects.
  4. Kliknij prawym przyciskiem myszy na nowo utworzonym obiekcie GPO i wybierz opcję Edytuj.
  5. Przejdź do zasad Globalnych ustawień konfiguracji w obszarze Konfiguracja komputera ->Szablony administracyjne ->System ->Usługa czasowa systemu Windows.
  6. Ustaw dla niego wartość Włączone i skonfiguruj parametr AnnounceFlags na wartość 5.
  7. Przejdź do pozycji Konfiguracja komputera ->Szablony administracyjne ->System ->Usługa czasowa systemu Windows ->Dostawcy czasu.
  8. Kliknij dwukrotnie zasady Konfiguruj klienta systemu Windows NTP i ustaw je na Włączone, skonfiguruj parametr NTPServer , aby wskazać adres IP lub nazwę FQDN serwera czasowego, a następnie ,0x9 na przykład: 131.107.13.100,0x9 i skonfigurować typ na NTP. Dla wszystkich pozostałych parametrów można użyć wartości domyślnych lub użyć niestandardowych zgodnie z potrzebami firmy.
  9. Kliknij przycisk Następne ustawienie, ustaw opcję Włącz klienta NTP systemu Windows na Włączone, a następnie kliknij OK
  10. Na karcie Zakres nowo utworzonego GPO przejdź do Filtrowania Zabezpieczeń i wyróżnij grupę Uwierzytelnieni użytkownicy —> kliknij przycisk Usuń ->OK ->OK
  11. Utwórz filtr WMI, aby dynamicznie uzyskać kontroler domeny, który pełni rolę PDC.
    • W konsoli zarządzania zasadami grupy przejdź do filtrów WMI, kliknij go prawym przyciskiem myszy i wybierz pozycję Nowy.
    • W oknie Nowy filtr WMI nadaj nazwę nowemu filtrowi, na przykład Pobierz emulator kontrolera PDC —> wypełnij pole Opis (opcjonalnie) —> kliknij przycisk Dodaj .
    • W oknie Zapytanie usługi WMI pozostaw Przestrzeń nazw tak jak jest, w polu tekstowym Zapytanie wklej następujący ciąg Select * from Win32_ComputerSystem where DomainRole = 5, a następnie kliknij przycisk OK.
    • W oknie Nowy filtr WMI kliknij przycisk Zapisz .
  12. Na karcie Zakres nowo utworzonego obiektu zasad grupy przejdź do menu rozwijanego Filtrowanie WMI i wybierz wcześniej utworzony filtr WMI, a następnie kliknij przycisk OK.
  13. Na karcie Zakres nowo utworzonego obiektu zasad grupy przejdź do filtrowania zabezpieczeń, kliknij przycisk Dodaj i przeszukaj grupę Kontrolery domeny, a następnie kliknij przycisk OK.
  14. Połącz GPO z jednostką organizacyjną Domain Controllers (kontrolery domeny).

Uwaga

Może upłynąć do 15 minut, aż te zmiany zostaną odzwierciedlone przez system.

W wierszu polecenia z podwyższonym poziomem uprawnień uruchom ponownie polecenie w32tm /query /source i porównaj dane wyjściowe z danymi wyjściowymi zanotowanym na początku konfiguracji. Teraz zostanie ona ustawiona na wybrany serwer NTP.

Napiwek

Jeśli chcesz przyspieszyć proces zmiany źródła NTP na kontrolerze PDC, z wiersza polecenia z podwyższonym poziomem uprawnień uruchom gpupdate /force, następnie w32tm /resync /nowait, a potem ponownie w32tm /query /source; dane wyjściowe powinny wskazywać serwer NTP używany w powyższym obiekcie zasad grupy.

Uwaga

Jeśli po wprowadzeniu zmian nadal nie uzyskasz danych wyjściowych do wybranego serwera NTP, możesz być zmuszony ustawić wartość 0 w kluczu Włączone w obszarze HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider na kontrolerach PDC i kontrolerach DC.

GPO dla członków

Zazwyczaj NTP w usługach domenowych Active Directory będzie się kierować zgodnie z hierarchią czasu AD DS wymienioną na początku tego artykułu, i nie jest wymagana żadna dalsza konfiguracja.

Niemniej jednak maszyny wirtualne hostowane na platformie Azure mają określone ustawienia zabezpieczeń stosowane bezpośrednio przez platformę Cloud.

W przypadku wszystkich innych członków domeny, które nie są kontrolerami domeny, należy zmodyfikować rejestr i ustawić wartość 0 w kluczu Włączone w obszarze HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider

Ważne

Pamiętaj, że w przypadku nieprawidłowej modyfikacji rejestru mogą wystąpić poważne problemy. W związku z tym należy dokładnie wykonać te kroki i przetestować je na kilku testowych maszynach wirtualnych, aby upewnić się, że uzyskasz oczekiwany wynik. Aby zapewnić dodatkową ochronę, utwórz kopię zapasową rejestru przed przystąpieniem do jego modyfikacji. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać kopię zapasową i przywrócić rejestr systemu Windows, wykonaj poniższe kroki.

Tworzenie kopii zapasowej rejestru

  1. Z menu Start wpisz regedit.exe, a następnie naciśnij Enter. Jeżeli zostanie wyświetlony monit o potwierdzenie lub podanie hasła administratora, wpisz hasło lub potwierdź operację.
  2. W oknie Edytor rejestru znajdź i kliknij klucz rejestru lub podklucz, którego kopię zapasową chcesz utworzyć.
  3. W menu Plik wybierz pozycję Eksportuj.
  4. W oknie dialogowym Eksportowanie pliku rejestru wybierz lokalizację, do której chcesz zapisać kopię zapasową, wpisz nazwę pliku kopii zapasowej w polu Nazwa pliku, a następnie kliknij przycisk Zapisz.

Przywracanie kopii zapasowej rejestru

  1. Z menu Start wpisz regedit.exe, a następnie naciśnij Enter. Jeżeli zostanie wyświetlony monit o potwierdzenie lub podanie hasła administratora, wpisz hasło lub potwierdź operację.
  2. W oknie Edytor rejestru z menu Plik wybierz pozycję Importuj.
  3. W oknie dialogowym Importowanie pliku rejestru wybierz lokalizację, do której zapisano kopię zapasową, wybierz plik kopii zapasowej, a następnie kliknij przycisk Otwórz.

Zasady grupy do wyłączenia VMICTimeProvider

Skonfiguruj następujący obiekt zasad grupy, aby umożliwić członkom domeny synchronizowanie czasu z kontrolerami domeny w odpowiedniej lokacji usługi Active Directory:

Aby sprawdzić bieżące źródło czasu, zaloguj się do dowolnego komputera należącego do domeny i z wiersza polecenia z podwyższonym poziomem uprawnień uruchom w32tm /query /source i zanotuj wynik do późniejszego porównania.

  1. W kontrolerze domeny przejdź do Start i uruchom gpmc.msc.
  2. Przejdź do lasu i domeny, w której chcesz utworzyć obiekt zasad grupy (GPO).
  3. Utwórz nowy obiekt zasad grupy, na przykład Synchronizacja czasu klientów, w obiektach zasad grupy.
  4. Kliknij prawym przyciskiem myszy na nowo utworzonym obiekcie GPO i wybierz opcję Edytuj.
  5. Przejdź do pozycji Konfiguracja komputera ->Preferencje ->Ustawienia systemu Windows —> kliknij prawym przyciskiem myszy pozycję Rejestr -> ->Element rejestru
  6. W oknie Nowe właściwości rejestru ustaw następujące wartości:
    • Akcja :Aktualizacja
    • W gałęzi rejestru Hive:HKEY_LOCAL_MACHINE
    • Na ścieżce rejestru: przejdź do SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider
    • W Nazwa wartości wpisz Włączone
    • Na Rodzaj wartości: REG_DWORD
    • W polu Dane wartości: wpisz 0
  7. Dla wszystkich pozostałych parametrów użyj wartości domyślnych, a następnie kliknij przycisk OK
  8. Połącz obiekt zasad grupy z jednostką organizacyjną, w której znajdują się twoi członkowie.
  9. Zaczekaj lub ręcznie wymuś aktualizację zasad grupy na elemencie członkowskim domeny.

Wróć do członka domeny i z wiersza polecenia z podwyższonym poziomem uprawnień wykonaj ponownie polecenie w32tm /query /source i porównaj wynik z tym zanotowanym na początku konfiguracji. Teraz zostanie ono ustawione na kontroler domeny, który spełnia żądanie uwierzytelniania członka.

Następne kroki

Poniżej znajdują się linki do dodatkowych szczegółów dotyczących synchronizacji czasu:

  • Last updated on