Konfigurieren des Zeitmechanismus für virtuelle Active Directory Windows-Computer in Azure

  • Artikel

Anwendungsbereich: ✔️ Windows Virtual Machines

In diesem Leitfaden erfahren Sie, wie Sie Zeitsynchronisierung für Ihre Azure Windows Virtual Machines-Instanz einrichten, die zu einer Active Directory-Domäne gehört.

Zeitsynchronisierungshierarchie in Active Directory Domain Services

Die Zeitsynchronisierung in Active Directory sollte so verwaltet werden, dass nur der PDC auf eine externe Zeitquelle oder einen NTP-Server zugreifen kann.

Alle anderen Domänencontroller würden dann die Zeit mit dem PDC synchronisieren, und alle anderen Mitglieder erhalten ihre Zeit von dem Domänencontroller, der die Authentifizierungsanforderung des jeweiligen Mitglieds erfüllt hat.

Wenn Sie über eine Active Directory-Domäne verfügen, die auf VMs in Azure gehostet wird, führen Sie die folgenden Schritte aus, um die Zeitsynchronisierung ordnungsgemäß einzurichten.

Hinweis

Dieser Leitfaden konzentriert sich auf die Verwendung der Gruppenrichtlinien-Verwaltungskonsole zum Durchführen der Konfiguration. Sie können dieselben Ergebnisse mit der Eingabeaufforderung, mit PowerShell oder durch manuelles Ändern der Registrierung erzielen. Diese Methoden sind jedoch nicht Gegenstand dieses Artikels.

GPO, damit der PDC mit einer externen NTP-Quelle synchronisiert werden kann

Um die aktuelle Zeitquelle in Ihrem PDC zu überprüfen, führen Sie aus einer Eingabeaufforderung mit erhöhten Rechten w32tm /query /source aus, und beachten Sie die Ausgabe für den späteren Vergleich.

  1. Führen Sie gpmc.msc unter Start aus.
  2. Navigieren Sie zur Gesamtstruktur und Domäne, in der Sie das Gruppenrichtlinienobjekt erstellen möchten.
  3. Erstellen Sie im Container Group Policy Objects ein neues GPO, z. B. PDC Time Sync.
  4. Klicken Sie mit der rechten Maustaste auf das neu erstellte Gruppenrichtlinienobjekt und Bearbeiten.
  5. Navigieren Sie zur Richtlinie Globale Konfigurationseinstellungen unter Computerkonfiguration -> – Administrative Vorlagen ->System ->Windows Time Service.
  6. Setzen Sie ihn auf Aktiviert und konfigurieren Sie den Parameter AnnounceFlags auf 5.
  7. Navigieren Sie zu Computerkonfiguration>Administrative Vorlagen>System>Windows Time Service>Time Providers.
  8. Doppelklicken Sie auf die Richtlinie Windows NTP-Client konfigurieren, und legen Sie sie auf Aktiviert fest, konfigurieren Sie den Parameter NTPServer so, dass er auf eine IP-Adresse oder einen FQDN eines Zeitservers zeigt, gefolgt von ,0x9, z. B. 131.107.13.100,0x9, und konfigurieren Sie Type auf NTP. Für alle anderen Parameter können Sie die Standardwerte verwenden oder benutzerdefinierte Werte entsprechend Ihren Unternehmensanforderungen verwenden.
  9. Klicken Sie auf die Schaltfläche Nächste Einstellung, legen Sie die Richtlinie Windows NTP-Client auf Aktiviert fest, und klicken Sie auf OK.
  10. Navigieren Sie auf der Registerkarte Bereich des neu erstellten Gruppenrichtlinienobjekts zu Sicherheitsfilterung, und markieren Sie die Gruppe Authentifizierte Benutzer. Klicken Sie dann auf die Schaltfläche Entfernen>OK>OK.
  11. Erstellen Sie einen WMI-Filter, um den Domänencontroller dynamisch abzurufen, dem die PDC-Rolle zugewiesen ist:
    • Navigieren Sie in der Konsole Gruppenrichtlinienverwaltung zu WMI-Filter, klicken Sie mit der rechten Maustaste darauf, und wählen Sie Neu aus.
    • Geben Sie im Fenster Neuer WMI-Filter einen Namen für den neuen Filter ein, z. B. PDC-Emulator abrufen. Füllen Sie dann das Feld Beschreibung aus (optional), und klicken Sie auf die Schaltfläche Hinzufügen.
    • Behalten Sie im Fenster WMI-Abfrage den Namespace unverändert bei, fügen Sie im Textfeld Abfrage die Zeichenfolge Select * from Win32_ComputerSystem where DomainRole = 5 ein, und klicken Sie dann auf die Schaltfläche OK.
    • Klicken Sie zurück im Fenster Neuer WMI-Filter auf die Schaltfläche Speichern.
  12. Navigieren Sie auf der Registerkarte Bereich des neu erstellten Gruppenrichtlinienobjekts zum Dropdownmenü WMI-Filterung, wählen Sie den zuvor erstellten WMI-Filter aus, und klicken Sie auf OK.
  13. Navigieren Sie auf der Registerkarte Bereich des neu erstellten Gruppenrichtlinienobjekts zum Dropdownmenü Sicherheitsfilterung. Klicken Sie auf die Schaltfläche Hinzufügen, suchen Sie nach der Gruppe Domänencontroller, und klicken Sie dann auf die Schaltfläche OK.
  14. Verknüpfen Sie das Gruppenrichtlinienobjekt mit der Organisationseinheit Domänencontroller.

Hinweis

Es kann bis zu 15 Minuten dauern, bis diese Änderungen im System angezeigt werden.

Führen Sie an einer Eingabeaufforderung mit erhöhten Rechten w32tm /query /source erneut aus und vergleichen Sie die Ausgabe mit der Ausgabe, die Sie zu Beginn der Konfiguration notiert haben. Jetzt wird es auf den von Ihnen gewählten NTP-Server eingestellt.

Tipp

Wenn Sie den Prozess der Änderung der NTP-Quelle auf Ihrem PDC beschleunigen möchten, führen Sie von einer Eingabeaufforderung mit erhöhtem Rechten gpupdate /force aus, gefolgt von w32tm /resync /nowait, und führen Sie dann w32tm /query /source erneut aus. Die Ausgabe sollte der NTP-Server sein, den Sie im GPO oben verwendet haben.

Gruppenrichtlinienobjekt für Mitglieder

In der Regel folgt NTP in Active Directory Domain Services der AD DS-Zeithierarchie, die am Anfang dieses Artikels erwähnt wird, und es ist keine weitere Konfiguration erforderlich.

Dennoch verfügen VMs, die in Azure gehostet werden, über bestimmte Sicherheitseinstellungen, die direkt von der Cloudplattform auf sie angewendet werden.

Für alle anderen Domänenmitglieder, die keine Domänencontroller sind, müssen Sie die Registrierung ändern und den Wert im Schlüssel Enabled unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider auf 0 festlegen.

Wichtig

Denken Sie daran, dass schwerwiegende Probleme auftreten können, wenn Sie die Registrierung falsch ändern. Stellen Sie daher sicher, dass Sie diese Schritte sorgfältig ausführen und diese auf einigen Test-VMs testen, um sicherzustellen, dass Sie das erwartete Ergebnis erhalten. Sichern Sie die Registrierung zum zusätzlichen Schutz, bevor Sie sie ändern. Sie können dann die Registrierung wiederherstellen, falls ein Problem auftritt. Führen Sie die folgenden Schritte aus, um die Windows-Registrierung zu sichern und wiederherzustellen.

Sichern der Registrierung

  1. Geben Sie unter Startregedit.exe ein, und drücken Sie dann die Enter. Wenn Sie aufgefordert werden, ein Administratorkennwort oder eine Bestätigung einzugeben, geben Sie das Kennwort ein, bzw. bestätigen Sie den Vorgang.
  2. Suchen Sie im Registrierungseditor den Registrierungsschlüssel oder Unterschlüssel, den Sie sichern möchten, und klicken Sie darauf.
  3. Wählen Sie im Menü Datei die Option Exportieren aus.
  4. Wählen Sie im Dialogfeld Registrierungsdatei exportieren den Speicherort aus, an dem die Sicherungskopie gespeichert werden soll, geben Sie im Feld Dateiname einen Namen für die Sicherungsdatei ein, und klicken Sie dann auf Speichern.

Wiederherstellen einer Registrierungssicherung

  1. Geben Sie unter Startregedit.exe ein, und drücken Sie dann die Enter. Wenn Sie aufgefordert werden, ein Administratorkennwort oder eine Bestätigung einzugeben, geben Sie das Kennwort ein, bzw. bestätigen Sie den Vorgang.
  2. Wählen Sie im Fenster Registrierungs-Editor im Menü Datei die Option Importieren aus.
  3. Wählen Sie im Dialogfeld Registrierungsdatei importieren den Speicherort aus, an dem Sie die Sicherungskopie gespeichert haben, wählen Sie die Sicherungsdatei aus, und klicken Sie dann auf Öffnen.

GPO zum Deaktivieren des VMICTimeProvider

Konfigurieren Sie das folgende Gruppenrichtlinienobjekt, um Domänenmitgliedern das Synchronisieren der Zeit mit Domänencontrollern an ihrem entsprechenden Active Directory-Standort zu ermöglichen:

Um die aktuelle Zeitquelle zu überprüfen, melden Sie sich bei einem Domänenmitglied an, und führen Sie an einer Eingabeaufforderung mit erhöhten Rechten w32tm /query /source aus. Beachten Sie die Ausgabe für einen späteren Vergleich.

  1. Navigieren Sie auf einem Domänencontroller zu Start, und führen Sie gpmc.msc aus.
  2. Navigieren Sie zur Gesamtstruktur und Domäne, in der Sie das Gruppenrichtlinienobjekt erstellen möchten.
  3. Erstellen Sie im Container Group Policy Objects ein neues GPO, z. B. Clients Time Sync.
  4. Klicken Sie mit der rechten Maustaste auf das neu erstellte Gruppenrichtlinienobjekt und Bearbeiten.
  5. Navigieren Sie zu Computerkonfiguration ->Einstellungen ->Windows-Einstellungen, > klicken Sie mit der rechten Maustaste auf Registrierung ->Neu ->Registrierungselement
  6. Legen Sie im Fenster Neue Registrierungseigenschaften die folgenden Werte fest:
    • Für Aktion:Aktualisieren
    • Für Struktur:HKEY_LOCAL_MACHINE
    • Für Schlüsselpfad: Navigieren Sie zu SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider.
    • Geben Sie als Wertname die Angabe Enabled (Aktiviert) ein.
    • Für Werttyp: REG_DWORD
    • Für Wertdaten: Geben Sie 0 ein.
  7. Verwenden Sie für alle anderen Parameter die Standardwerte, und klicken Sie auf OK.
  8. Verknüpfen Sie das Gruppenrichtlinienobjekt mit der Organisationseinheit, in der sich Ihre Mitglieder befinden.
  9. Warten Sie, oder erzwingen Sie manuell ein Gruppenrichtlinienupdate für das Domänenmitglied.

Navigieren Sie zurück zum Domänenmitglied, und führen Sie an einer Eingabeaufforderung mit erhöhten Rechten w32tm /query /source erneut aus. Vergleichen Sie die Ausgabe mit der Ausgabe, die Sie zu Beginn der Konfiguration notiert haben. Jetzt bezieht sie sich auf den Domänencontroller, der die Authentifizierungsanforderung des Mitglieds erfüllt hat.

Nächste Schritte

Im Folgenden finden Sie Links zu weiteren Details zur Zeitsynchronisierung: