Az Active Directory Windows rendszerű virtuális gépek időmechanizmusának konfigurálása az Azure-ban
A következőkre vonatkozik: ✔️ Windows rendszerű virtuális gépek
Ebből az útmutatóból megtudhatja, hogyan állíthat be időszinkronizálást egy Active Directory-tartomány tartozó Azure Windows rendszerű virtuális gépekhez.
Időszinkronizálási hierarchia a Active Directory tartományi szolgáltatások
Az Active Directory időszinkronizálását csak úgy lehet felügyelni, ha engedélyezi a PDC számára egy külső időforrás vagy NTP-kiszolgáló elérését.
Ezután minden más tartományvezérlő szinkronizálja az időt a PDC-vel, és minden többi tag megkapja az idejét a tartományvezérlőtől, amely teljesítette a tag hitelesítési kérését.
Ha az Azure-ban üzemeltetett virtuális gépeken fut Active Directory-tartomány, kövesse az alábbi lépéseket a Time Sync megfelelő beállításához.
Feljegyzés
Ez az útmutató a csoportházirend-kezelési konzol használatát mutatja be a konfiguráció végrehajtásához. Ugyanezeket az eredményeket a parancssor, a PowerShell vagy a beállításjegyzék manuális módosításával érheti el; ezek a módszerek azonban nem tartoznak a jelen cikkben szereplő hatókörbe.
Csoportházirend-objektum, amely lehetővé teszi, hogy a PDC szinkronizáljon egy külső NTP-forrással
Ha ellenőrizni szeretné az aktuális időforrást a PDC-ben, egy emelt szintű parancssorból futtassa a w32tm /query /source parancsot, és jegyezze fel a kimenetet a későbbi összehasonlításhoz.
- Indítsa el a gpmc.msc futtatását.
- Keresse meg azt az erdőt és tartományt, ahol létre szeretné hozni a csoportházirend-objektumot.
- Hozzon létre egy új csoportházirend-objektumot(például PDC időszinkronizálást) a tároló csoportházirend-objektumaiban.
- Kattintson a jobb gombbal az újonnan létrehozott csoportházirend-objektumra és szerkesztésre.
- Lépjen a Globális konfigurációs Gépház házirendre a Számítógép konfigurációja ->Rendszergazda istrative Templates -System ->>Windows Time Service területen.
- Állítsa be az Enabled értékre, és konfigurálja a AnnounceFlags paramétert 5 értékre.
- Lépjen a Számítógép konfigurációja ->Rendszergazda istrative Templates ->System ->Windows Time Service ->Time Providers elemre.
- Kattintson duplán a Windows NTP-ügyfélházirend konfigurálására, és állítsa be engedélyezve értékre, konfigurálja az NTPServer paramétert úgy, hogy egy időkiszolgáló IP-címére vagy teljes tartománynevére mutasson, majd
,0x9
például:131.107.13.100,0x9
és konfigurálja a Type to NTP-t. Az összes többi paraméterhez használhatja az alapértelmezett értékeket, vagy használhat egyéni értékeket a vállalati igényeknek megfelelően. - Kattintson a Következő beállítás gombra, állítsa a Windows NTP-ügyfélházirend engedélyezése engedélyezettre, majd kattintson az OK gombra
- Az újonnan létrehozott csoportházirend-objektum Hatókör lapján lépjen a Biztonsági szűrés elemre, és jelölje ki a Hitelesített felhasználók csoportot –> Kattintson az Eltávolítás gombra ->OK ->OK
- Hozzon létre egy WMI-szűrőt a PDC-szerepkört tartalmazó tartományvezérlő dinamikus lekéréséhez:
- A csoportházirend-kezelési konzolon keresse meg a WMI-szűrőket, kattintson rá a jobb gombbal, és válassza az Új lehetőséget.
- Az Új WMI-szűrő ablakban adjon nevet az új szűrőnek, például: PdC Emulator lekérése –> Töltse ki a Leírás mezőt (nem kötelező) –> Kattintson a Hozzáadás gombra.
- A WMI Lekérdezés ablakában hagyja meg a névteret, a Lekérdezés szövegmezőben illessze be a következő sztringet
Select * from Win32_ComputerSystem where DomainRole = 5
, majd kattintson az OK gombra. - Az Új WMI-szűrő ablakban kattintson a Mentés gombra.
- Az újonnan létrehozott csoportházirend-objektum Hatókör lapján keresse meg a WMI-szűrés legördülő menüt, és válassza ki a korábban létrehozott WMI-szűrőt, majd kattintson az OK gombra.
- Az újonnan létrehozott csoportházirend-objektum Hatókör lapján keresse meg a biztonsági szűrést, kattintson a Hozzáadás gombra, és keresse meg a Tartományvezérlők csoportot, majd kattintson az OK gombra.
- Kapcsolja össze a csoportházirend-objektumot a tartományvezérlők szervezeti egységével .
Feljegyzés
Akár 15 percig is eltarthat, amíg ezek a változások megjelennek a rendszerben.
Egy emelt szintű parancssorból futtassa újra a w32tm /query /source parancsot, és hasonlítsa össze a kimenetet a konfiguráció elején feljegyzett kimenettel. Most a kiválasztott NTP-kiszolgálóra lesz állítva.
Tipp.
Ha szeretné felgyorsítani az NTP-forrás pdC-n való módosításának folyamatát, egy rendszergazda jogú parancssorból futtassa a gpupdate /force parancsot, majd a w32tm /resync /nowait parancsot, majd futtassa újra a w32tm /query /source parancsot; a kimenetnek a fenti csoportházirend-objektumban használt NTP-kiszolgálónak kell lennie.
Csoportházirend-objektum tagok számára
A Active Directory tartományi szolgáltatások NTP általában a cikk elején említett AD DS-időhierarchiát követi, és nincs szükség további konfigurációra.
Az Azure-ban üzemeltetett virtuális gépekre azonban a felhőplatform közvetlenül alkalmaz speciális biztonsági beállításokat.
Az összes többi tartománytag esetében, amely nem tartományvezérlő, módosítania kell a beállításjegyzéket, és 0 értékre kell állítania az értéket a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider területen engedélyezett kulcsban.
Fontos
Ne feledje, hogy súlyos problémák léphetnek fel, ha helytelenül módosítja a beállításjegyzéket. Ezért ügyeljen arra, hogy gondosan kövesse ezeket a lépéseket, és tesztelje őket néhány teszt virtuális gépen, hogy biztosan megkapja a várt eredményt. A hozzáadott védelem érdekében a módosítás előtt biztonsági másolatot készít a beállításjegyzékről. Így probléma esetén helyreállíthatja a beállításjegyzéket. A Windows beállításjegyzék biztonsági mentésének és visszaállításának módjához kövesse az alábbi lépéseket.
A beállításjegyzék biztonsági mentése
- Írja be a regedit.exe, majd nyomja le a billentyűt
Enter
. Ha a rendszer rendszergazdai jelszót vagy megerősítést kér, írja be a jelszót, vagy erősítse meg a műveletet. - A Beállításszerkesztő ablakban keresse meg és kattintson arra a beállításkulcsra vagy alkulcsra, amelyről biztonsági másolatot szeretne készíteni.
- A Fájl menüben válassza az Exportálás lehetőséget.
- A Beállításfájl exportálása párbeszédpanelen jelölje ki azt a helyet, ahová menteni szeretné a biztonsági másolatot, írja be a biztonsági másolat nevét a Fájlnév mezőbe, majd kattintson a Mentés gombra.
Beállításjegyzék biztonsági mentésének visszaállítása
- Írja be a regedit.exe, majd nyomja le a billentyűt
Enter
. Ha a rendszer rendszergazdai jelszót vagy megerősítést kér, írja be a jelszót, vagy erősítse meg a műveletet. - A Beállításszerkesztő ablak Fájl menüjében válassza az Importálás lehetőséget.
- A Beállításfájl importálása párbeszédpanelen válassza ki azt a helyet, ahová a biztonsági másolatot mentette, jelölje ki a biztonsági mentési fájlt, majd kattintson a Megnyitás gombra.
Csoportházirend-objektum a VMICTimeProvider letiltásához
Konfigurálja a következő csoportházirend-objektumot, hogy a tartománytagok szinkronizálhassák az időt a megfelelő Active Directory-hely tartományvezérlőivel:
Az aktuális időforrás ellenőrzéséhez jelentkezzen be bármelyik tartománytaghoz, és egy rendszergazda jogú parancssorból futtassa a w32tm /query /source parancsot, és jegyezze fel a kimenetet a későbbi összehasonlításhoz.
- Tartományvezérlőről lépjen a gpmc.msc futtatásának megkezdéséhez.
- Keresse meg azt az erdőt és tartományt, ahol létre szeretné hozni a csoportházirend-objektumot.
- Hozzon létre egy új csoportházirend-objektumot, például az ügyfelek időszinkronizálását a tároló csoportházirend-objektumaiban.
- Kattintson a jobb gombbal az újonnan létrehozott csoportházirend-objektumra és szerkesztésre.
- Navigáljon a számítógép konfigurációja –Beállítások –>>Windows Gépház –> Kattintson a jobb gombbal a beállításjegyzékre–>Új –>Beállításjegyzékelem
- Az Új beállításjegyzék tulajdonságai ablakban állítsa be a következő értékeket:
- Művelet :Frissítés
- Hive :HKEY_LOCAL_MACHINE
- A kulcs elérési útja: keresse meg a SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider fájlt
- Engedélyezve van az értéknév típusa
- Értéktípuson: REG_DWORD
- Értékadatokon: 0. típus
- Az összes többi paraméternél használja az alapértelmezett értékeket, és kattintson az OK gombra
- Csatolja az csoportházirend-objektumot ahhoz a szervezeti egységhez, ahol a tagok találhatók.
- Várjon vagy manuálisan kényszerítse ki a csoportházirend frissítését a tartománytagon.
Térjen vissza a tartománytaghoz, és egy rendszergazda jogú parancssorból futtassa újra a w32tm /query /source parancsot, és hasonlítsa össze a kimenetet a konfiguráció elején feljegyzett kimenettel. Most az a tartományvezérlő lesz beállítva, amely teljesítette a tag hitelesítési kérését.
Következő lépések
Az alábbiakban az időszinkronizálással kapcsolatos további részletekre mutató hivatkozások találhatók: