Az Active Directory Windows rendszerű virtuális gépek időmechanizmusának konfigurálása az Azure-ban

  • Cikk

A következőkre vonatkozik: ✔️ Windows rendszerű virtuális gépek

Ebből az útmutatóból megtudhatja, hogyan állíthat be időszinkronizálást egy Active Directory-tartomány tartozó Azure Windows rendszerű virtuális gépekhez.

Időszinkronizálási hierarchia a Active Directory tartományi szolgáltatások

Az Active Directory időszinkronizálását csak úgy lehet felügyelni, ha engedélyezi a PDC számára egy külső időforrás vagy NTP-kiszolgáló elérését.

Ezután minden más tartományvezérlő szinkronizálja az időt a PDC-vel, és minden többi tag megkapja az idejét a tartományvezérlőtől, amely teljesítette a tag hitelesítési kérését.

Ha az Azure-ban üzemeltetett virtuális gépeken fut Active Directory-tartomány, kövesse az alábbi lépéseket a Time Sync megfelelő beállításához.

Feljegyzés

Ez az útmutató a csoportházirend-kezelési konzol használatát mutatja be a konfiguráció végrehajtásához. Ugyanezeket az eredményeket a parancssor, a PowerShell vagy a beállításjegyzék manuális módosításával érheti el; ezek a módszerek azonban nem tartoznak a jelen cikkben szereplő hatókörbe.

Csoportházirend-objektum, amely lehetővé teszi, hogy a PDC szinkronizáljon egy külső NTP-forrással

Ha ellenőrizni szeretné az aktuális időforrást a PDC-ben, egy emelt szintű parancssorból futtassa a w32tm /query /source parancsot, és jegyezze fel a kimenetet a későbbi összehasonlításhoz.

  1. Indítsa el a gpmc.msc futtatását.
  2. Keresse meg azt az erdőt és tartományt, ahol létre szeretné hozni a csoportházirend-objektumot.
  3. Hozzon létre egy új csoportházirend-objektumot(például PDC időszinkronizálást) a tároló csoportházirend-objektumaiban.
  4. Kattintson a jobb gombbal az újonnan létrehozott csoportházirend-objektumra és szerkesztésre.
  5. Lépjen a Globális konfigurációs Gépház házirendre a Számítógép konfigurációja ->Rendszergazda istrative Templates -System ->>Windows Time Service területen.
  6. Állítsa be az Enabled értékre, és konfigurálja a AnnounceFlags paramétert 5 értékre.
  7. Lépjen a Számítógép konfigurációja ->Rendszergazda istrative Templates ->System ->Windows Time Service ->Time Providers elemre.
  8. Kattintson duplán a Windows NTP-ügyfélházirend konfigurálására, és állítsa be engedélyezve értékre, konfigurálja az NTPServer paramétert úgy, hogy egy időkiszolgáló IP-címére vagy teljes tartománynevére mutasson, majd ,0x9 például: 131.107.13.100,0x9 és konfigurálja a Type to NTP-t. Az összes többi paraméterhez használhatja az alapértelmezett értékeket, vagy használhat egyéni értékeket a vállalati igényeknek megfelelően.
  9. Kattintson a Következő beállítás gombra, állítsa a Windows NTP-ügyfélházirend engedélyezése engedélyezettre, majd kattintson az OK gombra
  10. Az újonnan létrehozott csoportházirend-objektum Hatókör lapján lépjen a Biztonsági szűrés elemre, és jelölje ki a Hitelesített felhasználók csoportot –> Kattintson az Eltávolítás gombra ->OK ->OK
  11. Hozzon létre egy WMI-szűrőt a PDC-szerepkört tartalmazó tartományvezérlő dinamikus lekéréséhez:
    • A csoportházirend-kezelési konzolon keresse meg a WMI-szűrőket, kattintson rá a jobb gombbal, és válassza az Új lehetőséget.
    • Az Új WMI-szűrő ablakban adjon nevet az új szűrőnek, például: PdC Emulator lekérése –> Töltse ki a Leírás mezőt (nem kötelező) –> Kattintson a Hozzáadás gombra.
    • A WMI Lekérdezés ablakában hagyja meg a névteret, a Lekérdezés szövegmezőben illessze be a következő sztringetSelect * from Win32_ComputerSystem where DomainRole = 5, majd kattintson az OK gombra.
    • Az Új WMI-szűrő ablakban kattintson a Mentés gombra.
  12. Az újonnan létrehozott csoportházirend-objektum Hatókör lapján keresse meg a WMI-szűrés legördülő menüt, és válassza ki a korábban létrehozott WMI-szűrőt, majd kattintson az OK gombra.
  13. Az újonnan létrehozott csoportházirend-objektum Hatókör lapján keresse meg a biztonsági szűrést, kattintson a Hozzáadás gombra, és keresse meg a Tartományvezérlők csoportot, majd kattintson az OK gombra.
  14. Kapcsolja össze a csoportházirend-objektumot a tartományvezérlők szervezeti egységével .

Feljegyzés

Akár 15 percig is eltarthat, amíg ezek a változások megjelennek a rendszerben.

Egy emelt szintű parancssorból futtassa újra a w32tm /query /source parancsot, és hasonlítsa össze a kimenetet a konfiguráció elején feljegyzett kimenettel. Most a kiválasztott NTP-kiszolgálóra lesz állítva.

Tipp.

Ha szeretné felgyorsítani az NTP-forrás pdC-n való módosításának folyamatát, egy rendszergazda jogú parancssorból futtassa a gpupdate /force parancsot, majd a w32tm /resync /nowait parancsot, majd futtassa újra a w32tm /query /source parancsot; a kimenetnek a fenti csoportházirend-objektumban használt NTP-kiszolgálónak kell lennie.

Csoportházirend-objektum tagok számára

A Active Directory tartományi szolgáltatások NTP általában a cikk elején említett AD DS-időhierarchiát követi, és nincs szükség további konfigurációra.

Az Azure-ban üzemeltetett virtuális gépekre azonban a felhőplatform közvetlenül alkalmaz speciális biztonsági beállításokat.

Az összes többi tartománytag esetében, amely nem tartományvezérlő, módosítania kell a beállításjegyzéket, és 0 értékre kell állítania az értéket a HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider területen engedélyezett kulcsban.

Fontos

Ne feledje, hogy súlyos problémák léphetnek fel, ha helytelenül módosítja a beállításjegyzéket. Ezért ügyeljen arra, hogy gondosan kövesse ezeket a lépéseket, és tesztelje őket néhány teszt virtuális gépen, hogy biztosan megkapja a várt eredményt. A hozzáadott védelem érdekében a módosítás előtt biztonsági másolatot készít a beállításjegyzékről. Így probléma esetén helyreállíthatja a beállításjegyzéket. A Windows beállításjegyzék biztonsági mentésének és visszaállításának módjához kövesse az alábbi lépéseket.

A beállításjegyzék biztonsági mentése

  1. Írja be a regedit.exe, majd nyomja le a billentyűtEnter. Ha a rendszer rendszergazdai jelszót vagy megerősítést kér, írja be a jelszót, vagy erősítse meg a műveletet.
  2. A Beállításszerkesztő ablakban keresse meg és kattintson arra a beállításkulcsra vagy alkulcsra, amelyről biztonsági másolatot szeretne készíteni.
  3. A Fájl menüben válassza az Exportálás lehetőséget.
  4. A Beállításfájl exportálása párbeszédpanelen jelölje ki azt a helyet, ahová menteni szeretné a biztonsági másolatot, írja be a biztonsági másolat nevét a Fájlnév mezőbe, majd kattintson a Mentés gombra.

Beállításjegyzék biztonsági mentésének visszaállítása

  1. Írja be a regedit.exe, majd nyomja le a billentyűtEnter. Ha a rendszer rendszergazdai jelszót vagy megerősítést kér, írja be a jelszót, vagy erősítse meg a műveletet.
  2. A Beállításszerkesztő ablak Fájl menüjében válassza az Importálás lehetőséget.
  3. A Beállításfájl importálása párbeszédpanelen válassza ki azt a helyet, ahová a biztonsági másolatot mentette, jelölje ki a biztonsági mentési fájlt, majd kattintson a Megnyitás gombra.

Csoportházirend-objektum a VMICTimeProvider letiltásához

Konfigurálja a következő csoportházirend-objektumot, hogy a tartománytagok szinkronizálhassák az időt a megfelelő Active Directory-hely tartományvezérlőivel:

Az aktuális időforrás ellenőrzéséhez jelentkezzen be bármelyik tartománytaghoz, és egy rendszergazda jogú parancssorból futtassa a w32tm /query /source parancsot, és jegyezze fel a kimenetet a későbbi összehasonlításhoz.

  1. Tartományvezérlőről lépjen a gpmc.msc futtatásának megkezdéséhez.
  2. Keresse meg azt az erdőt és tartományt, ahol létre szeretné hozni a csoportházirend-objektumot.
  3. Hozzon létre egy új csoportházirend-objektumot, például az ügyfelek időszinkronizálását a tároló csoportházirend-objektumaiban.
  4. Kattintson a jobb gombbal az újonnan létrehozott csoportházirend-objektumra és szerkesztésre.
  5. Navigáljon a számítógép konfigurációja –Beállítások>>Windows Gépház –> Kattintson a jobb gombbal a beállításjegyzékre–>Új –>Beállításjegyzékelem
  6. Az Új beállításjegyzék tulajdonságai ablakban állítsa be a következő értékeket:
    • Művelet :Frissítés
    • Hive :HKEY_LOCAL_MACHINE
    • A kulcs elérési útja: keresse meg a SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider fájlt
    • Engedélyezve van az értéknév típusa
    • Értéktípuson: REG_DWORD
    • Értékadatokon: 0. típus
  7. Az összes többi paraméternél használja az alapértelmezett értékeket, és kattintson az OK gombra
  8. Csatolja az csoportházirend-objektumot ahhoz a szervezeti egységhez, ahol a tagok találhatók.
  9. Várjon vagy manuálisan kényszerítse ki a csoportházirend frissítését a tartománytagon.

Térjen vissza a tartománytaghoz, és egy rendszergazda jogú parancssorból futtassa újra a w32tm /query /source parancsot, és hasonlítsa össze a kimenetet a konfiguráció elején feljegyzett kimenettel. Most az a tartományvezérlő lesz beállítva, amely teljesítette a tag hitelesítési kérését.

Következő lépések

Az alábbiakban az időszinkronizálással kapcsolatos további részletekre mutató hivatkozások találhatók: