Konfigurace časového mechanismu pro službu Active Directory pro virtuální počítače s Windows v Azure
Platí pro: ✔️ Windows Virtual Machines
V tomto průvodci se dozvíte, jak nastavit synchronizaci času pro virtuální počítače Azure s Windows, které patří do Doména služby Active Directory.
Hierarchie synchronizace času ve službě Doména služby Active Directory Services
Synchronizace času ve službě Active Directory by měla být spravována pouze povolením primárního řadiče domény přistupovat k externímu časovému zdroji nebo serveru NTP.
Všechny ostatní řadiče domény by se pak synchronizovaly s primárním řadičem domény a všichni ostatní členové získají čas z řadiče domény, který splnil žádost o ověření daného člena.
Pokud máte doménu Active Directory spuštěnou na virtuálních počítačích hostovaných v Azure, postupujte podle těchto kroků a správně nastavte synchronizaci času.
Poznámka:
Tato příručka se zaměřuje na použití konzoly pro správu zásad skupiny k provedení konfigurace. Stejné výsledky můžete dosáhnout pomocí příkazového řádku, PowerShellu nebo ruční úpravy registru; tyto metody však nejsou v tomto článku v oboru.
Objekt zásad služby, který umožňuje synchronizaci primárního řadiče domény s externím zdrojem PROTOKOLU NTP
Pokud chcete zkontrolovat aktuální zdroj času v primárním řadiči domény, spusťte z příkazového řádku se zvýšenými oprávněními příkaz w32tm /query /source a poznamenejte si výstup pro pozdější porovnání.
- V nabídce Start spusťte gpmc.msc.
- Přejděte do doménové struktury a domény, ve které chcete vytvořit objekt zásadu.
- V objektech zásad skupiny kontejneru vytvořte nový objekt zásad skupiny, například synchronizaci času primárního řadiče domény.
- Klikněte pravým tlačítkem myši na nově vytvořený objekt zásad správného objektu zásad správného obnovení a upravte ho.
- Přejděte do zásad globálního nastavení konfigurace v části Konfigurace počítače ->Šablony pro správu ->System ->Windows Time Service.
- Nastavte ho na Povoleno a nakonfigurujte Parametr AnnounceFlags na hodnotu 5.
- Přejděte do části Konfigurace počítače ->Šablony pro správu ->System ->Windows Time Service ->Time Providers.
- Poklikejte na zásadu Konfigurovat systém Windows NT P Klienta a nastavte ji na Povoleno, nakonfigurujte parametr NTPServer tak, aby odkazoval na IP adresu nebo plně kvalifikovaný název domény časového serveru následovaný
,0x9
například:131.107.13.100,0x9
a nakonfigurujte typ na NTP. Pro všechny ostatní parametry můžete použít výchozí hodnoty nebo použít vlastní hodnoty podle vašich podnikových potřeb. - Klikněte na tlačítko Další nastavení, nastavte zásadu Povolit systém Windows NT P Klienta na Povoleno a klepněte na tlačítko OK.
- Na kartě Obor nově vytvořeného objektu zásad skupiny přejděte na Filtrování zabezpečení a zvýrazněte skupinu Ověření uživatelé –> klikněte na tlačítko Odebrat ->OK -OK>
- Vytvořte filtr rozhraní WMI pro dynamické získání řadiče domény, který obsahuje roli primárního řadiče domény:
- V konzole pro správu zásad skupiny přejděte na filtry rozhraní WMI, klikněte na něj pravým tlačítkem myši a vyberte Nový.
- V okně Nový filtr rozhraní WMI zadejte název nového filtru, například Získat emulátor primárního řadiče domény –> Vyplňte pole Popis (volitelné) –> klikněte na tlačítko Přidat.
- V okně dotazu rozhraní WMI ponechte Namespace tak, jak je, vložte do textového pole Dotaz následující řetězec
Select * from Win32_ComputerSystem where DomainRole = 5
a klikněte na tlačítko OK. - Zpět v okně Nový filtr rozhraní WMI klikněte na tlačítko Uložit .
- Na kartě Obor nově vytvořeného objektu zásad skupiny přejděte do rozevírací nabídky Filtrování rozhraní WMI a vyberte dříve vytvořený filtr rozhraní WMI a klikněte na tlačítko OK.
- Na kartě Obor nově vytvořeného objektu zásad skupiny přejděte na tlačítko Filtrování zabezpečení, klikněte na tlačítko Přidat a vyhledejte skupinu Řadiče domény a potom klikněte na tlačítko OK.
- Propojte objekt zásad služby s organizační jednotkou řadičů domény.
Poznámka:
Než se tyto změny projeví systémem, může to trvat až 15 minut.
Na příkazovém řádku se zvýšenými oprávněními znovu spusťte příkaz w32tm /query /source a porovnejte výstup s výstupem, který jste si poznamenali na začátku konfigurace. Teď se nastaví na server NTP, který jste zvolili.
Tip
Chcete-li urychlit proces změny zdroje NTP v primárním řadiči domény, z příkazového řádku se zvýšenými oprávněními spusťte gpupdate /force a potom w32tm /resync /nowait a pak znovu spusťte w32tm /query /source; výstup by měl být server NTP, který jste použili ve výše uvedeném objektu zásad skupiny.
Objekt zásad skupiny pro členy
Protokol NTP ve službě Doména služby Active Directory Services se obvykle bude řídit hierarchií času služby AD DS uvedenou na začátku tohoto článku a nevyžaduje se žádná další konfigurace.
Nicméně virtuální počítače hostované v Azure mají pro ně specifická nastavení zabezpečení použitá přímo cloudovou platformou.
Pro všechny ostatní členy domény, které nejsou řadiči domény, budete muset upravit registr a nastavit hodnotu 0 v klíči Povoleno v části HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider
Důležité
Mějte na paměti, že při nesprávné úpravě registru může dojít k vážným problémům. Proto se ujistěte, že tyto kroky pečlivě provedete, a otestujte je na několika testovacích virtuálních počítačích, abyste měli jistotu, že získáte očekávaný výsledek. Před úpravami registru jej zálohujte za účelem zvýšení ochrany. Pokud následně dojde k potížím, můžete registr obnovit. Postup zálohování a obnovení registru systému Windows najdete v následujících krocích.
Zálohování registru
- V nabídce Start zadejte regedit.exe a stiskněte klávesu
Enter
. Jestliže se zobrazí výzva k zadání hesla správce nebo k potvrzení, zadejte heslo nebo potvrďte akci. - V okně Editoru registru vyhledejte a klikněte na klíč registru nebo podklíč, který chcete zálohovat.
- V nabídce Soubor vyberte Exportovat.
- V dialogovém okně Exportovat soubor registru vyberte umístění, do kterého chcete záložní kopii uložit, do pole Název souboru zadejte název záložního souboru a klikněte na uložit.
Obnovení zálohy registru
- V nabídce Start zadejte regedit.exe a stiskněte klávesu
Enter
. Jestliže se zobrazí výzva k zadání hesla správce nebo k potvrzení, zadejte heslo nebo potvrďte akci. - V okně Editor registru v nabídce Soubor vyberte Importovat.
- V dialogovém okně Importovat soubor registru vyberte umístění, do kterého jste záložní kopii uložili, vyberte záložní soubor a klikněte na otevřít.
Objekt zásad zabezpečení pro zakázání VMICTimeProvider
Nakonfigurujte následující objekt zásad skupiny, který umožňuje členům domény synchronizovat čas s řadiči domény v odpovídající lokalitě služby Active Directory:
Pokud chcete zkontrolovat aktuální zdroj času, přihlaste se k libovolnému členu domény a z příkazového řádku se zvýšenými oprávněními spusťte příkaz w32tm /query /source a poznamenejte si výstup pro pozdější porovnání.
- Z řadiče domény přejděte do nabídky Start run gpmc.msc.
- Přejděte do doménové struktury a domény, ve které chcete vytvořit objekt zásadu.
- V objektech zásad skupiny kontejneru vytvořte nový objekt zásad skupiny, například Synchronizace času klientů.
- Klikněte pravým tlačítkem myši na nově vytvořený objekt zásad správného objektu zásad správného obnovení a upravte ho.
- Přejděte na Konfigurace počítače -Předvolby ->>Nastavení Systému Windows -> Klikněte pravým tlačítkem na Registr ->Nová položka registru>
- V okně Vlastnosti nového registru nastavte následující hodnoty:
- Při akci: Aktualizace
- V Hivu: HKEY_LOCAL_MACHINE
- Cesta ke klíči: přejděte na SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider
- Při povoleném typu Název hodnoty
- Typ hodnoty: REG_DWORD
- On Value Data: type 0
- Pro všechny ostatní parametry použijte výchozí hodnoty a klepněte na tlačítko OK
- Propojte objekt zásad skupiny s organizační jednotkou, ve které se nacházejí vaši členové.
- Počkejte nebo ručně vynuťte aktualizaci zásad skupiny u člena domény.
Vraťte se k členu domény a z příkazového řádku se zvýšenými oprávněními znovu spusťte příkaz w32tm /query /source a porovnejte výstup s výstupem, který jste si poznamenali na začátku konfigurace. Teď se nastaví na řadič domény, který splnil žádost o ověření člena.
Další kroky
Níže najdete odkazy na další podrobnosti o synchronizaci času: