Het tijdmechanisme configureren voor Virtuele Windows-machines in Active Directory in Azure

Van toepassing op: ✔️ Virtuele Windows-machines

Gebruik deze handleiding voor informatie over het instellen van tijdsynchronisatie voor uw virtuele Azure Windows-machines die deel uitmaken van een Active Directory-domein.

Tijdsynchronisatiehiërarchie in Active Directory-domein Services

Tijdsynchronisatie in Active Directory moet worden beheerd door alleen de PDC toegang te geven tot een externe tijdbron of NTP-server.

Alle andere domeincontrollers synchroniseren vervolgens tijd met de PDC, en alle andere leden krijgen hun tijd van de domeincontroller die tevreden is over de verificatieaanvraag van dat lid.

Als u een Active Directory-domein hebt dat wordt uitgevoerd op virtuele machines die worden gehost in Azure, volgt u deze stappen om Time Sync correct in te stellen.

Notitie

Deze handleiding is gericht op het gebruik van de console Groepsbeleidsbeheer om de configuratie uit te voeren. U kunt dezelfde resultaten bereiken met behulp van de opdrachtprompt, PowerShell of door het register handmatig te wijzigen; deze methoden vallen echter niet binnen het bereik van dit artikel.

GPO zodat de PDC kan synchroniseren met een externe NTP-bron

Als u de huidige tijdbron in uw PDC wilt controleren, voert u vanaf een opdrachtprompt met verhoogde bevoegdheid w32tm /query /source uit en noteert u de uitvoer voor een latere vergelijking.

1. Voer vanaf Start gpmc.msc uit.
2. Blader naar het forest en het domein waar u het groepsbeleidsobject wilt maken.
3. Maak een nieuw groepsbeleidsobject, bijvoorbeeld PDC Time Sync, in de container groepsbeleidsobjecten.
4. Klik met de rechtermuisknop op het zojuist gemaakte groepsbeleidsobject en bewerken.
5. Navigeer naar het globale Instellingen-beleid onder Computerconfiguratie ->Beheer istratieve sjablonen ->System ->Windows Time Service.
6. Stel deze in op Ingeschakeld en configureer de parameter AnnounceFlags op 5.
7. Navigeer naar Computerconfiguratie ->Beheer istratieve sjablonen ->System ->Windows Time Service -> Time Providers.
8. Dubbelklik op het clientbeleid voor Windows NTP configureren en stel dit in op Ingeschakeld, configureer de parameter NTPServer om te verwijzen naar een IP-adres of FQDN van een tijdserver, gevolgd door ,0x9 bijvoorbeeld: 131.107.13.100,0x9 en configureer Type naar NTP. Voor alle andere parameters kunt u de standaardwaarden gebruiken of aangepaste parameters gebruiken op basis van de behoeften van uw bedrijf.
9. Klik op de knop Volgende instelling, stel het beleid Windows NTP-client inschakelen in op Ingeschakeld en klik op OK
10. Ga op het tabblad Bereik van het zojuist gemaakte groepsbeleidsobject naar Beveiligingsfiltering en markeer de groep Geverifieerde gebruikers -> Klik op de knop Verwijderen ->OK ->OK
11. Maak een WMI-filter om de domeincontroller met de PDC-rol dynamisch op te halen:
    • Navigeer in de console Groepsbeleidsbeheer naar WMI-filters, klik er met de rechtermuisknop op en selecteer Nieuw.
    • Geef in het venster Nieuw WMI-filter een naam op voor het nieuwe filter, bijvoorbeeld PDC Emulator ophalen -> Vul het veld Beschrijving in (optioneel) -> Klik op de knop Toevoegen .
    • Laat in het venster WMI-query de naamruimte staan, plak in het tekstvak Query de volgende tekenreeks Select * from Win32_ComputerSystem where DomainRole = 5en klik vervolgens op de knop OK .
    • Klik in het venster Nieuw WMI-filter op de knop Opslaan .
12. Ga op het tabblad Bereik van het zojuist gemaakte groepsbeleidsobject naar de vervolgkeuzelijst WMI-filtering en selecteer het eerder gemaakte WMI-filter en klik op OK.
13. Ga op het tabblad Bereik van het zojuist gemaakte groepsbeleidsobject naar het beveiligingsfilter, klik op de knop Toevoegen en blader naar de groep Domeincontrollers en klik vervolgens op de knop OK.
14. Koppel het groepsbeleidsobject aan de organisatie-eenheid domeincontrollers .

Notitie

Het kan tot 15 minuten duren voordat deze wijzigingen door het systeem worden doorgevoerd.

Voer vanaf een opdrachtprompt met verhoogde bevoegdheid w32tm /query /source opnieuw uit en vergelijk de uitvoer met de uitvoer die u aan het begin van de configuratie hebt genoteerd. Nu wordt deze ingesteld op de NTP-server die u hebt gekozen.

Tip

Als u het proces voor het wijzigen van de NTP-bron op uw PDC wilt versnellen, voert u vanaf een opdrachtprompt met verhoogde bevoegdheid gpupdate /force uit, gevolgd door w32tm /resync /nowait, en voert u w32tm /query /source opnieuw uit. De uitvoer moet de NTP-server zijn die u in het bovenstaande groepsbeleidsobject hebt gebruikt.

Groepsbeleidsobject voor leden

Normaal gesproken volgt NTP in Active Directory-domein Services de AD DS-tijdhiërarchie die wordt vermeld aan het begin van dit artikel en is er geen verdere configuratie vereist.

Virtuele machines die worden gehost in Azure, hebben echter specifieke beveiligingsinstellingen die rechtstreeks door het cloudplatform worden toegepast.

Voor alle andere domeinleden die geen domeincontrollers zijn, moet u het register wijzigen en de waarde instellen op 0 in de sleutel Ingeschakeld onder HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider

Belangrijk

Houd er rekening mee dat er ernstige problemen kunnen optreden als u het register onjuist wijzigt. Zorg er daarom voor dat u deze stappen zorgvuldig uitvoert en test deze op een aantal virtuele testmachines om ervoor te zorgen dat u het verwachte resultaat krijgt. Voor optimale veiligheid maakt u dagelijks een back-up van het register voordat u het wijzigt. U kunt dan het register herstellen als er een probleem optreedt. Volg de onderstaande stappen voor het maken van back-ups en het herstellen van het Windows-register.

Een back-up maken van het register

1. Typ regedit.exe van starten druk op Enter. Als u om een beheerderswachtwoord of om een bevestiging wordt gevraagd, typt u uw wachtwoord of bevestigt u de bewerking.
2. Zoek en klik in het venster Registereditor op de registersleutel of subsleutel waarnaar u een back-up wilt maken.
3. Selecteer Exporteren in het menu Bestand.
4. Selecteer in het dialoogvenster Registerbestand exporteren de locatie waarnaar u de back-upkopie wilt opslaan, typ een naam voor het back-upbestand in het veld Bestandsnaam en klik op Opslaan.

Een registerback-up herstellen

1. Typ regedit.exe van starten druk op Enter. Als u om een beheerderswachtwoord of om een bevestiging wordt gevraagd, typt u uw wachtwoord of bevestigt u de bewerking.
2. Selecteer Importeren in het venster Registereditor in het menu Bestand.
3. Selecteer in het dialoogvenster Registerbestand importeren de locatie waar u de back-upkopie hebt opgeslagen, selecteer het back-upbestand en klik vervolgens op Openen.

GPO om de VMICTimeProvider uit te schakelen

Configureer het volgende groepsbeleidsobject om domeinleden in staat te stellen tijd te synchroniseren met domeincontrollers in de bijbehorende Active Directory-site:

Als u de huidige tijdbron wilt controleren, meldt u zich aan bij een domeinlid en voert u vanaf een opdrachtprompt met verhoogde bevoegdheid w32tm /query /source uit en noteert u de uitvoer voor latere vergelijking.

1. Ga vanaf een domeincontroller naar Start run gpmc.msc.
2. Blader naar het forest en het domein waar u het groepsbeleidsobject wilt maken.
3. Maak een nieuw groepsbeleidsobject, bijvoorbeeld Clients Time Sync, in de container groepsbeleidsobjecten.
4. Klik met de rechtermuisknop op het zojuist gemaakte groepsbeleidsobject en bewerken.
5. Ga naar Computerconfiguratie ->Voorkeuren ->Windows Instellingen -> Klik met de rechtermuisknop op Register ->Nieuw ->Registeritem
6. Stel in het venster Nieuwe registereigenschappen de volgende waarden in:
   • Bij actie:bijwerken
   • Op Hive:HKEY_LOCAL_MACHINE
   • Op sleutelpad: blader naar SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider
   • Bij waardenaamtype ingeschakeld
   • Bij waardetype: REG_DWORD
   • Bij waardegegevens: typ 0
7. Gebruik voor alle andere parameters de standaardwaarden en klik op OK
8. Koppel het groepsbeleidsobject aan de organisatie-eenheid waar uw leden zich bevinden.
9. Wacht of forceer handmatig een groepsbeleidsupdate op het domeinlid.

Ga terug naar het domeinlid en voer vanaf een opdrachtprompt met verhoogde bevoegdheid w32tm /query /source opnieuw uit en vergelijk de uitvoer met de uitvoer die u aan het begin van de configuratie hebt genoteerd. Nu wordt deze ingesteld op de domeincontroller die aan de verificatieaanvraag van het lid heeft voldaan.

Volgende stappen

Hieronder vindt u koppelingen naar meer informatie over de tijdsynchronisatie:

• Hulpprogramma's en Instellingen voor Windows Time-services
• Verbeteringen in Windows Server 2016
• Nauwkeurige tijd voor Windows Server 2016
• Ondersteuningsgrens voor het configureren van de Windows Time-service voor omgevingen met hoge nauwkeurigheid