Настройка механизма времени для Виртуальные машины Windows Active Directory в Azure

Применяется к: ✔️ Виртуальным машинам Windows

Используйте это руководство, чтобы узнать, как настроить синхронизацию времени для Виртуальные машины Windows Azure, принадлежащих домен Active Directory.

Иерархия синхронизации времени в службах домен Active Directory

Синхронизация времени в Active Directory должна управляться только путем предоставления PDC доступа к внешнему источнику времени или NTP-серверу.

Затем все остальные контроллеры домена будут синхронизировать время с PDC, и все остальные члены получат время от контроллера домена, удовлетворяющего запросу проверки подлинности этого участника.

Если у вас есть домен Active Directory, работающий на виртуальных машинах, размещенных в Azure, выполните следующие действия, чтобы правильно настроить синхронизацию времени.

Примечание.

В этом руководстве основное внимание уделяется использованию консоли управления групповыми политиками для выполнения конфигурации. С помощью командной строки, PowerShell или вручную измените реестр. Однако эти методы не находятся в области действия в этой статье.

Объект групповой политики, позволяющий PDC синхронизироваться с внешним источником NTP

Чтобы проверить текущий источник времени в PDCв командной строке с повышенными привилегиями, выполните команду w32tm /query /source и запишите выходные данные для последующего сравнения.

1. С запуска gpmc.msc.
2. Перейдите к лесу и домену, где нужно создать объект групповой политики.
3. Создайте объект групповой политики, например синхронизацию времени PDC, в объектах групповой политики контейнера.
4. Щелкните правой кнопкой мыши только что созданный объект групповой политики и измените его.
5. Перейдите к политике глобальных параметров конфигурации в разделе Конфигурация компьютера — >Административные шаблоны— >Система— >Windows Time Service.
6. Установите для него значение Enabled и настройте для параметра AnnounceFlags значение 5.
7. Перейдите к конфигурации компьютера ->Административные шаблоны ->System ->Windows Time Service ->Time Providers.
8. Дважды щелкните политику клиента Windows NTP и задайте для нее значение Enabled, настройте параметр NTPServer , чтобы указать IP-адрес или полное доменное имя сервера времени, за которым следует ,0x9 , например, 131.107.13.100,0x9 и настроить тип в NTP. Для всех остальных параметров можно использовать значения по умолчанию или пользовательские значения в соответствии с корпоративными потребностями.
9. Нажмите кнопку "Следующий параметр", установите для политики "Включить клиент NTP Windows" значение "Включено" и нажмите кнопку "ОК"
10. На вкладке "Область" созданного объекта групповой политики перейдите к фильтру безопасности и выделите группу "Прошедшие проверку подлинности пользователей" —> нажмите кнопку "Удалить" ->ОК -ОК>
11. Создайте фильтр WMI, чтобы динамически получить контроллер домена, содержащий роль PDC:
    • В консоли управления групповыми политиками перейдите к фильтрам WMI, щелкните его правой кнопкой мыши и выберите "Создать".
    • В окне "Новый фильтр WMI" присвойте новому фильтру имя, например get PDC Emulator — Fill the Description field (необязательный) —>> нажмите кнопку "Добавить".
    • В окне запроса WMI оставьте пространство имен как есть, в текстовом поле запроса вставьте следующую строкуSelect * from Win32_ComputerSystem where DomainRole = 5, а затем нажмите кнопку "ОК".
    • Вернитесь в окно "Новый фильтр WMI" нажмите кнопку "Сохранить ".
12. На вкладке "Область " созданного объекта групповой политики перейдите в раскрывающееся меню "Фильтрация WMI" и выберите ранее созданный фильтр WMI и нажмите кнопку "ОК".
13. На вкладке "Область" созданного объекта групповой политики перейдите к фильтру безопасности нажмите кнопку "Добавить" и найдите группу контроллеров домена, а затем нажмите кнопку "ОК".
14. Свяжите объект групповой политики с подразделением контроллеров домена.

Примечание.

Для отражения этих изменений системой может потребоваться до 15 минут.

В командной строке с повышенными привилегиями повторно запустите w32tm /query /source и сравните выходные данные с выходными данными, которые вы записали в начале конфигурации. Теперь он будет установлен на выбранный NTP-сервер.

Совет

Если вы хотите ускорить процесс изменения источника NTP в PDC, из командной строки с повышенными привилегиями выполните gpupdate /force, а затем w32tm /resync /nowait, а затем повторно запустите w32tm /query /source; выходные данные должны быть NTP-сервером, используемым в приведенном выше объекте групповой политики.

Объект групповой политики для членов

Обычно NTP в службах домен Active Directory будет соответствовать иерархии времени AD DS, упомянутой в начале этой статьи, и дополнительная настройка не требуется.

Тем не менее виртуальные машины, размещенные в Azure, имеют определенные параметры безопасности, применяемые к ним непосредственно облачной платформой.

Для всех других членов домена, не являющихся контроллерами домена, необходимо изменить реестр и задать значение 0 в разделе " Включено " в разделе HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider

Внимание

При неправильном изменении реестра могут возникнуть серьезные проблемы. Таким образом, убедитесь, что эти действия тщательно и протестируйте их на нескольких тестовых виртуальных машинах, чтобы убедиться, что вы получите ожидаемый результат. Для дополнительной защиты создайте резервную копию реестра перед его изменением. В этом случае реестр можно восстановить, если возникнет проблема. Чтобы выполнить резервное копирование и восстановление реестра Windows, выполните следующие действия.

Резервное копирование реестра

1. В regedit.exe типа "Пуск" и нажмите клавишу Enter. Если система предложит ввести пароль администратора или подтверждение, введите пароль или предоставьте подтверждение.
2. В окне редактора реестра найдите и щелкните раздел реестра или подраздел, который требуется создать резервную копию.
3. В меню "Файл" выберите "Экспорт".
4. В диалоговом окне "Экспорт файла реестра" выберите расположение, в которое нужно сохранить резервную копию, введите имя файла резервной копии в поле имени файла и нажмите кнопку "Сохранить".

Восстановление резервной копии реестра

1. В regedit.exe типа "Пуск" и нажмите клавишу Enter. Если система предложит ввести пароль администратора или подтверждение, введите пароль или предоставьте подтверждение.
2. В окне редактора реестра в меню "Файл" выберите "Импорт".
3. В диалоговом окне "Импорт файла реестра" выберите расположение, в которое вы сохранили резервную копию, выберите файл резервной копии и нажмите кнопку "Открыть".

Объект групповой политики для отключения VMICTimeProvider

Настройте следующий объект групповой политики, чтобы участники домена могли синхронизировать время с контроллерами домена на соответствующем сайте Active Directory:

Чтобы проверить текущий источник времени, войдите в любой член домена и из командной строки с повышенными привилегиями выполните w32tm /query /source и запишите выходные данные для последующего сравнения.

1. В контроллере домена перейдите к запуску gpmc.msc.
2. Перейдите к лесу и домену, где нужно создать объект групповой политики.
3. Создайте объект групповой политики, например синхронизацию времени клиентов, в контейнере групповая политика объектов.
4. Щелкните правой кнопкой мыши только что созданный объект групповой политики и измените его.
5. Перейдите к конфигурации компьютера ->Параметры> Windows —> щелкните правой кнопкой мыши реестр ->>Новый элемент реестра
6. В окне "Новые свойства реестра" задайте следующие значения:
   • В действии: обновление
   • В Hive: HKEY_LOCAL_MACHINE
   • Путь к ключу: перейдите к SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider
   • Включен тип имени значения
   • Тип значения: REG_DWORD
   • В данных значения: тип 0
7. Для всех остальных параметров используются значения по умолчанию и нажмите кнопку ОК
8. Свяжите объект групповой политики с подразделением, где находятся ваши члены.
9. Подождите или вручную принудите обновление групповой политики к члену домена.

Вернитесь к члену домена и из командной строки с повышенными привилегиями повторно запустите w32tm /query /source и сравните выходные данные с данными, которые вы указали в начале конфигурации. Теперь для контроллера домена будет задано значение, которое удовлетворяет запросу на проверку подлинности участника.

Следующие шаги

Ниже приведены ссылки на дополнительные материалы по синхронизации времени:

• Средства и параметры службы времени Windows
• Улучшения Windows Server 2016
• Точное время в Windows Server 2016
• Граница области поддержки для настройки службы времени Windows для сред высокой точности