Konfigurera tidsmekanismen för Active Directory Windows Virtual Machines i Azure

Gäller för: ✔️ Virtuella Windows-datorer

Använd den här guiden om du vill lära dig hur du konfigurerar tidssynkronisering för dina virtuella Azure Windows-datorer som tillhör en Active Directory-domän.

Tidssynkroniseringshierarki i Active Directory-domän Services

Tidssynkronisering i Active Directory bör hanteras genom att endast tillåta PDC att komma åt en extern tidskälla eller NTP-server.

Alla andra domänkontrollanter skulle sedan synkronisera tiden mot PDC och alla andra medlemmar får sin tid från domänkontrollanten som uppfyllde medlemmens autentiseringsbegäran.

Om du har en Active Directory-domän som körs på virtuella datorer i Azure följer du de här stegen för att konfigurera Tidssynkronisering korrekt.

Kommentar

Den här guiden fokuserar på att använda konsolen Grupprinciphantering för att utföra konfigurationen. Du kan uppnå samma resultat med hjälp av kommandotolken, PowerShell eller genom att ändra registret manuellt. Dessa metoder finns dock inte i omfånget i den här artikeln.

Grupprincipobjekt för att tillåta att PDC synkroniseras med en extern NTP-källa

Om du vill kontrollera aktuell tidskälla i din PDC kör du w32tm /query /source från en upphöjd kommandotolk och noterar utdata för senare jämförelse.

1. Kör gpmc.msc från Start.
2. Bläddra till skogen och domänen där du vill skapa grupprincipobjektet.
3. Skapa ett nytt grupprincipobjekt, till exempel PDC Time Sync, i containerns grupprincipobjekt.
4. Högerklicka på det nyligen skapade grupprincipobjektet och Redigera.
5. Gå till den globala konfigurationsprincipen Inställningar under Datorkonfiguration ->Administrativa mallar ->System ->Windows Time Service.
6. Ställ in den på Aktiverad och konfigurera parametern AnnounceFlags till 5.
7. Gå till Datorkonfiguration -> Administrativa mallar ->System ->Windows Time Service ->Time Providers.
8. Dubbelklicka på principen Konfigurera Windows NTP-klient och ange den till Aktiverad, konfigurera parametern NTPServer så att den pekar på en IP-adress eller FQDN för en tidsserver följt av ,0x9 till exempel: 131.107.13.100,0x9 och konfigurera Typ till NTP. För alla andra parametrar kan du använda standardvärdena eller använda anpassade enligt företagets behov.
9. Klicka på knappen Nästa inställning, ange Aktivera Windows NTP-klientprincip till Aktiverad och klicka på OK
10. På fliken Omfång i det nyligen skapade grupprincipobjektet navigerar du till säkerhetsfiltrering och markerar gruppen Autentiserade användare –> Klicka på knappen Ta bort ->OK ->OK
11. Skapa ett WMI-filter för att dynamiskt hämta domänkontrollanten som innehåller PDC-rollen:
    • I konsolen Grupprinciphantering navigerar du till WMI-filter, högerklickar på den och väljer Ny.
    • I fönstret Nytt WMI-filter anger du ett namn för det nya filtret, till exempel Hämta PDC-emulator –> Fyll i fältet Beskrivning (valfritt) –> Klicka på knappen Lägg till .
    • I fönstret WMI-fråga lämnar du namnområdet som det är, i textrutan Fråga klistrar du in följande sträng Select * from Win32_ComputerSystem where DomainRole = 5och klickar sedan på ok-knappen.
    • I fönstret Nytt WMI-filter klickar du på knappen Spara .
12. På fliken Omfång i det nyligen skapade grupprincipobjektet navigerar du till listrutan WMI-filtrering och väljer det tidigare skapade WMI-filtret och klickar sedan på OK.
13. På fliken Omfång i det nyligen skapade grupprincipobjektet navigerar du till säkerhetsfiltreringen och klickar på knappen Lägg till och bläddrar efter gruppen Domänkontrollanter och klickar sedan på KNAPPEN OK.
14. Länka grupprincipobjektet till organisationsenheten domänkontrollanter .

Kommentar

Det kan ta upp till 15 minuter innan dessa ändringar återspeglas av systemet.

Från en upphöjd kommandotolk kör du w32tm /query /source igen och jämför utdata med den som du antecknade i början av konfigurationen. Nu ställs den in på den NTP-server som du har valt.

Dricks

Om du vill påskynda processen med att ändra NTP-källan på din PDC, från en upphöjd kommandotolk kör gpupdate /force, följt av w32tm /resync /nowait, kör sedan w32tm /query /source igen. Utdata ska vara den NTP-server som du använde i ovanstående grupprincipobjekt.

Grupprincipobjekt för medlemmar

Vanligtvis följer NTP i Active Directory-domän Services den AD DS-tidshierarki som nämns i början av den här artikeln och ingen ytterligare konfiguration krävs.

Virtuella datorer som finns i Azure har dock specifika säkerhetsinställningar som tillämpas direkt av molnplattformen.

För alla andra domänmedlemmar som inte är domänkontrollanter måste du ändra registret och ange värdet till 0 i nyckeln Aktiverad under HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider

Viktigt!

Kom ihåg att allvarliga problem kan uppstå om du ändrar registret felaktigt. Se därför till att du följer dessa steg noggrant och testar dem på ett par virtuella testdatorer för att se till att du får det förväntade resultatet. För extra skydd, säkerhetskopiera registret innan du ändrar det. Du kan sedan återställa registret om det uppstår problem. Följ stegen nedan för hur du säkerhetskopierar och återställer Windows-registret.

Säkerhetskopiera registret

1. Från Starttyp regedit.exe och tryck sedan på Enter. Om du ombes ange ett administratörslösenord eller en bekräftelse skriver du lösenordet eller anger bekräftelsen.
2. I fönstret Registereditorn letar du upp och klickar på registernyckeln eller undernyckeln som du vill säkerhetskopiera.
3. Välj Exportera på Arkiv-menyn.
4. I dialogrutan Exportera registerfil väljer du den plats där du vill spara säkerhetskopian, anger ett namn för säkerhetskopieringsfilen i fältet Filnamn och klickar sedan på Spara.

Återställa en registersäkerhetskopia

1. Från Starttyp regedit.exe och tryck sedan på Enter. Om du ombes ange ett administratörslösenord eller en bekräftelse skriver du lösenordet eller anger bekräftelsen.
2. I fönstret Registereditorn går du till menyn Arkiv och väljer Importera.
3. I dialogrutan Importera registerfil väljer du den plats där du sparade säkerhetskopian, väljer säkerhetskopian och klickar sedan på Öppna.

Grupprincipobjekt för att inaktivera VMICTimeProvider

Konfigurera följande grupprincipobjekt så att domänmedlemmar kan synkronisera tid med domänkontrollanter på motsvarande Active Directory-plats:

Om du vill kontrollera aktuell tidskälla loggar du in på valfri domänmedlem och från en upphöjd kommandotolk kör w32tm /query /source och noterar utdata för senare jämförelse.

1. Från en domänkontrollant går du till Starta kör gpmc.msc.
2. Bläddra till skogen och domänen där du vill skapa grupprincipobjektet.
3. Skapa ett nytt grupprincipobjekt, till exempel Klienter tidssynkronisering, i containerns grupprincipobjekt.
4. Högerklicka på det nyligen skapade grupprincipobjektet och Redigera.
5. Gå till Datorkonfiguration ->Inställningar ->Windows Inställningar –> Högerklicka på Register ->Nytt ->Registerobjekt
6. I fönstret Nya registeregenskaper anger du följande värden:
   • Vid åtgärd:Uppdatera
   • På Hive:HKEY_LOCAL_MACHINE
   • På nyckelsökväg: bläddra till SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider
   • På Värdenamnstypaktiverad
   • Vid värdetyp: REG_DWORD
   • På Värdedata: typ 0
7. För alla andra parametrar använder du standardvärdena och klickar på OK
8. Länka grupprincipobjektet till organisationsenheten där dina medlemmar finns.
9. Vänta eller framtvinga en grupprincipuppdatering manuellt på domänmedlemmen.

Gå tillbaka till domänmedlemmen och från en upphöjd kommandotolk och kör w32tm /query /source igen och jämför utdata med de som du antecknade i början av konfigurationen. Nu ställs den in på domänkontrollanten som uppfyllde medlemmens autentiseringsbegäran.

Nästa steg

Nedan visas länkar till mer information om tidssynkronisering:

• Verktyg och Inställningar för Windows Time Service
• Förbättringar av Windows Server 2016
• Korrekt tid för Windows Server 2016
• Stödgräns för att konfigurera Windows-tidstjänsten för miljöer med hög noggrannhet