Настройка контроллеров домена в разных подсетях

Zerox Обновлено: 07.06.2015 Windows 42 комментария 61,318 Просмотры

Планирование установки Active Directory в разных подсетях

Итак, у нас имеется две подсети 10.1.3.0/24 и 10.1.4.0/24, в каждой из которых некоторое количество компьютеров и сетевых шар. Нужно объединить все это в один домен. Сети соединены между собой vpn тоннелем, компьютеры пингуют друг друга в обе стороны, проблем с сетевым доступом нет.

Для нормальной работы службы Active Directory установим в каждой подсети по контроллеру домена и настроим репликацию между ними. Использовать будем Windows Server 2012R2. Последовательность действий следующая:

  • Устанавливаем контроллер домена в одной подсети, поднимаем на нем новый домен в новом лесу
  • Устанавливаем контроллер домена во второй подсети и добавляем его в домен
  • Настраиваем между доменами репликацию

Первый контроллер домена будет называться xs-winsrv с адресом 10.1.3.4, второй — xm-winsrv 10.1.4.6. Домен, который мы будем создавать будет называться

Решение проблемы рассинхронизации времени в виртуальных машинах, расположенных на серверах VMware ESX 1

Теория

Некоторые виртуальные Windows машины находятся не в домене, следовательно, они не синхронизируют время с контроллером домена. По этой же причине не синхронизируются и Linix системы. Машины, находящиеся в домене, принудительно синхронизируют время с контроллером домена, но после перезагрузки они берут время из аппаратных часов, которые, в свою очередь, находятся на платформе VMware и являются для нее системными, поэтому нет большого смысла синхронизировать каждую виртуальную машину по отдельности. Таким образом, необходимо настроить синхронизацию на самих хостах VMware.

Как это сделать:

Не надо пытаться настроить скриптами из консоли хостов, т.к. vSphere перехватывает управление и делает так как настроено в нем. Если NTP клиент не запущен, то синхронизация происходить не будет даже из консоли (но это как бы очевидно:).

Читайте также:  Как отключить ipv6 с помощью групповых политик в windows server 2008R2/2012R2

Настройка синхронизации времени хостов VMware производится из vSphere Client. На всех хостах в качестве NTP сервера должен быть указан IP адрес контроллера домена ().

Но толку от этого всего мало, если не синхронизировать аппаратные часы серверов (железяк) с системными часами VMwarе, т.к. при загрузке система будет брать именно это время, делается это командой hwclock —systohc из консоли.

Некоторые команды для работы со временем:

# Просмотр времени с аппаратных часов: hwclock # Просмотр времени с системных часов: date ###Синхронизация времени с аппаратными часами: # хардванрное время в соответствии с системным: hwclock —systohc # системное время в соответствии с хардварным: hwclock —hctosys

Практика

Таким образом, в конечном итоге, для синхронизации надо

1. На каждом хосте VMwarе выполнить по две команды:

sntp -P no -r hwclock —systohc

2. Настроить синхронизацию времени хостов из vSphere Client в «/home/inventory/host and clusters/HOST/configuration/time configuration/properties»

Где HOST — это имя сервера VMwarе.

Похожие записи

  1. Смена IP адреса на VMware ESX 4.1
  2. Обновление VMware ESXi 5.5
  3. Повисшая виртуалка на VMware vSphere 5.5
  4. VDP: [001] The most recent checkpoint for the VDP appliance is outdated
  5. Не работает веб-интерфейс управления VDP

Настройка синхронизации времени по NTP с помощью групповых политик

  /  Active Directory  /  Групповые политики  /  Настройка синхронизации времени по NTP с помощью групповых политик

itpro Active Directory, Групповые политики комментариев 26

Служба времени Windows, несмотря на кажущуюся простоту, является одной из основ, необходимых для нормального функционирования домена Active Directory.

В правильно настроенной среде AD служба времени работает следующим образом: компьютеры пользователей получают точное время от ближайшего контроллера домена, на котором они зарегистрировались.

Все контроллеры домена в свою очередь получают точное время от DC с FSMO ролью «Эмулятор PDC», а контролер PDC синхронизирует свое время с неким внешним источником времени. В качестве внешнего источника времени может выступать один или несколько NTP серверов, например

com или NTP сервер вашего Интернет-провайдера. Также нужно отметить, что по умолчанию клиенты в домене синхронизируют время с помощью службы времени Windows (Windows Time), а не с помощью протокола NTP.

Если вы столкнулись с ситуацией, когда время на клиентах и контроллерах домена различается, возможно, в вашем домене есть проблемы с синхронизацией времени и эта статья будет вам полезна.

Читайте также:  Windows 8 чёрный экран с курсором. Что делать?

В первую очередь выберите подходящий NTP сервер, который вы могли бы использовать. Список общедоступных NTP серверов доступен на сайте В нашем примере мы будем использовать NTP сервера из пула :

Настройка синхронизации времени в домене с помощью групповых политик состоит из двух шагов:

1) Создание GPO для контроллера домена с ролью PDC2) Создание GPO для клиентов (опционально)

Настройка политики синхронизации NTP на контролере домена PDC

Этот шаг предполагает настройку контроллера домена с ролью эмулятора PDC на синхронизацию времени с внешним NTP сервером. Т.к. теоретически роль эмулятора PDC может перемещаться между контроллерами домена, нам нужно сделать политику, которая применялась бы только к текущему владельцу роли PDC.

Для этого в консоли управления Group Policy Management Console (), создадим новый WMI фильтр групповых политик.

Для этого в разделе WMI Filters создадим фильтр и именем PDC Emulator и WMI запросом: Select * from Win32_ComputerSystem where DomainRole = 5

Затем создайте новую GPO и назначьте ее на контейнер Domain Controllers.

Перейдите в режим редактирования политики и разверните следующий раздел политик: Computer Configuration->Administrative Templates->System->Windows Time Service->Time Providers

Нас интересуют три политики:

  • Configure Windows NTP Client: Enabled (настройки политики описаны ниже)
  • Enable Windows NTP Client: Enabled
  • Enable Windows NTP Server: Enabled

В настройках политики Configure Windows NTP Client укажите следующие параметры:

  • NtpServer: ,0x1 ,0x1 ,0x1 ,0x1
  • Type: NTP
  • CrossSiteSyncFlags: 2
  • ResolvePeerBackoffMinutes: 15
  • Resolve Peer BAckoffMaxTimes: 7
  • SpecilalPoolInterval: 3600
  • EventLogFlags: 0

Примените созданный ранее фильтр PDC Emulator к данной политике.

Осталось обновить политики на контроллере PDC:gpupdate /force

Вручную запустите синхронизацию времени:w32tm /resync

Проверьте текущие настройки NTP:w32tm /query /status

Настройка синхронизации времени на клиентах домена

В среде Active Directory по умолчанию клиенты домена синхронизируют свое время с контролерами домена (опция Nt5DS – синхронизировать время согласно иерархии домена).

Как правило, эта схема работает и не требует перенастройки.

Читайте также:  Блокировка всплывающих окон в браузере Opera

Однако при наличии проблем с синхронизацией времени на клиентах домена, можно попробовать принудительно назначить сервер времени для клиентов с помощью GPO.

Для этого создайте новую GPO и назначьте ее на контейнеры (OU) с компьютерами. В редакторе GPO перейдите в раздел Computer Configuration -> Administrative Templates -> System -> Windows Time Service -> Time Providers и включите политику Configure Windows NTP Client.

В качестве сервера NTP укажите имя или ip адрес PDC, например ,0x9, а в качестве типа синхронизации — NT5DS

Обновите настройки групповых политик на клиентах и проверьте, что клиенты успешно синхронизировали свое время с PDC.

Предыдущая статья Следующая статья

Настройка групповых политик

Для того чтобы действительно убедить ваши компьютеры под Windows использовать настройки времени, получаемые от контроллера домена, необходимо настроить групповые политики.

Чтобы установить новую групповую политику, откройте средство управления политиками на контроллере домена или на компьютере, на котором установлены средства администрирования удаленного сервера. Разверните свой домен. Щелкните правой кнопкой мыши по пункту Group Policy Objects и нажмите New. Дайте новой политике имя и нажмите ОК.

Кликните правой кнопкой по новой политике и нажмите Edit. Это запустит окно редактора политики группы.

Перейдите в Computer Configuration > Policies > Administrative Templates > System -> Windows Time Service > Time Providers. На правой панели дважды щелкните Enable Windows NTP Client. Установите опцию в положение Enabled и нажмите ОК.

Затем дважды щелкните Configure Windows NTP Client. Настройте параметры, как на рисунке ниже, добавив 0x1 в поле NtpServer, чтобы получилось , 0x1.

После сохранения групповой политики закройте редактор. Вы вернетесь в окно консоли управления основной политикой группы.

Если в вашем домене имеется большое количество политик, щелкните правой кнопкой по новой политике и перейдите в GPO Status > User Configuration Settings Disabled. Это ускорит обработку каждой политики.

Теперь нажмите правой кнопкой мыши по объекту Active Directory, к которому вы хотите применить эту политику, и нажмите Link an Existing GPO. Выделите новую политику и нажмите ОК. При необходимости повторите действия для других объектов.

Помните, что вложенные объекты наследуют групповую политику от своего родителя, если наследование не заблокировано или у дочернего объекта нет собственной связанной групповой политики с конфликтующими настройками.