Zerox Обновлено: 07.06.2015 Windows 42 комментария 61,318 Просмотры
Планирование установки Active Directory в разных подсетях
Итак, у нас имеется две подсети 10.1.3.0/24 и 10.1.4.0/24, в каждой из которых некоторое количество компьютеров и сетевых шар. Нужно объединить все это в один домен. Сети соединены между собой vpn тоннелем, компьютеры пингуют друг друга в обе стороны, проблем с сетевым доступом нет.
Для нормальной работы службы Active Directory установим в каждой подсети по контроллеру домена и настроим репликацию между ними. Использовать будем Windows Server 2012R2. Последовательность действий следующая:
-
- Настройка времени для виртуальных контроллеров домена
-
- Настройка синхронизации времени по NTP с помощью групповых политик | Windows для системных администраторов
-
- Как указать сервер точного времени для контроллеров домена Active Directory
-
- Как настроить время на контроллере домена
-
- Изменить время на доменном компьютере. Настройка синхронизации времени по NTP с помощью групповых политик. Настройка политики синхронизации NTP на контролере домена PDC
- Устанавливаем контроллер домена в одной подсети, поднимаем на нем новый домен в новом лесу
- Устанавливаем контроллер домена во второй подсети и добавляем его в домен
- Настраиваем между доменами репликацию
Первый контроллер домена будет называться xs-winsrv с адресом 10.1.3.4, второй — xm-winsrv 10.1.4.6. Домен, который мы будем создавать будет называться
Решение проблемы рассинхронизации времени в виртуальных машинах, расположенных на серверах VMware ESX 1
Теория
Некоторые виртуальные Windows машины находятся не в домене, следовательно, они не синхронизируют время с контроллером домена. По этой же причине не синхронизируются и Linix системы. Машины, находящиеся в домене, принудительно синхронизируют время с контроллером домена, но после перезагрузки они берут время из аппаратных часов, которые, в свою очередь, находятся на платформе VMware и являются для нее системными, поэтому нет большого смысла синхронизировать каждую виртуальную машину по отдельности. Таким образом, необходимо настроить синхронизацию на самих хостах VMware.
Как это сделать:
Не надо пытаться настроить скриптами из консоли хостов, т.к. vSphere перехватывает управление и делает так как настроено в нем. Если NTP клиент не запущен, то синхронизация происходить не будет даже из консоли (но это как бы очевидно:).
Настройка синхронизации времени хостов VMware производится из vSphere Client. На всех хостах в качестве NTP сервера должен быть указан IP адрес контроллера домена ().
Но толку от этого всего мало, если не синхронизировать аппаратные часы серверов (железяк) с системными часами VMwarе, т.к. при загрузке система будет брать именно это время, делается это командой hwclock —systohc из консоли.
Некоторые команды для работы со временем:
# Просмотр времени с аппаратных часов: hwclock # Просмотр времени с системных часов: date ###Синхронизация времени с аппаратными часами: # хардванрное время в соответствии с системным: hwclock —systohc # системное время в соответствии с хардварным: hwclock —hctosys
Практика
Таким образом, в конечном итоге, для синхронизации надо
1. На каждом хосте VMwarе выполнить по две команды:
sntp -P no -r hwclock —systohc
2. Настроить синхронизацию времени хостов из vSphere Client в «/home/inventory/host and clusters/HOST/configuration/time configuration/properties»
Где HOST — это имя сервера VMwarе.
Похожие записи
- Смена IP адреса на VMware ESX 4.1
- Обновление VMware ESXi 5.5
- Повисшая виртуалка на VMware vSphere 5.5
- VDP: [001] The most recent checkpoint for the VDP appliance is outdated
- Не работает веб-интерфейс управления VDP
Настройка синхронизации времени по NTP с помощью групповых политик
/ Active Directory / Групповые политики / Настройка синхронизации времени по NTP с помощью групповых политик
itpro Active Directory, Групповые политики комментариев 26
Служба времени Windows, несмотря на кажущуюся простоту, является одной из основ, необходимых для нормального функционирования домена Active Directory.
В правильно настроенной среде AD служба времени работает следующим образом: компьютеры пользователей получают точное время от ближайшего контроллера домена, на котором они зарегистрировались.
Все контроллеры домена в свою очередь получают точное время от DC с FSMO ролью «Эмулятор PDC», а контролер PDC синхронизирует свое время с неким внешним источником времени. В качестве внешнего источника времени может выступать один или несколько NTP серверов, например
com или NTP сервер вашего Интернет-провайдера. Также нужно отметить, что по умолчанию клиенты в домене синхронизируют время с помощью службы времени Windows (Windows Time), а не с помощью протокола NTP.
Если вы столкнулись с ситуацией, когда время на клиентах и контроллерах домена различается, возможно, в вашем домене есть проблемы с синхронизацией времени и эта статья будет вам полезна.
В первую очередь выберите подходящий NTP сервер, который вы могли бы использовать. Список общедоступных NTP серверов доступен на сайте В нашем примере мы будем использовать NTP сервера из пула :
Настройка синхронизации времени в домене с помощью групповых политик состоит из двух шагов:
1) Создание GPO для контроллера домена с ролью PDC2) Создание GPO для клиентов (опционально)
Настройка политики синхронизации NTP на контролере домена PDC
Этот шаг предполагает настройку контроллера домена с ролью эмулятора PDC на синхронизацию времени с внешним NTP сервером. Т.к. теоретически роль эмулятора PDC может перемещаться между контроллерами домена, нам нужно сделать политику, которая применялась бы только к текущему владельцу роли PDC.
Для этого в консоли управления Group Policy Management Console (), создадим новый WMI фильтр групповых политик.
Для этого в разделе WMI Filters создадим фильтр и именем PDC Emulator и WMI запросом: Select * from Win32_ComputerSystem where DomainRole = 5
Затем создайте новую GPO и назначьте ее на контейнер Domain Controllers.
Перейдите в режим редактирования политики и разверните следующий раздел политик: Computer Configuration->Administrative Templates->System->Windows Time Service->Time Providers
-
- PC360 — Настройка контроллера домена на WindowsServer2012.
-
- Как настроить NTP сервер и синхронизацию времени в домене Active Directory | Настройка серверов windows и linux
-
- Как настроить NTP сервер и синхронизацию времени в домене Active Directory | Настройка серверов windows и linux
-
- Как настроить время на контроллере домена
-
- Синхронизации времени VMware vSphere с доменом Windows | Windows для системных администраторов
Нас интересуют три политики:
- Configure Windows NTP Client: Enabled (настройки политики описаны ниже)
- Enable Windows NTP Client: Enabled
- Enable Windows NTP Server: Enabled
В настройках политики Configure Windows NTP Client укажите следующие параметры:
- NtpServer: ,0x1 ,0x1 ,0x1 ,0x1
- Type: NTP
- CrossSiteSyncFlags: 2
- ResolvePeerBackoffMinutes: 15
- Resolve Peer BAckoffMaxTimes: 7
- SpecilalPoolInterval: 3600
- EventLogFlags: 0
Примените созданный ранее фильтр PDC Emulator к данной политике.
Осталось обновить политики на контроллере PDC:gpupdate /force
Вручную запустите синхронизацию времени:w32tm /resync
Проверьте текущие настройки NTP:w32tm /query /status
Настройка синхронизации времени на клиентах домена
В среде Active Directory по умолчанию клиенты домена синхронизируют свое время с контролерами домена (опция Nt5DS – синхронизировать время согласно иерархии домена).
Как правило, эта схема работает и не требует перенастройки.
Однако при наличии проблем с синхронизацией времени на клиентах домена, можно попробовать принудительно назначить сервер времени для клиентов с помощью GPO.
Для этого создайте новую GPO и назначьте ее на контейнеры (OU) с компьютерами. В редакторе GPO перейдите в раздел Computer Configuration -> Administrative Templates -> System -> Windows Time Service -> Time Providers и включите политику Configure Windows NTP Client.
В качестве сервера NTP укажите имя или ip адрес PDC, например ,0x9, а в качестве типа синхронизации — NT5DS
Обновите настройки групповых политик на клиентах и проверьте, что клиенты успешно синхронизировали свое время с PDC.
Предыдущая статья Следующая статья
Настройка групповых политик
Для того чтобы действительно убедить ваши компьютеры под Windows использовать настройки времени, получаемые от контроллера домена, необходимо настроить групповые политики.
Чтобы установить новую групповую политику, откройте средство управления политиками на контроллере домена или на компьютере, на котором установлены средства администрирования удаленного сервера. Разверните свой домен. Щелкните правой кнопкой мыши по пункту Group Policy Objects и нажмите New. Дайте новой политике имя и нажмите ОК.
Кликните правой кнопкой по новой политике и нажмите Edit. Это запустит окно редактора политики группы.
Перейдите в Computer Configuration > Policies > Administrative Templates > System -> Windows Time Service > Time Providers. На правой панели дважды щелкните Enable Windows NTP Client. Установите опцию в положение Enabled и нажмите ОК.
Затем дважды щелкните Configure Windows NTP Client. Настройте параметры, как на рисунке ниже, добавив 0x1 в поле NtpServer, чтобы получилось , 0x1.
После сохранения групповой политики закройте редактор. Вы вернетесь в окно консоли управления основной политикой группы.
Если в вашем домене имеется большое количество политик, щелкните правой кнопкой по новой политике и перейдите в GPO Status > User Configuration Settings Disabled. Это ускорит обработку каждой политики.
Теперь нажмите правой кнопкой мыши по объекту Active Directory, к которому вы хотите применить эту политику, и нажмите Link an Existing GPO. Выделите новую политику и нажмите ОК. При необходимости повторите действия для других объектов.
Помните, что вложенные объекты наследуют групповую политику от своего родителя, если наследование не заблокировано или у дочернего объекта нет собственной связанной групповой политики с конфликтующими настройками.
