Bt-teh.ru

БТ Тех
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Синхронизировать все машины домена

Синхронизировать все машины домена

КАК ПРАВИЛЬНО НАСТРОИТЬ СЛУЖБУ ВРЕМЕНИ НА КОНТРОЛЛЕРЕ ДОМЕНА В СРЕДЕ ВИРТУАЛЬНЫХ МАШИ Н С ИСПОЛЬЗОВАНИЕМ ТЕХНОЛОГИИ HYPER-V.

Использование виртуальной среды Hyper-V операционной системы Windows 2008 Server для развертывания системы управления доменом Windows любого уровня предоставляет администраторам массу преимуществ в сравнении с использованием аппаратного способа.

Основными преимуществами виртуального способа размещения контроллеров домена и различных серверов, обслуживающих домен, являются гибкость в конфигурировании и размещении самих виртуальных машин и высокая надежность резервного копирования важнейшей информации. Можно добавить высокую эффективность такой среды в исследовательских и экспериментальных целей.

Основной проблемой при развертывании контроллеров домена в виртуальной среде является обеспечение правильного функционирования службы времени в домене, поскольку все компьютеры-члены домена синхронизируют собственные часы именно по первому контроллеру домена, а время в виртуальной машине может значительно отличаться от реального за счет особенностей функционирования самой виртуальной среды и зависит от нагрузки на физический хост, на котором размещена виртуальная машина-контроллер домена, от способа синхронизации внутренних часов физического хоста и от способа управления временем на виртуальном хосте-контроллере домена.

Особенности построения виртуальной сети, в которой работают физический хост с виртуальной средой и виртуальные контроллеры домена рассмотрены в данной статье, поэтому здесь будем считать, что виртуальная сеть создана и правильно настроена. Кроме того, будем считать, что контроллеры домена также созданы и правильно настроены, и что сам домен функционирует правильно.

В домене используется следующая схема синхронизации времени:

— Контроллер корневого домена в лесу AD, которому принадлежит роль PDC (назовем его корневым PDC), является источником времени для всех остальных контроллеров этого домена.

— Контроллеры дочерних доменов синхронизируют время с вышестоящих по топологии AD контроллеров домена.

— Рядовые члены домена (сервера и рабочие станции) синхронизируют свое время с ближайшим к ним доступным контроллером домена, соблюдая топологию AD.

Корневой PDC может синхронизировать свое время как со внешним источником, так и с самим собой, последнее задано конфигурацией по умолчанию и является абсурдом, о чем периодически намекают ошибки в системном журнале.

Синхронизация клиентов корневого PDC может осуществятся как с его внутренних часов, так и с внешнего источника. В первом случае сервер времени корневого PDC объявляет себя как «надежный» (reliable).

ВАЖНО: Если физический хост, на котором размещены виртуальные контроллеры домена, НЕ ЯВЛЯЕТСЯ ЧЛЕНОМ ЭТОГО ДОМЕНА, то проблемы синхронизации времени не возникнет, но только при условии, что все контроллеры домена размещены на таких же хостах — не входящих в домен.

Поскольку не всегда возможно обеспечить выполнение этого условия — мастер-хост не является членом домена — то придется менять принятую систему синхронизации времени.

В виртуальной среде управление временем виртуальных машин осуществляется службой синхронизации времени, что очень полезно для рядовых машин, но противопоказано для контроллеров домена потому, что в этом случае весьма вероятен цикл, при котором контроллер домена и хостовая ОС будут синхронизировать друг друга .

А потому служба синхронизации времени виртуальной машины и хостовой ОС должны быть выключены для всех виртуальных контроллеров домена .

Это легко сделать в панели настройки параметров виртуальной машины, открыв ее в Диспетчере сервера и перейдя в раздел Службы интеграции. В предлагаемых для использования службах следует снять чек у параметра Служба времени, как показано на картинке.

ВАЖНО: Это действие необходимо проделать для всех виртуальных машин, которые выполняют функцию контроллеров домена.

После отключения параметра Служба времени пакета интеграции необходимо настроить службу времени самого контроллера домена. Для этого требуется ряд несложных действий:

1. Включить синхронизацию внутренних часов с внешним источником пуем правки реестра

2. Объявить NTP -сервер в качестве источника времени путем правки реестра

3. Проверить факт включения NTP -сервера в реестре

4. Задать список снешних источников для синхронизации путем правки реестра

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParameters]
«NtpServer»=»time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 ru.pool.ntp.org,0x8» .

Флаг 0×8 на конце означает, что синхронизация должна происходить в режиме клиента NTP, через предложенные этим сервером интервалы времени. Для того, чтобы задать свой интервал синхронизации, необходимо использовать флаг 0×1.

5. Задать интервал синхронизации с внешним источником путем правки реестра

Время в секундах между опросами источника синхронизации, по умолчанию 900с = 15мин. Работает только для источников, помеченных флагом 0×1.

6. Установить интервал минимальноой и максимальной коррекции — рекомендуемое значение 0xFFFFFFFF, при котором коррекция сможет производиться всегда.

7. Перезапустить контроллер домена. Основные настройки сервера времени показаны на картинке.

ВАЖНО: указанные действия можно проделать только на главном контроллере домена — PDC , однако настоятельно рекомендуется провести аналогичную настройку на всех виртуальных контроллерах в домене, даже если они расположены на одном физическом хосте. Накладные расходы на частую коррекцию времени на резервных контроллерах невелики, однако остановка первичного контроллера на значительное время в этом случае не вызовет существенных проблем.

ВНИМАНИЕ .

Главным недостатком использования виртуальной среды для размещения контроллеров домена с описанной схемой синхронизации времени является некорректная работа домена в случае длительной — сутки и более — неработоспособности физического хоста с виртуальными контроллерами домена, размещенным на нем.

В этом случае рассинхронизация часов физической машины и виртуального компьютера выйдет за допустимые в Windows пределы и работоспособность системы может оказаться под угрозой — контроллер домена не сможет выйти в интернет для синхронизации времени, пользователи не смогут регистрироваться в системе и т.д.. Если предполагается частое отключение системы на длительные сроки, то для исключения такой проблемы надо использовать физический хост, не входящий в домен, или вручную устанавливать часы контроллера домена в более-менее правильное положение с последующей его перезагрузкой.

Читать еще:  Регулировка подачи теплоносителя в радиаторах отопления

Режим синхронизации — Active Directory / Open Directory / LDAP

Чтобы создать серверную задачу, выберите Задачи > Создать > alt=»add_new_default» width=»16″ height=»16″ />Серверная задача или выберите нужный тип задачи слева и щелкните Создать > alt=»add_new_default» width=»16″ height=»16″ />Серверная задача .

Основная информация

В разделе Основное введите основную информацию о задаче, например имя и описание (необязательно). Щелкните Выбрать теги , чтобы назначить теги.
В раскрывающемся меню Задача выберите тип задачи, который требуется создать и настроить. Если вы задали конкретный тип задачи перед созданием задачи, в меню Задача будет установлен тип на основе предыдущего выбора. Задача (см. список всех задач) определяет параметры и поведение для задачи.

Можно также выбрать следующие параметры триггера задачи.

• Запустить задачу сразу после завершения. Выберите этот параметр, чтобы задача запускалась автоматически после нажатия кнопки «Готово».

• Настроить триггер. Выберите этот параметр, чтобы включить раздел Триггер , где можно настроить параметры триггера.

Чтобы задать триггер позже, оставьте эти флажки неустановленными.

Параметры

Общие параметры

Щелкните Выбрать в разделе Имя статической группы . По умолчанию для синхронизированных компьютеров будет использоваться домашняя группа исполняющего пользователя. Или же можно создать статическую группу .

• Объекты для синхронизации : либо Компьютеры и группы , либо Только компьютеры .

• Обработка конфликтов создания компьютеров . Если при синхронизации добавляются компьютеры, которые уже являются членами статической группы, можно выбрать один из следующих способов разрешения конфликта:

o Пропустить (синхронизированные компьютеры не добавляются).

o Переместить (новые компьютеры перемещаются в подгруппу).

o Дублировать (новый компьютер создается с измененным именем).

• Обработка устаревания компьютеров . Если компьютер больше не существует, его можно либо удалить , либо пропустить .

• Действия при устаревании группы . Если группа больше не существует, ее можно либо удалить , либо пропустить .

Если для параметра Действия при устаревании группы задать значение Пропустить и удалить группу (подразделение) из Active Directory, то компьютеры, принадлежащие к группе в ESET PROTECT, не будут удалены, даже если вы задали для их параметра Действия при устаревании группы значение Удалить .

• Режим синхронизации — Active Directory / Open Directory / LDAP

Прочтите также нашу статью в базе знаний по управлению компьютерами с помощью использования синхронизации Active Directory в ESET PROTECT 8.

Параметры подключения к серверу

• Сервер — Введите имя сервера или IP-адрес контроллера домена.

• Данные для входа – Введите имя пользователя для контроллера домена в следующем формате:

o DOMAINusername (сервер ESET PROTECT запущен на компьютере под управлением Windows);

o username@FULL.DOMAIN.NAME или username (сервер ESET PROTECT запущен на компьютере под управлением Linux).

Обязательно вводите имя домена заглавными буквами; данное форматирование необходимо для надлежащей аутентификации запросов к серверу Active Directory.

• Пароль : введите пароль для входа на контроллер домена.

Сервер ESET PROTECT 8.0 в Windows по умолчанию использует зашифрованный протокол LDAPS (LDAP поверх SSL) для всех соединений с Active Directory (AD). Вы также можете сконфигурировать LDAPS на виртуальном устройстве ESET PROTECT.

Если на компьютере Windows произведено обновление с версий 6.5–7.1 до ESET PROTECT 8.0 и выполнена синхронизация Active Directory, в ESET PROTECT 8.0 перестанут работать задачи синхронизации.

Для успешного подключения к Active Directory по протоколу LDAPS необходимо выполнить перечисленные ниже действия по настройке.

1. На контроллере домена должен быть установлен сертификат компьютера. Чтобы выпустить сертификат для контроллера домена, выполните указанные ниже действия.

a) Откройте Диспетчер сервера , последовательно выберите пункты Управление > Добавить роли и компоненты и установите центр сертификации служб сертификации Active Directory . В разделе Доверенные корневые центры сертификации будет создан новый центр сертификации.

b) Щелкните Пуск , введите certmgr.msc и нажмите клавишу ВВОД , чтобы запустить оснастку MMC Сертификаты , выберите Сертификаты — локальный компьютер > Личные , щелкните правой кнопкой мыши пустую панель и выберите Все задачи > Запросить новый сертификат > Зарегистрировать роль контроллера домена .

c) Убедитесь, что выпущенный сертификат содержит FQDN контроллера домена.

d) На сервере ESMC импортируйте ЦС, созданный для хранилища сертификатов (с помощью средства certmgr.msc ), в папку доверенных центров сертификации.

2. При указании параметров подключения к серверу Active Directory введите FQDN контроллера домена (как оно указано в сертификате контроллера домена) в поле Сервер или Хост . IP-адрес более не является достаточным для LDAPS.

Чтобы включить откат к протоколу LDAP, установите флажок Использовать LDAP вместо Active Directory и введите атрибуты своего сервера. Можно также выбрать Предустановки , нажав кнопку Выбрать , после чего атрибуты будут заполнены автоматически.

• Mac OS X Server Open Directory (имена хостов компьютеров)

• Mac OS X Server Open Directory (IP-адреса компьютеров)

• Записи компьютеров OpenLDAP с Samba. Настройка параметров DNS-имя в Active Directory.

Если выбрать Вместо Active Directory использовать LDAP и предустановку Active Directory , вы можете заполнить сведения о компьютере атрибутами из вашей структуры Active Directory. Можно использовать только атрибуты типа DirectoryString . Вы можете использовать служебную программу (например, ADExplorer ) для проверки атрибутов на контроллере домена. См. соответствующие поля в таблице ниже.

Поля сведений о компьютере

Поля задачи синхронизации

Атрибут имени хоста компьютера

Атрибут описания компьютера

Параметры синхронизации

• Различающееся имя — Путь (различающееся имя) к узлу в дереве Active Directory. Если оставить этот параметр пустым, будет выполнена синхронизация всего дерева AD. Нажмите кнопку Обзор рядом с различающимся именем . Отобразится ваше дерево Active Directory. Выберите верхнюю запись, чтобы синхронизировать все группы с ESET PROTECT, или добавьте только группы, которые вы хотите добавить. Выполняется синхронизация только компьютеров и подразделений. Когда закончите, нажмите кнопку ОК .

Читать еще:  Синхронизация вспышки при длинной выдержке

• Исключенные различающиеся имена . Определенные узлы в дереве Active Directory можно исключить (игнорировать).

• Игнорировать отключенные компьютеры (только в Active Directory). Компьютеры, отключенные в Active Directory, можно игнорировать.

Если после нажатия кнопки Обзор возникает ошибка Server not find in Kerberos database , используйте полное доменное имя Active Directory вместо IP-адреса.

Сервер ESET PROTECT, запущенный на машине под управлением Linux, выполняет синхронизацию не так, как сервер на компьютере под управлением Windows. Процесс имеет следующий вид:

1. Необходимо ввести имя хоста и учетные данные контроллера домена.

2. Сервер проверяет учетные данные и преобразует их в билет Kerberos.

3. Сервер обнаруживает различающееся имя домена, если оно не введено.

4. А. Если снят флажок Вместо Active Directory использовать LDAP :
Несколько вызовов ldapsearch определяют иерархическую структуру. Упрощенный пример процесса получения записей от компьютера:

kinit <username>
(Это одна команда, разделенная на две строки.)
ldapsearch -LLL -Y GSSAPI -h ad.domain.com -b ‘DC=domain,DC=com’
‘(&(objectCategory=computer))’ ‘distinguishedName’ ‘dNSHostName’

Б. Если снят флажок Вместо Active Directory использовать LDAP :
Вызывается тот же процесс, что и в опции 4А, однако пользователь имеет возможность настроить параметры.

5. Kerberos использует механизм подтверждения для аутентификации пользователя и создания билета, который будет впоследствии использован другими службами для авторизации без отправки пароля в открытом виде (в отличие от варианта Использовать простую проверку подлинности ).

6. Затем утилита ldapsearch использует GSSAPI для аутентификации в Active Directory с помощью полученного билета Kerberos.

7. Результаты поиска возвращаются по незашифрованному каналу.

Триггер

Раздел Триггер содержит сведения о триггерах, запускающих задачу. Для каждой серверной задачи можно задать не более одного триггера. Каждый триггер может запустить только одну серверную задачу. Если параметр Настроить триггер не выбран в разделе Основная информация , триггер не будет создан. Задачу можно создать без триггера. Такую задачу можно впоследствии запустить вручную или добавить триггер позже.

Дополнительные параметры — регулирование

Параметр Регулирование позволяет задать дополнительные правила для созданного триггера. Настраивать регулирование не обязательно.

Сводка

Все настраиваемые параметры отображаются здесь. Проверьте настройки и нажмите кнопку Завершить .

В задачах отображаются индикатор хода выполнения, значок состояния и сведения о каждой созданной задаче.

Синхронизация времени Hyper-V для контроллера домена VM

Я получаю VM IC Time Synchronization Provider на обоих DC-серверах VM, я знаю, что это означает синхронизацию с хостом.

Когда я запускаю w32tm /resync /rediscover

Я получил «не пересинхронизировал, потому что не было данных времени», и идентификатор события 134 в журналах имеет какие-либо идеи по этому поводу?

Я также просмотрел журналы и получил событие 144 & 12

Я следил за подробностями MS KB по настройке внешнего источника времени и сделал все изменения реестра, но я думаю, что DNS меня достает?

Но когда я изменяю время на одной из физических машин, это время, из которого устанавливается время. Может быть, если я отменил регистрацию их всех и зарегистрируюсь, обновляю и синхронизирую, но я боюсь, что создаст большую проблему!

Я пытаюсь оставить синхронизацию времени между VM и Hyper-V Host включенными, поскольку я считаю, что это лучшая практика из того, что я прочитал.

Спасибо за помощь

Я, наконец, получил его работу! Цель состоит в том, чтобы помочь людям, начинающим с самого начала устанавливать время Домены.

В этом примере все серверы, первичный контроллер домена (PDC), другие контроллеры домена (DC) и другие серверы работают под управлением Windows 2008 R2 и виртуализируются с помощью Hyper-V.

Сначала вы сначала прочитаете, чтобы отключить «службу синхронизации синхронизации» на любой виртуальной машине в Hyper-V, но вместо этого вы должны управлять службой времени Windows (услуга w32tm) из виртуального DC, вы не должны отключать эту потому что, когда перезагрузка VM это вызовет проблемы, это должно быть сделано с помощью w32tm. http: //blogs .msdn.com /б /virtual_pc_guy /архив /2010/11/19 /временной синхронизации-в-гипер-v.aspx

Вам нужно будет узнать, какой сервер является PDC и запускает роли FSMO. Запустите это: netdom query fsmo Результатом должен быть ваш PDC, и именно здесь вы делаете большую часть своих изменений.

Убедитесь, что в брандмауэре есть правило «Исходящее» на UDP123, а программа% SystemRoot% System32 w32tm.exe просто просматривает каталог Windows и находит exe для времени

Здесь происходят изменения реестра! HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services W32Time

Убедитесь, что PDC в config в указанном выше реестре установлен в NTP для «type», а все остальные серверы NT5DS, это означает, что NTP — это папа! Лучшая практика заключается в том, чтобы PDC выглядел внешне за время, и все синхронизировалось с ним.

Запустите это на всех контроллерах домена (включая PDC), он частично отключит время Windows, чтобы он не смотрел на хост-машину на время, что важно, потому что мы виртуализированы. reg add HKLM SYSTEM CurrentControlSet Services W32Time TimeProviders VMICTimeProvider /v Включено /t reg_dword /d 0

Читать еще:  Регулировка унитаза смыва воды в унитазе

Вы можете перейти на ntp.org http://support.ntp.org/бен /вид /Серверы /WebHome чтобы найти ближайший к вам сервер, чтобы синхронизировать ваше внешнее время. Я рекомендую не использовать Microsoft, поскольку они сильно используются и могут выскользнуть из-за этого.

Ниже команды PDC будет выглядеть внешне, а также проверить настройки реестра, как это определено здесь, для синхронизации снаружи (вам нужно сделать оба) http://support.microsoft.com/kb/816042

Запустите это на PDC w32tm /config /manualpeerlist:»0.pool.ntp.org,0x1 «/syncfromflags: MANUAL /надежный: есть w32tm /config /update w32tm /resync w32tm /resync /rediscover

Запустите эти 2 команды в любой момент на любом сервере, чтобы увидеть их источник, и когда они будут обновлены в последний раз, они будут использоваться во время этого упражнения, чтобы убедиться, что ваш PDC и другие серверы получают время из нужного места w32tm /query /status w32tm /query /source

Затем запустите это на всех DC, кроме PDC, это заставит их посмотреть PDC на время и повторить синхронизацию с ним w32tm /config /syncfromflags: DOMHIER /обновление net stop w32time net start w32time w32tm /resync /force

Вопросы: Когда вы запускаете запрос Status или Source, дайте им минуту или 2 после изменений, вы не должны смотреть на Local CMOS Clock, и вы не должны использовать vm ic поставщик синхронизации времени в качестве источника.

В случае успеха PDC должен прочитать внешний сайт, который вы установили, а другие серверы должны указать PDC как источник

Синхронизация времени Hyper-V для VM Контроллер домена

Я получаю VM Поставщик синхронизации времени IC на обоих VM DC, я знаю, что это означает синхронизацию с хостом.

Когда я запускаю w32tm/resync/rediscover

Я получил сообщение «Не выполняется повторная синхронизация, потому что нет данных о времени», и в журнале с идентификатором события 134 есть идеи по этому поводу?

Я также просмотрел журналы и получил событие 144 и 12

Я следил за подробностями MS KB по настройке внешнего источника времени и внес все изменения в реестр, но я думаю, что DNS меня достает?

Но когда я меняю время на одной из физических машин, это время, откуда оно устанавливается. Может быть, если я отменим их регистрацию, зарегистрируюсь, обновлюсь и синхронизируюсь, но, боюсь, у меня возникнет большая проблема!

Я пытаюсь оставить синхронизацию времени между VM и хостом Hyper-V), так как считаю, что это лучший метод из того, что я прочитал.

Спасибо за вашу помощь

Я наконец получил это работает! Цель этого состоит в том, чтобы помочь людям, которые начинают с начала установки времени доменов.

В этом примере все серверы, основной контроллер домена (PDC), другие контроллеры домена (DC) и другие серверы работают под управлением Windows 2008 R2 и виртуализируются с помощью Hyper-V.

Прежде всего, вы прочтете, чтобы отключить «Службу интеграции синхронизации времени» на любой виртуальной машине в Hyper-V, но вместо этого вам следует манипулировать службой времени Windows (служба w32tm) из виртуального контроллера домена, поэтому не следует отключать это, поскольку VM перезапускает это вызовет проблемы, это должно быть сделано с w32tm. http://blogs.msdn.com/b/virtual_pc_guy/archive/2010/11/19/time -synchronization-в-гипер-v.aspx

Вам нужно будет выяснить, какой сервер PDC и работает роль FSMO. Запустите: netdom query fsmo. Результатом должен быть ваш PDC, и это где Вы делаете большинство своих изменений.

Убедитесь, что в брандмауэре есть правило «Outbound» на UDP123, и программа% SystemRoot%System32w32tm.exe, просто перейдите в каталог Windows и найдите exe-файл на время

Это где изменения реестра идут вниз! HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32Time

Убедитесь, что PDC в разделе config в указанном выше адресе реестра установлено на NTP для «типа», а все остальные серверы — NT5DS, это означает NTP — это папочка! Лучше всего, когда PDC) ищет время и все синхронизируется с ним.

Запустите его на всех контроллерах домена (включая PDC), он частично отключит время Windows, поэтому он не смотрит на хост-компьютер на время, что важно, потому что мы виртуализированы. reg add HKLMSYSTEMCurrentControlSetServicesW32TimeTimeProvidersVMICTimeProvider/v Включено/t reg_dword/d 0

Вы можете перейти на сайт ntp.org http://support.ntp.org/bin/view/Servers/WebHome и найти ближайший к вам сервер для синхронизации вашего внешнего времени. Я рекомендую не использовать Microsoft, поскольку они интенсивно используются и могут выскользнуть из-за этого.

Приведенная ниже команда установит внешний вид PDC), но также проверит параметры реестра, как определено здесь, для внешней синхронизации (необходимо выполнить оба действия) http://support.Microsoft.com/кб/816042

Запустите это на PDC w32tm/config /manualpeerlist: Организации0.pool.ntp.org,0x1 ”/ syncfromflags: РУЧНОЙ/надежный: да w32tm/config/update w32tm/resync w32tm/resync/шанс для ознакомления

Выполните эти 2 команды в любое время на любом сервере, чтобы увидеть их источник, и когда они будут в последний раз обновлены, они будут использоваться в этом упражнении, чтобы убедиться, что ваши PDC и другие серверы получают правильное время) Поместите w32tm/query/status w32tm/query/source

Затем запустите это на всех DC, кроме PDC, он заставит их взглянуть на PDC) и повторно синхронизировать его с w32tm/config/syncfromflags: DOMHIER/обновить net stop w32time net start w32time w32tm/resync/force

Проблемы: Когда вы запускаете запрос «Состояние» или «Источник», дайте им минуту или две после изменений, вам не следует смотреть на локальные часы CMOS), и вы не должны использовать провайдер синхронизации времени vm как источник либо.

В случае успеха PDC должен прочитать установленный вами внешний сайт, а другие серверы должны сказать PDC в качестве источника)

голоса
Рейтинг статьи
Ссылка на основную публикацию
ВсеИнструменты
Adblock
detector