为 Azure 中的 Active Directory Windows 虚拟机配置时间机制
适用于: ✔️ Windows 虚拟机
使用本指南了解如何为属于 Active Directory 域的 Azure Windows 虚拟机设置时间同步。
应通过仅允许 PDC 访问外部时间源或 NTP 服务器来管理 Active Directory 中的时间同步。
然后,所有其他域控制器将根据 PDC 同步时间,所有其他成员将从满足该成员的身份验证请求的域控制器获取时间。
如果在 Azure 中托管的虚拟机上运行 Active Directory 域,请按照以下步骤正确设置时间同步。
备注
本指南重点介绍如何使用“组策略管理”控制台执行配置。 可以使用命令提示符、PowerShell 或通过手动修改注册表来获得相同的结果;但这些方法不属于本文的介绍范围。
若要检查 PDC 中的当前时间源,请从提升的命令提示符运行 w32tm /query /source,并记下输出以便以后进行对比。
- 在“开始”菜单中运行 gpmc.msc。
- 浏览到要在其中创建 GPO 的林和域。
- 在容器“组策略对象”中创建一个新的 GPO,例如“PDC 时间同步”。
- 右键单击新创建的 GPO 并编辑。
- 导航至“计算机配置”->“管理模板”->“系统”->“Windows 时间服务”下的“全局配置设置”策略。
- 将其设置为“已启用”,并将 AnnounceFlags 参数配置为 5。
- 导航到“计算机配置”->“管理模板”->“系统”->“Windows 时间服务”->“时间提供程序”。
- 双击“配置 Windows NTP 客户端”策略并将其设置为“已启用”,将参数“NTPServer”配置为指向时间服务器的 IP 地址或 FQDN 后接
,0x9(例如131.107.13.100,0x9),并将“类型”配置为“NTP”。 对于所有其他参数,可以使用默认值,或者根据企业需求使用自定义参数。 - 单击“下一个设置”按钮,将“启用 Windows NTP 客户端”策略设置为“已启用”,然后单击“确定”
- 在新创建的 GPO 的“范围”选项卡中,导航到“安全筛选”并突出显示“经过身份验证的用户”组 -> 单击“删除”按钮 ->“确定”->“确定”
- 创建 WMI 筛选器以动态获取保存 PDC 角色的域控制器:
- 在“组策略管理”控制台中,导航到“WMI 筛选器”,右键单击它并选择“新建”。
- 在“新建 WMI 筛选器”窗口中,为新筛选器指定名称,例如“获取 PDC 模拟器”-> 填写 “描述”字段(可选)-> 单击“添加”按钮。
- 在“WMI 查询”窗口中,保持“命名空间”不变,在“查询”文本框中粘贴以下字符串
Select * from Win32_ComputerSystem where DomainRole = 5,然后单击“确定”按钮。 - 返回“新建 WMI 筛选器”窗口,单击“保存”按钮。
- 在新创建的 GPO 的“范围”中,导航到“WMI 筛选”下拉菜单并选择之前创建的 WMI 筛选器,然后单击“确定”。
- 在新创建的 GPO 的“范围”选项卡中,导航到“安全筛选”,单击“添加”按钮并浏览以查找到“域控制器”组,然后单击“确定”按钮。
- 将 GPO 链接到“域控制器”组织单位。
备注
系统最多可能需要 15 分钟才能反映出这些更改。
从提升的命令提示符重新运行 w32tm /query /source,并将输出与在配置开始时记下的输出进行比较。 现在,它将设置为所选的 NTP 服务器。
提示
如果你要加快在 PDC 上更改 NTP 源的过程,请从权限提升的命令提示符运行 gpupdate /force,接着运行 w32tm /resync /nowait,然后重新运行 w32tm /query /source;输出应是你在上述 GPO 中使用的 NTP 服务器。
通常,Active Directory 域服务中的 NTP 遵循本文开头提到的 AD DS 时间层次结构,且无需进一步的配置。
尽管如此,托管在 Azure 中的虚拟机的特定安全设置由云平台直接应用于这些虚拟机。
对于非域控制器的所有其他域成员,需要修改注册表,将 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider 下的项 Enabled 中的值设置为 0
重要
请记住,如果没有正确修改注册表,可能会出现严重问题。 因此,请务必认真遵循这些步骤,并在几个测试虚拟机上进行测试,以确保获得预期的结果。 为提高保护程度,请在修改之前备份注册表。 那么,如果发生问题,你也可以恢复注册表。 有关如何备份和还原 Windows 注册表的信息,请按照以下步骤操作。
- 在“开始”中键入“regedit.exe”,然后按
Enter。 如果收到管理员密码提示或确认提示,请键入密码或进行确认。 - 在“注册表编辑器”窗口中,找到并单击要备份的注册表项或子项。
- 在“文件”菜单中选择“导出”。
- 在“导出注册表文件”对话框中,选择要将备份副本保存到的位置,在“文件名”字段中键入备份文件的名称,然后单击“保存”。
- 在“开始”中键入“regedit.exe”,然后按
Enter。 如果收到管理员密码提示或确认提示,请键入密码或进行确认。 - 在“注册表编辑器”窗口中,从“文件”菜单中选择“导入”。
- 在“导入注册表文件”对话框中,选择保存备份副本的位置,选择备份文件,然后单击“打开”。
配置以下组策略对象,使域成员能够与其相应 Active Directory 站点中的域控制器同步时间:
若要检查当前时间源,请登录到任一域成员,在权限提升的命令提示符下运行 w32tm /query /source,并记下输出供稍后比较。
- 在域控制器中,转到“开始”并运行 gpmc.msc。
- 浏览到要在其中创建 GPO 的林和域。
- 在容器“组策略对象”中创建一个新的 GPO,例如客户端时间同步。
- 右键单击新创建的 GPO 并编辑。
- 导航到“计算机配置”->“首选项”->Windows 设置 - 右键单击“注册表”->“新建”->“注册表项”>
- 在“新建注册表属性”窗口中设置以下值:
- 在“操作:更新”上
- 在“Hive:HKEY_LOCAL_MACHINE”上
- 项路径:浏览到 SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider
- 值名称:键入“Enabled”
- 值类型:REG_DWORD
- 值数据:键入“0”
- 对于所有其他参数,请使用默认值并单击“确定”
- 将 GPO 链接到成员所在的组织单位。
- 等待一段时间,或手动对域成员强制实施组策略更新。
返回到域成员,在权限提升的命令提示符下重新运行 w32tm /query /source,并将输出与在配置开始时记下的输出进行比较。 现在,它将设置为满足成员身份验证请求的域控制器。
下面是有关时间同步的更多详细信息的链接: