Неправильний час на контролері домену. Встановлення інтервалу синхронізації із зовнішнім джерелом. Приклади використання команди w32tm
Налаштовувати час у домені потрібно як тільки ми розгорнули новий ліс, або якщо ми передали роль PDC іншому контролеру домену в існуючому лісі.
Стандартна схема синхронізації часу в домені досить проста:
Є контролер домену, який має роль FSMO - PDC (Primary Domain Controller). Його потрібно налаштувати на синхронізацію часу з будь-яким зовнішнім сервером NTP. Є інші контролери домену, які у стандартній схемі синхронізуються з вищим контролером домену в ієрархії Active Directory.
В результаті при виході зі співробітника був високий ризик втрати важливої інформаціїта документів. Основою реалізованого проекту є створення контролера домену з активним каталогом для централізованого керування всіма користувачами. Це рішення також дозволяє здійснювати обмін інформацією між різними інформаційними системамищо досягається за допомогою реалізації внутрішньої інтеграції між різними системами.
Основні функції системи. Йордана Ілієва починають «говорити». Насправді це означає, що запит на створення електронної пошти надсилається автоматично. Сценарій створює обліковий записпрацівника в інформаційній системі лікарні із відповідними правами доступу. З іншого боку, контролер домену вводить магнітну карту співробітника, яка служить як для проходу у системі контролю доступу, але й друку документів. Він заснований на ідентифікації з магнітною картою, яку сервер друку розпізнає та дозволяє друкувати документи, розміщені відповідним співробітником, який має власний профіль на машині зі швидкими підключеннями.
Контролери найвищого рівня синхронізуються з PDC емулятором. Рядові сервери AD та клієнтські комп'ютерисинхронізують час із відповідним контролером домену свого сайту.
Налаштовуємо контролер домену за участю PDC
PS C:\> w32tm /config /manualpeerlist:192.168.5.10 /syncfromflags:manual /reliable:yes /update
PS C:\> Restart-Service w32time
PS C:\> w32tm / resync
Команда здійснена успішно.
Частина підтримки мережевої інфраструктури була передана сторонньому провайдеру, який може віддалено контролювати та керувати статусом усіх маршрутизаторів та комутаторів. Завдяки хмарі ми отримали доступ до документації без доступу провайдера до бізнес-інформації. ІТ-відділ отримує статистичні дані про продуктивність системи, а у разі незвичайної активності деякі оповіщення по електронній поштівідправляються адміністраторам. Сценарії також повідомляються, коли виконуються безуспішні операції автоматичного резервного копіюваннязнаючи точно, яку службу з якого сервера він встиг завершити.
де 192.168.5.10 – зовнішній або корпоративний NTP сервер. Також тут можна вказати і кілька бенкетів, розділених пробілами та укласти все в подвійні лапки. Піри можна вказувати як за допомогою IP-адрес, так і за допомогою DNS-імен.
Хочу зазначити, що цю процедуру потрібно проводити в тому випадку, якщо налаштування часу на поточному комп'ютері домену перед цим змінювалися на нестандартні. Таким чином, ми повернемо все в дефолтні налаштування.
Завдяки цій системі лікарі можуть звернутися до конкретного пацієнта, наприклад, про те, які дослідження доступні, результати досліджень, які обстеження у пацієнта є, де він знаходиться, коли його прийнято, номер історії хвороби тощо. Не вимагаючи встановленого модуля з інформаційної системи, що на практиці означає перегляд кожної точки у внутрішній мережі. Це рішення також оптимізує витрати, оскільки кожен встановлений модуль пов'язаний з реквізицією платної ліцензії у постачальника послуг, а потім – платною підтримкою залежно від кількості ліцензій.
PS C:\> w32tm /config /update /syncfromflags:DOMHIER
Команда здійснена успішно.
PS C:\> w32tm / resync
Sending resync command to local computer
Команда здійснена успішно.
Налаштування синхронізації часу в домені Active Directory
Багато теорії та трохи практики про:
- топології синхронізації часу серед учасників Active Directory
- оптимальною з моєї точки зору конфігурації сервера часу кореневого емулятора PDC
- корисних командах для налаштування та діагностики синхронізації часу
- особливості, які потрібно враховувати для віртуалізованих контролерів домену
Топологія синхронізації часу серед учасників Active Directory
Іншою важливою перевагою є те, що на внутрішньому порталі оголошуються спільні питання, проблеми та інструкції, тому кожен працівник має доступ до документації і не повинен шукати співробітника служби підтримки вже виявленої проблеми. Це заощаджує час та людські ресурси для обслуговування, а також забезпечує кращу та швидку інформацію та прозорість для користувачів.
З іншого боку, кожен працівник отримує зарплату особисто в офісі. Однак система єдиного входу підвищує ефективність за рахунок спрощення та спрощення авторизації у різних інформаційних системах для всіх користувачів. Підвищена підзвітність та зниження витрат на друк за допомогою спеціального програмного забезпечення для керування. Через це програмне забезпеченнявідділ бухгалтерського обліку та бухгалтерського обліку отримує наприкінці місяця докладні та агреговані звіти протягом місяця, включаючи імена співробітників, відділи, в яких вони працюють, кількість чорно-білих та кольорових копій, витрати на копіювання та загальну вартість.
Серед комп'ютерів, що беруть участь у Active Directory, працює наступна схема синхронізації часу.
Контролер кореневого домену в лісі AD, якому належить FSMО-роль емулятора PDC (назвемо його кореневим PDC), є джерелом часу для решти контролерів цього домену. Контролери дочірніх доменів синхронізують час із вищестоящих по топології AD контролерів домену. Пересічні члени домену (сервера та робочі станції) синхронізують свій час з найближчим до них доступним контролером домену, дотримуючись топології AD.
Крім того, програмне забезпечення для управління печаткою також може встановлювати обмеження на кількість копій або сум для не може бути перевищена, таким чином, можна точно планувати витрати та друкувати бюджет. Кожен користувач має особистий профіль, в якому вони можуть сканувати документ безпосередньо у хмарі, папку на своєму комп'ютері або надсилати їх безпосередньо з принтера електронною поштою іншому користувачеві, що спрощує та економить час.
Також доступна історія штампів, причому кожен збережений документ зберігається у хмарі протягом певного періодучасу. І останнє, але не менш важливе: кожен користувач може швидко та легко керувати своїми обліковими записами та змінювати налаштування свого профілю з внутрішнього порталу, заощаджуючи час та зусилля на користувачів послуг та підвищуючи ефективність.
Кореневий PDC може синхронізувати свій час як із зовнішнім джерелом, так і з самим собою, останнє задано стандартною конфігурацією і є абсурдом, про що періодично натякають помилки в системному журналі.
Синхронізація клієнтів кореневого PDC може здійснюватися як з його внутрішнього годинника, так і з зовнішнього джерела. У першому випадку сервер часу кореневого PDC оголошує себе як "надійний" (reliable).
Конкретні моменти у реалізації та «отримані уроки». При роботі над проектом інтеграції та синхронізації між абсолютно різними інформаційними системами, розробленими різними розробниками та не планованими для роботи з іншими системами, дуже важливо вивчити спосіб роботи та особливості кожної із систем, що розділяються відділом ІТ лікарні. Це важливо, тому що він може отримати дуже великі ускладнення, навіть втрати інформації, до повного «злому» однієї з систем, тому що їй надається інформація, яка не інтерпретується належним чином. Зокрема, система документообігу має одну особливість – у користувача немає можливості видалити її, тому що якщо це станеться, пов'язані з нею документи будуть втрачені.
Далі я наведу оптимальну з моєї точки зору конфігурацію сервера часу кореневого PDC, при якій сам кореневий PDC періодично синхронізує свій час від достовірного джерела в інтернеті, а час клієнтів, що звертаються до нього, синхронізує зі своїм внутрішнім годинником.
Конфігурація NTP-сервера на кореневому PDC
Конфігурування сервера часу (NTP-сервера) може здійснюватись як за допомогою утиліти командного рядка w32tm, і через реєстр. Де можливо, я наведу обидва варіанти.
Користувачі зазвичай негативно реагують на новинки та зміни у їхньому способі роботи. Завдяки особистим перевагам для користувачів ми мотивували їх використовувати внутрішній портал і там вони самі знаходять інші корисні для них послуги. Коли ці послуги виявляються самі чи колегами, їх набагато легше вивчати, - сказав він.
Існує можливість оновити нові служби у існуючій інфраструктурі. В даний час розробляється мобільний додатокдоступу до зображень. Ядро усієї системи дозволяє додавати нові служби. Там ми також переміщуємо всі ролі у разі видалення функцій.
Увімкнення синхронізації внутрішнього годинника із зовнішнім джерелом "Type"="NTP" w32tm /config /syncfromflags:manual
Оголошення NTP-сервера як надійне
"AnnounceFlags"=dword:0000000a w32tm /config /reliable:yes Подробиці - у бібліотеці TechNet.
Увімкнення NTP-сервера
NTP-сервер за замовчуванням увімкнено на всіх контролерах домену, однак його можна включити і на рядових серверах.
Ми зробимо ті самі перевірки після додавання нового контролера домену, видаливши вихідний домен і закінчивши його після оновлення. Є ряд речей та інструментів, які ми можемо використовувати для керування. Нижче наведено деякі параметри. Значення вихідної версії означає.
Встановіть новий контролер домену
Підготовка, домен та схема лісу
Використовуються такі перемикачі. Весь процес можна здійснити за допомогою графічного майстра. Коли ви додаєте роль, у прапорці диспетчера менеджерів з'явиться знак оклику, клацнувши значок, ви дізнаєтеся, що необхідно виконати налаштування після розгортання."Enabled"=dword:00000001 Завдання списку зовнішніх джерел для синхронізації "NtpServer"="time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 ru.pool. ntp.org,0x8" w32tm /config /manualpeerlist:"time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 ru.pool.ntp.org,0x8 "
Прапор 0x8 на кінці означає, що синхронізація повинна відбуватися в режимі клієнта NTP через запропоновані цим сервером інтервали часу. Для того, щоб встановити свій інтервал синхронізації, необхідно використовувати прапор 0x1. Решта прапорів описана в бібліотеці TechNet.
Виконуватимуться певні перевірки та виявлення нашого середовища, або відображатиметься помилка або наступний крок. Якщо ми не увійшли до системи з достатніми правами, ми інформовані та можемо її змінити. Якщо натиснути кнопку «Закрити», перезавантажте сервер. Потім скористайтеся параметром «Конфігурація імпорту» на новому сервері.
розподілена файлова системає частиною ролі Служби файлів та сховищ, тому ми встановлюємо необхідні компоненти. Спочатку клацніть правою кнопкою миші на просторі імен та виберіть «Додати простору імен для відображення». Потім клацніть правою кнопкою миші на просторі імен, яке ви бачите, та виберіть «Додати сервер простору імен».
Завдання інтервалу синхронізації із зовнішнім джерелом Час у секундах між опитуваннями джерела синхронізації за замовчуванням 900с = 15хв. Працює лише для джерел, позначених прапором 0x1.
"SpecialPollInterval"=dword:00000384
Встановлення мінімальної позитивної та негативної корекції Максимальна позитивна та негативна корекція часу (різниця між внутрішнім годинником та джерелом синхронізації) у секундах, при перевищенні якої синхронізація не відбувається. Рекомендую значення 0xFFFFFFFF, у якому корекція зможе виконуватися завжди.
Міграція сервера друку, включаючи драйвери, є простою справою. Якщо ми опублікуємо їх, і ми їх опублікували раніше, ми побачимо їх зараз двічі. Ми можемо видалити публікацію з сервера. Коли ми перенесли принтери зі старого сервера друку на новий, було передано всю серверну частину, але клієнти встановили принтер через ім'я сервера друку. Тому ви повинні додати їх знову. Можливе рішення- перейменувати новий сервер на своє первісне ім'я.
Передача даних працює просто за принципом реплікації. Потім виберіть з контекстного меню"Реплікація зараз". Вперше, коли моя реплікація не працювала, вона навіть не помітила помилки, все було вирішено перезапуском сервера. Для кожної зони відредагуйте вкладку «Сервери імен» та видаліть віддалений сервер.
"MaxPosPhaseCorrection"=dword:FFFFFFFF "MaxNegPhaseCorrection"=dword:FFFFFFFF
Все необхідне одним рядком
w32tm.exe /config /manualpeerlist:"time.nist.gov,0x8 ntp1.imvp.ru,0x8 ntp2.imvp.ru,0x8 time.windows.com,0x8 pool.ntp.org,0x8" /syncfromflags:manual / reliable:yes /update
Корисні команди
Застосування внесених до конфігурації служби часу змін
w32tm /config /update
Примусова синхронізація від джерела
По-перше, для тестування ми можемо перерахувати всі зони та їхні сервери імен. Клацніть правою кнопкою миші сервер та оберіть «Неавторизувати». Якщо у нас є кілька сайтів, переконайтеся, що сервер не є кращим сервером плагінів, перш ніж видалити служби домену. Ми можемо перерахувати ці сервери за допомогою наступного командного рядка або використовувати графічний інструмент для подальшої зміни.
Відносний майстер ідентифікації
У таблиці бачимо, який сервер є плацдармом якого транспорту. Клацніть правою кнопкою миші новий сервер і виберіть пункт «Властивості». Нижче виберіть «Транспорт» та «Додати». Аналогічно ми видалимо транспорт на зараженому сервері. На відміну від інших, ми повинні спочатку зареєструвати їх у системі. Ми можемо продовжити роботу з іншими вкладками та іншими ролями.
Емулятор контролера первинного домену
На вкладці "Загальні" виберіть "Глобальний каталог".w32tm /resync /rediscover
Відображення стану синхронізації контролерів домену в домені
Відображення поточних джерел синхронізації та їх статусу
w32tm/query/peers
Особливості віртуалізованих контролерів домену
Контролери домену, що працюють у віртуалізованому середовищі, вимагають себе особливого ставлення.
Засоби синхронізації часу віртуальної машини та хостової ОС мають бути вимкнені. У всіх адекватних системах віртуалізації (Microsoft, vmWare і т. д.) присутні компоненти інтеграції гостьової ОС з хостовою, які значно підвищують продуктивність та керованість гостьової системи. Серед цих компонентів завжди є засіб синхронізації часу гостьової ОС з хостовою, який дуже корисний для рядових машин, але протипоказаний для контролерів домену. Тому що в цьому випадку дуже ймовірний цикл, при якому контролер домену та хостова ОС синхронізуватимуть один одного. Наслідки сумні.
Підвищення рівня
На вихідному контролері ми можемо перерахувати параметри за допомогою. Установки можуть бути зроблені. Як тільки ми перенесли всі контролери домену, ми можемо розширити функціональність домену та лісу. Офіційний опис для підвищення рівня функціональності домену та лісу полягає у підвищенні функціонального рівня домену та підвищенні функціонального рівня лісу.
Ми маємо справу з адмінами домену чи адміністраторами підприємства. Сьогоднішня офіційна документація вже набагато краща, ніж раніше. Міграція центру сертифікації є проблематичною, якщо ми хочемо увійти до неї, тому рекомендується зберегти ім'я сервера.
Для кореневого PDC синхронізація із зовнішнім джерелом має бути налаштована завжди. В віртуальному середовищігодинник не настільки точний як у фізичному, тому що віртуальна машинапрацює з віртуальним процесором та перериваннями, для яких характерне як уповільнення, так і прискорення щодо «звичайної» частоти. Якщо не настроїти синхронізацію віртуалізованого кореневого PDC із зовнішнім джерелом, час на всіх комп'ютерах підприємства може втікати/відставати на кілька годин на добу. Не важко уявити неприємності, які може принести таку поведінку.
Це спрощений процес міграції. Наступні кроки описують повну резервну копію, включаючи речі, які ми не будемо відновлювати у цьому конкретному випадку. Помилка автентифікації через невідповідність облікових даних користувача. Дані користувача в порядку, проблема була виявлена в сертифікаті сервера. Після зміни сертифікату все почало працювати.
Оновлення сервера до контролера домену
На мій погляд, найпростішим і найнадійнішим методом є встановлення нового сервера, просування його на контролер домену та передача ролей та сервісів.
Дізнайтеся, на що працює роль Майстер-Майстер
Щоб дізнатися, найпростіше використовувати командний рядок. Рухомі ролі майстрів. Ми повинні внести зміни принаймні в обліковий запис адміністратора домену.Перш ніж приступити до налаштування синхронізації часу із зовнішнім сервером, не забудьте відкрити на своєму Front-Endміжмережевому екрані стандартний NTP порт – UDP 123
(Потрібно дозволити як вхідне, так і вихідне з'єднання).
В домен контролерівцей виняток вже є - називається "Active Directory Domain Controller - W32Time (NTP-UDP-In)" (в Inbound Rules)
Топологія синхронізації часу серед учасників Active Directory
Серед комп'ютерів, що беруть участь у Active Directory, працює наступна схема синхронізації часу:
- Контролер кореневого домену в лісі AD, якому належить FSMО-роль емулятора PDC, є джерелом часу для решти контролерів цього домену.
- Контролери дочірніх доменів, синхронізують час із вищестоящих по топології AD контролерів домену.
- Рядові члени домену (сервера та робочі станції) синхронізують свій час з найближчим до нихдоступним контролером домену, дотримуючись топології AD.
PDC може синхронізувати свій час як із зовнішнім джерелом, так і з самим собою, останнє задано стандартною конфігурацією і є абсурдом, про що періодично натякають помилки в системному журналі.
Синхронізація клієнтів PDC може здійснюватися як з його внутрішнього годинника, так і з зовнішнього джерела. У першому випадку сервер часу кореневого PDC оголошує себе як "надійний" (reliable).
Конфігурація NTP-сервера на кореневому PDC
Конфігурування сервера часу (NTP-сервера) може здійснюватися як за допомогою утиліти командного рядка w32tm, і через реєстр.
Де можливо, я наведу обидва варіанти.
Увімкнення синхронізації внутрішнього годинника із зовнішнім джерелом
- "Type"="NTP"
- w32tm /config /syncfromflags:manual
Switzerland- ch.pool.ntp.org
Israel- il.pool.ntp.org
LINKS:
Перевірено: Windows Server 2008 R2, Windows Server 2012 R2
для Windows Server 2003 R2 - є різниця у командах для w32tm(Значення реєстру ті ж)
