Wie synchronisiere ich die Zeit zwischen einer domänengebundenen Windows-Instances und AWS Managed Microsoft AD?

Lesedauer: 5 Minute

Ich möchte Gruppenrichtlinien verwenden, um die Zeitsynchronisierung für Microsoft-Windows-Computer im gesamten AWS Directory Service für Microsoft Active Directory einzurichten.

Kurzbeschreibung

Windows-Computer verfügen möglicherweise über mindestens einen Network-Time-Protocol (NTP)-Server, der in der Registrierung voreingestellt ist, bevor sie der AWS-Managed-Microsoft-AD-Domäne beitreten. Beim Beitritt zur Domäne synchronisieren Windows-Computer automatisch die Zeit mit allen verfügbaren Mechanismen in der Domäne. Wenn die NTP-Quellserver unterschiedliche Zeiten verwenden, kann dieses Setup zu Problemen mit Zeitabweichungen führen.

Im folgenden Beispiel wird der NtpServer-Parameter vorab mit 169.254.169.123,0x9 gefüllt, bevor die Instance der AWS-Managed-Microsoft-AD-Domäne beitritt. Der Type-Parameter ändert sich jedoch nach dem Beitritt zur Domäne in AllSync. Diese Änderung während der Konfiguration kann zu einer Zeitabweichung führen.

Vor dem Beitritt zur Domäne:

PS C:\> w32tm /dumpreg /subkey:parameters | findstr /i "NtpServer Type"
Value Name Value Type Value Data
NtpServer REG_SZ 169.254.169.123,0x9
Type REG_SZ NTP

PS C:\> w32tm /query /configuration | findstr /i "Type NTPServer:"
Type: AllSync (Local)
NtpServer: 169.254.169.123,0x9 time.windows.com,0x8 (Local)

Nach dem Beitritt zur Domäne:

PS C:\> w32tm /dumpreg /subkey:parameters | findstr /i "NtpServer Type"
Value Name Value Type Value Data
NtpServer REG_SZ 169.254.169.123,0x9 time.windows.com,0x8
Type REG_SZ AllSync

PS C:\> w32tm /query /configuration | findstr /i "Type NTPServer:"
Type: AllSync (Local)
NtpServer: 169.254.169.123,0x9 time.windows.com,0x8 (Local)

Lösung

Es hat sich bewährt, Domänencontroller zu verwenden, um sicherzustellen, dass die mit der Windows-Domäne verbundenen Computer die Zeit über die AWS-Managed-Microsoft-AD-Domänenhierarchie synchronisieren. Weitere Informationen finden Sie auf der Microsoft-Website unter Funktionsweise des Windows-Zeitdiensts und unter Windows-Zeitdienst: Tools und Einstellungen.

Voraussetzungen

Stellen Sie sicher, dass Sie die folgenden Voraussetzungen erfüllen:

Installieren Sie die Active-Directory-Verwaltungstools auf einer domänengebundenen Amazon-Elastic-Compute-Cloud (Amazon EC2)-Instance.

PS C:\> Install-windowsFeature RSAT-ADDS,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,GPMC,RSAT-DNS-Server
Success Restart Needed Exit Code      Feature Result
------- -------------- ---------      --------------
True    No             Success        {Group Policy Management, DNS Server Tools,…}

Stellen Sie sicher, dass die EC2-Instance mit der AWS-Managed-Microsoft-AD-Domäne verknüpft ist, für die Sie eine Domänenhierarchie für die Zeitsynchronisierung einrichten möchten. Weitere Informationen finden Sie unter Manuelles Beitreten zu einer Windows-Instance.

AWS-Managed-AD-Domänen-Zeithierarchie konfigurieren

Gehen Sie wie folgt vor, um die Uhrzeit in der AWS-Managed-AD-Domänenhierarchie mithilfe der Gruppenrichtlinien-Einstellungen zu synchronisieren:

1. Melden Sie sich mit dem Remote Desktop Protocol (RDP) bei der EC2-Instance an und legen Sie den Domänenbenutzer als Admin fest. Weitere Informationen finden Sie unter Herstellen einer Verbindung zu Ihrer Windows-Instance mithilfe von RDP.

2. Führen Sie GPMC.msc aus, um die Gruppenrichtlinien-Verwaltungskonsole zu öffnen.

3. Wählen Sie Domänen und dann [Domain-Name], [Directory-NetBIOS-Name], Computer aus.

4. Wählen Sie Computer und dann Gruppenrichtlinienobjekt hier erstellen und verknüpfen...

Hinweis: Computerobjekte müssen sich in der Organisationseinheit (OU) oder unter anderen Organisationseinheiten innerhalb derselben Hierarchie befinden.

5. Benennen Sie das GPO, z. B. Domhier Time Sync, und wählen Sie dann OK.

6. Wählen Sie das GPO aus, das Sie gerade erstellt haben, und wählen Sie dann Bearbeiten aus.

7. Wählen Sie Computerkonfiguration und dann Administrative Vorlagen, System, Windows-Zeitdienst, Zeitanbieter.

8. Wählen Sie Windows-NTP-Client aktivieren und dann Aktiviert aus.

9. Wählen Sie OK aus.

10. Wählen Sie NTP-Client konfigurieren aus.

11. Wählen Sie Aktiviert aus und ändern Sie die folgenden Parameter:

Geben Sie als Typ NT5DS ein.

Geben Sie für SpecialPoolInterval 900 ein.

12. Wählen Sie OK aus.

Überprüfen Sie, ob die EC2-Instance die Zeitsynchronisationshierarchie verwendet

Führen Sie die folgenden Schritte aus, um zu überprüfen, ob der Domänencontroller die Zeit über die AWS-Managed-Microsoft-AD-Domänenhierarchie synchronisiert. Weitere Informationen finden Sie auf der Microsoft-Website unter Gruppenrichtlinie: grundlegende Schritte zur Problembehandlung für Anfänger.

1. Verwenden Sie die Instance aus dem vorherigen Abschnitt, um eine Aktualisierung der Domänenrichtlinien zu erzwingen. Öffnen Sie eine PowerShell-Eingabeaufforderung als Eingabeaufforderung mit erhöhten Rechten oder als Administrator und führen Sie den folgenden Befehl aus:

PS C:\> gpupdate /force
Updating policy...
Computer Policy update has completed successfully.
User Policy update has completed successfully.

2. Vergewissern Sie sich, dass NT5DS installiert ist.

PS C:\> w32tm /query /configuration | findstr /i "Type NTPServer:"
Type: NT5DS (Policy)

3. Entdecken der Zeitquelle erzwingen:

PS C:\> w32tm /resync /rediscover
Sending resync command to local computer
The command completed successfully.

4. Identifizieren Sie den Synchronisationsserver für die Instance. Im folgenden Beispiel ist WIN-A2P2S44M219 die Zeitquelle.

PS C:\> w32tm /query /status
Leap Indicator: 0(no warning)
Stratum: 5 (secondary reference - syncd by (S)NTP)
Precision: -6 (15.625ms per tick)
Root Delay: 0.0329001s
Root Dispersion: 0.0868277s
ReferenceId: 0xAC1F0599 (source IP:  172.31.5.153)
Last Successful Sync Time: 9/28/2022 10:41:34 AM
Source: WIN-A2P2S44M219.example.com
Poll Interval: 7 (128s)

5. Vergewissern Sie sich, dass der Server ein Domänencontroller ist:

PS C:\> Get-ADDomainController -Filter * | select name
name
----
WIN-A2P2S44M219
WIN-E4VM0DELNQ1

Hinweis: Der Domänencontroller, der die Uhrzeit synchronisiert, kann sich während der Konfiguration ändern. Die Änderung verursacht kein Problem mit der Zeitsynchronisierung.

5. Überprüfen Sie die Zeitsynchronisation zwischen der Instance und dem Domänencontroller. Im Idealfall liegt der Zeitunterschied so nahe wie möglich bei Null. Weitere Informationen finden Sie unter W32tm auf der Microsoft-Website.

PS C:\> w32tm /stripchart /computer:*WIN-A2P2S44M219.example.com (http://win-a2p2s44m219.example.com/)* /samples:3
Tracking *WIN-A2P2S44M219.example.com* (http://win-a2p2s44m219.example.com/) [172.31.5.153:123].
Collecting 3 samples.
The current time is 9/28/2022 10:42:26 AM.
10:42:26, d:+00.0006938s o:-00.0041540s  [                           *                           ]
10:42:28, d:+00.0006471s o:-00.0041757s  [                           *                           ]
10:42:30, d:+00.0006398s o:-00.0041987s  [                           *                           ]

Themen

Sicherheit, Identität & Konformität

Relevanter Inhalt

Wie behebe ich den AccessDeniedException-Fehler, wenn ich den AWS-CLI-Befehl create-group zum Erstellen von QuickSight-Gruppen verwende?
AWS OFFICIALAktualisiert vor 8 Monaten
Wie konfiguriere ich SVM mit AWS Managed Microsoft AD für CIFS-Shares in FSx für ONTAP?
AWS OFFICIALAktualisiert vor einem Monat
Wie aktiviere ich MFA in WorkSpaces?
AWS OFFICIALAktualisiert vor 6 Monaten
Wie kann ich mithilfe der Kerberos-Authentifizierung eine Verbindung zu einer Aurora-PostgreSQL-kompatiblen DB-Instance herstellen?
AWS OFFICIALAktualisiert vor 2 Monaten