如何同步加入域的 Windows 实例与 AWS Managed Microsoft AD 之间的时间?
我想使用组策略为整个 AWS Directory Service for Microsoft Active Directory 中的 Microsoft Windows 计算机设置时间同步。
简短描述
在加入 AWS Managed Microsoft AD 域之前,Windows 计算机可能至少有一台在注册表中预设的网络时间协议(NTP)服务器。在加入域时,Windows 计算机会自动与域中的所有可用机制同步时间。如果各源 NTP 服务器的时间不同,则此设置可能会导致与时间偏差相关的问题。
在以下示例中,在实例加入 AWS Managed Microsoft AD 域之前,NtpServer 参数预先填充了 169.254.169.123,0x9。但是,在加入域之后,Type 参数更改为 AllSync。在配置期间进行此更改可能会导致时间偏差。
在加入域之前:
PS C:\> w32tm /dumpreg /subkey:parameters | findstr /i "NtpServer Type" Value Name Value Type Value Data NtpServer REG_SZ 169.254.169.123,0x9 Type REG_SZ NTP
PS C:\> w32tm /query /configuration | findstr /i "Type NTPServer:" Type: AllSync (Local) NtpServer: 169.254.169.123,0x9 time.windows.com,0x8 (Local)
在加入域之后:
PS C:\> w32tm /dumpreg /subkey:parameters | findstr /i "NtpServer Type" Value Name Value Type Value Data NtpServer REG_SZ 169.254.169.123,0x9 time.windows.com,0x8 Type REG_SZ AllSync
PS C:\> w32tm /query /configuration | findstr /i "Type NTPServer:" Type: AllSync (Local) NtpServer: 169.254.169.123,0x9 time.windows.com,0x8 (Local)
解决方法
作为最佳实践,使用域控制器确保加入域的 Windows 计算机通过 AWS Managed Microsoft AD 域层次结构同步时间。有关更多信息,请参阅 Microsoft 网站上的 Windows 时间服务工作原理以及 Windows 时间服务工具和设置。
先决条件
确保您满足以下先决条件:
- 在加入域的 Amazon Elastic Compute Cloud(Amazon EC2)实例上安装 Active Directory 管理工具。
PS C:\> Install-windowsFeature RSAT-ADDS,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,GPMC,RSAT-DNS-Server Success Restart Needed Exit Code Feature Result ------- -------------- --------- -------------- True No Success {Group Policy Management, DNS Server Tools,…}
- 验证 EC2 实例是否已加入您要为其设置时间同步域层次结构的 AWS Managed Microsoft AD 域。有关更多信息,请参阅手动加入 Windows 实例。
配置 AWS Managed AD 域时间层次结构
按照以下步骤使用 Group Policy(组策略)设置同步 AWS Managed AD 域层次结构中的时间:
1. 使用远程桌面协议(RDP)登录 EC2 实例,并将域用户设置为管理员。有关更多信息,请参阅使用 RDP 连接到您的 Windows 实例。
2. 运行 GPMC.msc,打开组策略管理控制台。
3. 选择 Domains(域),然后选择 [Domain Name], [Directory NetBIOS name]([域名], [目录 NetBIOS 名称])、Computers(计算机)。
4. 选择 Computers(计算机),然后选择 Create a GPO in this domain and Link it here…(在此域中创建 GPO 并将其链接到此处…)
**注意:**计算机对象必须位于该组织单位(OU)或同一层次结构中的其他 OU 下面。
5. 为 GPO 命名(例如 Domhier Time Sync),然后选择 OK(确定)。
6. 选择您刚刚创建的 GPO,然后选择 Edit(编辑)。
7. 选择 Computer Configuration(计算机配置),然后选择 Administrative Templates(管理模板)、System(系统)、WindowsTime Service(Windows 时间服务)、Time Providers(时间提供程序)。
8. 选择 Enable Windows NTP Client(启用 Windows NTP 客户端),然后选择 Enabled(已启用)。
9. 选择 OK(确定)。
10. 选择 Configure NTP Client(配置 NTP 客户端)。
11. 选择 Enabled(已启用),然后更改以下参数:
对于 Type(类型),输入 NT5DS。
对于 SpecialPoolInterval,输入 900。
12. 选择 OK(确定)。
验证 EC2 实例是否使用时间同步层次结构
完成以下步骤,确认域控制器正在通过 AWS Managed Microsoft AD 域层次结构同步时间。有关更多信息,请参阅 Microsoft 网站上的组策略:面向初学者的基本问题排查步骤。
1. 使用上一部分中的实例强制更新域策略。以提升的提示符或管理员身份打开 PowerShell 提示符,然后运行以下命令:
PS C:\> gpupdate /force Updating policy... Computer Policy update has completed successfully. User Policy update has completed successfully.
2. 确认 NT5DS 已到位。
PS C:\> w32tm /query /configuration | findstr /i "Type NTPServer:" Type: NT5DS (Policy)
3. 强制发现时间源:
PS C:\> w32tm /resync /rediscover Sending resync command to local computer The command completed successfully.
4. 确定实例的同步服务器。在以下示例中,WIN-A2P2S44M219 是时间源。
PS C:\> w32tm /query /status Leap Indicator: 0(no warning) Stratum: 5 (secondary reference - syncd by (S)NTP) Precision: -6 (15.625ms per tick) Root Delay: 0.0329001s Root Dispersion: 0.0868277s ReferenceId: 0xAC1F0599 (source IP: 172.31.5.153) Last Successful Sync Time: 9/28/2022 10:41:34 AM Source: WIN-A2P2S44M219.example.com Poll Interval: 7 (128s)
5. 确认服务器是域控制器:
PS C:\> Get-ADDomainController -Filter * | select name name ---- WIN-A2P2S44M219 WIN-E4VM0DELNQ1
**注意:**同步时间的域控制器可能会在配置期间发生变更。此变更不会导致时间同步问题。
5. 检查实例与域控制器之间的时间同步。理想情况下,时差尽可能接近零。有关更多信息,请参阅 Microsoft 网站上的 W32tm。
PS C:\> w32tm /stripchart /computer:*WIN-A2P2S44M219.example.com (http://win-a2p2s44m219.example.com/)* /samples:3 Tracking *WIN-A2P2S44M219.example.com* (http://win-a2p2s44m219.example.com/) [172.31.5.153:123]. Collecting 3 samples. The current time is 9/28/2022 10:42:26 AM. 10:42:26, d:+00.0006938s o:-00.0041540s [ * ] 10:42:28, d:+00.0006471s o:-00.0041757s [ * ] 10:42:30, d:+00.0006398s o:-00.0041987s [ * ]
相关内容
- 已提问 4 个月前
- 已提问 3 个月前
- 已提问 4 个月前
- 已提问 3 个月前
- AWS 官方已更新 3 年前