如何同步加入網域的 Windows 執行個體和 AWS Managed Microsoft AD 的時間?
我想要使用群組原則在整個 AWS Directory Service for Microsoft Active Directory 中,設定 Microsoft Windows 裝置的時間同步。
簡短描述
在加入 AWS Managed Microsoft AD 網域之前,Windows 裝置在登錄檔中可能至少有一個網路時間協定 (NTP) 伺服器。加入網域時,Windows 裝置會自動和網域中所有可用機制同步時間。如果來源 NTP 伺服器的時間不同,則此設定可能會造成時間誤差相關的問題。
在下列範例中,NtpServer 參數會在執行個體加入 AWS Managed Microsoft AD 網域前預先填入 169.254.169.123,0x9。但 Type 參數會在加入網域後變更為 AllSync。組態設定期間的此變更可能會導致時間誤差。
加入網域前:
PS C:\> w32tm /dumpreg /subkey:parameters | findstr /i "NtpServer Type" Value Name Value Type Value Data NtpServer REG_SZ 169.254.169.123,0x9 Type REG_SZ NTP
PS C:\> w32tm /query /configuration | findstr /i "Type NTPServer:" Type: AllSync (Local) NtpServer: 169.254.169.123,0x9 time.windows.com,0x8 (Local)
加入網域後:
PS C:\> w32tm /dumpreg /subkey:parameters | findstr /i "NtpServer Type" Value Name Value Type Value Data NtpServer REG_SZ 169.254.169.123,0x9 time.windows.com,0x8 Type REG_SZ AllSync
PS C:\> w32tm /query /configuration | findstr /i "Type NTPServer:" Type: AllSync (Local) NtpServer: 169.254.169.123,0x9 time.windows.com,0x8 (Local)
解決方案
最佳實務是使用網域控制站,確保加入網域的 Windows 裝置透過 AWS Managed Microsoft AD 網域階層同步時間。如需詳細資訊,請參閱 Microsoft 網站上的 Windows Time 服務運作方式,以及 Windows Time 服務工具與設定。
先決條件
請確定您已完成下列先決條件:
- 在加入網域的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體上安裝 Active Directory 管理工具。
PS C:\> Install-windowsFeature RSAT-ADDS,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,GPMC,RSAT-DNS-Server Success Restart Needed Exit Code Feature Result ------- -------------- --------- -------------- True No Success {Group Policy Management, DNS Server Tools,…}
- 確認 EC2 執行個體已加入您要為其設定時間同步網域階層的 AWS Managed Microsoft AD 網域。如需詳細資訊,請參閱手動加入 Windows 執行個體。
設定 AWS Managed AD 網域時間階層
請遵循下列步驟,使用群組原則設定同步 AWS Managed AD 網域階層中的時間:
1. 使用遠端桌面通訊協定 (RDP) 登入 EC2 執行個體,並將網域使用者設定為管理員。如需詳細資訊,請參閱使用 RDP 連接至 Windows 執行個體。
2. 執行 GPMC.msc,以開啟群組原則管理主控台。
3. 選擇網域,然後選擇 [網域名稱]、[目錄 NetBIOS 名稱]、電腦。
4. 選擇電腦,然後選擇在此網域中建立 GPO 並在此處連結…
**備註:**電腦物件必須位於組織單位 (OU) 或相同階層內的其他 OU 下。
5. 為 GPO 命名,例如 Domhier Time Sync,然後選擇確定。
6. 選擇剛才建立的 GPO,然後選擇編輯。
7. 選擇電腦設定,然後選擇系統管理範本、系統、WindowsTime 服務、時間提供者。
8. 選擇啟用 Windows NTP 用戶端,然後選取啟用。
9. 選擇確定。
10. 選擇設定 NTP 用戶端。
11. 選取啟用,然後變更下列參數:
若為 Type,輸入 NT5DS。
若為 SpecialPoolInterval,輸入 900。
12. 選擇確定。
驗證 EC2 執行個體是否正在使用時間同步階層
完成下列步驟,以確認網域控制站正在透過 AWS Managed Microsoft AD 網域階層同步時間。如需詳細資訊,請參閱 Microsoft 網站上的群組原則:初學者的基本疑難排解步驟。
1. 使用上一節中的執行個體強制更新網域原則。以提升權限的提示字元或管理員身分開啟 PowerShell 提示字元,然後執行下列命令:
PS C:\> gpupdate /force Updating policy... Computer Policy update has completed successfully. User Policy update has completed successfully.
2. 確認 NT5DS 已輸入。
PS C:\> w32tm /query /configuration | findstr /i "Type NTPServer:" Type: NT5DS (Policy)
3. 強制探索時間來源:
PS C:\> w32tm /resync /rediscover Sending resync command to local computer The command completed successfully.
4. 識別執行個體的同步伺服器。在下列範例中,WIN-A2P2S44M219 為時間來源。
PS C:\> w32tm /query /status Leap Indicator: 0(no warning) Stratum: 5 (secondary reference - syncd by (S)NTP) Precision: -6 (15.625ms per tick) Root Delay: 0.0329001s Root Dispersion: 0.0868277s ReferenceId: 0xAC1F0599 (source IP: 172.31.5.153) Last Successful Sync Time: 9/28/2022 10:41:34 AM Source: WIN-A2P2S44M219.example.com Poll Interval: 7 (128s)
5. 確認伺服器是網域控制站:
PS C:\> Get-ADDomainController -Filter * | select name name ---- WIN-A2P2S44M219 WIN-E4VM0DELNQ1
**備註:**正在進行時間同步的網域控制站可能會在組態設定期間變更。這項變更不會造成時間同步問題。
5. 檢查執行個體和網域控制站間的時間同步。理想情況下,時間差盡可能接近零。如需詳細資訊,請參閱 Microsoft 網站上的 W32tm。
PS C:\> w32tm /stripchart /computer:*WIN-A2P2S44M219.example.com (http://win-a2p2s44m219.example.com/)* /samples:3 Tracking *WIN-A2P2S44M219.example.com* (http://win-a2p2s44m219.example.com/) [172.31.5.153:123]. Collecting 3 samples. The current time is 9/28/2022 10:42:26 AM. 10:42:26, d:+00.0006938s o:-00.0041540s [ * ] 10:42:28, d:+00.0006471s o:-00.0041757s [ * ] 10:42:30, d:+00.0006398s o:-00.0041987s [ * ]
相關內容
- 已提問 5 個月前
- AWS 官方已更新 5 個月前
- AWS 官方已更新 2 年前
- AWS 官方已更新 10 個月前
- AWS 官方已更新 3 個月前