如何在 Windows 網域連接的執行個體與 AWS 受管 Microsoft AD 之間同步時間?

3 分的閱讀內容
0

我想使用群組政策為適用於 Microsoft Active Directory 的整個 AWS Directory Service 中的 Microsoft Windows 電腦設定時間同步。

簡短說明

Windows 電腦可能會有在加入 AWS 受管 Microsoft AD 網域之前於登錄中預設的網路時間通訊協定 (NTP) 伺服器。在加入網域時,Windows 電腦會自動與所有可用機制同步時間。但是,如果來源 NTP 伺服器的時間不同,則此設定可能會導致時間偏移相關的問題。

在此範例中,在執行個體加入 AWS 受管 Microsoft AD 網域之前,NtpServer 參數會預先填入 169.254.169.123,0x9。但是,在加入網域之後,類型參數會變更為 AllSync。此組態變更可能會導致時間偏差。

在加入網域之前:

PS C:\> w32tm /dumpreg /subkey:parameters | findstr /i "NtpServer Type"
Value Name Value Type Value Data
NtpServer REG_SZ 169.254.169.123,0x9
Type REG_SZ NTP
PS C:\> w32tm /query /configuration | findstr /i "Type NTPServer:"
Type: AllSync (Local)
NtpServer: 169.254.169.123,0x9 time.windows.com,0x8 (Local)

在加入網域之後:

PS C:\> w32tm /dumpreg /subkey:parameters | findstr /i "NtpServer Type"
Value Name Value Type Value Data
NtpServer REG_SZ 169.254.169.123,0x9 time.windows.com,0x8
Type REG_SZ AllSync
PS C:\> w32tm /query /configuration | findstr /i "Type NTPServer:"
Type: AllSync (Local)
NtpServer: 169.254.169.123,0x9 time.windows.com,0x8 (Local)

解決方法

作為最佳做法,請使用網域控制站來確保 Windows 網域加入的電腦透過 AWS 受管 Microsoft AD 網域階層同步時間。如需詳細資訊,請參閱Microsoft 網站上的 Windows 時間服務的運作方式以及 Windows 時間服務工具和設定

先決條件

請確定您已完成下列先決條件:

PS C:\> Install-windowsFeature RSAT-ADDS,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,GPMC,RSAT-DNS-Server
Success Restart Needed Exit Code      Feature Result
------- -------------- ---------      --------------
True    No             Success        {Group Policy Management, DNS Server Tools, . . . }
  • 確認 EC2 執行個體已連接至您要設定時間同步網域階層的 AWS 受管 Microsoft AD 網域。如需詳細資訊,請參閱手動加入 Windows 執行個體

設定 AWS 受管 AD 網域時間階層

使用群組政策設定同步 AWS 受管 AD 網域階層中的時間:

  1. 使用遠端桌面通訊協定 (RDP) 登入 EC2 執行個體。然後,將網域使用者設定為管理員。如需詳細資訊,請參閱使用 RDP 連線至 Windows 執行個體
  2. 執行 GPMC.msc 以開啟群組政策管理主控台
  3. 選擇網域,然後選擇 [Domain Name]、[Directory NetBIOS name]電腦
  4. 選擇電腦,然後選擇在此網域中建立 GPO 並將其連結至此處:
    **注意:**電腦物件必須位於組織單位 (OU) 或相同階層中的其他 OU 下。
  5. 命名 GPO。例如,您可能使用 Domhier Time Syn。然後,選擇確定
  6. 選擇您剛建立的 GPO,然後選擇編輯
  7. 選擇電腦組態,然後選擇管理範本系統Windows 時間服務時間提供者
  8. 選擇啟用 Windows NTP 用戶端,然後選取已啟用
  9. 選擇確定
  10. 選擇設定 NTP 用戶端
  11. 選取已啟用,然後變更下列參數:
    對於類型,輸入 NT5DS。
    對於 SpecialPoolInterval,輸入 900。
  12. 選擇確定

確認 EC2 執行個體是否使用時間同步階層

完成這些步驟,以確認網域控制站是否正在透過 AWS 受管 Microsoft AD 網域階層同步時間。

如需詳細資訊,請參閱 Microsoft 網站上的群組政策:初學者基本疑難排解步驟

  1. 使用上一節中的執行個體來強制更新網域政策。以升級提示或管理員身分開啟 Windows PowerShell 提示,然後執行下列命令:

    PS C:\> gpupdate /force
    Updating policy...
    Computer Policy update has completed successfully.
    User Policy update has completed successfully.
  2. 確認已安裝 NT5DS。

    PS C:\> w32tm /query /configuration | findstr /i "Type NTPServer:"
    Type: NT5DS (Policy)
  3. 強制探索時間來源:

    PS C:\> w32tm /resync /rediscover
    Sending resync command to local computer
    The command completed successfully.
  4. 識別執行個體的同步處理伺服器。在此範例中,IP-C61301F5 是時間來源。

    PS C:\>  w32tm /query /status
    Leap Indicator: 0(no warning)
    Stratum: 5 (secondary reference - syncd by (S)NTP)
    Precision: -23 (119.209ns per tick)
    Root Delay: 0.0017265s
    Root Dispersion: 0.2926529s
    ReferenceId: 0xAC1F0DC6 (source IP:  172.31.13.198)
    Last Successful Sync Time: 4/18/2023 12:45:37 PM
    Source: IP-C61301F5.corp.example.com
    Poll Interval: 7 (128s)
  5. 確認伺服器是網域控制站:

    PS C:\> Get-ADDomainController -Filter * | select name
    name
    ----
    IP-C61301F5
    IP-C6130214

    **注意:**同步時間的網域控制站可能會在組態期間變更。此變更不會造成時間同步問題。

  6. 檢查執行個體和網域控制站之間的時間同步。理想情況下,時差盡可能接近零。如需詳細資訊,請參閱 Microsoft 網站上的 W32tm

    PS C:\> w32tm /stripchart /computer:IP-C61301F5.corp.example.com /samples:3
    Tracking IP-C61301F5.corp.example.com [172.31.13.198:123].
    Collecting 3 samples.
    The current time is 4/18/2023 12:43:11 PM.
    12:43:11, d:+00.0010085s o:-00.0012111s  [                           *                           ]
    12:43:13, d:+00.0015748s o:-00.0011228s  [                           *                           ]
    12:43:15, error: 0x80072733

相關資訊

如何解決 EC2 Windows 執行個體的時間問題?

設定 Windows 執行個體的時間

Amazon Windows AMI 的預設網路時間通訊協定 (NTP) 設定

AWS 官方
AWS 官方已更新 6 個月前