Windows Active Directory — изменение настроек сервера времени после перемещения PDC/FSMO

Мы настроили объект групповой политики для настройки нашего сервера PDC, как описано здесь (и во многих других блогах). https://docs.microsoft.com/en-us/archive/blogs/nepapfe/its-simple-time-configuration-in-active-directory

Это означает, что наш объект групповой политики использует фильтр, который применяется только к основному PDC, чтобы установить параметры NTP в качестве основного источника времени в нашем домене AD. Выберите * из Win32_ComputerSystem, где DomainRole = 5

Когда роли FSMO перемещаются на другой контроллер домена, эти настройки времени/ntp применяются к новому контроллеру домена, который действует как основной контроллер домена. Но после перемещения роли старый PDC по-прежнему настроен со СТАРЫМИ настройками ntp/time.

Чтобы исправить эту ситуацию, мы применяем эту ручную команду в СТАРОМ PDC. w32tm/config/syncfromflags:domhier/update

Но мы хотели бы сделать это автоматически, как мы можем это сделать? , как мы можем автоматически сбросить предыдущие настройки, которые все еще остаются на СТАРОМ PDC?

заранее спасибо

Тьфу, я все еще намереваюсь написать сообщение в блоге, которое исправит некоторые плохие форматы и фразы в этой статье. И некоторые другие заблуждения, которые я видел в других местах о настройке источника времени NTP.

Чтобы перейти к погоне - на самом деле есть ДВА Объекты групповой политики, которые необходимо создать. Первый относится к PDCE с фильтром WMI и конфигурацией источника времени NTP, как вы сделали.

Второй упоминается под Создание объекта групповой политики с глобальными настройками в той статье. Как говорится, в другом GPO, отличном от PDCE, включите Глобальные параметры конфигурации под Конфигурация компьютера\Административные шаблоны\Система\Служба времени Windows\Поставщики времени и вы можете просто оставить значения по умолчанию.

Этот второй объект групповой политики для включения параметра времени «по умолчанию» должен применяться в групповой политике для все ДЦ. Убедитесь, что объект групповой политики, содержащий конфигурацию времени по умолчанию, имеет более низкий приоритет, чем приоритет PDCE.

Обычно, если у вас есть Контроллеры домена по умолчанию политики, связанной с OU контроллеров домена, можно просто включить базовую Глобальные параметры конфигурации для времени Windows там. Пользовательский объект групповой политики для PDCE заботится о конфигурации времени NTP при смене роли, а объект «по умолчанию» вернет настройку времени для старого PDCE.

Убедитесь, конечно, что ваш порядок ссылок GPO правильный в OU - опять же, ваш GPO пользовательской политики времени PDCE должен иметь более высокий приоритет, чем политика DC по умолчанию.

Если вы хотите создать собственный объект групповой политики, связанный с OU контроллеров домена для конфигурации времени по умолчанию, это тоже работает. Создание отдельного объекта групповой политики требует немного больше усилий, если у вас уже есть политика DC по умолчанию. Опять же, такой пользовательский объект групповой политики также должен иметь меньший приоритет, чем объект PDCE.

Я обнаружил, что в реальном мире в среде с хорошим подключением требуется < 5 минут, чтобы PDCE получил свою новую конфигурацию времени (или GPRefresh для ускорения), в то время как предыдущему PDCE требуется немного больше времени, чтобы вернуться к домену. иерархии в зависимости от времени обновления GP. А незначительный задержка для предыдущего PDCE, чтобы наверстать упущенное, в порядке.

Перемещение ролей FSMO — это событие, которое должно происходить очень редко, либо когда вы увольняете существующего владельца роли FSMO, либо потому, что у текущего владельца роли FSMO возникают проблемы. Таким образом, для этого не будет необходимости в решении, потому что вы полностью удалите текущего владельца роли FSMO.

Перемещение ролей FSMO при сохранении активного владельца текущей роли FSMO — еще более редкое событие, и поэтому это похоже на решение проблемы.