Регистрация Войти
Рейтинг:0
jrd1989 avatar Server

Конфигурация реестра Windows NTP-сервера

флаг cn
jrd1989

Я унаследовал среду с Контроллер домена Windows 2012R2 (serverA) установлен как NTP-сервер. Вскоре этот сервер будет удален для нового (отдельного) экземпляра 2019 года. Контроллер домена не есть Эмулятор основного контроллера домена отведенная ему роль.

Сервер NTP указывает на отдельный сервер NTP за пределами нашей непосредственной сети. Этот NTP-сервер, на который он указывает, нет общедоступный сервер NTP, доступный через Интернет. Он является внутренним для организации, но не является частью сети, в которой находится моя среда.

Если я побегу w32tm/запрос/источник на любом другом сервере в нашей среде (приложение, база данных, контроллеры домена) они ссылаются на наш NTP-сервер или один из другие контроллеры домена в нашей среде.

Где я запутался или нуждаюсь в разъяснении, это параметр реестра для ссылки на рядовые серверы домена time.windows.com, 0x8 или же time.windows.com, 0x9 здесь: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters - NTP-сервер

Только у одного контроллера домена значение реестра, указанное выше, установлено в качестве NTP-сервера в нашей среде (serverA). Если это значение реестра для рядовых серверов домена установлено на IP/имя хоста нашего контроллера домена (serverA)?

Прежде чем выполнять какую-либо миграцию, я хочу убедиться, что понимаю текущую конфигурацию, чтобы я мог исправить/решить любые проблемы. Буду признателен за любую помощь или разъяснение!

230
0 + 0
флаг cn
Greg Askew
Вы должны подтвердить, как члены домена синхронизируются. Вы можете не заметить, что с w32tm /query/source именно для этого предназначены переключатели /status/verbose. Также похоже, что сейчас нет согласованной стратегии синхронизации. Большинство организаций не синхронизируют членов домена с помощью NTP, они синхронизируются с помощью Active Directory (NT5DS).
1
Ответить
jrd1989 avatar
флаг cn
jrd1989
Я ценю ответ. Если я запускаю ```w32tm /query /status /verbose``` на рядовых серверах в домене, значением «Источник» будет либо наш контроллер домена, на котором запущены службы NTP, либо один из других контроллеров домена в нашей среде.
0
Ответить
Рейтинг:1
John Mahowald avatar Server
флаг cn
John Mahowald

Компьютеры, присоединенные к AD DS, по умолчанию обнаруживают время из иерархии домена. В HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\ Тип является NT5DS и NTP-сервер Не важно. Единственный компьютер, где тип должен быть статическим НТП является PDC корня леса. С точки зрения страты НТП это будет:

  1. NTP-серверы
  2. Эмулятор основного контроллера домена
  3. Другие контроллеры домена
  4. Другие компьютеры-участники

Рассмотрите групповую политику для принудительного применения параметров времени на контроллерах домена в случае изменения основного контроллера домена. Теперь, когда вы знаете, какие параметры реестра можно найти, например, политику, как этот в PowerShell. Замените свой NTP-сервер, конечно.

Определите, собираетесь ли вы использовать этот дизайн по умолчанию или что-то другое. И применяйте его последовательно ко всем устройствам, которых у вас пока нет. Все компьютеры могут быть настроены на статическое НТП. Но, как вы уже поняли, любой конкретный хост не вечен, особенно контроллеры домена.

Обратите внимание, что на контроллерах домена запущена служба NTP, которая также может использоваться устройствами, не входящими в домен или не работающими под управлением Windows.Доменное имя является хорошим служебным адресом: пул ad.example.net iburst

Использованная литература:

0 + 0
jrd1989 avatar
флаг cn
jrd1989
Я ценю эту информацию. Серверу NTP не назначена роль эмулятора PDC. У него есть другие роли контроллера домена, но не эмулятор PDC. Я хочу перенести службы NTP на новый DC 2019 с ролью эмулятора PDC. Насколько я понимаю, вы говорите, что параметр реестра ```NtpServer``` для членов домена должен быть установлен на наш сервер NTP вместо time.windows.com, 0x8, который является текущим параметром? Я согласен, что GPO будет намного проще с точки зрения конфигурации/обслуживания, и я постараюсь сделать это. Я понимаю, как все должно быть настроено, спасибо!
0
Ответить
John Mahowald avatar
флаг cn
John Mahowald
Да, везде используйте NTP-сервер как `NtpServer`, а не `time.windows.com` (который, вероятно, все равно перегружен). Но настроенные статические NTP-серверы не используются, когда компьютеры-члены обнаруживают через NT5DS.
0
Ответить
jrd1989 avatar
флаг cn
jrd1989
Думаю, в этом и заключается мое замешательство. В настоящее время серверы-члены домена и все контроллеры домена, кроме контроллера домена, на котором размещены службы NTP, имеют параметр реестра для ```Тип```, установленный как ```NT5DS```, а для ```NtpServer``` установлено значение ``время .windows.com```. Поскольку члены домена настроены как NT5DS, значение ```NtpServer``` не имеет значения, поскольку они извлекаются из домена/контроллеров домена и технически не нуждаются в обновлении, правильно? Под обновленным я подразумеваю переключение URL-адреса time.windows.com для нашего имени хоста NTP.
0
Ответить
John Mahowald avatar
флаг cn
John Mahowald
Оба эти утверждения могут быть правдой: 1) NtpServer не имеет значения при обнаружении NT5DS 2) time.windows.com является мусором по отношению к локальному серверу NTP, поэтому нет необходимости быть избирательным в GPO, который обновляет NtpServer
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.