Настройка NTP сервера Windows server 2016 в домене групповыми политиками
Настройка NTP сервера Windows server 2016 в домене групповыми политиками
Мы рассмотрим как настроить NTP сервер в сети предприятия, где компьютеры пользователей получают точное время от DC с ролью эмулятора PDC (главный контроллер домена – Primary Domain Controller), в свою очередь DC синхронизирует свое время с внешним источником времени. В данном примере мы будем получать время с серверов pool.ntp.org.
Начиная с Windows 2000 все операционные системы Windows включают в себя службу времени W32Time. Эта служба предназначена для синхронизации времени в пределах организации и отвечает за работу как клиентской, так и серверной части, причем один и тот же компьютер может быть одновременно и клиентом и сервером NTP (Network Time Protocol). По умолчанию клиенты в домене синхронизируют время с помощью службы времени Windows (Windows Time), а не с помощью протокола NTP.
Миграция из физической в виртуальную среду
System Center Virtual Machine Manager (VMM) 2008 обеспечивает единое управление физическими компьютерами и виртуальными машинами. Кроме того, это решение предоставляет возможность миграции физического компьютера на виртуальную машину. Это процесс известен как преобразование физического компьютера в виртуальную машину (P2V). Во время процесса преобразования P2V физический контроллер домена, миграция которого осуществляется, не должен быть включен одновременно с новой виртуальной машиной, чтобы избежать ситуации отката номера последовательного обновления, как описано в Приложение A: виртуализированные контроллеры домена и проблемы репликации.
Преобразование P2V необходимо выполнить в автономном режиме, чтобы данные каталога были согласованы, когда контроллер домена вновь включится. Вариант автономного режима предлагается и рекомендуется в мастере преобразования физического сервера. Описание различий между автономным и оперативным режимами см. в статье «P2V: преобразование физических компьютеров в виртуальные машины в VMM» (страница может быть на английском языке) (http://go.microsoft.com/fwlink/?LinkId=155072). Во время преобразования P2V виртуальная машина не должна быть подключена к сети. Сетевой адаптер виртуальной машины следует включать только после завершения процесса преобразования P2V и его проверки. На этом этапе исходный физический компьютер будет отключен. Не подключайте исходный физический компьютер обратно к сети, пока жесткий диск не будет переформатирован.
Внимание |
---|
Чтобы предотвратить проблемы с репликацией Active Directory, убедитесь, что только один экземпляр (физический или виртуальный) контроллера домена существует в заданной сети в любой момент времени. |
Как отключить Hyper-V без удаления компонентов
Предыдущий метод отключения Hyper-V предполагает удаление соответствующих компонентов из системы, однако можно обойтись и без этого:
- Запустите командную строку от имени Администратора, для этого можно использовать поиск в панели задач, а потом выбрать пункт «Запуск от имени администратора». Другие способы запуска командной строки от имени администратора.
- Введите командуи нажмите Enter.
- Перезагрузите компьютер.
После перезагрузки Hyper-V (гипервизор) будет выключен и не будет влиять на запуск каких-либо других виртуальных машин, при этом сам компонент останется включенным.
Чтобы снова включить Hyper-V, используйте ту же команду, но измените off на auto и перезагрузите компьютер. Также есть возможность создания меню загрузки для выбора режима, в котором будет запускаться система — с включенным или отключенным Hyper-V, об этом в инструкции Как запускать виртуальные машины Hyper-V и VirtualBox на одном компьютере.
Видео
Изменение времени через командную строку
Если у вас регулярно возникает необходимость изменить время на Windows 10, то вы можете автоматизировать и ускорить эту процедуру используя командную строку. Если запустить ее с правами администратора, то с помощью команд «date» и «time» можно изменять дату и время.
Вы можете сохранить эти команды в bat-файл и в дальнейшем изменять дату и время в один клик.
Hyper-V
1. Резервирование памяти для хозяйской машины (host)
Registry Key: HKLMSOFTWAREMicrosoftWindows NTCurrentVersionVirtualization
Value Name: MemoryReserve
Value Type: REG_DWORD
Значение переменной MemoryReserve высчитывается как:
384MB + 30MB per 1GB of physical memory on the host machine.
При 16 ГБ ОЗУ MemoryReserve =384+(30*16)=864 (Мб)
При 64Гб ОЗУ MemoryReserve = 384 + (30 * 64) = 2304 (MB)
Значение в реестре:
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionVirtualization MemoryReserve=
2. Выделение ОЗУ виртуальной (guest)машине
При выделении ОЗУ для виртуальных машин необходимо придерживаться следующего правила:
Объем ОЗУ виртуальной машины должен быть кратен NUMA.
NUMA =кол ОЗУ ESX узла / кол-ядер узла.
Пример: Если на аппаратном узле имеется 64 ГБ ОЗУ и 4 процессора QuadCore (16 ядер), то NUMA=64/16=4 Гб.
Выделение ОЗУ для виртуальных машин должно идти по 4 Гб (4,8,12,16,20,32 ГБ). Не правильно выделять в этом случае по 2,3,6,7,10 Гб
3. Выделение процессоров виртуальной (guest) машины
Виртуальному процессору ставится в соответствие 1 ядро физического процессора.
4. Параметры виртуальной (guest) машины
Память должна быть выделена статично.
Ресурсы процессора должны быть заданы статически
Виртуальная машина должна располагаться в одном узле NUMA
Пример настроек подключений жестких дисков (отдельный vhd для каждой заданной роли — ОС, данные, вложения )
Пример сетевых настроек
1. Отключить профиль энергосбережения cpu :
- На Debian/Ubuntu системах нужно установить:
apt install linux-cpupower
apt install cpufrequtils
- На CentOS/Redhat:
yum install cpupowerutils
выполнить команду в ОС Linux гипервизора:
cat / sys / devices / system / cpu / cpu * / cpufreq / scaling_governor
вывод должен быть "performance"
- powersave — энергосберегающий (наша проблема, тормозит все и ужасно)
- ondemand — меняет частоту по требованию (но почему во время резких скачков нагрузки забывает это делать)
- performance — максимальная частота всегда
в случае, если выводится powersave или ondemand, необходимо выполнить команду ОС :
cpupower frequency — set — governor performance
и повторно проверить
2. Только для CompanyMedia версии 5,6
Установить параметр trustGuestRxFilters=yes в настройках виртуальных машин всех серверов приложений для включения протокола mutlicast.
( протокол используется для кластерной репликации серверов приложений).
3. использовать руководство
Настройка Active Directory
Когда установится роль, справа вверху Server Manager вы увидите восклицательный знак — требуется провести конфигурацию после развертывания. Нажимаем Повысить роль этого сервера до контроллера домена.
Далее весь процесс будет проходить в мастере настройки.
Повышение роли сервера до контроллера домена
Этапы работы мастера подробно описаны в документации 7 . Тем не менее, пройдемся по основным шагам.
Поскольку мы разворачиваем AD с нуля, то нужно добавлять новый лес. Не забудьте надежно сохранить пароль для режима восстановления служб каталогов (DSRM). Расположение базы данных AD DS можно оставить по умолчанию (именно так и рекомендуют. Однако для разнообразия в своей тестовой среде я указал другой каталог).
После этого сервер самостоятельно перезагрузится.
Создание учетных записей администраторов домена/предприятия
Залогиниться нужно будет под учетной записью локального администратора, как и прежде. Зайдите в оснастку Active Directory — пользователи и компьютеры, создайте необходимые учетные записи — на этом этапе это администратор домена.
Сразу же рекомендую настроить и иерархию организации (только не используйте русские символы!).
Настройка DNS на единственном DC в домене
Во время установки AD также была установлена роль AD DNS, поскольку других серверов DNS у меня в инфраструктуре не было. Для правильно работы сервиса необходимо изменить некоторые настройки. Для начала нужно проверить предпочитаемые серверы DNS в настройках сетевого адаптера. Необходимо использовать только один DNS-сервер с адресом 127.0.0.1. Да, именно localhost. По умолчанию он должен прописаться самостоятельно.
Убедившись в корректности настроек, открываем оснастку DNS. Правой кнопкой нажимаем на имени сервера и открываем его свойства, переходим на вкладку «Сервер пересылки». Адрес DNS-сервера, который был указан в настройках сети до установки роли AD DS, автоматически прописался в качестве единственного сервера пересылки:
Необходимо его удалить и создать новый и крайне желательно, чтобы это был сервер провайдера, но никак не публичный адрес типа общеизвестных 8.8.8.8 и 8.8.4.4. Для отказоустойчивости пропишите минимум два сервера. Не снимайте галочку для использования корневых ссылок, если нет доступных серверов пересылки. Корневые ссылки — это общеизвестный пул DNS-серверов высшего уровня.
Добавление второго DC в домен
Поскольку изначально я говорил о том, что у меня будет два контроллера домена, пришло время заняться настройкой второго. Проходим также мастер установки, повышаем роль до контроллера домена, только выбираем Добавить контроллер домена в существующий домен:
Обратите внимание, что в сетевых настройках этого сервера основным DNS-сервером должен быть выбран настроенный ранее первый контроллер домена! Это обязательно, иначе получите ошибку.
После необходимых настроек логиньтесь на сервер под учетной записью администратора домена, которая была создана ранее.
Настройка DNS на нескольких DC в домене
Для предупреждения проблем с репликацией нужно снова изменить настройки сети и делать это необходимо на каждом контроллере домена (и на существовавших ранее тоже) и каждый раз при добавлении нового DC:
Если у вас больше трех DC в домене, необходимо прописать DNS-серверы через дополнительные настройки именно в таком порядке. Подробнее про DNS вы можете прочитать в моей статье Шпаргалка по DNS.
Настройка времени
Этот этап нужно выполнить обязательно, особенно если вы настраиваете реальное окружение в продакшене. Как вы помните, ранее я отключил синхронизацию времени через гипервизор и теперь нужно её настроить должным образом. За распространение правильного время на весь домен отвечает контроллер с ролью FSMO PDC эмулятор (Не знаете что это такая за роль? Читайте статью PDC emulator — Эмулятор первичного контроллера домена). В моем случае это конечно же первый контроллер домена, который и является носителем всех ролей FSMO изначально.
Настраивать время на контроллерах домена будем с помощью групповых политик. Напоминаю, что учетные записи компьютеров контроллеров домена находятся в отдельном контейнере и имеют отдельную групповую политику по умолчанию. Не нужно вносить изменения в эту политику, лучше создайте новую.
Назовите её как считаете нужным и как объект будет создан, нажмите правой кнопкой — Изменить. Переходим в Конфигурация компьютераПолитикиАдминистративные шаблоныСистемаСлужба времени WindowsПоставщики времени. Активируем политики Включить NTP-клиент Windows и Включить NTP-сервер Windows, заходим в свойства политики Настроить NTP-клиент Windows и выставляем тип протокола — NTP, остальные настройки не трогаем:
Дожидаемся применения политик (у меня это заняло примерно 5-8 минут, несмотря на выполнение gpupdate /force и пару перезагрузок), после чего получаем:
Вообще надо сделать так, чтобы время с внешних источников синхронизировал только PDC эмулятор, а не все контроллеры домена под ряд, а будет именно так, поскольку групповая политика применяется ко всем объектам в контейнере. Нужно её перенацелить на конкретный объект учетной записи компьютера-владельца роли PDC-эмулятор. Делается это также через групповые политики — в консоли gpmc.msc нажимаем левой кнопкой нужную политику и справа у вас появятся её настройки. В фильтрах безопасности нужно добавить учетную запись нужного контроллера домена:
Подробнее о принципе работы и настройке службы времени читайте в официальной документации 8 .
На этом настройка времени, а вместе с ней и начальная настройка Active Directory, завершена.