Tkkastur.ru

Авто Бан
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Настройка NTP сервера Windows server 2016 в домене групповыми политиками

Настройка NTP сервера Windows server 2016 в домене групповыми политиками

Мы рассмотрим как настроить NTP сервер в сети предприятия, где компьютеры пользователей получают точное время от DC с ролью эмулятора PDC (главный контроллер домена – Primary Domain Controller), в свою очередь DC синхронизирует свое время с внешним источником времени. В данном примере мы будем получать время с серверов pool.ntp.org.

Начиная с Windows 2000 все операционные системы Windows включают в себя службу времени W32Time. Эта служба предназначена для синхронизации времени в пределах организации и отвечает за работу как клиентской, так и серверной части, причем один и тот же компьютер может быть одновременно и клиентом и сервером NTP (Network Time Protocol). По умолчанию клиенты в домене синхронизируют время с помощью службы времени Windows (Windows Time), а не с помощью протокола NTP.

Миграция из физической в виртуальную среду

System Center Virtual Machine Manager (VMM) 2008 обеспечивает единое управление физическими компьютерами и виртуальными машинами. Кроме того, это решение предоставляет возможность миграции физического компьютера на виртуальную машину. Это процесс известен как преобразование физического компьютера в виртуальную машину (P2V). Во время процесса преобразования P2V физический контроллер домена, миграция которого осуществляется, не должен быть включен одновременно с новой виртуальной машиной, чтобы избежать ситуации отката номера последовательного обновления, как описано в Приложение A: виртуализированные контроллеры домена и проблемы репликации.

Преобразование P2V необходимо выполнить в автономном режиме, чтобы данные каталога были согласованы, когда контроллер домена вновь включится. Вариант автономного режима предлагается и рекомендуется в мастере преобразования физического сервера. Описание различий между автономным и оперативным режимами см. в статье «P2V: преобразование физических компьютеров в виртуальные машины в VMM» (страница может быть на английском языке) (http://go.microsoft.com/fwlink/?LinkId=155072). Во время преобразования P2V виртуальная машина не должна быть подключена к сети. Сетевой адаптер виртуальной машины следует включать только после завершения процесса преобразования P2V и его проверки. На этом этапе исходный физический компьютер будет отключен. Не подключайте исходный физический компьютер обратно к сети, пока жесткий диск не будет переформатирован.

Читайте так же:
Как синхронизировать iphone с автомобилем
Внимание
Чтобы предотвратить проблемы с репликацией Active Directory, убедитесь, что только один экземпляр (физический или виртуальный) контроллера домена существует в заданной сети в любой момент времени.

Как отключить Hyper-V без удаления компонентов

Предыдущий метод отключения Hyper-V предполагает удаление соответствующих компонентов из системы, однако можно обойтись и без этого:

  1. Запустите командную строку от имени Администратора, для этого можно использовать поиск в панели задач, а потом выбрать пункт «Запуск от имени администратора». Другие способы запуска командной строки от имени администратора.
  2. Введите командуи нажмите Enter.
  3. Перезагрузите компьютер.

После перезагрузки Hyper-V (гипервизор) будет выключен и не будет влиять на запуск каких-либо других виртуальных машин, при этом сам компонент останется включенным.

Чтобы снова включить Hyper-V, используйте ту же команду, но измените off на auto и перезагрузите компьютер. Также есть возможность создания меню загрузки для выбора режима, в котором будет запускаться система — с включенным или отключенным Hyper-V, об этом в инструкции Как запускать виртуальные машины Hyper-V и VirtualBox на одном компьютере.

Отключение Hyper-V в меню загрузки Windows 10

Видео

Изменение времени через командную строку

Если у вас регулярно возникает необходимость изменить время на Windows 10, то вы можете автоматизировать и ускорить эту процедуру используя командную строку. Если запустить ее с правами администратора, то с помощью команд «date» и «time» можно изменять дату и время.

изменение времени в командной строке

Вы можете сохранить эти команды в bat-файл и в дальнейшем изменять дату и время в один клик.

Hyper-V

1. Резервирование памяти для хозяйской машины (host)

Registry Key: HKLMSOFTWAREMicrosoftWindows NTCurrentVersionVirtualization
Value Name: MemoryReserve
Value Type: REG_DWORD

Значение переменной MemoryReserve высчитывается как:
384MB + 30MB per 1GB of physical memory on the host machine.
При 16 ГБ ОЗУ MemoryReserve =384+(30*16)=864 (Мб)
При 64Гб ОЗУ MemoryReserve = 384 + (30 * 64) = 2304 (MB)

Читайте так же:
Мотор 4g92 регулировка клапанов

Значение в реестре:
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionVirtualization MemoryReserve=

2. Выделение ОЗУ виртуальной (guest)машине

При выделении ОЗУ для виртуальных машин необходимо придерживаться следующего правила:
Объем ОЗУ виртуальной машины должен быть кратен NUMA.
NUMA =кол ОЗУ ESX узла / кол-ядер узла.
Пример: Если на аппаратном узле имеется 64 ГБ ОЗУ и 4 процессора QuadCore (16 ядер), то NUMA=64/16=4 Гб.
Выделение ОЗУ для виртуальных машин должно идти по 4 Гб (4,8,12,16,20,32 ГБ). Не правильно выделять в этом случае по 2,3,6,7,10 Гб

3. Выделение процессоров виртуальной (guest) машины

Виртуальному процессору ставится в соответствие 1 ядро физического процессора.

4. Параметры виртуальной (guest) машины

Память должна быть выделена статично.

Ресурсы процессора должны быть заданы статически

Виртуальная машина должна располагаться в одном узле NUMA

Пример настроек подключений жестких дисков (отдельный vhd для каждой заданной роли — ОС, данные, вложения )

Пример сетевых настроек

1. Отключить профиль энергосбережения cpu :

  • На Debian/Ubuntu системах нужно установить:

apt install linux-cpupower
apt install cpufrequtils

  • На CentOS/Redhat:

yum install cpupowerutils

выполнить команду в ОС Linux гипервизора:

cat / sys / devices / system / cpu / cpu * / cpufreq / scaling_governor

вывод должен быть "performance"

  • powersave — энергосберегающий (наша проблема, тормозит все и ужасно)
  • ondemand — меняет частоту по требованию (но почему во время резких скачков нагрузки забывает это делать)
  • performance — максимальная частота всегда

в случае, если выводится powersave или ondemand, необходимо выполнить команду ОС :

cpupower frequency — set — governor performance

и повторно проверить

2. Только для CompanyMedia версии 5,6

Установить параметр trustGuestRxFilters=yes в настройках виртуальных машин всех серверов приложений для включения протокола mutlicast.
( протокол используется для кластерной репликации серверов приложений).

3. использовать руководство

Настройка Active Directory

Когда установится роль, справа вверху Server Manager вы увидите восклицательный знак — требуется провести конфигурацию после развертывания. Нажимаем Повысить роль этого сервера до контроллера домена.

ad ds configuring 05

Далее весь процесс будет проходить в мастере настройки.

Читайте так же:
Индикаторная головка для регулировки клапанов

Повышение роли сервера до контроллера домена

Этапы работы мастера подробно описаны в документации 7 . Тем не менее, пройдемся по основным шагам.

Поскольку мы разворачиваем AD с нуля, то нужно добавлять новый лес. Не забудьте надежно сохранить пароль для режима восстановления служб каталогов (DSRM). Расположение базы данных AD DS можно оставить по умолчанию (именно так и рекомендуют. Однако для разнообразия в своей тестовой среде я указал другой каталог).

ad ds configuring 06 60%

ad ds configuring 07

После этого сервер самостоятельно перезагрузится.

Создание учетных записей администраторов домена/предприятия

Залогиниться нужно будет под учетной записью локального администратора, как и прежде. Зайдите в оснастку Active Directory — пользователи и компьютеры, создайте необходимые учетные записи — на этом этапе это администратор домена.

ad ds configuring 08

Сразу же рекомендую настроить и иерархию организации (только не используйте русские символы!).

Настройка DNS на единственном DC в домене

Во время установки AD также была установлена роль AD DNS, поскольку других серверов DNS у меня в инфраструктуре не было. Для правильно работы сервиса необходимо изменить некоторые настройки. Для начала нужно проверить предпочитаемые серверы DNS в настройках сетевого адаптера. Необходимо использовать только один DNS-сервер с адресом 127.0.0.1. Да, именно localhost. По умолчанию он должен прописаться самостоятельно.

ad ds configuring 09

Убедившись в корректности настроек, открываем оснастку DNS. Правой кнопкой нажимаем на имени сервера и открываем его свойства, переходим на вкладку «Сервер пересылки». Адрес DNS-сервера, который был указан в настройках сети до установки роли AD DS, автоматически прописался в качестве единственного сервера пересылки:

ad ds configuring 10

Необходимо его удалить и создать новый и крайне желательно, чтобы это был сервер провайдера, но никак не публичный адрес типа общеизвестных 8.8.8.8 и 8.8.4.4. Для отказоустойчивости пропишите минимум два сервера. Не снимайте галочку для использования корневых ссылок, если нет доступных серверов пересылки. Корневые ссылки — это общеизвестный пул DNS-серверов высшего уровня.

Читайте так же:
Регулировка двухдискового сцепления ямз 238 на автомобиле

Добавление второго DC в домен

Поскольку изначально я говорил о том, что у меня будет два контроллера домена, пришло время заняться настройкой второго. Проходим также мастер установки, повышаем роль до контроллера домена, только выбираем Добавить контроллер домена в существующий домен:

ad ds configuring 11

Обратите внимание, что в сетевых настройках этого сервера основным DNS-сервером должен быть выбран настроенный ранее первый контроллер домена! Это обязательно, иначе получите ошибку.

После необходимых настроек логиньтесь на сервер под учетной записью администратора домена, которая была создана ранее.

Настройка DNS на нескольких DC в домене

Для предупреждения проблем с репликацией нужно снова изменить настройки сети и делать это необходимо на каждом контроллере домена (и на существовавших ранее тоже) и каждый раз при добавлении нового DC:

ad ds configuring 12

Если у вас больше трех DC в домене, необходимо прописать DNS-серверы через дополнительные настройки именно в таком порядке. Подробнее про DNS вы можете прочитать в моей статье Шпаргалка по DNS.

Настройка времени

ad ds configuring 13

Этот этап нужно выполнить обязательно, особенно если вы настраиваете реальное окружение в продакшене. Как вы помните, ранее я отключил синхронизацию времени через гипервизор и теперь нужно её настроить должным образом. За распространение правильного время на весь домен отвечает контроллер с ролью FSMO PDC эмулятор (Не знаете что это такая за роль? Читайте статью PDC emulator — Эмулятор первичного контроллера домена). В моем случае это конечно же первый контроллер домена, который и является носителем всех ролей FSMO изначально.

Настраивать время на контроллерах домена будем с помощью групповых политик. Напоминаю, что учетные записи компьютеров контроллеров домена находятся в отдельном контейнере и имеют отдельную групповую политику по умолчанию. Не нужно вносить изменения в эту политику, лучше создайте новую.

Читайте так же:
Системы для регулировки развал схождения

ad ds configuring 14

Назовите её как считаете нужным и как объект будет создан, нажмите правой кнопкой — Изменить. Переходим в Конфигурация компьютераПолитикиАдминистративные шаблоныСистемаСлужба времени WindowsПоставщики времени. Активируем политики Включить NTP-клиент Windows и Включить NTP-сервер Windows, заходим в свойства политики Настроить NTP-клиент Windows и выставляем тип протокола — NTP, остальные настройки не трогаем:

ad ds configuring 15

Дожидаемся применения политик (у меня это заняло примерно 5-8 минут, несмотря на выполнение gpupdate /force и пару перезагрузок), после чего получаем:

ad ds configuring 16

Вообще надо сделать так, чтобы время с внешних источников синхронизировал только PDC эмулятор, а не все контроллеры домена под ряд, а будет именно так, поскольку групповая политика применяется ко всем объектам в контейнере. Нужно её перенацелить на конкретный объект учетной записи компьютера-владельца роли PDC-эмулятор. Делается это также через групповые политики — в консоли gpmc.msc нажимаем левой кнопкой нужную политику и справа у вас появятся её настройки. В фильтрах безопасности нужно добавить учетную запись нужного контроллера домена:

ad ds configuring 18

Подробнее о принципе работы и настройке службы времени читайте в официальной документации 8 .

На этом настройка времени, а вместе с ней и начальная настройка Active Directory, завершена.

голоса
Рейтинг статьи
Ссылка на основную публикацию
Adblock
detector