it-swarm.com.de

Hyper-V-Zeitsynchronisierung für VM Domain Controller

Wir haben 2 physische Hyper-V-Server, auf denen 8 VMs ausgeführt werden. Auf jedem physischen Server befindet sich ein Domänencontroller, der in einem VM) ausgeführt wird, und alle Server sind 2008R2

Die VM PDC ist auf NTP und gesetzt, um mit time.Microsoft.com und dem Rest einschließlich der physischen Server zu synchronisieren) sind NT5DS. Dieser Main VM PDC enthält definitiv das FSMO und ist UDP 123 ist aktiv)

wenn ich w32tm/query/status starte

Ich bekomme VM IC Time Synchronization Provider auf beiden VM DCs, ich weiß, dass dies bedeutet, mit dem Host zu synchronisieren.

Wenn ich w32tm/resync/rediscover laufen lasse

Ich habe "nicht erneut synchronisiert, weil keine Zeitdaten verfügbar waren" und eine Ereignis-ID 134 in den Protokollen irgendwelche Ideen dazu?

Ich habe auch die Protokolle durchgesehen und habe Ereignis 144 & 12

Ich habe die MS KB-Details zum Einrichten einer externen Zeitquelle befolgt und alle Registrierungsänderungen vorgenommen, aber ich denke, der DNS bringt mich dazu?

Aber wenn ich die Zeit auf einer der physischen Maschinen ändere, wird hier die Zeit eingestellt. Vielleicht, wenn ich die Registrierung aller aufhebe und mich registriere und aktualisiere und synchronisiere, aber ich fürchte, ich schaffe ein größeres Problem!

Ich versuche, die Zeitsynchronisation zwischen VM und aktiviertem Hyper-V-Host) zu belassen, da ich glaube, dass dies nach dem, was ich gelesen habe, die beste Vorgehensweise ist.

Danke für Ihre Hilfe



Ich habe es endlich geschafft! Ziel ist es, Menschen zu helfen, die zu Beginn der Festlegung einer Domains-Zeit beginnen.

In diesem Beispiel werden auf allen Servern, primären Domänencontrollern (PDC), anderen Domänencontrollern (DC) und anderen Servern Windows 2008 R2 ausgeführt und mit Hyper-V virtualisiert.

Zuerst lesen Sie, um den 'Time Synchronization Integration Service' auf einer virtuellen Maschine in Hyper-V zu deaktivieren. Stattdessen sollten Sie den Windows Time Service (w32tm-Dienst) im virtuellen Domänencontroller bearbeiten. Sie sollten dies nicht deaktivieren, da a VM Neustart führt zu Problemen. Dies sollte mit w32tm erfolgen. http://blogs.msdn.com/b/virtual_pc_guy/archive/2010/11/19/time -synchronisation-in-hyper-v.aspx

Sie müssen herausfinden, welcher Server der PDC] ist und FSMO-Rollen ausführt. Führen Sie Folgendes aus: netdom query fsmo Das Ergebnis sollte Ihr PDC und hier ist Sie nehmen die meisten Ihrer Änderungen vor.

Stellen Sie sicher, dass in der Firewall eine ausgehende Regel für UDP123 vorhanden ist und das Programm% SystemRoot%\System32\w32tm.exe lautet. Navigieren Sie einfach zum Windows-Verzeichnis und suchen Sie die Exe für die Zeit

Hier gehen die Registrierungsänderungen runter! HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\W32Time

Stellen Sie sicher, dass PDC unter config in der obigen Registrierungsadresse auf NTP für "Typ") gesetzt ist und alle anderen Server NT5DS sind. Dies bedeutet NTP ist der Papa! Die beste Vorgehensweise hier ist, dass die PDC extern nach Zeit suchen und alles mit ihr synchronisiert wird.

Führen Sie dies auf allen Domänencontrollern (einschließlich PDC) aus. Dadurch wird die Windows-Zeit teilweise deaktiviert, sodass der Host-Computer nicht zeitlich überprüft wird. Dies ist wichtig, da wir virtualisiert sind. reg HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider hinzufügen/v Aktiviert/t reg_dword/d 0

Sie können auf der Website ntp.org http://support.ntp.org/bin/view/Servers/WebHome einen Server in Ihrer Nähe finden, um Ihre externe Zeit zu synchronisieren. Ich empfehle, Microsoft nicht zu verwenden, da diese häufig verwendet werden und aus diesem Grund herausrutschen können.

Der folgende Befehl setzt den Wert PDC), um extern zu schauen, überprüft aber auch die hier definierten Registrierungseinstellungen, um extern zu synchronisieren (Sie müssen beides tun) http://support.Microsoft.com/kb/816042

Führen Sie dies auf PDC w32tm/config /manualpeerlist:0.0.pool.ntp.org,0x1 ”/ syncfromflags: MANUAL/zuverlässig: ja w32tm/config/update w32tm/resync w32tm/resync/wiederentdecken

Führen Sie diese beiden Befehle jederzeit auf einem beliebigen Server aus, um deren Quelle anzuzeigen. Wenn sie zuletzt aktualisiert wurden, werden diese während dieser Übung verwendet, um sicherzustellen, dass Ihre PDC und andere Server) Zeit von rechts erhalten platziere w32tm/query/status w32tm/query/source

Führen Sie dies dann auf allen DC außer dem PDC) aus. Dadurch werden sie auf die PDC für Zeit schauen und erneut synchronisieren). W32tm/config/syncfromflags: DOMHIER/Update net stop w32time net start w32time w32tm/resync/force

Probleme: Wenn Sie die Status- oder Quellabfrage ausführen, geben Sie ihnen eine oder zwei Minuten nach den Änderungen, sollten Sie nicht auf die lokale Uhr CMOS Uhr) schauen und Sie sollten nicht den vm ic Zeitsynchronisationsanbieter als verwenden Quelle entweder.

Bei Erfolg sollte der PDC die von Ihnen festgelegte externe Site lesen und die anderen Server sollten den PDC als Quelle) angeben

Hoffe das hilft den Leuten viel Glück!

13
Karl

Ich habe es endlich geschafft! Ziel ist es, Menschen zu helfen, die zu Beginn der Festlegung einer Domains-Zeit beginnen.

In diesem Beispiel werden auf allen Servern, primären Domänencontrollern (PDC), anderen Domänencontrollern (DC) und anderen Servern Windows 2008 R2 ausgeführt und mit Hyper-V virtualisiert.

Zuerst lesen Sie, um den 'Time Synchronization Integration Service' auf einer virtuellen Maschine in Hyper-V zu deaktivieren. Stattdessen sollten Sie den Windows Time Service (w32tm-Dienst) im virtuellen Domänencontroller bearbeiten. Sie sollten dies nicht deaktivieren, da a VM Neustart führt zu Problemen. Dies sollte mit w32tm erfolgen. MSDN-Informationen

Sie müssen herausfinden, welcher Server der PDC] ist und FSMO-Rollen ausführt. Führen Sie Folgendes aus: netdom query fsmo Das Ergebnis sollte Ihr PDC und hier ist Sie nehmen die meisten Ihrer Änderungen vor.

Stellen Sie sicher, dass in der Firewall eine "Outbound" -Regel für UDP123 vorhanden ist und das Programm % SystemRoot%\System32\w32tm.exe lautet. Navigieren Sie einfach zum Windows-Verzeichnis und finde die exe für die zeit

Hier gehen die Registrierungsänderungen runter!

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\W32Time

Stellen Sie sicher, dass PDC unter config in der obigen Registrierungsadresse auf [~ # ~] ntp [~ # ~] für " Type " und alle anderen Server sind NT5DS, dies bedeutet NTP ist der Papa! Best Practice hier ist es, die PDC extern nach Zeit suchen zu lassen und alles damit zu synchronisieren.

Führen Sie dies auf allen Domänencontrollern (einschließlich PDC) aus. Dadurch wird die Windows-Zeit teilweise deaktiviert, sodass der Host-Computer nicht zeitlich überprüft wird. Dies ist wichtig, da wir virtuell sind.

reg add HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider /v Enabled /t reg_dword /d 0

Sie können auf die Website ntp.org gehen, um einen Server in Ihrer Nähe zu finden, auf dem Sie Ihre externe Zeit synchronisieren können. Ich empfehle, Microsoft nicht zu verwenden, da diese häufig verwendet werden und aus diesem Grund herausrutschen können.

Mit dem folgenden Befehl wird PDC) so eingestellt, dass es extern angezeigt wird. Überprüfen Sie jedoch auch die hier definierten Registrierungseinstellungen, um eine externe Synchronisierung durchzuführen (Sie müssen beides ausführen) MS KB 816042

Führen Sie dies auf [~ # ~] pdc [~ # ~]

w32tm /config /manualpeerlist:"0.pool.ntp.org,0x1" /syncfromflags:MANUAL /reliable:yes   
w32tm /config /update   
w32tm /resync 
w32tm /resync /rediscover

Führen Sie diese beiden Befehle jederzeit auf einem beliebigen Server aus, um deren Quelle anzuzeigen. Wenn sie zuletzt aktualisiert wurden, werden diese während dieser Übung verwendet, um sicherzustellen, dass Ihre PDC und andere Server) Zeit von rechts erhalten Ort

w32tm /query /status  
w32tm /query /source

Führen Sie dies dann auf all DC außer dem PDC aus. Dadurch sehen sie sich den PDC für Zeit und erneut synchronisieren

w32tm /config /syncfromflags:DOMHIER /update 
net stop w32time 
net start w32time 
w32tm /resync /force

Probleme : Wenn Sie die Status- oder Quellabfrage ausführen, geben Sie ihnen eine oder zwei Minuten nach den Änderungen, sollten Sie sich nicht das Local = ansehen CMOS Clock und Sie sollten auch nicht VM IC Time Synchronization Provider als Quelle verwenden.

Bei Erfolg sollte der PDC die von Ihnen festgelegte externe Site lesen und die anderen Server sollten den PDC als Quelle) angeben

Hoffe das hilft den Leuten viel Glück!

5
Karl

@PSaul ist meistens richtig. Sie möchten nicht time.Microsoft Oder time.windows.com Als Zeitquelle für Ihren Domänencontroller verwenden, der die FSMO-Rolle PDC Emulator innehat. Standardmäßig werden sie häufig verwendet, sind häufig aufgrund mangelnder Lokalität langsam und manchmal nicht verfügbar. Wählen Sie einen NTP Pool, der näher bei Ihnen liegt.

Deaktivieren Sie jedoch nicht die Hyper-V-Zeitsynchronisationsintegration. Dies ist für bestimmte Funktionen erforderlich, z. B. zum Zurücksetzen der Zeit nach einem Neustart oder wenn die virtuelle Maschine aus einem gespeicherten Zustand zurückkehrt. Sie möchten Ihren virtualisierten Domänencontrollern mitteilen, dass sie ihren Hyper-V-Host als Zeitquelle ignorieren sollen.

Dies kann wie folgt erfolgen:

reg add HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider /v Enabled /t reg_dword /d 0

Dieser Befehl entfernt die Hyper-V-Zeitquelle als mögliche Quelle für W32Time.

w32tm /config /syncfromflags:DOMHIER /update

Weisen Sie W32Time nun an, nach der bestmöglichen Zeitquelle in der Domänenhierarchie zu suchen. Wenn Sie eine externe Quelle für beide Domänencontroller verwenden möchten, können Sie diese mithilfe der Befehle @PSaul posted oder from here konfigurieren. Im Allgemeinen sollte der Domänencontroller, der die Emulatorrolle PDC innehat, von der externen Quelle synchronisiert werden, und Ihre anderen Domänencontroller sollten von dieser synchronisiert werden.

net stop w32time & net start w32time
w32tm /resync /force

Starten Sie den Zeitdienst neu und erzwingen Sie eine Neusynchronisierung.

w32tm /query /source

Schließlich sollten Sie bestätigen, dass Ihre Domänencontroller die richtige Zeitquelle haben.

Weitere Informationen finden Sie in Ben Armstrongs ausgezeichnetem Blog-Beitrag .

12
user62491

Ich würde vorschlagen:

  • Aktivieren Sie NICHT die Zeitsynchronisierung zwischen dem HyperV-Host und den Gast-VMs - insbesondere für DCs. Der Rolleninhaber PDC sollte über NTP aus mehreren guten Zeitquellen) aktualisiert werden. Die Uhr des Hosts kann auch über NTP) aktualisiert werden Sie möchten jedoch, dass PDC der "Master" für andere Domänencontroller und Mitgliedsserver ist. (Zumindest bei VMwre gehe ich bei HyperV davon aus.)
  • Stellen Sie sicher, dass der UDP-Port 123 für ausgehenden Datenverkehr geöffnet ist.
  • Dass Sie den FQDN der NTP Server) auflösen können (können Sie sie anpingen?)
  • Alle anderen Domänencontroller und Mitgliedscomputer sollten automatisch aktualisiert werden.

Verwenden Sie nicht NUR time.windows.com oder time.Microsoft.com, sondern einen der * .pool.ntp.org-Server. Ich benutze north-america.pool.ntp.org oder ca.north-america.pool.ntp.org - je näher desto besser. Sie können Folgendes überprüfen: http://www.pool.ntp.org/ , um Server in Ihrer Nähe zu finden.

Führen Sie dann etwas aus wie:

w32tm /config /manualpeerlist:"north-america.pool.ntp.org 0.pool.ntp.org" /syncfromflags:MANUAL /update /reliable:YES

(Fügen Sie beliebige NTP Server hinzu, die Sie möchten. In Kanada verwende ich auch time.nrc.ca)

Gefolgt von:

net stop w32time
net start w32time

Sie können die Peers überprüfen mit:

w32tm /query /peers

Überprüfen Sie das Systemprotokoll, um festzustellen, ob es aktualisiert wird. Sie sollten in der Lage sein, die Uhr auf 1 Minute einzustellen, den w32time-Dienst neu zu starten und er wird innerhalb von 30 Sekunden aktualisiert. [Innerhalb einer AD-Domäne ist ein Zeitversatz von weniger als 5 Minuten akzeptabel.]

1
PSaul

Wie von anderen empfohlen, sollten Sie auf keinen Fall eine Hardware-Zeitsynchronisierung vom Host zum Gast durchführen. Sie sollten auch mit externen NTP Servern nur vom Domänencontroller synchronisieren, der die Gesamtstrukturstamm PDC Emulatorrolle) enthält. Wenn Ihre Gesamtstrukturwurzel PDC Emulator-Rollendomänencontroller synchronisiert nicht, die DCs, die darauf angewiesen sind, werden Probleme haben.

Möglicherweise möchten Sie auch den folgenden Hotfix ausprobieren:

Die Zeitsynchronisierung wird nicht durchgeführt, obwohl der W32Time-Dienst in Windows Server 2008 oder Windows Server 2008 R2 erfolgreich gestartet wurde .

http://support.Microsoft.com/kb/2493006

Sie können es hilfreicher finden, wenn Sie das Flag/verbose für w32tm verwenden:

w32tm /query /status /verbose /computer:dcname

Zusätzliche Information:

https://technet.Microsoft.com/en-us/library/virtual_active_directory_domain_controller_virtualization_hyperv%28WS.10%29.aspx

"Für virtuelle Maschinen, die als Domänencontroller konfiguriert sind, wird empfohlen, die Zeitsynchronisierung zwischen dem Hostsystem und dem als Domänencontroller fungierenden Gastbetriebssystem zu deaktivieren. Dadurch kann Ihr Gastdomänencontroller synchronisiert werden Zeit von der Domänenhierarchie. "

"Um den Hyper-V-Zeitsynchronisationsanbieter zu deaktivieren, fahren Sie das Kontrollkästchen VM) herunter und deaktivieren Sie das Kontrollkästchen Zeitsynchronisation unter Integration Services."

0
Greg Askew