Wie synchronisiere ich die Zeit zwischen Windows-Domainen-verbundenen Instances und AWS Managed Microsoft AD?

Lesedauer: 5 Minute

Ich möchte Gruppenrichtlinien verwenden, um die Zeitsynchronisierung für Microsoft Windows-Rechner im AWS Directory Service für Microsoft Active Directory einzurichten.

Kurzbeschreibung

Windows-Rechner verfügen möglicherweise über einen Network Time Protocol (NTP)-Server, der in der Registrierung voreingestellt ist, bevor er mit der AWS Managed Microsoft AD-Domain verbunden wird. Windows-Rechner synchronisieren die Zeit automatisch mit allen verfügbaren Mechanismen, wenn sie der Domain beitreten. Wenn die NTP-Quellserver jedoch unterschiedliche Zeiten haben, kann diese Einrichtung zu Problemen mit der Zeitverschiebung führen.

In diesem Beispiel wird der Parameter NtpServer mit 169.254.169.123,0x9 vorbelegt, bevor die Instanz der AWS Managed Microsoft AD Domain beitritt. Der Parameter Type ändert sich jedoch nach dem Beitritt zur Domäne in AllSync. Diese Konfigurationsänderung kann eine Zeitverzögerung verursachen.

Bevor die Domain verbunden wird:

PS C:\> w32tm /dumpreg /subkey:parameters | findstr /i "NtpServer Type"
Value Name Value Type Value Data
NtpServer REG_SZ 169.254.169.123,0x9
Type REG_SZ NTP

PS C:\> w32tm /query /configuration | findstr /i "Type NTPServer:"
Type: AllSync (Local)
NtpServer: 169.254.169.123,0x9 time.windows.com,0x8 (Local)

Nachdem die Domain vewrbunden wird:

PS C:\> w32tm /dumpreg /subkey:parameters | findstr /i "NtpServer Type"
Value Name Value Type Value Data
NtpServer REG_SZ 169.254.169.123,0x9 time.windows.com,0x8
Type REG_SZ AllSync

PS C:\> w32tm /query /configuration | findstr /i "Type NTPServer:"
Type: AllSync (Local)
NtpServer: 169.254.169.123,0x9 time.windows.com,0x8 (Local)

Behebung

Verwenden Sie am besten Domain-Controller, um sicherzustellen, dass die mit der Windows-Domain verbundenen Computer die Zeit über die AWS Managed Microsoft AD-Domain-Hierarchie synchronisieren. Weitere Informationen finden Sie unter Funktionsweise des Windows-Zeitdienstes und Tools und Einstellungen des Windows-Zeitdienstes auf der Microsoft-Website.

Voraussetzungen

Stellen Sie sicher, dass Sie diese Voraussetzungen erfüllen:

Installieren Sie die Active Directory-Verwaltungstools auf einer mit einer Domäne verbundenen Amazon Elastic Compute Cloud (Amazon EC2)-Instance.

PS C:\> Install-windowsFeature RSAT-ADDS,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,GPMC,RSAT-DNS-Server
Success Restart Needed Exit Code      Feature Result
------- -------------- ---------      --------------
True    No             Success        {Group Policy Management, DNS Server Tools, . . . }

Vergewissern Sie sich, dass die EC2-Instance mit der AWS Managed Microsoft AD-Domain verbunden ist, für die Sie eine Zeitsynchronisations-Domain-Hierarchie konfigurieren möchten. Weitere Informationen finden Sie unter Manuelles Beitreten einer Windows-Instance.

Konfigurieren Sie die Zeithierarchie der AWS Managed AD-Domain

Verwenden Sie die Gruppenrichtlinieneinstellungen, um die Zeit in der AWS Managed AD-Domain-Hierarchie zu synchronisieren:

Verwenden Sie das Remote Desktop Protocol (RDP), um sich bei der EC2-Instance anzumelden. Legen Sie dann den Domain-Benutzer als Administrator fest. Weitere Informationen finden Sie unter Verbindung mit Ihrer Windows-Instance über RDP.
Führen Sie GPMC.msc aus, um die Konsole zur Verwaltung der Gruppenrichtlinien zu öffnen.
Wählen Sie Domains und dann [Domain Name], [Directory NetBIOS name], Computers aus.
Wählen Sie Computers und dann Ein GPO in dieser Domain erstellen aus und verknüpfen Sie es hier:
**Hinweis:**Computerobjekte müssen sich in der Organisationseinheit (OU) oder unter anderen OUs innerhalb derselben Hierarchie befinden.
Geben Sie dem GPO einen Namen. Sie könnten zum Beispiel Domhier Time Syn verwenden. Wählen Sie anschließend OK aus.
Wählen Sie das soeben erstellte GPO aus und wählen Sie dann Bearbeiten aus.
Wählen Sie Computerkonfiguration aus, und wählen Sie dann Administrative Vorlagen, System, WindowsTime Service, Zeitanbieter aus.
Wählen Sie Windows NTP-Client aktivieren und dann Aktiviert.
Wählen Sie OK aus.
Wählen Sie NTP-Client konfigurieren aus.
Wählen Sie Aktiviert aus, und ändern Sie dann diese Parameter:
Geben Sie für Typ NT5DS ein.
Geben Sie für SpecialPoolInterval 900 ein.
Wählen Sie OK aus.

Überprüfen Sie, ob die EC2-Instance die Zeitsynchronisierungshierarchie verwendet

Führen Sie diese Schritte aus, um zu bestätigen, dass der Domain-Controller die Zeit über die AWS Managed Microsoft AD-Domain-Hierarchie synchronisiert.

Weitere Informationen finden Sie unter Gruppenrichtlinie: Grundlegende Schritte zur Fehlerbehebung für Anfänger auf der Microsoft-Website.

Verwenden Sie die Instance aus dem vorherigen Abschnitt, um eine Aktualisierung der Domain-Richtlinien zu erzwingen. Öffnen Sie eine Windows PowerShell-Eingabeaufforderung als erweiterte Eingabeaufforderung oder als Administrator, und führen Sie dann diesen Befehl aus:

PS C:\> gpupdate /force
Updating policy...
Computer Policy update has completed successfully.
User Policy update has completed successfully.

Bestätigen Sie, dass NT5DS installiert ist.

PS C:\> w32tm /query /configuration | findstr /i "Type NTPServer:"
Type: NT5DS (Policy)

Ermitteln Sie zwangsweise die Zeitquelle:

PS C:\> w32tm /resync /rediscover
Sending resync command to local computer
The command completed successfully.

Identifizieren Sie den Synchronisierungsserver für die Instance. In diesem Beispiel ist IP-C61301F5 die Zeitquelle.

PS C:\>  w32tm /query /status
Leap Indicator: 0(no warning)
Stratum: 5 (secondary reference - syncd by (S)NTP)
Precision: -23 (119.209ns per tick)
Root Delay: 0.0017265s
Root Dispersion: 0.2926529s
ReferenceId: 0xAC1F0DC6 (source IP:  172.31.13.198)
Last Successful Sync Time: 4/18/2023 12:45:37 PM
Source: IP-C61301F5.corp.example.com
Poll Interval: 7 (128s)

Bestätigen Sie, dass der Server ein Domain-Controller ist:

PS C:\> Get-ADDomainController -Filter * | select name
name
----
IP-C61301F5
IP-C6130214

**Hinweis:**Der Domain-Controller, der die Uhrzeit synchronisiert, kann sich während der Konfiguration ändern. Die Änderung verursacht keine Probleme mit der Zeitsynchronisation.

Überprüfen Sie die Zeitsynchronisierung zwischen der Instance und dem Domain-Controller. Im Idealfall ist der Zeitunterschied so nahe wie möglich an Null. Weitere Informationen finden Sie unter W32tm auf der Microsoft-Website.

PS C:\> w32tm /stripchart /computer:IP-C61301F5.corp.example.com /samples:3
Tracking IP-C61301F5.corp.example.com [172.31.13.198:123].
Collecting 3 samples.
The current time is 4/18/2023 12:43:11 PM.
12:43:11, d:+00.0010085s o:-00.0012111s  [                           *                           ]
12:43:13, d:+00.0015748s o:-00.0011228s  [                           *                           ]
12:43:15, error: 0x80072733

Relevanter Inhalt

Wie kann ich Okta mit meinem AWS Managed Microsoft AD verwenden, um Endbenutzern, die eine Verbindung zu einem AWS-Client-VPN-Endpunkt herstellen, eine Multi-Faktor-Authentifizierung bereitzustellen?
AWS OFFICIALAktualisiert vor 2 Jahren
Wie kann ich eine Vertrauensbeziehung zwischen zwei AWS Managed Microsoft AD-Domains einrichten?
AWS OFFICIALAktualisiert vor 10 Monaten
Wie aktiviere ich MFA für AWS Managed Microsoft AD?
AWS OFFICIALAktualisiert vor 3 Jahren
Wie erlaube ich Domainbenutzern RDP-Zugriff auf eine EC2-Windows-Instance mithilfe von Gruppenrichtlinien in AWS Managed Microsoft AD oder Simple AD?
AWS OFFICIALAktualisiert vor 2 Jahren