Windows Active Directory - Modificați setările serverului de timp după mutarea PDC/FSMO

Am configurat un GPO pentru a configura serverul nostru PDC așa cum este descris aici (și multe alte bloguri) https://docs.microsoft.com/en-us/archive/blogs/nepapfe/its-simple-time-configuration-in-active-directory

Înseamnă că GPO-ul nostru folosește filtrul care se aplică numai PDC-ului principal pentru a seta setările NTP ca sursă de timp primară în domeniul nostru AD. Selectați * din Win32_ComputerSystem unde DomainRole = 5

Când rolurile FSMO sunt mutate într-un alt DC, aceste setări de timp/ntp sunt aplicate noului DC care acționează ca PDC. Dar după ce rolul este mutat, vechiul PDC este încă configurat cu setări VECHI ntp/time.

Pentru a corecta această situație, aplicăm această comandă manuală în OLD PDC w32tm /config /syncfromflags:domhier /update

Dar am dori să o facem automat, cum o putem face? , cum putem reseta automat setările anterioare care rămân încă pe PDC-ul VECHI?

Mulțumesc anticipat

Uf, îmi păstrez înțelesul să scriu o postare pe blog care corectează unele dintre formatarea și formularea proastă din acel articol. Și unele dintre celelalte concepții greșite pe care le-am văzut în altă parte despre configurarea unei surse de timp NTP.

Pentru a trece la urmărire - există de fapt DOUĂ GPO-uri pe care trebuie să le creați. Primul este acoperit de PDCE cu filtrul WMI și configurația sursei de timp NTP, așa cum ați făcut.

Al doilea este menționat mai jos Crearea unui GPO de setări globale în acel articol. După cum se spune, într-un GPO diferit de cel PDCE, activați Setări de configurare globale sub Configurație computer\Șabloane administrative\Sistem\Windows Time Service\Time Providers și puteți pur și simplu lăsa valorile implicite.

Acest al doilea GPO pentru a activa setarea de timp „implicit” trebuie aplicat într-o politică de grup pentru toate DC-uri. Asigurați-vă că GPO-ul care conține configurația de timp implicită are o prioritate mai mică decât cea PDCE.

De obicei, dacă aveți un Controlere de domeniu implicite politică legată de unitatea de organizare a controlorilor de domeniu, puteți activa pur și simplu cea de bază Setări de configurare globale pentru Windows Time acolo. GPO-ul personalizat pentru PDCE are grijă de configurația timpului NTP atunci când rolul este schimbat, iar cel „implicit” va reveni la setarea de timp pentru vechiul PDCE.

Asigurați-vă, desigur, că comanda dvs. de legături GPO este corectă în OU - din nou, politica dvs. personalizată de timp PDCE GPO ar trebui să aibă o prioritate mai mare decât politica DC implicită.

Dacă doriți să creați un GPO personalizat conectat la OU Controller de domeniu pentru configurația de timp implicită, funcționează și asta. Este doar un pic mai mult decât să creați un GPO separat dacă aveți deja o politică DC implicită. Din nou, un astfel de GPO personalizat ar trebui să aibă, de asemenea, o prioritate mai mică decât cea PDCE.

Găsesc că în lumea reală, este nevoie de < 5 minute într-un mediu bine conectat pentru ca PDCE să obțină noua configurație de timp (sau un GPRefresh pentru a o accelera), în timp ce PDCE-ul anterior durează puțin mai mult pentru a reveni la domeniu. ierarhie, în funcție de timpul de reîmprospătare a GP. A uşor întârzierea pentru ca PDCE anterior să atingă este în regulă.

Mutarea rolurilor FSMO este un eveniment care ar trebui să apară foarte rar, fie când retrageți deținătorul rolului FSMO existent, fie deoarece deținătorul actual al rolului FSMO are probleme. Ca atare, nu ar fi nevoie de o soluție pentru acest lucru, deoarece ați elimina cu totul titularul actual al rolului FSMO.

Mutarea rolurilor FSMO în timp ce lăsând activ titularul actual al rolului FSMO este un eveniment și mai rar, așa că aceasta pare a fi o soluție în căutarea unei probleme.