Virbactd.ru

Авто шины и диски
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Настройка NTP сервера Windows server 2016 в домене групповыми политиками

Настройка NTP сервера Windows server 2016 в домене групповыми политиками

Мы рассмотрим как настроить NTP сервер в сети предприятия, где компьютеры пользователей получают точное время от DC с ролью эмулятора PDC (главный контроллер домена – Primary Domain Controller), в свою очередь DC синхронизирует свое время с внешним источником времени. В данном примере мы будем получать время с серверов pool.ntp.org.

Начиная с Windows 2000 все операционные системы Windows включают в себя службу времени W32Time. Эта служба предназначена для синхронизации времени в пределах организации и отвечает за работу как клиентской, так и серверной части, причем один и тот же компьютер может быть одновременно и клиентом и сервером NTP (Network Time Protocol). По умолчанию клиенты в домене синхронизируют время с помощью службы времени Windows (Windows Time), а не с помощью протокола NTP.

Настройка сервера времени под Hyper-V

Для тех у кого контролер домена виртуализирован и поднят на Hyper-V, прежде необходимо отключить Time Synchronization, иначе виртуальная машина будет синхронизирована с Hyper-V сервером.

В настройках виртуальной машины, в разделе Management -> Integration Services отключаем Time Synchronization

Создание GPO для контроллера домена с ролью эмулятора PDC (главный контроллер домена – Primary Domain Controller)

1 . Создание фильтра WMI

Нам необходимо настроить групповую политику для синхронизации NTP для контролера домена PDC, в связи с тем что роль PDC может перемещаться между контроллерами домена, нам необходимо применить политику к текущему владельцу роли PDC. Для этого мы создадим WMI фильтр, чтобы политика была применена для сервера с ролью PDC.

Для этого в консоли управления Group Policy Management Console (GPMC.msc), в разделе WMI Filters создадим новый WMI фильтр с именем PDC selected и запросом: Select * from Win32_ComputerSystem where DomainRole = 5

Добавляем новый WMI фильтр с именем PDC selected и запросом:
Select * from Win32_ComputerSystem where DomainRole = 5

2 . Создаем и редактируем новую GPO

2.1 Для контейнера Domain Controllers создаем групповую политику, в нашем случае это PDC Time Synchronization.

В пункте 2.1 ошибка. на картинке созданный фильтр не привязан к политике

2.2 Редактируем политику PDC Time Synchronization, разворачиваем Computer Configuration -> Policies -> Administrative Templates -> System -> Windows Time Service -> Time Providers и включаем следующие политики:

2.3 В настройках политики Enable Windows NTP Server, задаем:

Устранение неполадок, связанных с ошибками обработки групповой политики в домене Active Directory

Сводка: Как устранить ошибки обработки групповой политики на компьютерах Windows в домене Active Directory. Свернуть Как устранить ошибки обработки групповой политики на компьютерах Windows в домене Active Directory.

Возможно, эта статья была переведена автоматически. Если вы хотите поделиться своим мнением о ее качестве, используйте форму обратной связи в нижней части страницы.

Читайте так же:
Регулировка вязальной машины северянка
Симптомы

Резюме статьи. В этой статье представлена информация по устранению неполадок, связанных с ошибками обработки групповой политики на компьютерах с ОС Windows в домене Active Directory.

Участники домена Active Directory (AD) могут столкнуться с проблемами при применении групповой политики по ряду причин. В этой статье обсуждаются некоторые наиболее распространенные проблемы, а также приводятся рекомендации по поиску и устранению основных проблем.

Общие способы устранения неполадок
Первым шагом при устранении этих проблем является определение степени проблемы. Если обработать групповую политику не может только один компьютер, проблема, скорее всего, связана с неисправностью или неправильной конфигурацией этого компьютера, а не с самим контроллером домена (DC) или AD. В случае возникновения проблем, связанных с конкретным компьютером, выполните команду gpupdate /force на этом компьютере перед дальнейшим поиском и устранением неисправностей, чтобы убедиться, что неисправность не была вызвана временной неполадкой сети, которая была разрешена автоматически.

Если компьютеру не удается обработать групповую политику, в журнале приложений обычно создаются одна или несколько ошибок Userenv. Эти ошибки обычно имеют следующие идентификаторы событий: 1030, 1053, 1054 и 1058. Обычно представление о проблеме можно получить из описания конкретных ошибок на указанном компьютере.

Проблемы с DNS
Пожалуй, самой распространенной причиной сбоев групповой политики (и многих других проблем в AD) является проблема при разрешении имен: клиент пытается обновить параметры групповой политики, но не может определить имя контроллера домена в домене, не может разрешить имя контроллера домена в IP-адрес или разрешает это имя в IP-адрес компьютера, который не является контроллером домена или даже не существует. Если ошибки Userenv на указанном компьютере включают фразы «Сетевой путь не найден» или «Не удалось найти контроллер домена», то, возможно, причина ошибки заключается в DNS. Ниже приведены несколько советов по устранению этой проблемы:

  • Откройте командную строку на компьютере и выполните команду nslookup имя_домена (например, nslookup mydomain.local). Эта команда должна возвратить IP-адреса всех контроллеров домена в домене. Если возвращаются другие адреса, вероятно, в DNS имеются недопустимые записи. Команду nslookup также можно использовать для разрешения имен отдельных контроллеров домена в их IP-адреса (например, nslookup dc1.mydomain.local).
  • Выполните команду ipconfig /all на компьютере и убедитесь, что на нем настроено использование только внутренних DNS-серверов. Использование неправильных DNS-серверов является основной причиной ошибок DNS в домене, и эту проблему легко устранить. На всех компьютерах, присоединенных к домену, должны использоваться только внутренние DNS-серверы, которые обычно являются контроллерами домена.
  • Если на компьютере, на котором произошел сбой, используются правильные DNS-серверы, проверьте наличие соответствующих записей в консоли DNS на контроллере домена. Убедитесь, что на каждом контроллере домена есть две записи хоста (A) в зоне прямого просмотра домена: одна с именем хоста контроллера домена и одна с именем «(same as parent folder)». Обе записи должны содержать IP-адрес контроллера домена.
  • После устранения проблемы DNS не забудьте выполнить команду ipconfig /flushdns на всех подверженных этой проблеме компьютерах, чтобы удалить все недопустимые данные из кэша преобразователя на этих компьютерах.
Читайте так же:
Применение автоматической регулировки усиления

Проблемы с защищенным каналом
Такая проблема обычно возникает, когда компьютер, присоединенный к домену, находился в автономном режиме достаточно долго, чтобы пароль учетной записи компьютера в AD больше не совпадал с локальной кэшированной копией этого пароля компьютера, но может возникнуть и в других ситуациях. Проблема с защищенным каналом препятствует аутентификации компьютера в контроллере домена и обычно проявляется в виде сообщения об ошибке «Отказано в доступе» при обращении к ресурсам домена, включая обновления групповой политики. Конечно, не все сообщения об ошибках «Отказано в доступе» связаны с проблемами с защищенным каналом, но если на проблемном компьютере есть ошибки Userenv в журнале приложений с пометкой «Отказано в доступе» в их описании, рекомендуется проверить защищенный канал.

  • Для проверки (и при необходимости для сброса) защищенного канала участника домена можно использовать команду nltest
  • С помощью команды netdom также можно протестировать и сбросить защищенный канал.
  • Если установлен модуль PowerShell Active Directory, протестировать и/или сбросить защищенный канал также можно с помощью командлета PowerShell Test-ComputerSecureChannel.
  • В некоторых случаях для сброса защищенного канала может потребоваться удалить проблемный компьютер из домена, сбросить учетную запись компьютера AD и повторно присоединить компьютер к домену.

Проблемы с SYSVOL
Файлы групповой политики хранятся в подпапках SYSVOLdomainPolicies в общем ресурсе SYSVOL на всех контроллерах домена. Если общий ресурс SYSVOL отсутствует на контроллере домена, это обычно указывает на проблему либо со службой репликации файлов (FRS), либо с репликацией распределенной файловой системы (DFS-R) в зависимости от того, какой из этих типов репликации используется для репликации SYSVOL.

В этой статье не могут быть приведены исчерпывающие инструкции по устранению проблем с FRS или DFS-R, но вы можете обратить внимание на следующие статьи:

Смещение времени
По умолчанию если после синхронизации часовых поясов время на проблемном компьютере отличается от времени на контроллере домена более чем на пять минут, то этот компьютер не сможет пройти проверку подлинности в контроллере домена и, следовательно, не сможет обработать групповую политику. Для участников домена должна быть настроена синхронизация времени с контроллером домена, а контроллеры домена, в свою очередь, должны синхронизировать время с контроллером домена, поддерживающим роль эмулятора PDC. По этой причине эмулятор PDC должен быть единственным компьютером в домене, на котором настроена синхронизация с внешним источником времени (например, с общедоступным сервером NTP).

Читайте так же:
Схема регулировки автомобильных фар

Дополнительные сведения о настройке службы времени Windows можно найти здесь.

Отсутствуют файлы групповой политики
Возможно, один или несколько файлов групповой политики были удалены из папки, в которой они были расположены, в общем ресурсе SYSVOL. Самый простой способ проверить это — открыть папку SYSVOLdomainPolicies в Проводнике Windows и проверить наличие файлов, упомянутых в ошибках Userenv на проблемных компьютерах. Файлы каждого объекта групповой политики находятся в подпапке папки Policies. Имя каждой подпапки соответствует GUID объекта групповой политики, файлы для которого она содержит.

Если файлы политик отсутствуют на всех контроллерах домена, их можно восстановить из резервной копии. Если файлы политики домена по умолчанию или файлы политики контроллера домена по умолчанию отсутствуют и резервная копия недоступна, можно восстановить настройки обеих политик по умолчанию с помощью команды dcgpofix. Дополнительные сведения о команде dcgpofix см. в этой статье.

IT Area

Схема синхронизации времени:
— PDC (Первичный домен контроллер / Primary Domain Controller) получает временя с NTP сервера в Интернете. (я использовал ntp.mobatime.ru)
— Хосты в сети получают время от PDC.
Оба пункта настраиваются по средствам GPO.

Выбрать NTP сервер вы можете на http://ntp.org . Рекомендуются сервера Stratum 1, так как они синхронизируются непосредственно от атомных часов. Stratum 2 от Stratum 1 и т.д.

Настройка состоит из 2х этапов:
1) Создание GPO для PDC
2) Создание GPO для клиентов в сети.

Теперь более подробно.

1) Создание GPO для PDC

a) Перейти в консоль управления групповыми политиками (Group Policy Management)
b) В OU Domain Controllers создать GPO (TimeSyncServer предполоджим)

j) Обновить применяемые политики на PDC
gpupdate /force
k) Проверить настройки NTP.
w32tm /query /status

Должно получить:
C:WindowsSystem32>w32tm /query /status
Leap Indicator: 0(no warning)
Stratum: 2 (secondary reference — syncd by (S)NTP)
Precision: -6 (15.625ms per tick)
Root Delay: 0.0312500s
Root Dispersion: 7.7756466s
ReferenceId: 0x55721AC2 (source IP: 85.114.26.194)
Last Successful Sync Time: 15.10.2011 21:58:00
Source: ntp.mobatime.ru,0x9
Poll Interval: 6 (64s)

l) Запустить синхронизацию времени вручную (для проверки, чтобы не ждать)
w32tm /resync

Возможно вы не сможете сразу получить Source: ntp.mobatime.ru,0x9, а у вас будет Source: Local CMOS Clock.

В таком случае пробуйте:

— перезагрузку службы времени net stop w32time && net start w32time

— изменить ntp сервер в настройках GPO.

— изменить флаг, тот который 0x09 (чесно говоря я с ними не разобрался, но в последней ссылке поста есть инфа)

— gpupdate /force, чтобы снова обновить применяемые политики

— gpresult /r, чтобы посмотреть список применяемых политик к вашему серверу.

Читайте так же:
Что регулирует сход развал

2) Создание GPO для клиентов в сети:
a) Перейти в консоль управления групповыми политиками (Group Policy Management)

b) Cоздать GPO (TimeSync предполоджим)

f) gpupdate /force (обновляем политики)
w32tm /query /status (проверяем настрокий ntp клиента)

Подготовка [ править ]

Возможно, следует обновить установленный дистрибутив из репозитория.

Синхронизация времени [ править ]

С версии alterator-auth 0.28 синхронизация времени производится автоматически с контроллером домена.

Для более ранних версий:

Способ 1: Через net time [ править ]
Способ 2: По протоколу RFC 867 [ править ]

На сервере включается через xinetd daytime-tcp [1] :

А на клиенте — служба settime-rfc867 :

Способ 3: Через Центр управления системой → Дата и время [ править ]

Включите флажок «Получать точное время с NTP-сервера» и укажите в поле справа pool.ntp.org . После этого нажмите кнопку «Применить».

Способ 4: Через ntpdate [ править ]

Ввод в домен в Центре управления системой [ править ]

В Центре управления системой перейдите в раздел Пользователи → Аутентификация

Для ввода компьютера в Active Directory потребуется установить пакет task-auth-ad-sssd и все его зависимости.

Qwe.png

Выберите пункт «Домен Active Directory» и заполните поля. Нажмите кнопку «Применить».

Ввод в домен в командной строке [ править ]

Настройка SSSD [ править ]

Проверка работы [ править ]

Примечания [ править ]

  1. Ограничение: имя домена должно указывать на DC. Если это не так, поправляйте /etc/krb5.conf и вводите вручную, либо в файл /etc/hosts добавьте строку с контроллером домена (кдц) ДОМЕН.local и перезапустите сеть. После этого проверьте из командной строки ping ДОМЕН.local и вводите в домен
  2. При указании домена, имеющего суффикс .local, потребуется на сервере и подключаемых компьютерах под управлением Linux отключить службу avahi-daemon — # chkconfig avahi-daemon off; reboot (доменная зона «local.» используется в технологии zeroconf).
  3. Следите за синхронизацией времени на клиенте и сервере.
  4. Для предотвращения кэширования имён пользователя отключите службу nscd .
  5. В новых версиях Samba до запуска службы winbind должна запускаться служба smb .
  6. Если возникает проблема просмотра билетов Kerberos под доменным пользователем, скопируйте правильный krb5.conf из samba:

Настройка окна входа [ править ]

Настройка LightDM [ править ]

В /etc/lightdm/lightdm.conf раскомментируйте строку в группе [SeatDefaults] :

Это позволит вводить имя пользователя вручную, а не прокручивать огромный список доступных доменныx пользователей.

Также полезно выключить выбор языка. В файле /etc/lightdm/lightdm-gtk-greeter.conf в группе [greeter] укажите

В новых версиях lightdm-gtk-greeter можно указать кнопки явно:

Полный перечень доступных кнопок:

Отображение глобальных групп на локальные [ править ]

Установка модуля ролей [ править ]

Настройка ролей и привилегий [ править ]

Добавляем роль локальных администраторов:

Создаём привилегию на право удалённого доступа (по протоколу ssh):

Читайте так же:
Регулировка велосипедного тормоза дискового

Включаем удалённый доступ только для группы remote:

Настраиваем список привилегий для пользователей (для роли users):

Настраиваем список привилегий для администраторов (для роли admins):

Настраиваем отображение локальных привилегий, назначенных локальным ролям, на глобальные группы безопасности:

Просматриваем список назначенных ролей и привилегий:

Данная настройка назначает заданный список локальных групп (привилегий) всем пользователям, входящим в заданные локальные группы (роли). А также назначает локальные роли для глобальных групп в домене.

Дополнительные роли [ править ]

Соответственно, если надо выдать права администраторов АРМ пользователям, которые не являются Domain Admins, то нужно завести новую группу в AD (например, PC Admins), добавить туда необходимых пользователей. Затем на АРМ добавить роль для данной группы:

После этого (и после разрешения sudo для группы wheel) под пользователем входящим в группу PC Admins можно запускать команду повышения прав sudo.

Подключение файловых ресурсов [ править ]

Рассматриваемые способы позволяют подключать файловые ресурсы (file shares) для доменного пользователя без повторного ввода пароля (SSO, Single Sign-On).

Через gio [ править ]

Недостаток такого способа — необходимо открыть ресурс в файловом менеджере (Caja, Pcmanfm). Однако можно открывать любые ресурсы на любых серверах, входящие в домен Active Directory.

1. Устанавливаем необходимые пакеты (с правами root):

2. Включаем пользователя в группу fuse (с правами root):

3. Входим доменным пользователем

4. Открываем ресурс в файловом менеджере (например, по адресу smb://server/sysvol ). Ресурс смонтирован по пути /var/run/<uid_пользователя>/gvfs или /var/run/user/<uid_пользователя>/gvfs/smb-share:server=сервер,share=ресурс

Другой вариант (полезно для скриптов в автозапуске):

Через pam_mount [ править ]

В этом случае заданный ресурс подключается с заданного сервера автоматически при каждом входе доменным пользователем.

1. Устанавливаем pam_mount :

2. Прописываем pam_mount в схему /etc/pam.d/system-auth-sss :

(перед auth substack system-auth-sss-only )

и в секцию session:

3. Устанавливаем правило монтирования ресурса в файле /etc/security/pam_mount.conf.xml (перед тегом <cifsmount>):

  • uid=»10000-2000200000″ — диапазон присваиваемых для доменных пользователей UID (подходит и для Winbind и для SSSD)
  • server=»c228″ — имя сервера с ресурсом
  • path=»sysvol» — имя файлового ресурса
  • mountpoint=»

Опционально можно добавить

  • sgrp=»group_name» — имя группы, при членстве пользователя в которой, папка будет примонтирована

Для проверки можно попробовать смонтировать ресурс в сессии:

Также можно проверить доступность ресурса с помощью smbclient, например:

Через autofs [ править ]

В этом случае заданный ресурс подключается автоматически при каждом обращении пользователя. И отключается после определенного времени бездействия (определяется конфигуацией Autofs).

Основная статья AutoFS [ править ]
Для дистрибутивов c KDE [ править ]

1. Устанавливаем kde5-autofs-shares :

2. Следуем инструкции по подключению в разделе Альт_Рабочая_станция_К_8_советы.

Групповые политики [ править ]

Групповые политики (GPO) на Linux применяются только контроль входа через SSSD и средства Centrify.

голоса
Рейтинг статьи
Ссылка на основную публикацию
Adblock
detector