web-dev-qa-db-ja.com

hyper-vサーバーの時刻同期ソース-PDC /外部NTP?

環境:

  • 10台のHyper-Vホスト、すべてのADが参加
  • 多くのVM ADが参加し、一部は参加していません
  • PDCをゲストとして含むいくつかのAD DC

ゲストとしてのADコントローラーとHyper-Vファームを時間同期するための最良のアプローチは何だと思いますか?私は2つの計画を得ました:)

hyper-Vサーバーに最適なタイムソースは何ですか?

計画1

  • セットアップAD PDC VM to time sync to external NTP= primary source、
  • すべてのHyper-VサーバーはPDCに同期します。これは、yrがドメインに参加しているためです。
  • 他のすべてのゲストはHyper-Vタイムサービスに同期します。

プラン2(ハイパーバイザーレイヤーがゲストPDCから独立するため、これを実装することを考えています)

  • すべてのHyper-vホストに外部NTPからの時刻を同期させる。
  • すべてのゲストの時刻をPDCを含むHyper-Vタイムサービスに同期します

多分誰かが良いオプション番号3を得ましたか?

hyper-vtimentpdomain-controller
6
Bartłomiej Zarzecki

これは一方ではきちんとした質問ですが、他方ではそれは主に意見に基づくものである可能性があります。これを行う単一の方法は実際にはありません。オプションがあり、それらの多くは同等に有効です。

this one のようなブログ投稿を読むと、Microsoftの従業員でさえも引き裂かれているような印象を受けます。

当初の推奨事項は、時刻の同期を無効にし、DC独自の機能に任せて、他のDCと時刻を同期することでした。

しばらくの間、私は悪影響を与えずにそのアドバイスに従いました。私はNTPとADドメインでの時刻同期が機能する方法にとても慣れていたので、Hyper-Vの時刻が同期が邪魔になっているところです。

しかし、Hyper-Vプログラムマネージャーのベンアームストロングは次のように述べています。

質問#8 – Hyper-Vの時刻同期サービスを(仮想マシンの設定で、またはゲストオペレーティングシステム内で)いつ無効にする必要がありますか?

決して。

Hyper-V時間統合サービスの機能をリモートタイムソース(ドメインソースまたは外部タイムサーバー)で拡張したい場合がありますが、仮想マシンの起動に関する最高のエクスペリエンスを得る唯一の方法です。 /復元操作では、Hyper-V時間統合サービスを有効のままにします。

Hyper-V 2012 R2のWin8.1仮想ゲスト(DCも仮想化され、すべてのドメインで時刻同期統合サービスが有効になっているADドメインに参加)で次のコマンドを実行すると、次のコマンドが表示されます。

C:\>w32tm /query /source
VM IC Time Synchronization Provider

C:\>w32tm /query /peers
#Peers: 1

Peer: DC01.labs.myotherpcisacloud.com
State: Active
Time Remaining: 254.6744551s
Mode: 3 (Client)
Stratum: 2 (secondary reference - syncd by (S)NTP)
PeerPoll Interval: 10 (1024s)
HostPoll Interval: 10 (1024s)

出力は矛盾しているようです。

そして this guy部分的にについて話し、すべてのドメインメンバーのレジストリTweakを介してドメインゲストの時間同期を無効にします。しかし、私は個人的にそのアプローチを避けています。他の誰かの環境に移動すると(間違いなく、時間の同期の問題を修正するため)、すべてのドメインメンバーのWindowsタイムサービスを手動で再構成したことがわかります。 それを放っておいて、私のモットーです。

ここに私自身の個人的なチェックリストがあります:

  • 時間同期統合サービスはどこでも有効のままにしておきます。

  • すべてのDCがVMであると想定して、*。pool.ntp.orgなどの外部のタイムソースと同期するようにフォレストルートPDCEドメインコントローラーを構成します。フォレストルートPDCEは、外部タイムソースを参照するように構成されたADフォレスト内の唯一のコンピューターである必要があります。他のすべてのドメインメンバーとドメインコントローラーは、従来のWindows Timeメカニズムを介して、DC=を有機的に見つけます。

  • 仮想化フォレストルートPDCEと同じ外部タイムソースを指すようにHyper-Vホストを構成します。 Hyper-Vホストが同じドメインに参加しているかどうかに関係なく、Hyper-Vホスト内で実行される仮想化されたDCがダウンした場合に、それらのホストが信頼できるタイムソースに到達できるようにする必要があります。

これは正常に動作します...猫の皮をむく方法はこれだけではありませんが、正常に動作します。

5
Ryan Ries

私は計画1を使用します。DCとドメインメンバーはドメイン階層と同期する必要があります(フォレストルートPDCエミュレーター、外部タイムソースを使用する必要がある場合を除く)。

重要度の高い順に優先順位を示します。

  1. DCとドメインメンバーは互いに同期しています
  2. DCとドメインメンバーの時刻が正しい

W32tm/query/status/verboseを実行する場合、「ソース:」はneverで「ローカルCMOSクロック」または「フリーランニングシステムクロック」と表示されます。

0
Greg Askew

Hypervでの時刻の同期に関するいくつかの問題が発生した後、可能であれば、1つの物理ドメインコントローラーをPDCエミュレーターとして、外部のタイムソースと同期させます。古いサーバーである可能性があります。あまり使われないので(かなり古いハードウェアでdhcpとdnsも実行しています)。

これは、すべてのドメインコントローラーが1つのhypervクラスターで実行される場合の問題を回避するのにも役立ちます。クラスターに障害が発生した場合、ホストはドメインに参加したサーバーであり、DCは使用できないため、問題が発生する可能性があります。もちろん、この特定の問題を回避する方法は他にもあります。

それが失敗する場合は計画1に進み、NTPと頻繁に同期するようにしてください。すべてのドメインに参加しているシステムを1つのソースから同期させるのが最善です。時間が間違っていると、人々を困らせます。システム間で異なると認証が失敗し、ログインの問題が発生する可能性があります

0
Grant