AD řadič v Hyper-V

Donedávna jsem problém s časem ve virtuálním AD řešil poměrně jednoduše – vypnul jsem na daném virtuálním stroji možnost synchronizace času s hostitelem. Ono to dokonce bylo i řešení uvedené v technetu (“turn off integration services time synchronization”). Jak se ale ukazuje, tak to není úplně šťastné řešení a též v technetu se objevila formulace “partially disable time synchronization”. Jak je to tedy správně? Níže je uvedena aktualizace z 27.5.2013.

  1. ve vlastnostech virtuálního stroje ponechat zaškrtnutou volbu “Time synchronization”
  2. v běžícím virtuálním AD (ať s PDC rolí či bez ní) spustím následující příkaz
    reg add HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider /v Enabled /t reg_dword /d 0
  3. na AD bez PDC role spustím
    w32tm /config /syncfromflags:DOMHIER /update
  4. na AD s PDC rolí (případně na AD s PDC rolí v kořenové doméně lesa, pokud jich máte víc) nastavit externí zdroj času – návod zde Vzhledem k tomu, že virtuální stroje “ztrácejí” pojem o čase častěji než fyzické mašiny, doporučuje se nastavit interval synchronizace na 15 minut.
  5. na AD s PDC rolí spustím
    net stop w32time & net start w32time
    w32tm /resync /force

A to by bylo všechno.

Aktualizace 27.5.2013:

Dnes jsem si na stránce uvedené ve zdroji všiml, že byla aktualizována 8. dubna 2013. Prošel jsem si tedy, co je na ní nového a málem mi vypadly oči z důlků:

“For virtual machines that are configured as domain controllers, it is recommended that you disable time synchronization between the host system and guest operating system acting as a domain controller. This enables your guest domain controller to synchronize time from the domain hierarchy.

To disable the Hyper-V time synchronization provider, shut down the VM and clear the Time synchronization check box under Integration Services.

noteNote
This guidance has been recently updated to reflect the current recommendation to synchronize time for the guest domain controller from only the domain hierarchy, rather than the previous recommendation to partially disable time synchronization between the host system and guest domain controller.”

Takže odvolávám, co jsem odvolal a slibuji, co jsem slíbil. Tj. na virtualizovaných DC je nyní (nevím, jak dlouho) doporučené odškrtnout Time Synchronization s Hyper-V ve vlastnostech vypnutého virtuálního stroje, případně odškrtlá volba “Time synchronization between the virtual machine and the ESX Server.” přímo ve VMware Tools na běžícím virtuálu. A pochopitelně do registrů je třeba vrátit původní hodnotu:

reg add HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider /v Enabled /t reg_dword /d 1

Upřímně řečeno, prase se v tom vyznej. Nejspolehlivějším řešením určitě bude upgrade DC na Windows Server 2012, protože u něj se již od počátku počítalo s během pod hypervisorem (i vzhledem k Azure virtuálům) a DC již není tak snadno zblbnutelné jiným časem – více zde.

Zdroj: Time Synchronization in Hyper-V, Running Domain Controllers in Hyper-V

Zobrazit komentáře