Загрузка...Как в active directory синхронизация времени
Как в active directory синхронизация времени
Управление временем — один из ключевых аспектов системного администрирования. Как правило, все клиентские серверы и рабочие станции синхронизируют время с доменом Active Directory, однако откуда берется точное время в AD? Это зависит от разных факторов. В стандартной конфигурации время синхронизируется с серверами Microsoft, а виртуальные машины обычно получают данные от хост-сервера.
Лучше всего задать единый источник данных о точном времени для всех компьютеров в корпоративной сети — сервер (или несколько серверов), с которым будут синхронизироваться все системы. Это может быть ресурс или пул ресурсов в Интернете, либо локальный сервер. Так или иначе, с источником точного времени стоит определиться заранее.
За синхронизацию компьютеров и серверов Windows отвечает сетвой протокол Network Time Protocol (NTP). NTP использует для своей работы протокол UDP порт по умолчанию 123. Что бы в дальнейшем можно было настроить работу этого сетевого протокола, необходимо проверить, не блокирует ли этот порт фаерволл.
Способы указания NTP Сервера.
1) Команда w32tm позволяет задать список пиров, предоставляющих информацию о точном времени для домена. Чтобы получить дополнительные сведения о команде w32tm, введите в командной строке указанную команду w32tm /?
Первым, что необходимо сделать, это выяснить в каком состоянии находятся контролеры домена в домене. Для этого запускаем в командной строке команду (если у вас права доменного администратора, то можете запустить командную строку на своей рабочей станции)
w32tm /monitor — команда позволяет посмотреть с каким сервером (серверами)/сервисом происходит синхронизация и какая разница во времени с эталонным севером.
w32tm /config /manualpeerlist:time.windows.com /syncfromflags:manual /reliable:yes /update — этой командой мы указываем с каким сервисом/сервером будет происходить синхронизация ( в данном примере с time.windows.com).
Эта команда выполняется на контроллере домена однократно и записывает указанные адреса в реестр ( по пути HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeConfigParametrs в параметре NTPServer должно быть прописано time.windows.com). Можно указать сразу несколько серверов, разделенных пробелами.
2) Еще один способ указать контролеру домена сервер с кем он будет синхронизироваться по времени, это локальные или групповые политики. Запускаем реестр- Нажмите кнопку Пуск, выберите команду Выполнить, введите в командную строку gpedit.msc и нажмите кнопку ОК. Заходим «Конфигурация компьютера- Политики- Административные шаблоны- Система- Служба времени Windows- Поставщики времени» и настраиваем политику. В данном примере в значении NTPServer прописываем time.windows.com, в значении Тип указываем NTP. Тип- указывает узлы одноранговой сети, принимающие синхронизацию следующих типов:
NoSync— Служба времени не синхронизируется с другими источниками.
NTP- Служба времени выполняет синхронизацию с серверами, указанными в записи реестра NtpServer.
NT5DS- Служба времени выполняет синхронизацию на основе иерархии домена.
AllSync- Служба времени использует все доступные механизмы синхронизации.
Значение CrossSiteSyncFlags выбираем 2.
CrossSiteSyncFlags. Определяет возможность выбора службой партнеров по синхронизации за пределами домена компьютера.
Нет 0
PdcOnly 1
Все 2
В значении ResolvePeerBackoffMinutes прописываем 15
ResolvePeerBackoffMinutes- указывает первоначальный интервал ожидания (в минутах) перед тем, как начать поиск узла одноранговой сети для синхронизации. Если службе времени Windows не удается успешно синхронизироваться с источником времени, будут выполняться повторные попытки с использованием указанных значений параметров ResolvePeerBackoffMinutes и ResolvePeerBackoffMaxTimes.
В значении ResolvePeerBackoffMaxTimes прописываем 7
ResolvePeerBackoffMaxTimes- указывает максимальное число раз удвоения интервала ожидания в случае, если повторяющиеся попытки поиска узла одноранговой сети для синхронизации не дали результата. Нулевое значение предполагает, что интервал ожидания всегда равен первоначальному, указанному в параметре ResolvePeerBackoffMinutes.
В значении SpecialPollInterval прописываем 3600
SpecialPollInterval- указывает интервал специального опроса (в секундах) для узлов одноранговой сети, настроенных вручную. Если специальный опрос включен, то служба времени Windows будет использовать его интервал вместо динамического значения, определяемого с помощью алгоритмов синхронизации, встроенных в службу времени Windows.
Если вы создали политику, то ее нужно применить на все контролеры домены.
3. Повышение сервера до контроллера домена
После завершения установки роли не торопимся закрывать окно. Кликаем по пункту меню Повысить роль этого сервера до уровня контроллера домена:
* если мы перезагрузим сервер, повысить роль можно вернувшись в диспетчер серверов.
В открывшемся окне выбираем операцию развертывания. Если разворачивается первый контроллер домена в сети, оставляем выбор на Добавить новый лес, вводим имя домена и нажимаем Далее:
В следующем окне оставляем все как есть и вводим надежный пароль для режима восстановления:
В окне Параметры DNS нажимаем Далее.
В окне Дополнительные параметры автоматически будет подобрано имя NetBIOS. Его менять не обязательно — просто нажимаем Далее:
В окне Пути стоит оставить все, как есть. Нажимаем Далее. В окне Просмотреть параметры проверяем правильность введенных данных и нажимаем Далее.
Начнется проверка системы на соответствие требованиям. Если ошибок не будет, активируется кнопка Установить. Прочитайте все предупреждения, нажмите на данную кнопку и дождитесь окончания повышения сервера до контроллера домена. Сервер будет перезагружен, а после перезагрузки станет контроллером.
Синхронизация с G Suite (Google)
Если вы управляете пользователями в G Suite, ваши сотрудники могут присоединиться к вашей организации и заходить в Pyrus, используя свой корпоративный email. А после блокировки пользователя в G Suite он не сможет авторизоваться в Pyrus.
Как настроить
Отдельно настраивать синхронизацию с G Suite не требуется. Просто отправьте сотруднику ссылку на вход в Pyrus. Коллега войдёт через корпоративный Google-аккаунт и автоматически попадёт в вашу организацию в Pyrus. В будущем он сможет входить в Pyrus таким же способом или получать одноразовые коды доступа на корпоративную почту.
Если вы заблокируете или удалите пользователя в G Suite, он потеряет доступ к корпоративной почте и не сможет войти в Pyrus ни по одноразовому коду, ни с помощью аккаунта в Google.
Важно: заблокированный пользователь потеряет доступ к Pyrus только после завершения сессии и только в случае, если он ранее не устанавливал постоянный пароль. Для надежности мы рекомендуем блокировать сотрудника внутри Pyrus на странице Управление пользователями.
Настройка Active Directory
Когда установится роль, справа вверху Server Manager вы увидите восклицательный знак — требуется провести конфигурацию после развертывания. Нажимаем Повысить роль этого сервера до контроллера домена.
Далее весь процесс будет проходить в мастере настройки.
Повышение роли сервера до контроллера домена
Этапы работы мастера подробно описаны в документации 7 . Тем не менее, пройдемся по основным шагам.
Поскольку мы разворачиваем AD с нуля, то нужно добавлять новый лес. Не забудьте надежно сохранить пароль для режима восстановления служб каталогов (DSRM). Расположение базы данных AD DS можно оставить по умолчанию (именно так и рекомендуют. Однако для разнообразия в своей тестовой среде я указал другой каталог).
После этого сервер самостоятельно перезагрузится.
Создание учетных записей администраторов домена/предприятия
Залогиниться нужно будет под учетной записью локального администратора, как и прежде. Зайдите в оснастку Active Directory — пользователи и компьютеры, создайте необходимые учетные записи — на этом этапе это администратор домена.
Сразу же рекомендую настроить и иерархию организации (только не используйте русские символы!).
Настройка DNS на единственном DC в домене
Во время установки AD также была установлена роль AD DNS, поскольку других серверов DNS у меня в инфраструктуре не было. Для правильно работы сервиса необходимо изменить некоторые настройки. Для начала нужно проверить предпочитаемые серверы DNS в настройках сетевого адаптера. Необходимо использовать только один DNS-сервер с адресом 127.0.0.1. Да, именно localhost. По умолчанию он должен прописаться самостоятельно.
Убедившись в корректности настроек, открываем оснастку DNS. Правой кнопкой нажимаем на имени сервера и открываем его свойства, переходим на вкладку «Сервер пересылки». Адрес DNS-сервера, который был указан в настройках сети до установки роли AD DS, автоматически прописался в качестве единственного сервера пересылки:
Необходимо его удалить и создать новый и крайне желательно, чтобы это был сервер провайдера, но никак не публичный адрес типа общеизвестных 8.8.8.8 и 8.8.4.4. Для отказоустойчивости пропишите минимум два сервера. Не снимайте галочку для использования корневых ссылок, если нет доступных серверов пересылки. Корневые ссылки — это общеизвестный пул DNS-серверов высшего уровня.
Добавление второго DC в домен
Поскольку изначально я говорил о том, что у меня будет два контроллера домена, пришло время заняться настройкой второго. Проходим также мастер установки, повышаем роль до контроллера домена, только выбираем Добавить контроллер домена в существующий домен:
Обратите внимание, что в сетевых настройках этого сервера основным DNS-сервером должен быть выбран настроенный ранее первый контроллер домена! Это обязательно, иначе получите ошибку.
После необходимых настроек логиньтесь на сервер под учетной записью администратора домена, которая была создана ранее.
Настройка DNS на нескольких DC в домене
Для предупреждения проблем с репликацией нужно снова изменить настройки сети и делать это необходимо на каждом контроллере домена (и на существовавших ранее тоже) и каждый раз при добавлении нового DC:
Если у вас больше трех DC в домене, необходимо прописать DNS-серверы через дополнительные настройки именно в таком порядке. Подробнее про DNS вы можете прочитать в моей статье Шпаргалка по DNS.
Настройка времени
Этот этап нужно выполнить обязательно, особенно если вы настраиваете реальное окружение в продакшене. Как вы помните, ранее я отключил синхронизацию времени через гипервизор и теперь нужно её настроить должным образом. За распространение правильного время на весь домен отвечает контроллер с ролью FSMO PDC эмулятор (Не знаете что это такая за роль? Читайте статью PDC emulator — Эмулятор первичного контроллера домена). В моем случае это конечно же первый контроллер домена, который и является носителем всех ролей FSMO изначально.
Настраивать время на контроллерах домена будем с помощью групповых политик. Напоминаю, что учетные записи компьютеров контроллеров домена находятся в отдельном контейнере и имеют отдельную групповую политику по умолчанию. Не нужно вносить изменения в эту политику, лучше создайте новую.
Назовите её как считаете нужным и как объект будет создан, нажмите правой кнопкой — Изменить. Переходим в Конфигурация компьютераПолитикиАдминистративные шаблоныСистемаСлужба времени WindowsПоставщики времени. Активируем политики Включить NTP-клиент Windows и Включить NTP-сервер Windows, заходим в свойства политики Настроить NTP-клиент Windows и выставляем тип протокола — NTP, остальные настройки не трогаем:
Дожидаемся применения политик (у меня это заняло примерно 5-8 минут, несмотря на выполнение gpupdate /force и пару перезагрузок), после чего получаем:
Вообще надо сделать так, чтобы время с внешних источников синхронизировал только PDC эмулятор, а не все контроллеры домена под ряд, а будет именно так, поскольку групповая политика применяется ко всем объектам в контейнере. Нужно её перенацелить на конкретный объект учетной записи компьютера-владельца роли PDC-эмулятор. Делается это также через групповые политики — в консоли gpmc.msc нажимаем левой кнопкой нужную политику и справа у вас появятся её настройки. В фильтрах безопасности нужно добавить учетную запись нужного контроллера домена:
Подробнее о принципе работы и настройке службы времени читайте в официальной документации 8 .
На этом настройка времени, а вместе с ней и начальная настройка Active Directory, завершена.
Как в active directory синхронизация времени
Данная глава руководства администратора рассказывает о возможности импорта объектов ARTA Synergy из сторонних каталогов посредством Active Directory . В ней детально описано как настроить и эксплуатировать LDAP а рамках ARTA Synergy .
Что такое LDAP
LDAP — это аббревиатура от Lightweight Directory Access Protocol . Как следует из названия, это облегчённый протокол доступа к службам каталогов, предназначенный для доступа к службам каталогов на основе X.500 . LDAP работает поверх TCP/IP или других ориентированных на соединение сетевых протоколов. LDAP стандартизирован в качестве протокола IETF .
Информационная модель LDAP основана на записях ( entry ). Запись — это коллекция атрибутов ( attribute ), обладающая уникальным именем ( Distinguished Name, DN ). DN глобально-уникально для всего каталога и служит для однозначного указания на запись. Каждый атрибут записи имеет свой тип ( type ) и одно или несколько значений ( value ). Обычно типы — это мнемонические строки, в которых отражено назначение атрибута, например cn — для общепринятого имени ( common name ), или mail — для адреса электронной почты. Синтаксис значений зависит от типа атрибута.
Записи каталога LDAP выстраиваются в виде иерархической древовидной структуры. Традиционно, эта структура отражает географическое и/или организационное устройство хранимых данных. В вершине дерева располагаются записи, представляющие собой страны. Под ними располагаются записи, представляющие области стран и организации. Еще ниже располагаются записи, отражающие подразделения организаций, людей, принтеры, документы, или просто всё то, что Вы захотите включить в каталог.
Кроме того, LDAP , посредством специального атрибута objectClass , позволяет контролировать, какие атрибуты обязательны и какие допустимы в той или иной записи. Значения атрибута objectClass определяются правилами схемы ( schema ), которым должны подчиняться записи.
В LDAP определены операции для опроса и обновления каталога. К числу последних относятся операции добавления и удаления записи из каталога, изменения существующей записи и изменения названия записи. Однако, большую часть времени LDAP используется для поиска информации в каталоге. Операции поиска LDAP позволяют производить поиск записей в определённой части каталога по различным критериям, заданным поисковыми фильтрами. У каждой записи, найденной в соответствии с критериями, может быть запрошена информация, содержащаяся в её атрибутах.
LDAP и Arta Synergy
При синхронизации LDAP и Arta Synergy можно выделить некоторые особенности:
Синхронизация LDAP и Arta Synergy осуществима из LDAP каталога в ARTA Synergy , причем за тот период, который указан в конфигурационном файле.
Синхронизация возможна сразу с несколькими каталогами.
Списки синхронизируемых пользователей и групп определяются фильтрами, указанными в конфигурационном файле.
Ключ соответствия (поле, по которому будет определяться связка « Объект каталога LDAP <-> Пользователь Synergy » ) настраиваемый, например, можно использовать для этого ИИН.
Пароли пользователей не синхронизируются, авторизация происходит непосредственно на LDAP каталоге посредством Simple Bind .
Помимо стандартных полей карточки пользователя (ФИО, доступ в систему и т.п.) можно синхронизировать произвольные поля — с добавлением в карточку пользователя на формах.
Установка и настройка Active Directory
Active Directory — LDAP-совместимая реализация службы каталогов корпорации Microsoft для операционных систем семейства Windows Server. Позволяет администраторам использовать групповые политики для обеспечения единообразия настройки пользовательской рабочей среды, разворачивать программное обеспечение на множестве компьютеров через групповые политики или посредством System Center Configuration Manager, устанавливать обновления операционной системы, прикладного и серверного программного обеспечения на всех компьютерах в сети, используя Службу обновления Windows Server.
Подробно рассмотрим установку и настройку Active Directory в ОС Windows Server 2012 R2.
Перейдите в Server Manager и нажмите на Add roles and features .
Откроется мастер установки ролей и компонентов.
В шаге Installation Type выберите пункт Role-based of feature-based installation .
В шаге Server Selection выберите пункт сервер, для которого будет установлена роль.
В шаге Server Roles выберите пункт Active Directory Domain Services .
Подтвердите добавление компонентов роли, нажав на кнопку Add Features .
Пропустите шаг Features и подтвердите установку роли Active Directory.
После успешной установки роли мастер установки отобразит окно подтверждения.
После успешной установки необходимо настроить Active Directory. Откройте Server Manager и нажмите на пиктограмму флага. В открывшемся выпадающем списке нажмите на Promote this server to a domain controller .
В открывшемся мастере настройки Active Directory добавьте новый лес. Для этого в шаге Deployment Configuration выберите пункт Add a new forest и укажите название корневого домена.
В шаге Domain Controller Service задайте пароль для режима восстановления служб каталогов.
В шаге Additional Options измените имя домена NetBIOS.
В шаге Paths укажите папки базы данных, файлов журнала и SVSVOL.
В шаге Review Options отобразится список всех настраиваемых опций.
В шаге Prerequisites Check подтвердите настройку выбранных опций.
После успешной настройки компьютер будет перезагружен автоматически.
Создание пользователей в Active Directory
После успешных установки и настройки Active Directory добавим пользователей для доступа к ARTA Synergy.
Откройте Active Directory Users and Computers .
Выделите ноду Вашего домена (в примере synergy.tm ) и нажмите кнопку добавления подразделения.
Введите название будущего подразделения.
Выбрав новое созданное подразделение, нажмите на кнопку создания пользователей.
Укажите имя, фамилию и логин будущего пользователя.
Задайте пароль и включите флаг, отвечающий за устаревание пароля (если включен — пароль никогда не устаревает).
Подтвердите создание нового пользователя.
Повторив пп. 4-7 создайте требуемых пользователей.
Теперь необходимо выдать этим пользователям доступ в систему ARTA Synergy. Для этого нажмите на кнопку создания новых групп.
Укажите название будущей группы. В данную группу будет входить Администратор Active Directory.
Нажмите на кнопку Add .
Введите имя пользователя и нажмите на кнопку Check Names .
Мастер автоматически дополнит значение учетной записи соответствующего пользователя.
Создайте еще одну группу для доступа всех пользователей к системе ARTA Synergy.
Повторив пп. 11-13 добавьте всех пользователей в группу доступа.
Работа с LDAP-каталогами
Для работы с LDAP -каталогами возможно использовать любой клиент с поддержкой LDAP -протокола. Одним их таких клиентов является JXplorer .
JXplorer — кроссплатформенный LDAP браузер и редактор с поддержкой безопасности (в том числе SSL , SASL и GSSAPI ), перевода на многие языки, онлайн-помощью, коммерческой поддержкой, пользовательскими формами и многими другими возможностями.
Соответствует общим стандартам клиентов LDAP , которые можно использовать для поиска, чтения и редактирования любого стандартного каталога LDAP или любой службы каталогов с LDAP или интерфейсом DSML .
Рассмотрим его функциональность на примере поиска пользователя в одном из каталогов.
Подключимся к серверу с данными Администратора:
Рисунок 6.17. Рисунок 1
В открывшейся закладке Explore отобразилось дерево со всеми объектами каталога, доступные авторизованному Администратору. При выборе объекта из навигатора в основной рабочей области отобразились все атрибуты данного объекта, а также их значения:
Рисунок 6.18. Рисунок 2
Примечание
Полный список возможных атрибутов представлен здесь
Вызовем окно поиска по каталогу — Search -> Search Dialog . В открывшемся диалоге укажем базовый узел поиска, от которого он будет осуществляться, и сам фильтр:
Рисунок 6.19. Рисунок 3
Клиент автоматически перешел на вкладку Results с найденными результатами запроса:
Как включить и отключить учетную запись пользователя в Active Directory
Когда вы хотите убрать возможность логина в AD для учетной записи пользователя, вы можете отключить ее. В том случае если объект пользователя отключен, но он вам снова нужен по какой-то причине, например, сотрудник вернулся из декретного отпуска, вы можете включить его снова. Вот руководство, как это сделать несколькими способами.
Включение и отключение УЗ пользователя с помощью Active Directory Users and Computers
Чтобы включить или отключить пользователя с помощью ADUC, сделайте следующее:
Войдите в Active Directory Users and Computers (dsa.msc). Найдите OU или контейнер, где содержится нужный вам аккаунт, щелкните правой кнопкой по OU и выберите «Find. ». В поле «Name» введите имя объекта и нажмите кнопку Find Now. В поле «Search» щелкните правой кнопкой мыши на юзера и выберите Enable account для включения УЗ или Disable account для ее отключения в зависимости от того, что вам нужно, и нажмите OK.
Включение и отключение аккаунта пользователя с помощью cmd.exe
Это задача для dsmod.exe, для включения учетной записи используйте его со следующими параметрами:
dsmod.exe «CN=GSoul,CN=Users,DC=office,DC=local» -disabled no
А эта команда отключит учетную запись:
dsmod.exe user «CN=GSoul,CN=Users,DC=office,DC=local» -disabled yes
Включение и отключение учетной записи пользователя с помощью Windows PowerShell
Ниже приведен код PowerShell для включения учетной записи пользователя:
Import-Module ActiveDirectory
Enable-ADAccount -Identity «CN=GRobinson,CN=Users,DC=office,DC=local»
А эта предназначена для отключения учетной записи пользователя:
Import-Module ActiveDirectory
Disable-ADAccount -Identity «CN=GRobinson,CN=Users,DC=office,DC=local»
С первого взгляда ничего сложного тут нет, IUser.Name соответствует логину в Active Directory, но это не всегда так. Пользователь может изменить фамилию, имя и т.д., что может заставить администраторов Active Directory изменить ему имя входа в каталоге. Имя входа в DIRECTUM можно перегенерировать, однако, получить объект IUser с помощью ServiceFactory.GetUserByName по новому имени не получится. Для решения такой ситуации нужно проверить компоненту Пользователи на наличие данного логина и получить объект IUser сотрудника на основе данных поля Имя.
Еще один момент который стоит учесть: у пользователя может быть несколько записей справочника Работники. Как тут поступать надо решать в каждом конкретном случае.
Алгоритм работы синхронизации¶
После того, как операция синхронизации была создана вручную или периодическим плагином Chronos (AdSyncRecurrentPlugin), её подхватывает плагин AdSyncPlugin, который обрабатывает операции раз в 30 секунд (по умолчанию, настраивается в configuration/AdSyncPlugin.xml).
В первую очередь проверяется возможность перерасчёта ролей (раздел Активные операции). Если плагин не смог взять эксклюзивную блокировку (потому что длительное время выполнялась другая операция с ролями, такая как пересчёт замещений), то в лог пишется предупреждение, работа плагина при этом завершается (до следующего запуска).
После взятия блокировки из операции извлекается тип операции: синхронизация отдельной карточки или всех объектов.
Если выполняется синхронизация отдельной карточки (например, по кнопке в карточке сотрудника):
Для заданного типа проверяются все объекты с заполненным DN, но пустым AdSyncID, и выполняется поиск соответствий для объектов в системе и в Active Directory / LDAP.
После этого по AdSyncID синхронизируемой карточки запрашивается объект из Active Directory / LDAP.
После получения объекта выполняется синхронизация значений его свойств.
Если выполняется синхронизация всех объектов:
Проверяются все объекты с заполненным DN, но пустым AdSyncID, и выполняется поиск соответствий для объектов в системе и в Active Directory / LDAP.
Система получает список ID корней, для которых включена синхронизация. После этого выполняется рекурсивный обход всех дочерних корней и проверяется, принадлежат ли они к списку корней, для которых включена синхронизация.
Если принадлежат, то выполняется синхронизация выбранных в настройках объектов.
После того, как рекурсивно будет пройден весь лес Active Directory / LDAP, проверяются объекты в системе, у которых выставлен флаг “Синхронизируется независимо от корневых элементов”. Такие объекты синхронизируются как отдельные карточки (см выше).
После завершения синхронизации, если не было никаких ошибок, происходит скрытие элементов, которые не были обновлены системой, — такие объекты считаются удалёнными в домене, и поэтому для них устанавливается флаг “Скрывать при выборе”, фактического удаления не происходит.
