Загрузка...Выключение главного контроллера домена
Выключение главного контроллера домена
Если Вам нужно временно отключить главный контроллер домена (например, для проведения профилактики компьютера), выполните перечисленные ниже действия.
Повысьте статус резервного контроллера домена до главного контроллера домена. При повышении статуса BDC основная копия базы данных каталогов домена немедленно реплицируется с прежнего главного контроллера домена на новый. После этого статус прежнего главного контроллера домена автоматически понижается до резервного.
Когда первоначальный главный контроллер домена вновь заработает, повысьте его статус до главного контроллера домена; при этом статус текущего главного контроллера домена автоматически понизится до резервного.
Миграция из физической в виртуальную среду
System Center Virtual Machine Manager (VMM) 2008 обеспечивает единое управление физическими компьютерами и виртуальными машинами. Кроме того, это решение предоставляет возможность миграции физического компьютера на виртуальную машину. Это процесс известен как преобразование физического компьютера в виртуальную машину (P2V). Во время процесса преобразования P2V физический контроллер домена, миграция которого осуществляется, не должен быть включен одновременно с новой виртуальной машиной, чтобы избежать ситуации отката номера последовательного обновления, как описано в Приложение A: виртуализированные контроллеры домена и проблемы репликации.
Преобразование P2V необходимо выполнить в автономном режиме, чтобы данные каталога были согласованы, когда контроллер домена вновь включится. Вариант автономного режима предлагается и рекомендуется в мастере преобразования физического сервера. Описание различий между автономным и оперативным режимами см. в статье «P2V: преобразование физических компьютеров в виртуальные машины в VMM» (страница может быть на английском языке) (http://go.microsoft.com/fwlink/?LinkId=155072). Во время преобразования P2V виртуальная машина не должна быть подключена к сети. Сетевой адаптер виртуальной машины следует включать только после завершения процесса преобразования P2V и его проверки. На этом этапе исходный физический компьютер будет отключен. Не подключайте исходный физический компьютер обратно к сети, пока жесткий диск не будет переформатирован.
| Внимание |
|---|
| Чтобы предотвратить проблемы с репликацией Active Directory, убедитесь, что только один экземпляр (физический или виртуальный) контроллера домена существует в заданной сети в любой момент времени. |
Настройка через GPO
Если терминальных серверов много или необходимо централизованно задать политику ограничения сессий, можно воспользоваться групповыми политиками Active Directory.
Заходим в консоль управления политиками — создаем политику с любым понятным названием — переходим в настройку созданной политики.
В зависимости от необходимости применять политику к пользователям и/или компьютерам, используем следующие ветки для настройки:
- Конфигурация компьютераПолитикиАдминистративные шаблоныКомпоненты WindowsСлужбы удаленных рабочих столовУзел сеансов удаленных рабочих столовОграничение сеансов по времени
(Computer ConfigurationPoliciesAdministrative TemplatesWindows ComponentsRemote Desktop ServicesRemote Desktop Session HostSession Time Limits) - Конфигурация пользователяПолитикиАдминистративные шаблоныКомпоненты WindowsСлужбы удаленных рабочих столовУзел сеансов удаленных рабочих столовОграничение сеансов по времени
(User ConfigurationPoliciesAdministrative TemplatesWindows ComponentsRemote Desktop ServicesRemote Desktop Session HostSession Time Limits)
* если для пользователей и компьютеров используются отдельные организационные юниты, необходимо создавать политику в соответствующей ветке.
Для настройки выставляем следующие значения:
| Параметр | Описание | Значения |
|---|---|---|
| Завершать сеанс при достижении ограничения по времени (End session when time limits are reached) | Задает глобальную настройку, которая разрешает или запрещает лимиты, в принципе. | Включено — включает режим ограничения сессий (для нашей цели выбираем это значение). Отключено — выключает и запрещает лимиты. Не задано — выключает для политик, но разрешает локальные настройки на сервере. |
| Задать ограничение по времени для активных, но бездействующих сеансов служб удаленных рабочих столов (Set time limit for active but idle Terminal Services sessions) | Если пользователь завершил работу с сервером, но не завершил сеанс, можно установить ограничение сессии этим параметром. Таким образом, пользователи, которые не завершают сеанс будут автоматически выкинуты из сессии. | Включено — активируем лимит для бездействующих сеансов (выставляем ее). И в выпадающем списке указываем время бездействия, например 3 часа. Отключено — отключает лимит на бездействующие сессии. Не задано — настройка задается локально на сервере. |
| Задать ограничение по времени для отключенных сеансов (Set time limit for disconnected sessions) | Если пользователь отключил сеанс, но не вышел из системы, можно автоматически его разлогинить с помощью этой опции. | Включено — активируем лимит для завершенных сеансов (выставляем ее). И в выпадающем списке указываем время, например 3 часа. Отключено — отключает лимит на завершенные сессии. Не задано — настройка задается локально на сервере. |
| Задать ограничение по времени для активных сеансов служб удаленных рабочих столов (Set time limit for active Remote Desktop Services sessions) | Независимо от того, работает пользователь в системе или нет, сервер завершит его сеанс, отправив уведомление за 2 минуты до отключения. | Включено — активируем лимит для активных сеансов. В выпадающем списке необходимо указать время. Данную опцию лучше не применять. С практической точки зрения опция создаст много неудобств. Отключено — отключает лимит на завершенные активные сессии. Не задано — настройка задается локально на сервере. |
Для применения настроек ждем или выполняем команду на сервере:
Проверяем, применились ли политики:
Использование фильтров
Если нам необходимо применить ограничения через политики только для определенных серверов/пользователей, применяем фильтры безопасности.
Для этого создаем группу в Active Directory и добавляем туда нужные серверы (или пользователей).
Проверяем, что нужные нам серверы или пользователи стали членами созданной группы.
а) команда для проверки компьютера:
gpresult /r /scope:computer
б) для пользователя:
gpresult /r /scope:user
Если в созданной группе компьютера/пользователя нет, то:
а) для пользователя выходим из сеанса сервера и подключаемся по новой.
б) на сервере выполняем команды:
klist -lh 0 -li 0x3e7 purge
Если в нашей среде Active Directory несколько сайтов, то наши настройки могут появиться на нужном контроллере через несколько минут (как правило, до 15). Если нет возможности ждать, можно форсировать процесс репликации с помощью инструмента «Active Directory — сайты и службы».
Далее при создании групповой политики удаляем группу «Прошедние проверку», которая присутствует по умолчанию:
И добавляем созданную ранее, например:
После настраиваем политику по инструкции выше.
Чтобы проверить, что настройка применилась только у нужным нам объектам, на сервере выполняем команду:
Операционные системы семейства Windows содержат службу времени W32Time. Эта служба предназначена для синхронизации времени в пределах организации. W32Time отвечает за работу как клиентской, так и серверной части службы времени, причем один и тот же компьютер может быть одновременно и клиентом и сервером NTP.
По умолчанию служба времени в Windows сконфигурирована следующим образом:
Такая схема работает в большинстве случаев и не требует вмешательства. Однако структура сервиса времени в Windows может и не следовать доменной иерархии и надежным источником времени можно назначить любой компьютер.
В качестве примера приведем настройку NTP-сервера в Windows Server 2008 R2, по аналогии можно настроить NTP сервер и в Windows 7.
Запуск NTP сервера
Служба времени в Windows Server не имеет графического интерфейса и настраивается либо из командной строки, либо путем прямой правки системного реестра. Рассмотрим второй способ:
В редакторе «regedit» открываем ветку реестра: HKLMSystem CurrentControlSetservices W32TimeTimeProviders NtpServer .
Для включения NTP сервера параметру Enabled надо задать значение 1. Для применения изменений перезапустите службу времени командой net stop w32time && net start w32time .
После перезапуска службы NTP, сервер уже активен и может обслуживать клиентов. Убедиться в этом можно с помощью команды w32tm /query /configuration . Эта команда выводит полный список параметров службы. Если раздел NtpServer содержит строку Enabled:1, то все в порядке, сервер времени работает.
Для того, чтобы NTP-сервер мог обслуживать клиентов, в брандмауэре необходимо открыть UDP порт 123 для входящего и исходящего трафика.
Основные настройки NTP сервера и клиента
Значение по умолчанию для компьютера, входящего в домен — NT5DS, для отдельно стоящего компьютера — NTP.
Чтобы заявить рядовой сервер (не домен-контроллер) как надежный источник времени, нужен флаг 5 (1+4).
После изменения настроек необходимо обновить конфигурацию сервиса. Сделать это можно командой w32tm /config /update .
Список команд службы времени
Список команд для настройки, мониторинга и диагностики службы времени:
| Команда | Описание |
|---|---|
| w32tm /monitor | при помощи этой опции можно узнать, насколько системное время данного компьютера отличается от времени на контроллере домена или других компьютерах. Например: w32tm /monitor /computers:time.nist.gov |
| w32tm /resync | при помощи этой команды можно заставить компьютер синхронизироваться с используемым им сервером времени. |
| w32tm /stripchart | показывает разницу во времени между текущим и удаленным компьютером. Команда w32tm /stripchart /computer:time.nist.gov /samples:5 /dataonly произведет 5 сравнений с указанным источником и выдаст результат в текстовом виде. |
| w32tm /config | это основная команда, используемая для настройки службы NTP. С ее помощью можно задать список используемых серверов времени, тип синхронизации и многое другое. Например, переопределить значения по умолчанию и настроить синхронизацию времени с внешним источником, можно командой w32tm /config /syncfromflags:manual /manualpeerlist:time.nist.gov /update |
| w32tm /query | показывает текущие настройки службы. Например команда w32tm /query /source покажет текущий источник времени, ээw32tm /query /configuration выведет все параметры службы. |
| net stop w32time | останавливает службу времени, если запущена. |
| w32tm /unregister | удаляет службу времени с компьютера. |
| w32tm /register | регистрирует службу времени на компьютере. При этом создается заново вся ветка параметров в реестре. |
| net start w32time | запускает службу |
Устранение неполадок
В Windows 7 — служба времени не запускается автоматически при старте Windows. Исправлено в SP1 для Windows 7.
Решение 3. Активируйте свою учетную запись Microsoft в реестре.
Значение NoConnectedUser REG_DWORD, расположенное в ветке реестра HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Policies System, является ключом для политики безопасности «Учетные записи: блокировать учетные записи Microsoft». Рекомендуемые настройки:
0 — эта политика отключена.
1 — Пользователи не могут добавлять учетные записи Microsoft.
3 — Пользователи не могут добавить учетную запись Microsoft или логин.
Настройки синхронизации Windows 10 не работают
Может быть несколько причин, по которым Windows 10 не может синхронизировать настройки между устройствами. Это может быть проблема с учетной записью Microsoft или ограничения со стороны администратора, или ситуация в Azure Active Directory.
- Проверка вашей учетной записи Microsoft
- Использование учебной или рабочей учетной записи
- Включение синхронизации учетной записи Microsoft через редактор реестра
- Включение синхронизации из Azure Active Directory
Для некоторых предложений вам потребуется разрешение администратора.
1]Проверка вашей учетной записи Microsoft
Если учетная запись была создана недавно, особенно при настройке учетной записи на компьютере, ее необходимо будет проверить. Microsoft отправляет вам электронное письмо или обрабатывает вас через процесс проверки. Если это не завершено, синхронизация не удастся.
- Перейдите в Настройки> Учетные записи> Ваша информация.
- Найдите ссылку «Подтвердить» и щелкните по ней.
- Когда вы нажмете на него, вам будет предложено подтвердить с помощью приложения Authenticator или номера телефона или любым другим способом.
После этого синхронизация начнет работать.
2]Использование учебных или рабочих учетных записей
Если у вас есть учебная или рабочая учетная запись, право включить синхронизацию остается за администратором. Многие компании разрешают синхронизацию на авторизованных устройствах, а некоторые позволяют работать только на одном устройстве. Однако, если у вас есть необходимость, вам придется обратиться к администратору.
В этих учетных записях будет отображаться сообщение об ошибке о том, что синхронизация с вашей учетной записью недоступна.
3]Включите синхронизацию учетной записи Microsoft через редактор реестра или групповую политику.
Если вы подтвердили, но синхронизация по-прежнему не работает, вы можете использовать метод реестра или групповую политику, чтобы включить синхронизацию.
Метод реестра
Откройте редактор реестра и перейдите по следующему пути.
Создайте новый DWORD с именем — DisableSettingsSync — и установите значение как 2.
Как администратор, вы можете создать еще один DWORD — DisableSettingSyncUserOverride , и установите значение как 2, — разрешая пользователям включить синхронизацию.
Использование групповой политики
Откройте редактор групповой политики и перейдите по следующему пути:
Административные шаблоны> Компоненты Windows> Синхронизировать настройки
Найдите политику Не синхронизироватьи дважды щелкните, чтобы открыть его. Включите его и сохраните. Если вы администратор, вы можете установить флажок, разрешив пользователей, чтобы включить синхронизацию.
4]Включить синхронизацию из Azure Active Directory
Синхронизация также называется роумингом, поскольку она позволяет вам перемещаться с вашими настройками при переключении между компьютерами. Если вы являетесь частью Azure Active Directory, администратор может выполнить следующие действия, чтобы включить его.
- Войдите в центр администрирования Azure AD.
- Выберите Azure Active Directory> Устройства> Enterprise State Roaming.
- Выберите Пользователи могут синхронизировать настройки и данные приложений на разных устройствах.
Часто задаваемые вопросы о настройках синхронизации Windows 10 не работают
Вот некоторые из часто задаваемых вопросов о проблемах с неработающей синхронизацией Windows 10.
Что делает синхронизация ваших настроек в Windows 10?
Параметры синхронизации позволяют синхронизировать настройки Windows 10, темы, пароль, язык, предпочтения и другие параметры Windows. Когда вы входите в систему на другом компьютере, проверьте себя, все эти настройки появятся на этом компьютере.
Как включить синхронизацию настроек в Windows 10?
Перейдите в Настройки Windows 10> Учетные записи> Синхронизировать настройки> Включить параметр синхронизации и все, что вы хотите синхронизировать.
Почему моя учетная запись Microsoft не синхронизируется?
Возможно, что синхронизация отключена или отключена администратором, или вы не подтвердили свою учетную запись.
Читать дальше: Отключить параметры синхронизации в Windows для нескольких пользователей с помощью редактора групповой политики.
Включаем синхронизацию Azure Active Directory
Еще одной причиной невозможности синхронизации параметров между вашими устройствами может являться привязка учетной записи Майкрософт к профилю Azure AD. Microsoft Azure Active Directory используется для управления доступом, автоматизации политик и повышения уровня безопасности.
Если ваша учетная запись связана с Azure AD, перейдите на сайт Azure и войдите в систему. Далее следует открыть раздел «Azure Active Directory», нажав на значок меню с тремя черточками.
Открываем меню и кликаем на пункт «Azure Active Directory»
Затем справа выбираем подраздел «Настройки устройства» и устанавливаем значение «Все» в строке «Пользователи, которые могут синхронизировать настройки и данные приложений».
После проделанных манипуляций попробуйте включить синхронизацию в «Параметрах Windows».
Если круговой значок не останавливается в течение длительного периода времени после вашего входа в Chrome с использованием данных учетной записи Google или после ввода запрошенного пароля программы, выполните следующие действия.
- Нажмите Отменить, чтобы закрыть диалоговое окно с круговым значком течения.
- Если доступна опция Отключение учетной записи Google, нажмите кнопку, чтобы остановить синхронизацию на компьютере.
- Закройте Chrome, перейдя в меню Chrome → Выйти (Mac: меню Chrome → Quit (Выход)).
- Перезапустите Chrome.
- Войдите в Chrome и снова включите синхронизацию на компьютере.
