Синхронизация времени в виртуализованных контроллерах домена Active Directory

Во многих «бест практисах» и сценариях виртуализации серверов,  зачастую, в качестве элемента инфраструктуры, который стоит виртуализовать в первую очередь выделяют контроллеры домена Active Directory. Виртуальные контроллеры домена полностью поддерживаются крупными производителями гипервизоров, однако есть один нюанс, про который вспоминают нечасто, но который крайне критичен для нормальной работы контроллеров домена и всей Active Directory в целом, это  правильная настройка синхронизации времени. Вы должны убедиться, что ваш PDC получает настройки времени из внешнего источника времени, а другие контроллеры домена синхронизируются с ним. Все контроллеры домена (в том числе PDC) не должны синхронизировать свое время с хостом, на котором они располагаются, будь это хост VMware ESX или  Hyper-V. По умолчанию в настройках виртуальной машины VMware  не установлена опция, включающая синхронизацию времени с гипервизором. Однако в Hyper-V синхронизация времени виртуальной машины с гипервизором по умолчанию включена!   Но в любом случае, вам лучше убедится, что виртуальная машина не выполняет синхронизацию времени с хостом.

В VMware настройка времени осуществляется из VMware tools внутри виртуальной машины на гостевой ОС.

vmwarets

Ту же самую настройку можно задать в интерфейсе клиента vCenter, в настрйках виртуальной машины в секции VMware tools.

vmwarets2

В Hyper-V опция синхронизации времени «time synchronization» спрятана в настройках виртуальной машины.

hyperv-ts

Для администраторов, которые интересуются темой виртуализации контроллеров домена Windows, рекомендую прочитать статью http://support.microsoft.com/kb/816042 , описывающую настройку авторитативного  источника времени для контроллера домена. Также рекомендую познакомится со статьей о включении сервера ESX 4.1К в домен Windows.