testperson 1.538 Geschrieben 19. April 2023 Melden Teilen Geschrieben 19. April 2023 Hi, und zusätzlich zur GPO kann Get-VM | Get-VMIntegrationService | Where-Object { $_.Id.EndsWith("2497F4DE-E9FA-4204-80E4-4B75C46419C0") } | Disable-VMIntegrationService auch nicht schaden. Gruß Jan 1 Zitieren Link zu diesem Kommentar
daabm 1.186 Geschrieben 19. April 2023 Melden Teilen Geschrieben 19. April 2023 Jupp, so langsam wird es "rund". @RealUnreal Zeitverteilung ist ein hierarchischer Vorgang. Und für Kerberos ist Zeit essentiell, weil die Timestamps für die Preauthentication verwendet werden. Es kann nur einen "Chef im Ring" geben, und jeder, der teilnimmt, darf nur einen "Uplink" haben. Dem virtuellen Computer ist es grundsätzlich egal, ob er seine Zeit vom Host bekommt, der in der gleichen Domäne ist (ist er das?) oder ob er sie direkt aus der Domäne holt. Allerdings macht ein fehlkonfigurierter Host in dem Fall die Authentifizierung für alle VMs gleich mit kaputt. Also entscheidet man sich, alle Zeit-Integrationen der Virtualisierungsplattform abzuschalten und bei Domänenmitgliedern ausschließlich NT5DS zu verwenden. 1 1 Zitieren Link zu diesem Kommentar
Samoth 32 Geschrieben 27. April 2023 Melden Teilen Geschrieben 27. April 2023 Hi zusammen, wir hatten gestern beim Kunden auch ein ähnliches Thema und letztlich kam dann ein Kollege aus unserer Infra dazu. Der hat sich das angeschaut und festgestellt, dass der DC1 als NTP für alle VMs fungiert. Alle ESX-Hosts haben sich die Zeit vom DC1 geholt und einer der Hosts hatte 2 Minuten Versatz, welchen er dann an die dort laufenden VMs weitergab. Mein Kollege meinte dann, dass man sich die Zeit nicht von einer VM holt und, dass es ein physikalisches Gerät sein muss, z. B. die Firewall. Insbesondere bei Datenbanken wäre das wichtig. Ich habe dann nach Quellen gefragt und die Antwort "Nachdenken und Logik!" bekommen. Zeitsync einrichten ist nicht mein Thema, daher konnte ich auch keine Gegenargumente liefern. Ich hab dann aber trotzdem mal gegoogelt und bspw. bei Serverfault einen Thread (https://serverfault.com/questions/106501/what-are-the-limits-of-running-ntp-servers-in-virtual-machines-2010) gefunden der von einem User 2023 aktualisiert wurde mit dem expliziten Hinweis, "It is now 2023, and all of the earlier answers to this question are now wrong (and have been since at least late 2016), at least as far as Linux VMs are concerned." Ich kann mir nicht vorstellen, dass es ein no-go ist die Zeit von einer VM zu holen. Aber was sagt ihr? Grüße Samoth Zitieren Link zu diesem Kommentar
NorbertFe 1.807 Geschrieben 27. April 2023 Melden Teilen Geschrieben 27. April 2023 vor 4 Minuten schrieb Samoth: Mein Kollege meinte dann, dass man sich die Zeit nicht von einer VM holt und, dass es ein physikalisches Gerät sein muss, z. B. die Firewall. Insbesondere bei Datenbanken wäre das wichtig. So ein BS. ;) Ich hab zig Kunden bei denen das KEIN physikalisches Gerät regelt sondern eben einer der DC (PDC Emulator) die Zeit von einer externen Quelle holt. Wenn der Rest stimmt, gibts genau keine Probleme mit solchen Konstrukten. Und Windows Server und Clients holen sich per Default die Zeit von ihrem Anmelde DC und wenn der eine VM ist, dann eben da. ;) 1 Zitieren Link zu diesem Kommentar
Samoth 32 Geschrieben 27. April 2023 Melden Teilen Geschrieben 27. April 2023 vor 6 Minuten schrieb NorbertFe: So ein BS. ;) Hatte ich in etwa vermutet - spätestens nach der Antwort "Nachdenken und Logik!". Ach, schade... denn ich mag den Kollegen schon Zitieren Link zu diesem Kommentar
NorbertFe 1.807 Geschrieben 27. April 2023 Melden Teilen Geschrieben 27. April 2023 Das is so eine typische "Religionsdiskussion". Da wird keiner Recht oder Unrecht haben, und am Ende immer mit Erfahrungen der einen oder anderen Seite kommen. ;) 1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.