Как переопределить информацию о ntp, отправленную dhcp в debian?
DNSHostName должен быть названием Вашей службы. В случае Кластера это было бы Вашим Виртуальным именем экземпляра.
DNSHostName связан с Авторегистрацией SPN учетной записи. В Компьютерах Active Directory & GMSAs имеют Разрешение, "Позволяют Проверенную запись ServicePrincipalName". Это означает, что компьютер может только зарегистрировать SPNs, которые содержат название себя. Пример: компьютер По имени Webserver1 (DNS: Webserver1.mydomain.net), может автозарегистрировать http:/Webserver1.mydomain.net:443, но не может зарегистрировать http:/Webserver55.mydomain.net:443
Так, DNSHostName GMSA Должен отразить, какой SPNs Вы хотите зарегистрировать для сервиса.
На кластере SQL, у Вас было бы 2 хоста: Host1 и host2. clusterName: Clu1 и Виртуальный Экземпляр SQL: SQL1, Если бы Вы хотите использовать GMSA для выполнения сервиса SQL1, Вы создали бы его как это.
$comp1 = get-adcomputer Host1
$comp2 = get-adcomputer Host2
New-ADServiceAccount -Name gmsa01 -DNSHostName sql1.mydomain.net -PrincipalsAllowedToRetrieveManagedPassword $comp1, $comp2 (Вы могли также использовать группу вместо того, чтобы присвоить права на хосты непосредственно).
Каждый раз, когда сервис SQL запускается, он автоматически зарегистрирует 2 SPNs: MSSQLSvc/sql1.mydomain.net MSSQLSvc/sql1.mydomain.net:1433
при помещении чего-то еще в DNSHostName (например, gmsa01.mydomain.net), сервис, все еще запустится, но он не зарегистрирует SPNs (и отступит к аутентификации NTLM).
, Если Вы don’t заботитесь об Аутентификации Kerberos (и SPNs) или Если Вы соглашаетесь с ручной регистрацией SPNs для Вашего сервиса, можно поместить то, что Вы хотите в DNSHostName. GMSA будет все еще работать.
я не рекомендовал бы поместить Ваш DomainController в DNSName, как отмечалось ранее (если Вы не планируете использование GMSA для выполнения сервиса на контроллер домена).
Я предлагаю вам отредактировать / создать /etc/dhclient.conf и раскомментировать строку «запрос» примерно так:
request subnet-mask, broadcast-address, routers, domain-name, domain-name-servers, host-name;
В особенности, если присутствует «ntp-servers», удалите его . В некоторых дистрибутивах (например, Fedora) они отправляются по умолчанию, поэтому вы должны указать эту строку явно, чтобы значение по умолчанию было отменено.
Проверьте man dhclient.conf для получения дополнительной информации.
Вы также можете просто удалить этот файл: /etc/dhcp/dhclient-exit-hooks.d/ntp вместо редактирования ваших DHCP-запросов. Этот файл создает ntp.conf.dhcp .
В случае, если ntp.conf.dhcp был создан при предыдущей загрузке, не забудьте также удалить его.
Не отвечаю напрямую на вопрос, но это может пригодиться.
Поведение DHCP
В Debian (по крайней мере) клиент DHCP переопределяет существующую конфигурацию службы ntp.
Он управляется сценарием /etc/dhcp/dhclient-exit-hooks.d/ntp :
[contents from: /etc/dhcp/dhclient-exit-hooks.d/ntp]
NTP_CONF=/etc/ntp.conf
NTP_DHCP_CONF=/var/lib/ntp/ntp.conf.dhcp
...
[hundreds of lines of scripts]
DHCP-клиент получает серверы ntp от DHCP-сервера, он получает текущую конфигурацию службы ntp из NTP_CONF path и изменяет его, чтобы включить серверы ntp, полученные через dhcp, генерирует новый файл конфигурации ntp в путь NTP_DHCP_CONF и, наконец, заставляет службу ntp использовать этот новый файл конфигурации.
Это приводит к тому, что всегда используются серверы ntp, объявленные поверх dhcp. В обход конфигурации системы.
Это трудно отладить, если неизвестно, потому что конфигурация службы в '/etc/ntp.conf' остается нетронутой и верна при визуальном осмотре. Однако на самом деле он игнорируется и скрытно переопределяется.
Вы можете использовать 'ntpq -pn' для отладки того, какие серверы ntp на самом деле используются демоном.
Смешивание параметров DHCP ntp и конфигурации системы
Если есть IS сервер ntp в вашей сети объявляется DHCP, и вы хотите проигнорировать его :
Вам нужно будет перенастроить клиент DHCP в /etc/dhclient.conf , чтобы пропустить ntp-servers вариант dhcp. Обратитесь к ответу @Oliver.
Затем вы можете настроить конфигурацию системы в /etc/ntp.conf
. Если в какой-то момент DHCP-сервер БЫЛ объявлен, но больше не был :
Системная конфигурация ntp все еще может быть переопределена DHCP-клиентом, заставляя устаревшие серверы ntp, объявленные давно. Это переопределение DHCP может сохраняться в течение нескольких дней, после перезапуска службы ntp и перезагрузки .
Чтобы положить этому конец, вам необходимо удалить / var / lib / ntp / ntp.conf.dhcp и перезапустите службу ntp на всех ваших серверах.
Последнее слово
Все это недокументированное, неожиданное и трудно поддающееся отладке поведение. Это вызвало у меня головную боль сегодня, поэтому я документирую это здесь.