¿Cómo sincronizar la hora del cliente con el controlador de dominio en Windows? – 2xsoftware

1.5K

La hora de una computadora con Windows debe estar sincronizada con el dominio para que funcione correctamente en un Active Directory. Esto es especialmente importante para que funcione la autenticación Kerberos. Windows sincroniza constantemente la hora con los servidores NTP. Los controladores de dominio actúan como servidores NTP para las computadoras que se unen al dominio de Active Directory.

En una computadora con Windows que no forma parte de un dominio de Active Directory, la hora de la computadora se sincroniza con una de las dos fuentes de hora de Internet de manera predeterminada:

• tiempo.windows.com
• tiempo.nist.gov

Puede encontrar la lista de servidores de Internet con los que su computadora sincroniza la hora usando Panel de control > Fecha y hora > pestaña Hora de Internet > Cambiar configuración. Como puede ver, esta computadora está configurada para sincronizarse automáticamente con ‘tiempo.windows.com’ y el Sincronizar con un servidor horario de Internet la opción está habilitada.

También puede verificar la configuración de sincronización de tiempo a través de la aplicación Configuración moderna. Vaya a Configuración > Hora e idioma (o ejecute el comando ms-settings:dateandtime). Compruebe que el Establecer hora automáticamente la opción está habilitada.

También muestra la fecha de la última sincronización exitosa y el FQDN del servidor de tiempo actual.

Para sincronizar la hora inmediatamente, haga clic en el Sincronizar ahora botón.

La lista de servidores de tiempo de Internet que están actualmente en uso se almacena en el registro de Windows bajo la clave HKLMSOFTWAREMicrosoftWindowsCurrentVersionDateTimeServers.

La sincronización de tiempo funciona de manera diferente en las computadoras que están unidas a un dominio de Active Directory.

Características de sincronización horaria en dominios de Active Directory:

• Todas las computadoras y servidores del dominio deben usar la hora del dominio NT5DS;
• Las estaciones de trabajo de dominio y los servidores miembro de Windows sincronizan su hora con el controlador de dominio más cercano a ellos;
• Los controladores de dominio sincronizan su hora con el controlador de dominio que posee la función FSMO del emulador de PDC;
• El emulador de PDC en el dominio secundario debe sincronizar la hora con cualquier controlador de dominio en el dominio AD principal;
• El emulador de PDC en el dominio principal debe sincronizar la hora con una fuente NTP externa.

Si va a Configuración > Hora e idioma después de unirse al dominio, verá que el controlador de dominio AD se usa como fuente de tiempo. Y no puede cambiar la fuente de tiempo desde la GUI.

Pista. Obtenga más información sobre la sincronización de la hora en un dominio de Active Directory mediante el GPO.

El Servicio de hora de Windows (W32Time) es responsable de la sincronización de la hora. En primer lugar, asegúrese de que este servicio se esté ejecutando en una computadora cliente de Windows usando el cmdlet Get-Service:

Get-Service W32Time | Select-Object name,status

Puede verificar con qué servidor NTP (fuente NTP) si su computadora está sincronizando la hora usando el comando:

w32tm /query /source

Más información sobre el estado de la sincronización horaria en el dispositivo cliente:

w32tm /query /status

En un dominio AD, puede enumerar los controladores de dominio con los que se puede realizar la sincronización de tiempo:

w32tm /monitor

En este ejemplo, hay tres controladores de dominio disponibles para que el cliente sincronice la hora.

Para computadoras en un dominio de Active Directory, puede usar los siguientes comandos para habilitar la sincronización de tiempo con un DC:

w32tm /config /syncfromflags:domhier /update
net stop w32time && net start w32time

Los parámetros del servicio de hora de Windows se almacenan en la clave de registro HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeParameters. El modo de sincronización se establece mediante el parámetro Tipo. Si cambia el valor de Tipo a NoSync, deshabilitará completamente la sincronización de tiempo en Windows.

Sincronización de hora de Windows en un dominio de Active Directory

En todos los equipos unidos al dominio de Active Directory, se utiliza el controlador de dominio más cercano como fuente de hora predeterminada. En este caso, el Tipo el parámetro debe establecerse en NT5DS. Si se especifica aquí NTP, entonces su computadora sincroniza la hora con una fuente de hora externa (posiblemente en Internet). En este caso, la fuente de tiempo externa para su computadora (servidor NTP) se especificará en el servidor ntp parámetro de registro.

Debes configurar el Tipo parámetro a NT5DS para habilitar la sincronización horaria automática de un cliente de Windows con un controlador de dominio.

Cuando se usa el tipo de sincronización de hora NT5DS, la fuente de hora especificada en el parámetro NtpServer se ignora y Windows sincroniza la hora con el controlador de dominio (de acuerdo con los sitios y subredes de Active Directory).

Puede cambiar manualmente este parámetro utilizando el Editor del Registro (regedit.exe) o con PowerShell:

Set-ItemProperty HKLM:SYSTEMCurrentControlSetservicesW32TimeParameters -Name "Type" -Value "NT5DS"

Reinicie el servicio de Windows Times:

Restart-Service -Name w32time

Si el cliente de Windows no puede sincronizar la hora con el controlador de dominio de AD, debe restablecer la configuración del servicio de hora de Windows. Para hacer esto, abra un símbolo del sistema como administrador y ejecute los siguientes comandos:

La siguiente captura de pantalla muestra que Windows ahora se está sincronizando con DC (Fuente).

Problemas de sincronización de tiempo en equipos unidos a un dominio de Windows

El puerto UDP 123 se utiliza para la sincronización de tiempo en Windows. Si este puerto no está disponible en el DC, la computadora cliente no podrá sincronizar la hora.

Es posible que obtenga un error cuando intente sincronizar la hora con el w32tm /resincronización dominio:

Enviar comando de resincronización a la computadora local
La computadora no volvió a sincronizar porque no había datos de tiempo disponibles.

En este caso, debe verificar que el servicio w32time se esté ejecutando en el controlador de dominio:

Get-Service w32time

El servicio w32time debería escuchar en el puerto UDP 123. Verifique que este puerto esté escuchando en el DC.

netstat -an | find "UDP" | find ":123"

Si el servicio w32time se está ejecutando y escuchando en el puerto 123, verifique las reglas del firewall de Windows Defender. Vaya a Panel de control > Firewall de Windows > Configuración avanzada > Reglas de entrada.

Compruebe que el Controlador de dominio de Active Directory: W32Time (NTP-UDP-In) la regla está habilitada.

También puede comprobar el estado de la regla del Firewall de Windows Defender con PowerShell:

Get-NetFirewallrule -DisplayName 'Active Directory Domain Controller - W32Time (NTP-UDP-In)'|select Enabled

Si la regla está deshabilitada, debe habilitarla:

Get-NetFirewallrule -DisplayName 'Active Directory Domain Controller - W32Time (NTP-UDP-In)'|Enable-NetFirewallrule

Si falta la regla (se eliminó accidentalmente), cree una nueva regla que permita a los clientes conectarse al servicio de hora de Windows en un controlador de dominio:

netsh advfirewall firewall add rule name="NTP Server" dir=out protocol=udp localport=123 profile=any enable=yes action=allow
netsh advfirewall firewall add rule name="NTP Server" dir=in  protocol=udp localport=123 profile=any enable=yes action=allow

También puede forzar una sincronización de hora manual con otro controlador de dominio. Usa el comando:

net time \ny-dc01 /set /y

Este comando debería devolver «El comando se completó con éxito».

Configuración del cliente NTP en Windows mediante GPO

En la mayoría de los casos, la sincronización de tiempo con un dominio en el cliente de Windows no requiere la intervención del administrador. Sin embargo, si descubre que la sincronización horaria no funciona correctamente en los clientes de su dominio, puede configurar de forma centralizada la configuración de NTP del cliente en los dispositivos Windows mediante la directiva de grupo.

1. Utilizar el gpedit.msc consola si desea cambiar la configuración de la directiva de grupo en una sola computadora (esta es la mejor solución si necesita resolver problemas de sincronización en una sola computadora o probar una nueva configuración de cliente NTP). Si está configurando un GPO para varias computadoras en un dominio, use la Consola de administración de directivas de grupo (gpmc.msc);
2. Expanda el siguiente nodo en el panel izquierdo del editor de GPO Configuración del equipo > Plantillas administrativas > Sistema > Servicio de hora de Windows;
3. Abre el Habilitar cliente NTP de Windows política en el panel derecho y habilítelo;
4. Luego seleccione el Configurar cliente NTP opción. Cambie su estado a Habilitado;
5. Debe configurar los siguientes ajustes en el panel Opciones:

   NTPServer: your domain name (preferred) or FQDN name of the domain controller with the PDC Emulator role (you can find it with the command: netdom.exe query fsmo) 
   Type: NT5DS 
   CrossSiteSyncFlags: 2 
   ResolvePeerBackoffMinutes: 15 
   ResolvePeerBackoffMaxTimes: 7 
   SpecialPollInterval: 64 
   EventLogFlags: 0
   

6. Reinicie su computadora para aplicar la nueva configuración de hora del cliente GPO.