1.2K
En este artículo, veremos cómo configurar un controlador de dominio con el rol FSMO PDC Emulator (Controlador de dominio principal) para sincronizar la hora con la fuente de hora externa (servidor NTP) con su configuración NTP.
¿Por qué es importante la sincronización horaria con los controladores de dominio de Active Directory?
La sincronización horaria en un entorno de red es más que una comodidad; es una necesidad absoluta, especialmente cuando se trata de controladores de dominio dentro de una infraestructura de Servicios de dominio de Active Directory (AD DS).
¿Por qué sin embargo? Imagine tener varios controladores de dominio repartidos por la jerarquía de su dominio, cada uno con una hora de sistema diferente. Esta falta de sincronización daría lugar a muchos problemas, incluidos errores de autenticación e incoherencias en los registros de eventos, que son esenciales para fines de supervisión y seguridad. Las incoherencias pueden ser problemáticas al rastrear un evento en varios dominios o incluso dentro de un único dominio con varios controladores de dominio.
Servicio de hora de Windows
El servicio de hora de Windows, integral tanto para los servidores miembros como para los controladores de dominio, proporciona el servicio de sincronización de hora necesario en toda su red. Este servicio sigue una estructura jerárquica, donde el emulador del controlador de dominio principal (PDC) en el dominio raíz del bosque se encuentra en el vértice.
El emulador PDC juega un papel clave
El emulador de PDC desempeña un papel crucial. El controlador de dominio que tiene la función de PDC está configurado para sincronizar la hora con un servidor NTP externo, sirviendo como servidor de hora autorizado para toda la infraestructura de AD. Otros controladores de dominio y servidores miembro sincronizan la hora con el emulador de PDC.
Esta configuración garantiza una fuente horaria confiable para todos los dispositivos dentro de la red. También permite que el cliente NTP de Windows en cada controlador de dominio sincronice la hora con precisión con el emulador de PDC.
El tiempo puede desviarse
Sin embargo, esta sincronización horaria interna puede desviarse con el tiempo, lo que requiere que el DC sincronice la hora con una fuente externa. Por lo tanto, es crucial configurar DC para sincronizar el tiempo con un servidor NTP externo. Los servidores NTP externos, como los servidores NTP públicos, siguen el protocolo NTP, lo que proporciona una alta precisión y confiabilidad.
¿Qué es el protocolo de tiempo de red (NTP)?
El protocolo de tiempo de red, comúnmente conocido como NTP, es un protocolo diseñado para la sincronización de tiempo entre sistemas informáticos a través de redes de datos de latencia variable y conmutación de paquetes. Nacido de la necesidad de un cronometraje confiable y preciso en el mundo digital, NTP se ha convertido en un protocolo fundamental en la infraestructura de Internet actual.
Los servidores NTP externos, como los servidores NTP públicos disponibles en Internet, generalmente operan en el Estrato 1 o el Estrato 2. Estos servidores proporcionan una fuente de tiempo confiable y precisa para que otros dispositivos se sincronicen, aprovechando el protocolo NTP.
La belleza de NTP radica en su capacidad para proporcionar sincronización de tiempo con una precisión notable en la Internet pública, donde la latencia y la fluctuación de la red pueden variar significativamente. Lo hace a través de un algoritmo complejo que estima el retraso de la red y ajusta el tiempo en consecuencia, incluso compensando el tiempo que tardan las solicitudes de tiempo en viajar del cliente al servidor y viceversa.
En el contexto de un entorno de Windows Server, configurar DC para sincronizar la hora con un servidor NTP externo se convierte en una parte vital para garantizar una hora precisa y confiable en todo el dominio. Los controladores de dominio, incluido el controlador de dominio principal, generalmente se configuran para sincronizar la hora con estos servidores NTP externos.
¿Cómo funciona la sincronización horaria en Active Directory?
En primer lugar, te recordamos cómo funciona la sincronización horaria en el bosque de Active Directory:
- Todas las computadoras de dominio o servidores miembro sincronizan la hora con el controlador de dominio más cercano (en el sitio de AD del cliente) que se ejecuta en su entorno de Servicios de dominio de Active Directory o con el DC con el rol de PDC (si los sitios de AD no están configurados);
- Todos los controladores de dominio sincronizan la hora con un titular de la función de controlador de dominio PDC;
- PDC sincroniza la hora consigo mismo de forma predeterminada, o puede configurarlo para que se sincronice con una fuente de hora externa en Internet (servidor NTP).
Configuración de la sincronización de tiempo usando la configuración de w32tm
Puede configurar la sincronización de tiempo en el PDC manualmente o mediante un GPO.
La utilidad w32tm.exe se usa para configurar la sincronización de tiempo manualmente.
Abra un símbolo del sistema elevado (símbolo del sistema administrativo) en el PDC y ejecute el comando:
w32tm.exe /config /manualpeerlist:"0.pool.ntp.org,0x8 1.pool.ntp.org,0x8 2.pool.ntp.org,0x8" /syncfromflags:manual /update
- /Syncfromflags:manual—habilita la sincronización del servicio NetTime con una fuente externa
- /manualpeerlist:”0.pool.ntp.org,0x8 1.pool.ntp.org,0x8 2.pool.ntp.org,0x8″: enumera los servidores NTP externos para la sincronización de los servidores NTP configurados. El 0x8 parámetro significa que la sincronización se realiza en el modo de cliente NTP de acuerdo con el intervalo sugerido por el servidor NTP.
Se permiten los siguientes valores para los parámetros de sincronización con servidores NTP externos:
- 0x1 — SpecialInterval, uso de un intervalo de sondeo especial;
- 0x2: modo UseAsFallbackOnly;
- 0x4 — SymmetricActive, modo activo simétrico;
- 0x8 — Cliente, enviar solicitud en modo cliente.
Ahora debe anunciar el emulador de PDC como una fuente confiable de tiempo para el cliente de dominio:
w32tm /config /reliable:yes
Ahora necesita reiniciar el servicio W32Time en el PDC:
net stop w32time && net start w32time
Para sincronizar la hora inmediatamente ejecute el comando:
w32tm /resync
Consejo. La lista de fuentes NTP actuales se almacena en la clave de registro HKLMSYSTEMCurrentControlSetServicesW32TimeParameters en el parámetro NtpServer.
Configurar la sincronización de tiempo mediante la directiva de grupo
Para configurar un servidor NTP externo en un PDC, utilice la directiva de grupo. Al usar una política de este tipo, no tiene que volver a configurar los ajustes de sincronización de hora en los controladores de dominio al transferir la función de PDC a otro servidor.
- Abra la Consola de administración de políticas de grupo (GPMC.msc) y cree una nueva política PDC_NTP_sync;
- Asigne esta política a los controladores de dominio de OU;
- Cree un filtro WMI con el siguiente código y vincúlelo a su política (este filtro WMI le permite encontrar un controlador de dominio con el rol de PDC y aplicarle la política únicamente): Seleccione * de Win32_ComputerSystem donde DomainRole = 5.
- Cambie al modo de edición de políticas y vaya a la sección Configuración del equipo > Políticas > Plantillas administrativas > Sistema > Servicio de hora de Windows > Proveedores de hora. Habilitar la política Habilitar cliente NTP de Windows y editar el Configurar el cliente NTP de Windows política.
- Especifique la siguiente configuración de política:
Enabled NtpServer: 0.pool.ntp.org,0x8 1.pool.ntp.org,0x8 2.pool.ntp.org,0x8 Type: NTP CrossSiteSyncFlags: 2 ResolvePeerBackoffMinutes: 15 ResolvePeerBackoffMaxTimes: 7 SpecialPollInterval: 1024 EventLogFlags: 0
- Queda por ejecutar los siguientes comandos en DC para forzar la sincronización. Abra el símbolo del sistema elevado y escriba:
w32tm /config /syncfromflags:domhier /update net stop w32time && net start w32time
Para verificar las fuentes de tiempo NTP actuales y sus estados, ejecute el comando:
w32tm /query /peers
Para restablecer la configuración del servicio horario y borrar la lista de servidores NTP externos, ejecute los siguientes comandos:
net stop w32time w32tm /unregister w32tm /register net start w32time
Tenga en cuenta que, de forma predeterminada, los clientes de dominio sincronizan la hora con DC mediante el servicio de hora de Windows (hora de Windows), en lugar de utilizar el protocolo NTP.
Si su PDC es una máquina virtual, le recomendamos que consulte el artículo Configuración de tiempo para un controlador de dominio virtualizado.
preguntas frecuentes
1. ¿Qué sucede cuando la hora de un controlador de dominio no está sincronizada?
Cuando un controlador de dominio no sincroniza la hora correctamente, puede generar una cascada de problemas. Estos pueden variar desde fallas de autenticación, debido a discrepancias en los tickets de Kerberos, hasta registros de eventos confusos o inexactos. Es esencial configurar DC para sincronizar la hora correctamente para mantener la integridad de la red.
2. ¿Cómo afecta la función de emulador de PDC a la sincronización de tiempo en un entorno de controlador de múltiples dominios?
En un entorno de controlador de múltiples dominios, el emulador de PDC juega un papel vital como cronometrador maestro. Todos los demás controladores de dominio de red y servidores miembro sincronizan su hora con el emulador de PDC, lo que garantiza una fuente de hora uniforme y confiable en toda la infraestructura.
3. ¿Puedo configurar manualmente mi PDC para sincronizar con múltiples servidores NTP externos?
Se pueden especificar varios servidores NTP externos al configurar su PDC para la sincronización de tiempo. Esto se hace por redundancia, asegurando que la sincronización de tiempo continúe sin interrupciones incluso si un servidor se desconecta. En el comando de configuración ‘w32tm’, el parámetro /manualpeerlist puede enumerar varios servidores NTP, separados por espacios.
4. ¿Qué hace el comando ‘/syncfromflags:manual’ en la sincronización de tiempo?
El comando /syncfromflags:manual permite que el servicio NetTime en su PDC se sincronice con una fuente externa en lugar de seguir la jerarquía del dominio. Permite que el controlador de dominio mantenga la hora precisa del sistema incluso cuando otros controladores en la jerarquía no estén disponibles o sean inexactos.
5. ¿Cuál es el propósito del comando ‘w32tm /config /reliable:yes’?
El comando ‘w32tm /config /reliable:yes’ se usa para designar el emulador de PDC como una fuente de tiempo confiable para la red. Esta configuración es crucial porque establece el emulador de PDC como el servidor de tiempo maestro desde el cual todos los demás servidores y clientes de la red sincronizan su tiempo.
Terminando
En esencia, configurar un controlador de dominio (DC) para sincronizar la hora con un servidor NTP externo es un aspecto fundamental pero crucial de la administración de un entorno de servicios de dominio de Active Directory (AD DS). Comprender la importancia de la sincronización horaria y el papel que juega el emulador PDC nos permite ver por qué esta configuración es fundamental.
La naturaleza jerárquica de Active Directory, en particular la función del emulador de PDC, garantiza que el tiempo sea coherente en toda la jerarquía del dominio, desde varios controladores de dominio hasta servidores miembro individuales. Sin embargo, para mantener la máxima precisión y confiabilidad, el emulador de PDC debe configurarse para sincronizarse con una fuente de tiempo externa.
Network Time Protocol (NTP) es indispensable para una sincronización horaria precisa y confiable, y ofrece una solución robusta para mantener la hora del sistema en varias redes. Al configurar el DC para que se sincronice con servidores NTP externos, aprovechamos el poder del protocolo NTP para mantener nuestro entorno de AD funcionando sin problemas.