¿Cómo sincronizar la hora del controlador de dominio con el servidor NTP? – 2xsoftware

En este artículo, veremos cómo configurar un controlador de dominio con el rol FSMO PDC Emulator (Controlador de dominio principal) para sincronizar la hora con la fuente de hora externa (servidor NTP) con su configuración NTP.

¿Por qué es importante la sincronización horaria con los controladores de dominio de Active Directory?

La sincronización horaria en un entorno de red es más que una comodidad; es una necesidad absoluta, especialmente cuando se trata de controladores de dominio dentro de una infraestructura de Servicios de dominio de Active Directory (AD DS).

Sitios y servicios de Active Directory donde está configurada la replicación de AD

¿Por qué sin embargo? Imagine tener varios controladores de dominio repartidos por la jerarquía de su dominio, cada uno con una hora de sistema diferente. Esta falta de sincronización daría lugar a muchos problemas, incluidos errores de autenticación e incoherencias en los registros de eventos, que son esenciales para fines de supervisión y seguridad. Las incoherencias pueden ser problemáticas al rastrear un evento en varios dominios o incluso dentro de un único dominio con varios controladores de dominio.

Servicio de hora de Windows

El servicio de hora de Windows, integral tanto para los servidores miembros como para los controladores de dominio, proporciona el servicio de sincronización de hora necesario en toda su red. Este servicio sigue una estructura jerárquica, donde el emulador del controlador de dominio principal (PDC) en el dominio raíz del bosque se encuentra en el vértice.

El emulador PDC juega un papel clave

El emulador de PDC desempeña un papel crucial. El controlador de dominio que tiene la función de PDC está configurado para sincronizar la hora con un servidor NTP externo, sirviendo como servidor de hora autorizado para toda la infraestructura de AD. Otros controladores de dominio y servidores miembro sincronizan la hora con el emulador de PDC.

Esta configuración garantiza una fuente horaria confiable para todos los dispositivos dentro de la red. También permite que el cliente NTP de Windows en cada controlador de dominio sincronice la hora con precisión con el emulador de PDC.

El tiempo puede desviarse

Sin embargo, esta sincronización horaria interna puede desviarse con el tiempo, lo que requiere que el DC sincronice la hora con una fuente externa. Por lo tanto, es crucial configurar DC para sincronizar el tiempo con un servidor NTP externo. Los servidores NTP externos, como los servidores NTP públicos, siguen el protocolo NTP, lo que proporciona una alta precisión y confiabilidad.

¿Qué es el protocolo de tiempo de red (NTP)?

El protocolo de tiempo de red, comúnmente conocido como NTP, es un protocolo diseñado para la sincronización de tiempo entre sistemas informáticos a través de redes de datos de latencia variable y conmutación de paquetes. Nacido de la necesidad de un cronometraje confiable y preciso en el mundo digital, NTP se ha convertido en un protocolo fundamental en la infraestructura de Internet actual.

Los servidores NTP externos, como los servidores NTP públicos disponibles en Internet, generalmente operan en el Estrato 1 o el Estrato 2. Estos servidores proporcionan una fuente de tiempo confiable y precisa para que otros dispositivos se sincronicen, aprovechando el protocolo NTP.

La belleza de NTP radica en su capacidad para proporcionar sincronización de tiempo con una precisión notable en la Internet pública, donde la latencia y la fluctuación de la red pueden variar significativamente. Lo hace a través de un algoritmo complejo que estima el retraso de la red y ajusta el tiempo en consecuencia, incluso compensando el tiempo que tardan las solicitudes de tiempo en viajar del cliente al servidor y viceversa.

En el contexto de un entorno de Windows Server, configurar DC para sincronizar la hora con un servidor NTP externo se convierte en una parte vital para garantizar una hora precisa y confiable en todo el dominio. Los controladores de dominio, incluido el controlador de dominio principal, generalmente se configuran para sincronizar la hora con estos servidores NTP externos.

¿Cómo funciona la sincronización horaria en Active Directory?

En primer lugar, te recordamos cómo funciona la sincronización horaria en el bosque de Active Directory:

  • Todas las computadoras de dominio o servidores miembro sincronizan la hora con el controlador de dominio más cercano (en el sitio de AD del cliente) que se ejecuta en su entorno de Servicios de dominio de Active Directory o con el DC con el rol de PDC (si los sitios de AD no están configurados);
  • Todos los controladores de dominio sincronizan la hora con un titular de la función de controlador de dominio PDC;
  • PDC sincroniza la hora consigo mismo de forma predeterminada, o puede configurarlo para que se sincronice con una fuente de hora externa en Internet (servidor NTP).

Configuración de la sincronización de tiempo usando la configuración de w32tm

Puede configurar la sincronización de tiempo en el PDC manualmente o mediante un GPO.

La utilidad w32tm.exe se usa para configurar la sincronización de tiempo manualmente.

Abra un símbolo del sistema elevado (símbolo del sistema administrativo) en el PDC y ejecute el comando:

w32tm.exe /config /manualpeerlist:"0.pool.ntp.org,0x8 1.pool.ntp.org,0x8 2.pool.ntp.org,0x8" /syncfromflags:manual /update
  • /Syncfromflags:manual—habilita la sincronización del servicio NetTime con una fuente externa
  • /manualpeerlist:”0.pool.ntp.org,0x8 1.pool.ntp.org,0x8 2.pool.ntp.org,0x8″: enumera los servidores NTP externos para la sincronización de los servidores NTP configurados. El 0x8 parámetro significa que la sincronización se realiza en el modo de cliente NTP de acuerdo con el intervalo sugerido por el servidor NTP.

Se permiten los siguientes valores para los parámetros de sincronización con servidores NTP externos:

  • 0x1 — SpecialInterval, uso de un intervalo de sondeo especial;
  • 0x2: modo UseAsFallbackOnly;
  • 0x4 — SymmetricActive, modo activo simétrico;
  • 0x8 — Cliente, enviar solicitud en modo cliente.

Ahora debe anunciar el emulador de PDC como una fuente confiable de tiempo para el cliente de dominio:

w32tm /config /reliable:yes

tiempo de sincronización del controlador de dominio con fuente externa

Ahora necesita reiniciar el servicio W32Time en el PDC:

net stop w32time && net start w32time

cómo sincronizar la hora del controlador de dominio con el servidor ntp

Para sincronizar la hora inmediatamente ejecute el comando:

w32tm /resync

sincronizar el servidor de tiempo para el controlador de dominio con una fuente externa

Consejo. La lista de fuentes NTP actuales se almacena en la clave de registro HKLMSYSTEMCurrentControlSetServicesW32TimeParameters en el parámetro NtpServer.

sincronizar el controlador de dominio con el servidor ntp

Configurar la sincronización de tiempo mediante la directiva de grupo

Para configurar un servidor NTP externo en un PDC, utilice la directiva de grupo. Al usar una política de este tipo, no tiene que volver a configurar los ajustes de sincronización de hora en los controladores de dominio al transferir la función de PDC a otro servidor.

  1. Abra la Consola de administración de políticas de grupo (GPMC.msc) y cree una nueva política PDC_NTP_sync;
  2. Asigne esta política a los controladores de dominio de OU;
  3. Cree un filtro WMI con el siguiente código y vincúlelo a su política (este filtro WMI le permite encontrar un controlador de dominio con el rol de PDC y aplicarle la política únicamente): Seleccione * de Win32_ComputerSystem donde DomainRole = 5.
    configurar dc para sincronizar la hora con un servidor ntp externo
    establecer la fuente de tiempo del controlador de dominio
  4. Cambie al modo de edición de políticas y vaya a la sección Configuración del equipo > Políticas > Plantillas administrativas > Sistema > Servicio de hora de Windows > Proveedores de hora. Habilitar la política Habilitar cliente NTP de Windows y editar el Configurar el cliente NTP de Windows política.
  5. Especifique la siguiente configuración de política:
    Enabled 
    
    NtpServer: 0.pool.ntp.org,0x8 1.pool.ntp.org,0x8 2.pool.ntp.org,0x8 
    
    Type: NTP 
    
    CrossSiteSyncFlags: 2 
    
    ResolvePeerBackoffMinutes: 15 
    
    ResolvePeerBackoffMaxTimes: 7 
    
    SpecialPollInterval: 1024 
    
    EventLogFlags: 0
    

    apuntar el controlador de dominio al servidor ntp

  6. Queda por ejecutar los siguientes comandos en DC para forzar la sincronización. Abra el símbolo del sistema elevado y escriba:
    w32tm /config /syncfromflags:domhier /update
    
    net stop w32time && net start w32time

    Para verificar las fuentes de tiempo NTP actuales y sus estados, ejecute el comando:

    w32tm /query /peers

    establecer dc como servidor de tiempo

Para restablecer la configuración del servicio horario y borrar la lista de servidores NTP externos, ejecute los siguientes comandos:

net stop w32time

w32tm /unregister

w32tm /register

net start w32time

Tenga en cuenta que, de forma predeterminada, los clientes de dominio sincronizan la hora con DC mediante el servicio de hora de Windows (hora de Windows), en lugar de utilizar el protocolo NTP.

Si su PDC es una máquina virtual, le recomendamos que consulte el artículo Configuración de tiempo para un controlador de dominio virtualizado.

preguntas frecuentes

1. ¿Qué sucede cuando la hora de un controlador de dominio no está sincronizada?

Cuando un controlador de dominio no sincroniza la hora correctamente, puede generar una cascada de problemas. Estos pueden variar desde fallas de autenticación, debido a discrepancias en los tickets de Kerberos, hasta registros de eventos confusos o inexactos. Es esencial configurar DC para sincronizar la hora correctamente para mantener la integridad de la red.

2. ¿Cómo afecta la función de emulador de PDC a la sincronización de tiempo en un entorno de controlador de múltiples dominios?

En un entorno de controlador de múltiples dominios, el emulador de PDC juega un papel vital como cronometrador maestro. Todos los demás controladores de dominio de red y servidores miembro sincronizan su hora con el emulador de PDC, lo que garantiza una fuente de hora uniforme y confiable en toda la infraestructura.

3. ¿Puedo configurar manualmente mi PDC para sincronizar con múltiples servidores NTP externos?

Se pueden especificar varios servidores NTP externos al configurar su PDC para la sincronización de tiempo. Esto se hace por redundancia, asegurando que la sincronización de tiempo continúe sin interrupciones incluso si un servidor se desconecta. En el comando de configuración ‘w32tm’, el parámetro /manualpeerlist puede enumerar varios servidores NTP, separados por espacios.

4. ¿Qué hace el comando ‘/syncfromflags:manual’ en la sincronización de tiempo?

El comando /syncfromflags:manual permite que el servicio NetTime en su PDC se sincronice con una fuente externa en lugar de seguir la jerarquía del dominio. Permite que el controlador de dominio mantenga la hora precisa del sistema incluso cuando otros controladores en la jerarquía no estén disponibles o sean inexactos.

5. ¿Cuál es el propósito del comando ‘w32tm /config /reliable:yes’?

El comando ‘w32tm /config /reliable:yes’ se usa para designar el emulador de PDC como una fuente de tiempo confiable para la red. Esta configuración es crucial porque establece el emulador de PDC como el servidor de tiempo maestro desde el cual todos los demás servidores y clientes de la red sincronizan su tiempo.

Terminando

En esencia, configurar un controlador de dominio (DC) para sincronizar la hora con un servidor NTP externo es un aspecto fundamental pero crucial de la administración de un entorno de servicios de dominio de Active Directory (AD DS). Comprender la importancia de la sincronización horaria y el papel que juega el emulador PDC nos permite ver por qué esta configuración es fundamental.

La naturaleza jerárquica de Active Directory, en particular la función del emulador de PDC, garantiza que el tiempo sea coherente en toda la jerarquía del dominio, desde varios controladores de dominio hasta servidores miembro individuales. Sin embargo, para mantener la máxima precisión y confiabilidad, el emulador de PDC debe configurarse para sincronizarse con una fuente de tiempo externa.

Network Time Protocol (NTP) es indispensable para una sincronización horaria precisa y confiable, y ofrece una solución robusta para mantener la hora del sistema en varias redes. Al configurar el DC para que se sincronice con servidores NTP externos, aprovechamos el poder del protocolo NTP para mantener nuestro entorno de AD funcionando sin problemas.

Valora este artculo post

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *