1.9K
El servicio de hora de Windows es la base para el funcionamiento normal del dominio de Active Directory. El servicio W32Time es esencial para el funcionamiento correcto de la autenticación Kerberos en AD. En el entorno de AD, la sincronización de hora se realiza de acuerdo con una jerarquía de dominio: las computadoras y los servidores unidos a un dominio obtienen la hora del controlador de dominio más cercano en el que están conectados, todos los controladores de dominio sincronizan su hora con un único controlador de dominio que contiene la hora. Rol FSMO del emulador de PDC.
Debe configurar su emulador de PDC (controlador de dominio principal) para sincronizar la hora con una fuente de hora externa confiable. La fuente de hora externa suele ser uno o más servidores NTP (Network Time Protocol) públicos, como time.windows.com o el servidor NTP de su proveedor.
¿Cómo funciona Time Sync en el dominio AD?
Este servicio W32Time en Windows se utiliza para sincronizar la hora en la organización de AD. Una computadora puede ser tanto un cliente como un servidor NTP. De forma predeterminada, los equipos de dominio sincronizan la hora mediante el servicio de hora de Windows en lugar de NTP.
De forma predeterminada, el servicio de hora de Windows en Active Directory está configurado de la siguiente manera:
- Después de realizar una instalación limpia de Windows, se inicia un cliente NTP en la computadora, que se sincroniza con una fuente de tiempo externa (time.windows.com);
- Cuando une la PC al dominio, la configuración de sincronización de tiempo cambia. Todos los equipos cliente y los servidores miembro del dominio sincronizan su hora con los controladores de dominio de AD;
- Cuando un servidor miembro se promueve a un controlador de dominio, se puede usar como fuente de tiempo para las computadoras del dominio. Todos los controladores de dominio sincronizan su tiempo con un controlador de dominio con el rol de emulador de PDC;
- El emulador de PDC es el servidor de tiempo principal para toda la organización. Se sincroniza con una fuente de tiempo externa, o con el reloj del hardware del servidor en CMOS/BIOS (no se recomienda este método de sincronización de tiempo);
- Este esquema de sincronización de tiempo (según la jerarquía de AD DS) funciona correctamente en la mayoría de los casos y no requiere la intervención del administrador. Sin embargo, es posible que la estructura del servicio de tiempo en Windows no siga la jerarquía de dominio.
Si enfrenta un problema cuando la hora en los clientes y los controladores de dominio es diferente, lo más probable es que su dominio tenga un problema con la sincronización de la hora y este artículo puede serle muy útil.
En primer lugar, es necesario seleccionar un servidor NTP que desee utilizar. La lista de servidores públicos de reloj atómico NTP está disponible en http://ntp.org. En nuestro ejemplo, usaremos 0.us.pool.ntp.org, 1.us.pool.ntp.org, 2.us.pool.ntp.orgy 3.us.pool.ntp.org.
La configuración de la sincronización horaria del dominio mediante la directiva de grupo consta de 2 pasos:
- Cree un GPO para el controlador de dominio con un rol de PDC;
- Cree un GPO para equipos cliente de Windows en el dominio AD.
Configuración del controlador de dominio PDC para sincronizar la hora con un servidor NTP externo
En primer lugar, debe configurar el PDC y habilitar el servicio NTP en él. Para ubicar el nombre del servidor con el rol de PDC en el dominio, ejecute el comando:
netdom /query fsmo
Conéctese al DC especificado, abra un símbolo del sistema y ejecute:
w32tm /query /source
Si ves en la salida:
- Reloj CMOS local: la fuente de tiempo en este servidor es su reloj de hardware local;
- Proveedor de sincronización de tiempo de VM IC: entonces su controlador de dominio con el rol de PDC es una máquina virtual que sincroniza el tiempo con el host.
Deshabilite la sincronización de tiempo con el host a través del registro:
- Establezca el parámetro Habilitado en 0 en la clave de registro HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProvidersVMICTimeProvider
o en la configuración de la máquina virtual (la siguiente captura de pantalla muestra cómo deshabilitar la sincronización de tiempo de la VM con el host de Hyper-V mediante la opción Sincronización de tiempo en la sección Servicios de integración).
Si ejecuta un controlador de dominio virtualizado en VMware vSphere/ESXi, puede deshabilitar la sincronización de tiempo en la configuración de la máquina virtual (Editar configuración > Opciones de VM > Herramientas de VMware > Hora, desmarque la opción Sincronizar la hora del invitado con el host).
El emulador de PDC virtual siempre debe sincronizar la hora con una fuente externa y la sincronización de hora con el host debe estar deshabilitada. Esto también se aplica a cualquier otra máquina virtual unida al dominio.
El mejor enfoque es configurar el emulador de PDC para sincronizar la hora directamente con una fuente de hora externa.
Compruebe que los servidores NTP externos que ha elegido sean accesibles desde el controlador de dominio principal (el puerto de salida UDP 123 debe estar abierto para el servidor de destino). Obtenga la hora actual de un servidor NTP externo usando el comando:
w32tm /stripchart /computer:0.us.pool.ntp.org
En este ejemplo, el servidor NTP especificado está disponible y ha obtenido con éxito la hora actual de él.
Puede configurar manualmente la sincronización de tiempo del host PDC con una fuente NTP externa utilizando la herramienta w32tm.exe:
net stop w32time w32tm /config /syncfromflags:manual /manualpeerlist:"1.us.pool.ntp.org,0x8 1.us.pool.ntp.org,0x8 2.us.pool.ntp.org,0x8 3.us.pool.ntp.org,0x8" w32tm /config /reliable:yes w32tm /config /update net start w32time
Comprueba tu configuración actual:
w32tm /query /configuration
Configure la fuente NTP externa en el controlador de dominio PDC mediante GPO
La función de emulador de PDC se puede transferir con PowerShell entre controladores de dominio, por lo que debemos asegurarnos de que el GPO se aplique solo al titular actual de la función de controlador de dominio principal. Para ello, ejecute la Consola de administración de directivas de grupo (GPMC.msc). Seleccione la sección Filtros WMI y cree un nuevo filtro WMI con el nombre Emulador de filtro PDC y la siguiente consulta WMI en el espacio de nombres rootCIMv2 Seleccione * de Win32_ComputerSystem donde DomainRole = 5.
Cree un GPO nuevo y vincúlelo a la unidad organizativa AD denominada Controladores de dominio.
Seleccione este GPO y cambie al modo de edición. Vaya a la siguiente sección de la Consola del editor de directivas de grupo: Configuración del equipo > Plantillas administrativas > Sistema > Servicio de hora de Windows > Proveedores de hora.
Habilite las siguientes configuraciones de política:
- Configurar el cliente NTP de Windows: Habilitado (la configuración de la política se describe a continuación);
- Habilitar cliente NTP de Windows: Habilitado;
- Habilitar servidor NTP de Windows: Habilitado.
Especifique las siguientes configuraciones en Configurar la política de cliente NTP de Windows:
- NtpServer: us.pool.ntp.org,0x1 1.us.pool.ntp.org,0x1 2.us.pool.ntp.org,0x1 3.us.pool.ntp.org,0x1;
- Tipo: NTP;
- CrossSiteSyncFlags: 2;
- Resolver PeerBackoffMinutos: 15;
- Resolver Peer BackoffMaxTimes: 7;
- SpecialPoolInterval: 3600;
- EventLogFlags: 0.
No olvide configurar correctamente su firewall y permitir que su PDC acceda a los servidores NTP externos a través del protocolo NTP (puerto UDP 123).
Puede abrir el puerto NTP en el Firewall de Windows Defender usando PowerShell:
New-NetFirewallRule -Name 'NTP_Server_123UDP' -DisplayName 'NTP Server Port' -Description 'Allow Inbound Connections to NTP Server' -Profile Any -Direction Inbound -Action Allow -Protocol UDP -Program Any -LocalAddress Any -LocalPort 123
Asigne un filtro WMI «Emulador de PDC de filtro“ que creó anteriormente al GPO.
Queda por actualizar la configuración de la directiva de grupo en PDC mediante el comando gpupdate:
gpupdate /force
Realice una sincronización horaria manual con su fuente NTP:
w32tm /resync
Y verifique la configuración actual de NTP:
w32tm /query /status
Ejecute el comando:
w32tm /monitor
Cuando se ejecuta en un controlador de dominio, este comando muestra la diferencia de tiempo entre otros controladores de dominio y la fuente de tiempo externa para la que está configurado el PDC.
Consejo. Si algo no funciona, intente reiniciar el servicio de hora de Windows y restablecer su configuración:
net stop w32time w32tm.exe /unregister w32tm.exe /register net stop w32tim
Configure los ajustes de sincronización de tiempo del cliente usando GPO
De forma predeterminada en Active Directory, los clientes de dominio sincronizan su hora con los controladores de dominio (opción Nt5DS: sincroniza la hora con la jerarquía del dominio). Normalmente, este comportamiento no necesita ser reconfigurado. Sin embargo, si hay problemas con la sincronización de tiempo en los clientes de su dominio, puede intentar especificar el servidor de tiempo directamente en los clientes que usan GPO.
Para hacer esto, cree un nuevo GPO y asígnelo a la unidad organizativa con computadoras. En el Editor de GPO, vaya a la siguiente sección Configuración del equipo > Plantillas administrativas > Sistema > Servicio de hora de Windows > Proveedores de hora y habilite la política Configurar cliente NTP de Windows.
como un servidor NTP especifique el nombre de su dominio (preferido) o la dirección IP/FQDN del PDC:
NTP Server: lon-dc1.adatum.com,0x9 Set Type: NT5DS CrossSiteSyncFlags: 2 ResolvePeerBackoffMinutes: 15 ResolvePeerBackoffMaxTimes: 7 SpecialPollInterval: 3600 EventLogFlags: 0
Valores posibles para el parámetro Tipo:
- No sincronizado — el servidor NTP no está sincronizado con ninguna fuente horaria externa. Se utiliza el reloj del sistema integrado en el chip CMOS del servidor;
- NTP — el servidor NTP está sincronizado con servidores de tiempo externos, que se especifican en el parámetro de registro NtpServer (este es el comportamiento predeterminado en una computadora independiente);
- NT5DS — el servidor NTP realiza la sincronización de acuerdo con la jerarquía del dominio (utilizada de manera predeterminada en las computadoras unidas al dominio);
- AllSync — el servidor NTP utiliza todas las fuentes disponibles para la sincronización horaria.
Actualice la configuración de la directiva de grupo en los clientes y verifique la configuración de sincronización de tiempo recibida como se describe anteriormente.
¿Cómo configurar manualmente un cliente de Windows para sincronizar la hora con el servidor NTP?
En esta sección, describiremos cómo sincronizar manualmente la hora con el controlador de dominio en clientes de Windows. Puede usar esta guía para configurar la sincronización de tiempo en computadoras con Windows que no sean de dominio.
Primero, restablezca todas las configuraciones para el servicio de hora y elimine el servicio:
w32tm /unregister
Reinicie la computadora y luego vuelva a registrar el servicio de hora:
w32tm /register
Inicie el servicio w32Time:
net start w32Time
Configura la sincronización del cliente Windows con el servidor NTP (tu PDC):
w32tm /config /manualpeerlist:"lon-dc01.adatum.com,0x9" /syncfromflags:manual /reliable:yes /update
Reiniciar el servicio:
net stop w32time && net start w32time
Actualice los ajustes de configuración de la hora:
w32tm /config /update
Sincroniza la hora:
w32tm /resync
Compruebe el estado:
w32tm /query /status
Habilite el inicio automático del Servicio de tiempo usando PowerShell:
Set-Service –Name w32tm–StartupType Automatic
Pista. Si necesita sincronizar rápidamente su dispositivo Windows con un servidor de tiempo preciso, ejecute:
net time \your_ntp_server_name /set /y
