Cómo sincronizar la hora con el controlador de dominio en Windows – TrucosInformaticos

General

Las computadoras con Windows deben tener su hora sincronizada con el dominio para poder funcionar correctamente en Active Directory. Si la hora de una computadora cliente no está sincronizada con el dominio, esto puede causar una serie de problemas. Los más críticos están relacionados con la falla de la autenticación Kerberos y el acceso al recurso si el tiempo en una computadora cliente está a más de 5 minutos de diferencia con respecto al controlador de dominio.

En esta publicación, cubriremos cómo sincronizar la hora en un dispositivo cliente con el dominio AD y cómo solucionar problemas cuando algo sale mal.

Comprender la jerarquía de tiempo en el dominio de Active Directory

De forma predeterminada, todas las computadoras unidas a un dominio sincronizan automáticamente su hora con el controlador de dominio de acuerdo con la estricta jerarquía de dominios de Active Directory.

  1. Estaciones de trabajo y servidores-miembros utilizar su controlador de dominio de autenticación (LogonServer) como fuente de tiempo (de acuerdo con la configuración de subredes y sitios AD);
  2. Todo controladores de dominio sincronizar su tiempo DC con la función PDC Emulator FSMO;
  3. El PDC sincroniza la hora con una fuente horaria externa confiable (servidor NTP). El controlador de dominio con función de PDC es la principal fuente de tiempo en el dominio.
  4. en un bosque AD multidominioel emulador de PDC en cada dominio sincroniza su hora con el PDC en el dominio raíz del bosque.

Pista. Obtenga más información sobre la sincronización de la hora en un dominio de Active Directory mediante el GPO.

Sincronizar la hora con DC en la máquina unida al dominio

De forma predeterminada, la computadora con Windows debería sincronizar automáticamente su hora con el controlador de dominio más cercano cuando se une a un dominio. En la mayoría de los casos, no se requiere ninguna acción manual adicional para sincronizar la hora con el dominio.

En una computadora con Windows 10/11, verifique la fuente de hora actual y el estado de sincronización. Ir a Ajustes > Tiempo y lenguaje > Fecha y hora > Configuraciones adicionales y asegúrese de que su DC se utilice como la última fuente de sincronización.

servidor de anuncios de tiempo de sincronización

No existe una interfaz gráfica para administrar el servicio de hora de Windows (W32Time), por lo que se puede configurar desde la línea de comando (comando w32tm), desde el registro (HKLM\System\CurrentControlSet\Services\W32Time\Parameters) o mediante la Política de grupo. .

Para comprobar y configurar los ajustes de sincronización de hora desde el símbolo del sistema, utilice el w32tm dominio. Obtenga la fuente de hora actual en una computadora:

w32tm /query /source

Este comando debería devolver el nombre de uno de los controladores de dominio AD en una máquina unida a un dominio:

sincronización w32tm con controlador de dominio

Vea la configuración de hora detallada y la hora de la última sincronización:

w32tm /query /status

sincronizar la hora con el controlador de dominio cmd

Forzar una sincronización horaria con DC:

w32tm /resync /rediscover

Si la sincronización horaria es exitosa, ID de evento 37 debería aparecer en el Visor de eventos con el Servicio de tiempo fuente:

El proveedor de hora NtpClient actualmente recibe datos de hora válidos de dc01.theitpro.loc (ntp.d|0.0.0.0:123->192.168.8.10:123).

sincronización de hora del directorio activo

Asegúrese de que la computadora esté configurada para sincronizar automáticamente su hora de acuerdo con la jerarquía del dominio:

w32tm /query /configuration

Desplácese hacia abajo hasta el [TimeProviders] secciones y asegúrese de que el Tipo esté configurado en NTDS5. De lo contrario, esta puede ser la causa de problemas de sincronización horaria en una computadora.

cómo sincronizar la hora con el controlador de dominio

Este valor también se puede encontrar en el Tipo parámetro bajo la clave de registro HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Parameters. El valor de NtpServer se ignora cuando se utiliza NTDS5.

obligar a los clientes a sincronizar la hora con el controlador de dominio

Para volver a habilitar la sincronización de hora con un DC para computadoras en un dominio de Active Directory

w32tm /config /syncfromflags:domhier /update

net stop w32time && net start w32time

Esto restablecerá la configuración de sincronización de hora a NT5DS. Esto significa que la máquina debería encontrar un servidor horario en la jerarquía de Active Directory.

Si el cliente de Windows no logra sincronizar la hora con el controlador de dominio AD, debe restablecer la configuración del servicio de hora de Windows.

Cancelar el registro del servicio w32time y eliminar la configuración:

w32tm /unregister

Registre el servicio w32tm y restaure la configuración predeterminada:

w32tm /register

Habilite la sincronización de hora con AD:

w32tm /config /syncfromflags:domhier /update

Reinicie el servicio:

net stop w32time && net start w32time

Actualizar configuración:

w32tm /config /update

Sincronizar la hora:

w32tm /resync

Verifique la nueva configuración de sincronización de hora:

w32tm /query /status

controlador de dominio w32tm /resync

Problemas de sincronización de hora en computadoras unidas al dominio de Windows

El servicio de hora de Windows (W32Time) es responsable de la sincronización horaria. Verifique que este servicio se esté ejecutando en un cliente con Get-Service:

Get-Service W32Time | Select-Object name,status

sincronización horaria con el controlador de dominio

El puerto UDP 123 se utiliza para la sincronización horaria en Windows. Si el puerto está cerrado, el w32tm /resincronización El comando devolverá un error:

Envío del comando de resincronización a la computadora local
La computadora no se resincronizó porque no había datos de tiempo disponibles.

hora de sincronización del servidor de Windows con el controlador de dominio

En este caso, aparece la siguiente entrada en el registro del Visor de eventos:

ID de evento: 129

Fuente: Tiempo-Servicio

NtpClient no pudo configurar un igual de dominio para usarlo como fuente de tiempo debido a un error de descubrimiento. NtpClient lo intentará nuevamente en 15 minutos y luego duplicará el intervalo de reintento. El error fue: No se encuentra la entrada. (0x800706E1)

sincronizar la hora con dc

Verifique que el servicio w32time se esté ejecutando en el DC y escuchando en el puerto UDP 123:

netstat -an | find "UDP" | find ":123"

sincronización de la hora del anuncio

Luego verifique que la regla de entrada UDP denominada Controlador de dominio de Active Directory – W32Time (NTP-UDP-In) está habilitado en el Firewall de Windows Defender (Panel de control > Firewall de Windows > Configuración avanzada > Reglas de entrada).

comando de sincronización de hora del directorio activo

O verifique el estado de la regla del Firewall de Windows Defender con PowerShell:

Get-NetFirewallrule -DisplayName 'Active Directory Domain Controller - W32Time (NTP-UDP-In)'|select Enabled

hora de sincronización de Windows 11 con el controlador de dominio

Si la regla está deshabilitada, debes habilitarla:

Get-NetFirewallrule -DisplayName 'Active Directory Domain Controller - W32Time (NTP-UDP-In)'|Enable-NetFirewallrule

También es posible obligar a un cliente a sincronizar manualmente su hora con otro controlador de dominio.

net time \\ny-dc01 /set /y

comando de powershell para sincronizar la hora con el controlador de dominio

Configuración de la sincronización de hora del cliente NTP en Windows mediante GPO

En la mayoría de los casos, la sincronización de la hora con un dominio en un cliente Windows no requiere la intervención del administrador. Sin embargo, si descubre que la sincronización horaria no funciona correctamente en las estaciones de trabajo cliente del dominio, es posible configurar de forma centralizada los ajustes de sincronización horaria del cliente mediante la Política de grupo.

  1. Utilice el gpedit.msc consola para cambiar la configuración de la Política de grupo en una sola computadora (esta es la mejor solución si necesita resolver problemas de sincronización en una sola computadora o probar nuevas configuraciones de sincronización horaria). Para configurar un GPO para varias computadoras de dominio, use la Consola de administración de políticas de grupo (gpmc.msc);
  2. Expanda el siguiente nodo en el editor de GPO: Configuración del equipo > Plantillas administrativas > Sistema > Servicio de hora de Windows;
  3. Habilitar el Habilitar el cliente NTP de Windows política; Comando w32tm para sincronizar con el controlador de dominio
  4. Luego habilite el Configurar el cliente NTP política y establezca las siguientes configuraciones en el panel de Opciones:
    NTPServer: su nombre de dominio (preferido) o nombre FQDN del controlador de dominio con la función de emulador de PDC (puede encontrarlo con el comando: netdom.exe query fsmo)
    Tipo: NT5DS
    Banderas de sincronización cruzada: 2
    ResolvePeerBackoffMinutos: 15
    ResolvePeerBackoffMaxTimes: 7
    Intervalo de encuesta especial: 64
    Banderas de registro de eventos: 0
    sincronización del controlador de dominio w32tm
  5. Reinicie su computadora para aplicar la nueva configuración de hora del cliente GPO.

Valora este post

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *