4.2K
Las computadoras con Windows deben tener su hora sincronizada con el dominio para poder funcionar correctamente en Active Directory. Si la hora de una computadora cliente no está sincronizada con el dominio, esto puede causar una serie de problemas. Los más críticos están relacionados con la falla de la autenticación Kerberos y el acceso al recurso si el tiempo en una computadora cliente está a más de 5 minutos de diferencia con respecto al controlador de dominio.
En esta publicación, cubriremos cómo sincronizar la hora en un dispositivo cliente con el dominio AD y cómo solucionar problemas cuando algo sale mal.
Comprender la jerarquía de tiempo en el dominio de Active Directory
De forma predeterminada, todas las computadoras unidas a un dominio sincronizan automáticamente su hora con el controlador de dominio de acuerdo con la estricta jerarquía de dominios de Active Directory.
- Estaciones de trabajo y servidores-miembros utilizar su controlador de dominio de autenticación (LogonServer) como fuente de tiempo (de acuerdo con la configuración de subredes y sitios AD);
- Todo controladores de dominio sincronizar su tiempo DC con la función PDC Emulator FSMO;
- El PDC sincroniza la hora con una fuente horaria externa confiable (servidor NTP). El controlador de dominio con función de PDC es la principal fuente de tiempo en el dominio.
- en un bosque AD multidominioel emulador de PDC en cada dominio sincroniza su hora con el PDC en el dominio raíz del bosque.
Pista. Obtenga más información sobre la sincronización de la hora en un dominio de Active Directory mediante el GPO.
Sincronizar la hora con DC en la máquina unida al dominio
De forma predeterminada, la computadora con Windows debería sincronizar automáticamente su hora con el controlador de dominio más cercano cuando se une a un dominio. En la mayoría de los casos, no se requiere ninguna acción manual adicional para sincronizar la hora con el dominio.
En una computadora con Windows 10/11, verifique la fuente de hora actual y el estado de sincronización. Ir a Ajustes > Tiempo y lenguaje > Fecha y hora > Configuraciones adicionales y asegúrese de que su DC se utilice como la última fuente de sincronización.
No existe una interfaz gráfica para administrar el servicio de hora de Windows (W32Time), por lo que se puede configurar desde la línea de comando (comando w32tm), desde el registro (HKLM\System\CurrentControlSet\Services\W32Time\Parameters) o mediante la Política de grupo. .
Para comprobar y configurar los ajustes de sincronización de hora desde el símbolo del sistema, utilice el w32tm dominio. Obtenga la fuente de hora actual en una computadora:
w32tm /query /source
Este comando debería devolver el nombre de uno de los controladores de dominio AD en una máquina unida a un dominio:
Vea la configuración de hora detallada y la hora de la última sincronización:
w32tm /query /status
Forzar una sincronización horaria con DC:
w32tm /resync /rediscover
Si la sincronización horaria es exitosa, ID de evento 37 debería aparecer en el Visor de eventos con el Servicio de tiempo fuente:
El proveedor de hora NtpClient actualmente recibe datos de hora válidos de dc01.theitpro.loc (ntp.d|0.0.0.0:123->192.168.8.10:123).
Asegúrese de que la computadora esté configurada para sincronizar automáticamente su hora de acuerdo con la jerarquía del dominio:
w32tm /query /configuration
Desplácese hacia abajo hasta el [TimeProviders] secciones y asegúrese de que el Tipo esté configurado en NTDS5. De lo contrario, esta puede ser la causa de problemas de sincronización horaria en una computadora.
Este valor también se puede encontrar en el Tipo parámetro bajo la clave de registro HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Parameters. El valor de NtpServer se ignora cuando se utiliza NTDS5.
Para volver a habilitar la sincronización de hora con un DC para computadoras en un dominio de Active Directory
w32tm /config /syncfromflags:domhier /update net stop w32time && net start w32time
Esto restablecerá la configuración de sincronización de hora a NT5DS. Esto significa que la máquina debería encontrar un servidor horario en la jerarquía de Active Directory.
Si el cliente de Windows no logra sincronizar la hora con el controlador de dominio AD, debe restablecer la configuración del servicio de hora de Windows.
Cancelar el registro del servicio w32time y eliminar la configuración:
w32tm /unregister
Registre el servicio w32tm y restaure la configuración predeterminada:
w32tm /register
Habilite la sincronización de hora con AD:
w32tm /config /syncfromflags:domhier /update
Reinicie el servicio:
net stop w32time && net start w32time
Actualizar configuración:
w32tm /config /update
Sincronizar la hora:
w32tm /resync
Verifique la nueva configuración de sincronización de hora:
w32tm /query /status
Problemas de sincronización de hora en computadoras unidas al dominio de Windows
El servicio de hora de Windows (W32Time) es responsable de la sincronización horaria. Verifique que este servicio se esté ejecutando en un cliente con Get-Service:
Get-Service W32Time | Select-Object name,status
El puerto UDP 123 se utiliza para la sincronización horaria en Windows. Si el puerto está cerrado, el w32tm /resincronización El comando devolverá un error:
Envío del comando de resincronización a la computadora local
La computadora no se resincronizó porque no había datos de tiempo disponibles.
En este caso, aparece la siguiente entrada en el registro del Visor de eventos:
ID de evento: 129
Fuente: Tiempo-Servicio
NtpClient no pudo configurar un igual de dominio para usarlo como fuente de tiempo debido a un error de descubrimiento. NtpClient lo intentará nuevamente en 15 minutos y luego duplicará el intervalo de reintento. El error fue: No se encuentra la entrada. (0x800706E1)
Verifique que el servicio w32time se esté ejecutando en el DC y escuchando en el puerto UDP 123:
netstat -an | find "UDP" | find ":123"
Luego verifique que la regla de entrada UDP denominada Controlador de dominio de Active Directory – W32Time (NTP-UDP-In) está habilitado en el Firewall de Windows Defender (Panel de control > Firewall de Windows > Configuración avanzada > Reglas de entrada).
O verifique el estado de la regla del Firewall de Windows Defender con PowerShell:
Get-NetFirewallrule -DisplayName 'Active Directory Domain Controller - W32Time (NTP-UDP-In)'|select Enabled
Si la regla está deshabilitada, debes habilitarla:
Get-NetFirewallrule -DisplayName 'Active Directory Domain Controller - W32Time (NTP-UDP-In)'|Enable-NetFirewallrule
También es posible obligar a un cliente a sincronizar manualmente su hora con otro controlador de dominio.
net time \\ny-dc01 /set /y
Configuración de la sincronización de hora del cliente NTP en Windows mediante GPO
En la mayoría de los casos, la sincronización de la hora con un dominio en un cliente Windows no requiere la intervención del administrador. Sin embargo, si descubre que la sincronización horaria no funciona correctamente en las estaciones de trabajo cliente del dominio, es posible configurar de forma centralizada los ajustes de sincronización horaria del cliente mediante la Política de grupo.
- Utilice el gpedit.msc consola para cambiar la configuración de la Política de grupo en una sola computadora (esta es la mejor solución si necesita resolver problemas de sincronización en una sola computadora o probar nuevas configuraciones de sincronización horaria). Para configurar un GPO para varias computadoras de dominio, use la Consola de administración de políticas de grupo (gpmc.msc);
- Expanda el siguiente nodo en el editor de GPO: Configuración del equipo > Plantillas administrativas > Sistema > Servicio de hora de Windows;
- Habilitar el Habilitar el cliente NTP de Windows política;
- Luego habilite el Configurar el cliente NTP política y establezca las siguientes configuraciones en el panel de Opciones:
NTPServer: su nombre de dominio (preferido) o nombre FQDN del controlador de dominio con la función de emulador de PDC (puede encontrarlo con el comando: netdom.exe query fsmo)
Tipo: NT5DS
Banderas de sincronización cruzada: 2
ResolvePeerBackoffMinutos: 15
ResolvePeerBackoffMaxTimes: 7
Intervalo de encuesta especial: 64
Banderas de registro de eventos: 0 - Reinicie su computadora para aplicar la nueva configuración de hora del cliente GPO.