¿Cómo sincronizar la hora del controlador de dominio con el servidor NTP? – TrucosInformaticos

General

En este artículo, veremos cómo configurar un controlador de dominio con la función FSMO Emulador PDC (Controlador de dominio principal) para sincronizar la hora con la fuente de hora externa (servidor NTP) con su configuración NTP.

¿Por qué es importante la sincronización horaria con los controladores de dominio de Active Directory?

La sincronización horaria en un entorno de red es más que una comodidad; es una necesidad absoluta, especialmente cuando se trata de controladores de dominio dentro de una infraestructura de Servicios de dominio de Active Directory (AD DS).

Sitios y servicios de Active Directory donde está configurada la replicación de AD

¿Pero por qué? Imagine tener varios controladores de dominio distribuidos en su jerarquía de dominio, cada uno con una hora del sistema diferente. Esta falta de sincronización daría lugar a muchos problemas, incluidos fallos de autenticación e incoherencias en los registros de eventos, que son esenciales para fines de supervisión y seguridad. Las inconsistencias pueden ser problemáticas al rastrear un evento en múltiples dominios o incluso dentro de un solo dominio con múltiples controladores de dominio.

Servicio de hora de Windows

El servicio de hora de Windows, integral tanto para los servidores miembros como para los controladores de dominio, proporciona el servicio de sincronización de hora necesario en toda su red. Este servicio sigue una estructura jerárquica, donde el emulador del controlador de dominio principal (PDC) en el dominio raíz del bosque se encuentra en la cúspide.

El emulador PDC juega un papel clave

El emulador de PDC desempeña un papel crucial. El controlador de dominio que desempeña la función de PDC está configurado para sincronizar la hora con un servidor NTP externo, que actúa como servidor de hora autorizado para toda la infraestructura de AD. Otros controladores de dominio y servidores miembro sincronizan la hora con el emulador de PDC.

Esta configuración garantiza una fuente de hora confiable para todos los dispositivos dentro de la red. También permite que el cliente NTP de Windows en cada controlador de dominio sincronice la hora con precisión con el emulador de PDC.

El tiempo puede desviarse

Sin embargo, esta sincronización horaria interna puede desviarse con el tiempo, lo que requiere que el DC sincronice la hora con una fuente externa. Por lo tanto, configurar DC para el tiempo de sincronización con un servidor NTP externo es crucial. Los servidores NTP externos, como los servidores NTP públicos, siguen el protocolo NTP, lo que proporciona alta precisión y confiabilidad.

¿Qué es el protocolo de tiempo de red (NTP)?

El protocolo de tiempo de red, comúnmente conocido como NTP, es un protocolo diseñado para la sincronización horaria entre sistemas informáticos a través de redes de datos de latencia variable y conmutación de paquetes. Nacido de la necesidad de un cronometraje confiable y preciso en el mundo digital, NTP se ha convertido en un protocolo fundamental en la infraestructura de Internet actual.

Los servidores NTP externos, como los servidores NTP públicos disponibles en Internet, generalmente operan en Stratum 1 o Stratum 2. Estos servidores proporcionan una fuente de hora confiable y precisa para que otros dispositivos se sincronicen, aprovechando el protocolo NTP.

La belleza de NTP radica en su capacidad para proporcionar sincronización horaria con una precisión notable en la Internet pública, donde la latencia y la fluctuación de la red pueden variar significativamente. Lo hace a través de un algoritmo complejo que estima el retraso de la red y ajusta el tiempo en consecuencia, incluso compensando el tiempo que tardan las solicitudes en viajar desde el cliente al servidor y viceversa.

En el contexto de un entorno de Windows Server, configurar DC para sincronizar la hora con un servidor NTP externo se convierte en una parte vital para garantizar una hora precisa y confiable en todo el dominio. Los controladores de dominio, incluido el controlador de dominio principal, generalmente están configurados para sincronizar la hora con estos servidores NTP externos.

¿Cómo funciona la sincronización horaria en Active Directory?

En primer lugar, te recordamos cómo funciona la sincronización horaria en el bosque de Active Directory:

  • Todas las computadoras del dominio o servidores miembros sincronizan la hora con el controlador de dominio más cercano (en el sitio AD del cliente) que se ejecuta en su entorno de Servicios de dominio de Active Directory o con el DC con la función PDC (si los sitios AD no están configurados);
  • Todos los DC sincronizan la hora con un controlador de dominio que posee la función PDC;
  • PDC sincroniza la hora consigo mismo de forma predeterminada, o puede configurarlo para que se sincronice con una fuente de hora externa en Internet (servidor NTP).

Configurar la sincronización horaria usando la configuración w32tm

Puede configurar la sincronización horaria en el PDC manualmente o mediante un GPO.

La utilidad w32tm.exe se utiliza para configurar la sincronización horaria manualmente.

Abra un símbolo del sistema elevado (símbolo del sistema administrativo) en el PDC y ejecute el comando:

w32tm.exe /config /manualpeerlist:”0.pool.ntp.org 1.pool.ntp.org 2.pool.ntp.org,0x8″ /syncfromflags:manual /update
  • /Sincronizacióndeflags:manual—permite la sincronización del servicio NetTime con una fuente externa
  • /manualpeerlist:”0.pool.ntp.org,0x8 1.pool.ntp.org,0x8 2.pool.ntp.org,0x8″: enumera los servidores NTP externos para la sincronización de los servidores NTP configurados. El 0x8 El parámetro significa que la sincronización se realiza en el modo de cliente NTP de acuerdo con el intervalo sugerido por el servidor NTP.

Se permiten los siguientes valores para los parámetros de sincronización con servidores NTP externos:

  • 0x1 — SpecialInterval, uso de un intervalo de sondeo especial;
  • 0x2: modo UseAsFallbackOnly;
  • 0x4 — SymmetricActive, modo activo simétrico;
  • 0x8: Cliente, envía solicitud en modo cliente.

Ahora necesita promocionar el PDC-Emulator como una fuente confiable de tiempo para el cliente de dominio:

w32tm /config /reliable:yes

tiempo de sincronización del controlador de dominio con fuente externa

Ahora necesitas reiniciar el servicio W32Time en el PDC:

net stop w32time && net start w32time

cómo sincronizar la hora del controlador de dominio con el servidor ntp

Para sincronizar la hora inmediatamente ejecute el comando:

w32tm /resync

sincronizar el servidor de hora del controlador de dominio con una fuente externa

Consejo. La lista de fuentes NTP actuales se almacena en la clave de registro HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Parameters en el parámetro NtpServer.

sincronizar el controlador de dominio con el servidor ntp

Configurar la sincronización horaria mediante la política de grupo

Para configurar un servidor NTP externo en un PDC, utilice la Política de grupo. Al utilizar una política de este tipo, no es necesario volver a configurar los ajustes de sincronización de hora en los controladores de dominio al transferir la función de PDC a otro servidor.

  1. Abra la Consola de administración de políticas de grupo (GPMC.msc) y cree una nueva política PDC_NTP_sync;
  2. Asignar esta política a los controladores de dominio de la OU;
  3. Cree un filtro WMI con el siguiente código y vincúlelo a su política (este filtro WMI le permite encontrar un controlador de dominio con la función de PDC y aplicarle la política solo): Seleccione * de Win32_ComputerSystem donde DomainRole = 5.
    configurar dc para sincronizar la hora con el servidor ntp externo
    establecer la fuente de hora del controlador de dominio
  4. Cambie al modo de edición de políticas y vaya a la sección Configuración del equipo > Políticas > Plantillas administrativas > Sistema > Servicio de hora de Windows > Proveedores de hora. Habilitar la política Habilitar el cliente NTP de Windows y editar el Configurar el cliente NTP de Windows política.
  5. Especifique la siguiente configuración de política:
    Enabled 
    
    NtpServer: 0.pool.ntp.org,0x8 1.pool.ntp.org,0x8 2.pool.ntp.org,0x8 
    
    Type: NTP 
    
    CrossSiteSyncFlags: 2 
    
    ResolvePeerBackoffMinutes: 15 
    
    ResolvePeerBackoffMaxTimes: 7 
    
    SpecialPollInterval: 1024 
    
    EventLogFlags: 0
    

    Apunte el controlador de dominio al servidor ntp

  6. Queda por ejecutar los siguientes comandos en DC para forzar la sincronización. Abra el símbolo del sistema elevado y escriba:
    w32tm /config /syncfromflags:domhier /update
    
    net stop w32time && net start w32time

    Para verificar las fuentes de tiempo NTP actuales y sus estados, ejecute el comando:

    w32tm /query /peers

    configurar DC como servidor de tiempo

Para restablecer la configuración del servicio de hora y borrar la lista de servidores NTP externos, ejecute los siguientes comandos:

net stop w32time

w32tm /unregister

w32tm /register

net start w32time

Tenga en cuenta que, de forma predeterminada, los clientes del dominio sincronizan la hora con DC mediante el servicio de hora de Windows (hora de Windows), en lugar de utilizar el protocolo NTP.

Si su PDC es una máquina virtual, le recomendamos consultar el artículo Configuración horaria para controladores de dominio virtualizados.

Preguntas frecuentes

1. ¿Qué sucede cuando la hora de un controlador de dominio no está sincronizada?

Cuando un controlador de dominio no sincroniza la hora correctamente, puede provocar una cascada de problemas. Estos pueden variar desde fallas de autenticación, debido a discrepancias en los tickets de Kerberos, hasta registros de eventos confusos o inexactos. Es esencial configurar DC para sincronizar la hora correctamente para mantener la integridad de la red.

2. ¿Cómo afecta la función del emulador de PDC a la sincronización horaria en un entorno de controlador de múltiples dominios?

En un entorno de controlador de múltiples dominios, el emulador de PDC desempeña un papel vital como cronometrador maestro. Todos los demás controladores de dominio de red y servidores miembros sincronizan su tiempo con el emulador de PDC, lo que garantiza una fuente de tiempo uniforme y confiable en toda la infraestructura.

3. ¿Puedo configurar manualmente mi PDC para sincronizarlo con múltiples servidores NTP externos?

Se pueden especificar varios servidores NTP externos al configurar su PDC para la sincronización horaria. Esto se hace por motivos de redundancia, lo que garantiza que la sincronización horaria continúe sin interrupciones incluso si un servidor se desconecta. En el comando de configuración ‘w32tm’, el parámetro /manualpeerlist puede enumerar varios servidores NTP, separados por espacios.

4. ¿Qué hace el comando ‘/syncfromflags:manual’ en la sincronización horaria?

El comando /syncfromflags:manual permite que el servicio NetTime en su PDC se sincronice con una fuente externa en lugar de seguir la jerarquía del dominio. Permite que el controlador de dominio mantenga la hora exacta del sistema incluso cuando otros controladores de la jerarquía no estén disponibles o sean inexactos.

5. ¿Cuál es el propósito del comando ‘w32tm /config /reliable:yes’?

El comando ‘w32tm /config /reliable:yes’ se utiliza para designar el emulador de PDC como fuente de hora confiable para la red. Esta configuración es crucial porque establece el emulador de PDC como el servidor horario maestro desde el cual todos los demás servidores y clientes de la red sincronizan su tiempo.

Concluyendo

En esencia, configurar un controlador de dominio (DC) para sincronizar la hora con un servidor NTP externo es un aspecto fundamental pero crucial de la administración de un entorno de Servicios de dominio de Active Directory (AD DS). Comprender la importancia de la sincronización horaria y el papel que juega el emulador PDC nos permite ver por qué esta configuración es fundamental.

La naturaleza jerárquica de Active Directory, en particular la función del emulador de PDC, garantiza que el tiempo sea coherente en toda la jerarquía del dominio, desde múltiples controladores de dominio hasta servidores miembros individuales. Sin embargo, para mantener la mayor precisión y confiabilidad, el emulador de PDC debe configurarse para sincronizarse con una fuente de hora externa.

El protocolo de tiempo de red (NTP) es indispensable para una sincronización horaria precisa y confiable, y ofrece una solución sólida para mantener la hora del sistema en varias redes. Al configurar el DC para sincronizarlo con servidores NTP externos, aprovechamos el poder del protocolo NTP para mantener nuestro entorno AD funcionando sin problemas.

Valora este post

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *