Configure la sincronización de hora NTP en Active Directory mediante la política de grupo – TrucosInformaticos

General

La precisión horaria entre las estaciones de trabajo/servidores miembros y los controladores de dominio es un requisito clave para el correcto funcionamiento del dominio de Active Directory. Para que la sincronización de hora en AD funcione correctamente en AD, el administrador debe configurar el controlador de dominio PDC para sincronizar su hora con una fuente de hora NTP autorizada. Los DC restantes y las estaciones de trabajo sincronizarán su tiempo de acuerdo con una jerarquía de dominio.

En algunos casos, también puede ser necesario que el administrador configure los ajustes de sincronización de hora NTP en el dominio mediante Políticas de grupo.

¿Cómo funciona la sincronización de hora en un dominio AD?

En el entorno AD, la sincronización horaria se realiza según una estricta jerarquía de dominio:

  • Las estaciones de trabajo y los servidores miembros sincronizan su tiempo con los DC más cercanos a ellos;
  • Los DC sincronizan su tiempo con el único DC al que se le ha asignado la función de Emulador de controlador de dominio primario (PDC) de FSMO;
  • El controlador de dominio PDC es la principal fuente de tiempo del dominio. PDC puede sincronizar su hora con el reloj del hardware local (CMOS) (predeterminado) o con una fuente NTP externa;
  • Los emuladores de PDC en los dominios secundarios sincronizan su tiempo con los DC del dominio principal;
  • El emulador de PDC en el dominio raíz es la principal fuente de tiempo para todo el bosque de AD.

En el siguiente diagrama se muestra una jerarquía típica de orígenes de tiempo en un dominio de AD DS:

Configure PDC para sincronizar la hora con una fuente de hora NTP externa

Según las mejores prácticas de Microsoft, un administrador debe permitir que el PDC raíz sincronice su hora con una fuente de hora NTP externa.

Localice el controlador de dominio con la función PDC en el dominio raíz del bosque usando el comando:

netdom /query fsmo

servidor gpo ntp

Conéctese al PDC y verifique la fuente de hora actual:

w32tm /query /source

política de grupo ntp

Son posibles las siguientes salidas:

  • Reloj CMOS local — significa que la fuente de hora en este servidor es su reloj de hardware local (CMOS).
  • Proveedor de sincronización de hora VM IC — si se utiliza un controlador de dominio virtualizado, sincroniza su hora con el host del hipervisor.

Deshabilite la sincronización horaria con el reloj CMOS local en el PDC:

Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider -Name Enabled -Value 0

Reinicie el servicio W32Time en PDC:

Restart-Service "Windows Time"

En computadoras de dominio virtualizado, deshabilite la sincronización horaria con el hipervisor en las propiedades de la máquina virtual.

  • Hyper-V: deshabilita el Sincronización horaria opción en Servicios de integración
  • VMware ESXi: edite la configuración de VM > Opciones de VM > Herramientas de VMware > Hora, desmarque la opción Sincronice el tiempo del huésped con el del anfitrión.

gpo ntp

Obtenga los nombres o direcciones IP de las fuentes horarias externas autorizadas (proveedores NTP) con las que sincronizar la hora. Es preferible utilizar servidores NTP públicos de NTP Pool Project o los servidores NTP de su ISP.

Vaya a https://www.ntppool.org, busque su ubicación y copie el nombre del servidor NTP. En el caso de Estados Unidos, puede ser 0.us.pool.ntp.org, 1.us.pool.ntp.org, etc.

Compruebe si se puede acceder al servidor NTP externo seleccionado desde el PDC (el puerto UDP 123 se utiliza para la conexión).

w32tm /stripchart /computer:0.us.pool.ntp.org

En este ejemplo, el servidor NTP especificado está disponible y ha obtenido correctamente la hora actual.

servidor ntp gpo

Habilite la sincronización horaria en el host PDC con una fuente NTP externa:

net stop w32time

w32tm /config /syncfromflags:manual /manualpeerlist:"1.us.pool.ntp.org,0x8 1.us.pool.ntp.org,0x8 2.us.pool.ntp.org,0x8 3.us.pool.ntp.org,0x8"

w32tm /config /reliable:yes

w32tm /config /update

net start w32time

Sincronizar la hora con el servidor NTP:

w32tm /resync

Verifique su configuración actual:

w32tm /query /configuration

sincronización de hora gpo

Nota. El emulador PD del dominio raíz del bosque es el único host en Active Directory que debería tener NTP como su proveedor de tiempo.

Verifique la configuración actual del cliente NTP:

w32tm /query /status

Ejecute el comando:

w32tm /monitor

Este comando muestra las diferencias horarias entre cada DC y la fuente horaria externa.

Para restablecer otros DC en un dominio al esquema de sincronización de hora predeterminado, use el comando:

w32tm /config /syncfromflags:DOMHIER /update

Consejo. Si algo no funciona, intente reiniciar el servicio de hora de Windows y restablecer su configuración:

net stop w32time

w32tm.exe /unregister

w32tm.exe /register

net stop w32tim

Configurar fuente NTP externa en PDC con GPO

Como la función del emulador de PDC se puede transferir entre controladores de dominio, debe asegurarse de que el titular de la función de PDC actual sincronice su hora con la fuente de hora NTP externa. Esto se puede lograr utilizando la Política de grupo que establece la configuración de fuente de hora externa para el titular actual del PDC.

  1. Abra la Consola de administración de políticas de grupo (GPMC.msc);
  2. Seleccione el Filtros WMI sección y cree un nuevo filtro WMI con el nombre Emulador de filtro PDC y la siguiente consulta WMI en el espacio de nombres raíz\CIMv2 Seleccione * de Win32_ComputerSystem donde DomainRole = 5 servidor de tiempo gpo
  3. Este filtro WMI se utiliza para seleccionar el controlador de dominio que desempeña la función de PDC.
  4. Cree un nuevo GPO y vincúlelo a la unidad organizativa AD denominada Controladores de dominio; servidor de hora de política de grupo
  5. Edite este GPO. Navegue a Configuración de la computadora > Plantillas administrativas > Sistema > Servicio de hora de Windows
  6. Habilitar la política Ajustes de configuración globales y establecer Anunciar Banderas a 8. servidor ntp de política de grupo

Esto convierte al controlador de dominio en un servidor horario confiable en el bosque.

  1. Luego expanda el Proveedores de tiempo sección en el editor de GPO.
  2. Habilite las siguientes opciones de política:
    Configurar el cliente NTP de Windows: Habilitado (la configuración de la política se describe a continuación);
    Habilitar el cliente NTP de Windows: Activado;
    Habilitar el servidor NTP de Windows: Activado.
    política de grupo de servidores ntp
  3. Especifique las siguientes configuraciones en Configurar la política del cliente NTP de Windows:
    Servidor Ntp: us.pool.ntp.org,0x1 1.us.pool.ntp.org,0x1 2.us.pool.ntp.org,0x1 3.us.pool.ntp.org,0x1;
    Tipo: NTP;
    Banderas CrossSiteSync: 2;
    ResolvePeerBackoffMinutos: 15;
    Resolver pares BAckoffMaxTimes: 7;
    Intervalo de grupo especial: 3600;
    Banderas de registro de eventos: 0.
    política de grupo ntp
  4. Asigne el filtro WMI «Filter PDC Emulator» que creó anteriormente al GPO. configuración ntp gpo
  5. Aumente la prioridad de su GPO en GPMC moviéndolo por encima del Política de controlador de dominio predeterminada en la lista de orden de enlaces;
    política de grupo para el servidor ntp
  6. Configure su firewall de Internet corporativo para permitir el tráfico NTP saliente (puerto UDP 123) desde todos los DC a fuentes horarias externas;

Nota. Nunca configurar NT5DS como servidor escriba el GPO para el emulador de PDC. Solo NTP debe establecerse aquí.

Configurar los ajustes de sincronización de hora del cliente de dominio mediante GPO

De forma predeterminada, las computadoras del dominio sincronizan su hora con los controladores de dominio según la jerarquía del dominio (opción Nt5DS). Este esquema de sincronización horaria funciona correctamente en la mayoría de los casos y no requiere configuración adicional. Si tiene problemas con la sincronización de la hora en los clientes del dominio, puede intentar especificar el servidor de hora directamente en los clientes que utilizan GPO.

  1. Cree un nuevo GPO y asígnelo a la unidad organizativa con computadoras;
  2. Vaya a Configuración del equipo > Plantillas administrativas > Sistema > Servicio de hora de Windows > Proveedores de hora y habilite la política. Configurar el cliente NTP de Windows. sincronización de hora de política de grupo
  3. Especifique su nombre de dominio (preferido) o dirección IP/FQDN del PDC como servidor NTP

Servidor NTP: adatum.com, 0x9
Tipo de conjunto: NT5DS
Banderas de sincronización cruzada: 2
ResolvePeerBackoffMinutos: 15
ResolvePeerBackoffMaxTimes: 7
Intervalo de encuesta especial: 3600
Banderas de registro de eventos: 0

Nota. El NT5DS valor significa que el cliente sincroniza su hora de acuerdo con la jerarquía del dominio (utilizada de forma predeterminada en computadoras unidas a un dominio);

Actualice la configuración de la Política de grupo en los clientes y verifique la configuración de sincronización de hora recibida como se describe anteriormente. De forma predeterminada, los clientes del dominio sincronizan sus relojes una vez por hora (3600 segundos).

  1. Si las máquinas virtuales se utilizan como estaciones de trabajo de dominio o servidores miembro, debe desactivar la sincronización horaria con el hipervisor en ellas. Esto se puede lograr creando un parámetro de registro especial utilizando el GPO.
  2. Navegar a Configuración de la computadora > Preferencias > Configuración de Windows > Registro > Nuevo > Artículo de registro
  3. Cree un elemento de registro con la siguiente configuración:
    Acción: Actualizar
    Colmena: HKEY_LOCAL_MACHINE
    Ruta clave: SISTEMA\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider
    Nombre del valor: Activado
    Tipo de valor: REG_DWORD
    Datos de valor: 0

configuración gpo ntp

En algunos casos, puede sincronizar manualmente la hora del cliente con el controlador de dominio.

Valora este post

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *