5K
La precisión horaria entre las estaciones de trabajo/servidores miembros y los controladores de dominio es un requisito clave para el correcto funcionamiento del dominio de Active Directory. Para que la sincronización de hora en AD funcione correctamente en AD, el administrador debe configurar el controlador de dominio PDC para sincronizar su hora con una fuente de hora NTP autorizada. Los DC restantes y las estaciones de trabajo sincronizarán su tiempo de acuerdo con una jerarquía de dominio.
En algunos casos, también puede ser necesario que el administrador configure los ajustes de sincronización de hora NTP en el dominio mediante Políticas de grupo.
¿Cómo funciona la sincronización de hora en un dominio AD?
En el entorno AD, la sincronización horaria se realiza según una estricta jerarquía de dominio:
- Las estaciones de trabajo y los servidores miembros sincronizan su tiempo con los DC más cercanos a ellos;
- Los DC sincronizan su tiempo con el único DC al que se le ha asignado la función de Emulador de controlador de dominio primario (PDC) de FSMO;
- El controlador de dominio PDC es la principal fuente de tiempo del dominio. PDC puede sincronizar su hora con el reloj del hardware local (CMOS) (predeterminado) o con una fuente NTP externa;
- Los emuladores de PDC en los dominios secundarios sincronizan su tiempo con los DC del dominio principal;
- El emulador de PDC en el dominio raíz es la principal fuente de tiempo para todo el bosque de AD.
En el siguiente diagrama se muestra una jerarquía típica de orígenes de tiempo en un dominio de AD DS:
Configure PDC para sincronizar la hora con una fuente de hora NTP externa
Según las mejores prácticas de Microsoft, un administrador debe permitir que el PDC raíz sincronice su hora con una fuente de hora NTP externa.
Localice el controlador de dominio con la función PDC en el dominio raíz del bosque usando el comando:
netdom /query fsmo
Conéctese al PDC y verifique la fuente de hora actual:
w32tm /query /source
Son posibles las siguientes salidas:
- Reloj CMOS local — significa que la fuente de hora en este servidor es su reloj de hardware local (CMOS).
- Proveedor de sincronización de hora VM IC — si se utiliza un controlador de dominio virtualizado, sincroniza su hora con el host del hipervisor.
Deshabilite la sincronización horaria con el reloj CMOS local en el PDC:
Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider -Name Enabled -Value 0
Reinicie el servicio W32Time en PDC:
Restart-Service "Windows Time"
En computadoras de dominio virtualizado, deshabilite la sincronización horaria con el hipervisor en las propiedades de la máquina virtual.
- Hyper-V: deshabilita el Sincronización horaria opción en Servicios de integración
- VMware ESXi: edite la configuración de VM > Opciones de VM > Herramientas de VMware > Hora, desmarque la opción Sincronice el tiempo del huésped con el del anfitrión.
Obtenga los nombres o direcciones IP de las fuentes horarias externas autorizadas (proveedores NTP) con las que sincronizar la hora. Es preferible utilizar servidores NTP públicos de NTP Pool Project o los servidores NTP de su ISP.
Vaya a https://www.ntppool.org, busque su ubicación y copie el nombre del servidor NTP. En el caso de Estados Unidos, puede ser 0.us.pool.ntp.org, 1.us.pool.ntp.org, etc.
Compruebe si se puede acceder al servidor NTP externo seleccionado desde el PDC (el puerto UDP 123 se utiliza para la conexión).
w32tm /stripchart /computer:0.us.pool.ntp.org
En este ejemplo, el servidor NTP especificado está disponible y ha obtenido correctamente la hora actual.
Habilite la sincronización horaria en el host PDC con una fuente NTP externa:
net stop w32time w32tm /config /syncfromflags:manual /manualpeerlist:"1.us.pool.ntp.org,0x8 1.us.pool.ntp.org,0x8 2.us.pool.ntp.org,0x8 3.us.pool.ntp.org,0x8" w32tm /config /reliable:yes w32tm /config /update net start w32time
Sincronizar la hora con el servidor NTP:
w32tm /resync
Verifique su configuración actual:
w32tm /query /configuration
Nota. El emulador PD del dominio raíz del bosque es el único host en Active Directory que debería tener NTP como su proveedor de tiempo.
Verifique la configuración actual del cliente NTP:
w32tm /query /status
Ejecute el comando:
w32tm /monitor
Este comando muestra las diferencias horarias entre cada DC y la fuente horaria externa.
Para restablecer otros DC en un dominio al esquema de sincronización de hora predeterminado, use el comando:
w32tm /config /syncfromflags:DOMHIER /update
Consejo. Si algo no funciona, intente reiniciar el servicio de hora de Windows y restablecer su configuración:
net stop w32time w32tm.exe /unregister w32tm.exe /register net stop w32tim
Configurar fuente NTP externa en PDC con GPO
Como la función del emulador de PDC se puede transferir entre controladores de dominio, debe asegurarse de que el titular de la función de PDC actual sincronice su hora con la fuente de hora NTP externa. Esto se puede lograr utilizando la Política de grupo que establece la configuración de fuente de hora externa para el titular actual del PDC.
- Abra la Consola de administración de políticas de grupo (GPMC.msc);
- Seleccione el Filtros WMI sección y cree un nuevo filtro WMI con el nombre Emulador de filtro PDC y la siguiente consulta WMI en el espacio de nombres raíz\CIMv2 Seleccione * de Win32_ComputerSystem donde DomainRole = 5
- Este filtro WMI se utiliza para seleccionar el controlador de dominio que desempeña la función de PDC.
- Cree un nuevo GPO y vincúlelo a la unidad organizativa AD denominada Controladores de dominio;
- Edite este GPO. Navegue a Configuración de la computadora > Plantillas administrativas > Sistema > Servicio de hora de Windows
- Habilitar la política Ajustes de configuración globales y establecer Anunciar Banderas a 8.
Esto convierte al controlador de dominio en un servidor horario confiable en el bosque.
- Luego expanda el Proveedores de tiempo sección en el editor de GPO.
- Habilite las siguientes opciones de política:
Configurar el cliente NTP de Windows: Habilitado (la configuración de la política se describe a continuación);
Habilitar el cliente NTP de Windows: Activado;
Habilitar el servidor NTP de Windows: Activado. - Especifique las siguientes configuraciones en Configurar la política del cliente NTP de Windows:
Servidor Ntp: us.pool.ntp.org,0x1 1.us.pool.ntp.org,0x1 2.us.pool.ntp.org,0x1 3.us.pool.ntp.org,0x1;
Tipo: NTP;
Banderas CrossSiteSync: 2;
ResolvePeerBackoffMinutos: 15;
Resolver pares BAckoffMaxTimes: 7;
Intervalo de grupo especial: 3600;
Banderas de registro de eventos: 0. - Asigne el filtro WMI «Filter PDC Emulator» que creó anteriormente al GPO.
- Aumente la prioridad de su GPO en GPMC moviéndolo por encima del Política de controlador de dominio predeterminada en la lista de orden de enlaces;
- Configure su firewall de Internet corporativo para permitir el tráfico NTP saliente (puerto UDP 123) desde todos los DC a fuentes horarias externas;
Nota. Nunca configurar NT5DS como servidor escriba el GPO para el emulador de PDC. Solo NTP debe establecerse aquí.
Configurar los ajustes de sincronización de hora del cliente de dominio mediante GPO
De forma predeterminada, las computadoras del dominio sincronizan su hora con los controladores de dominio según la jerarquía del dominio (opción Nt5DS). Este esquema de sincronización horaria funciona correctamente en la mayoría de los casos y no requiere configuración adicional. Si tiene problemas con la sincronización de la hora en los clientes del dominio, puede intentar especificar el servidor de hora directamente en los clientes que utilizan GPO.
- Cree un nuevo GPO y asígnelo a la unidad organizativa con computadoras;
- Vaya a Configuración del equipo > Plantillas administrativas > Sistema > Servicio de hora de Windows > Proveedores de hora y habilite la política. Configurar el cliente NTP de Windows.
- Especifique su nombre de dominio (preferido) o dirección IP/FQDN del PDC como servidor NTP
Servidor NTP: adatum.com, 0x9
Tipo de conjunto: NT5DS
Banderas de sincronización cruzada: 2
ResolvePeerBackoffMinutos: 15
ResolvePeerBackoffMaxTimes: 7
Intervalo de encuesta especial: 3600
Banderas de registro de eventos: 0
Nota. El NT5DS valor significa que el cliente sincroniza su hora de acuerdo con la jerarquía del dominio (utilizada de forma predeterminada en computadoras unidas a un dominio);
Actualice la configuración de la Política de grupo en los clientes y verifique la configuración de sincronización de hora recibida como se describe anteriormente. De forma predeterminada, los clientes del dominio sincronizan sus relojes una vez por hora (3600 segundos).
- Si las máquinas virtuales se utilizan como estaciones de trabajo de dominio o servidores miembro, debe desactivar la sincronización horaria con el hipervisor en ellas. Esto se puede lograr creando un parámetro de registro especial utilizando el GPO.
- Navegar a Configuración de la computadora > Preferencias > Configuración de Windows > Registro > Nuevo > Artículo de registro
- Cree un elemento de registro con la siguiente configuración:
Acción: Actualizar
Colmena: HKEY_LOCAL_MACHINE
Ruta clave: SISTEMA\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider
Nombre del valor: Activado
Tipo de valor: REG_DWORD
Datos de valor: 0
En algunos casos, puede sincronizar manualmente la hora del cliente con el controlador de dominio.