Configuración de tiempo para un controlador de dominio virtualizado – TrucosInformaticos

Windows

Hoy hablaremos sobre algunas de las características de la configuración de tiempo en los controladores de dominio virtualizados. Normalmente, el esquema de sincronización de tiempo en el dominio de Active Directory es el siguiente:

  • El emulador de PDC es la fuente de tiempo principal en el dominio y debe configurarse para sincronizar la hora con la fuente de tiempo externa;
  • Todos los demás controladores de dominio se sincronizan con el controlador que posee la función de emulador de PDC;
  • Todos los servidores miembros y estaciones de trabajo sincronizan su hora con el controlador de dominio más cercano.

Consejo. Para obtener más información sobre cómo configurar la hora NTP en un dominio, consulte el artículo Configurar la sincronización de hora NTP mediante la directiva de grupo.

Comprender el papel de los controladores de dominio

Los controladores de dominio de Active Directory son los servidores que contienen los servicios de dominio de Active Directory (AD DS). Los servicios de dominio del directorio activo permiten la autenticación de usuarios, la aplicación de seguridad y otras funcionalidades de red críticas.

En un dominio virtualizado, estos controladores se replican en forma de controladores de dominio virtuales, que tienen las mismas responsabilidades que los controladores físicos pero existen dentro de una máquina virtual. Hay más capas de abstracción y posibilidades con la sincronización del tiempo con un controlador de dominio virtual frente a los controladores de dominio físicos.

La importancia de la configuración correcta de la hora

En un entorno de Active Directory con controladores de dominio de producción, la sincronización de tiempo es crucial. Todos los controladores de dominio, incluidos los controladores de dominio virtualizados, deben tener sus relojes configurados correctamente para mantener la integridad del sistema y sincronizar los datos con precisión. El sistema currentcontrolset services w32time, tanto en entornos físicos como virtuales, tiene la tarea de garantizar una sincronización horaria precisa en toda la red.

Desafíos con la sincronización de tiempo en controladores de dominio virtualizados

Un controlador de dominio virtualizado presenta desafíos únicos cuando se trata de sincronización de tiempo frente a un controlador de dominio físico. Dado que están alojados en una máquina virtual, están sujetos a la configuración de tiempo de la computadora host. Esto se convierte en un problema si hay una discrepancia entre el sistema operativo host de Windows y el sistema operativo invitado que se ejecuta en la máquina virtual. Por lo tanto, es necesario deshabilitar la sincronización de tiempo entre el host y la máquina virtual invitada para evitar posibles inconsistencias.

Configuración de tiempo y el rol de emulador de PDC

En cada dominio de Active Directory, un controlador de dominio tiene la función de emulador de controlador de dominio principal (PDC). Este controlador de dominio se convierte en el servidor de tiempo autorizado para todo el dominio, incluidos todos los demás controladores de dominio y servidores miembro. Es fundamental asegurarse de que el controlador de dominio que tiene la función de emulador de PDC tenga la hora correcta. Si el tiempo de este controlador de dominio se desvía, toda la base de datos del directorio activo podría experimentar problemas.

Configuración de la sincronización horaria en un entorno virtualizado

La clave para la configuración adecuada de la hora en un dominio virtualizado radica en la configuración de la máquina virtual del controlador de dominio. Para evitar que el controlador de dominio invitado sincronice su hora con el sistema operativo host, deshabilite la sincronización de hora a través de los servicios de integración. La modificación de la clave de registro bajo el control actual del sistema establece los servicios w32time. Los proveedores de tiempo pueden refinar aún más los parámetros de sincronización de tiempo.

Servidor de Windows y sincronización de tiempo

La relación entre Windows Server y sus controladores de dominio, ya sean físicos o virtuales, es intrínseca. Windows Server incluye mecanismos integrados para la sincronización de tiempo entre controladores de dominio. Sin embargo, con los controladores de dominio virtuales, se debe considerar la capa adicional del sistema operativo host y la propia máquina virtual. Comprender y administrar estas capas es clave para mantener una configuración de tiempo correcta.

Visualización de la configuración del tiempo para controladores de dominio virtualizados

Por ejemplo, así es como se ve la configuración de la hora en nuestro controlador de dominio virtual. Como puede ver, utiliza políticas de grupo para configurar la hora y sincronizar la hora con la fuente externa piscina.ntp.org.

Sin embargo, si verifica la fuente de tiempo actual (w32tm /query /source), puede encontrarla inesperadamente, porque puede ver una fuente de tiempo extraña llamada Proveedor de sincronización de tiempo de VM IC.

deshabilitar vmictimeprovider

El hecho es que las máquinas virtuales de Hyper-V sincronizan su tiempo con el host de forma predeterminada e independientemente de la configuración del servicio de tiempo dentro de la máquina. Como resultado, puede resultar una situación bastante extraña cuando el host de Hyper-V es miembro del dominio y sincroniza la hora con el controlador de dominio, que a su vez es una máquina virtual y está sincronizada con el host (¿Recursión?) .

Para evitar esto, debe deshabilitar la sincronización de tiempo con el host para los controladores de dominio virtuales. Hay dos maneras de hacer esto.

Nota. Consulte nuestro tutorial sobre cómo usar el módulo de ping de Ansible.

La primera forma es deshabilitar la sincronización de tiempo en las propiedades de la VM. Para hacer esto, abra las propiedades de la máquina virtual en el complemento Administrador de Hyper-V, vaya a la Servicios de integración sección y marcar Sincronización de tiempo.

proveedor de sincronización de tiempo vm ic

Lo mismo se puede hacer usando la consola de PowerShell en el servidor Hyper-V. Por ejemplo, con este comando, obtenga el estado del servicio para la VM:

Get-VMIntegrationService -VMName dc1 -Name ‘Time synchronization’

El siguiente comando deshabilitará la sincronización de tiempo:

Get-VMIntegrationService -VMName dc1 -Name ‘Time synchronization’ | Disable-VMIntegrationService

deshabilitar el proveedor de sincronización de tiempo vm ic

Si está utilizando VMWare ESXi como host de virtualización, puede deshabilitar la sincronización de tiempo con el host en la configuración de la máquina virtual.

máquina virtual> Editar ajustes > Opciones de máquina virtual pestaña > marcar Sincronizar la hora del invitado con el host.

deshabilitar vmictimeprovider

La segunda forma es editar el registro dentro de la máquina virtual invitada con el rol ADDS. Para deshabilitar la sincronización, ejecute Regedit.exeir a sucursal HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider y cambiar el valor de la Activado parámetro a 0.

proveedor de tiempo vmic

La misma configuración se puede realizar desde el símbolo del sistema ejecutando el comando:

reg add HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider /v Enabled /t reg_dword /d 0

fuente: proveedor de sincronización de tiempo vm ic

Además, es conveniente realizar los siguientes ajustes:

  1. Cambie el período de sondeo del servidor NTP:
    reg add HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient  /v SpecialPollInterval /t reg_dword /d 900
  2. Configure la respuesta correcta del servicio de tiempo a un cambio de hora no estándar de más de 52 horas:
    reg add HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Config /v MaxNegPhaseCorrection /t reg_dword   0xFFFFFFFF
    
    reg add HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Config /v MaxPosPhaseCorrection /t reg_dword /d  0xFFFFFFFF

    Después de deshabilitar la sincronización por cualquiera de los métodos descritos, es necesario reiniciar el servicio de hora, esto lo restablecerá a una nueva fuente. En un controlador de dominio con la función de emulador de PDC, debe reiniciar el servicio w32time y ejecutar la sincronización:
    parada neta w32time
    inicio neto w32time
    w32tm /resync /fuerzaproveedor de sincronización de tiempo vm ic hyper-v

En todos los demás controladores de dominio de AD, debe ejecutar adicionalmente el comando:

w32tm/config /syncfromflags:DOMHIER /update

Esto hará que el Servicio de hora seleccione el emulador de PDC como fuente de acuerdo con la jerarquía del dominio. De esta forma configuraremos el esquema de sincronización horaria correcto en el dominio.

Preguntas frecuentes

1. ¿Qué es un controlador de dominio virtualizado?

Un controlador de dominio virtualizado es un controlador de dominio que se ejecuta en una máquina virtual, en lugar de un servidor físico. Es una réplica de un controlador de dominio físico y tiene las mismas responsabilidades, como la autenticación de usuarios y la aplicación de la seguridad.

2. ¿Por qué es importante la configuración de la hora para los controladores de dominio virtualizados?

La configuración del tiempo es crucial para los controladores de dominio virtualizados porque juegan un papel fundamental en el mantenimiento de la integridad del sistema y la sincronización precisa de los datos. Una discrepancia en el tiempo puede generar inconsistencias en los datos y posibles riesgos de seguridad.

3. ¿Cómo puedo desactivar la sincronización horaria entre el host y el controlador de dominio virtual?

La sincronización de tiempo entre el host y el controlador de dominio virtual se puede desactivar a través de los servicios de integración. Además, puede modificar la clave de registro en system currentcontrolset services w32time timeproviders para refinar los parámetros de sincronización de tiempo.

4. ¿Cuál es el papel del emulador de PDC en la sincronización de tiempo?

El controlador de dominio que tiene la función de emulador de controlador de dominio principal (PDC) se convierte en el servidor de tiempo autorizado para todo el dominio. Es crucial asegurarse de que este controlador de dominio tenga la hora correcta para mantener la integridad del sistema y evitar posibles problemas en la base de datos del directorio activo.

5. ¿Cuál es la relación entre Windows Server y los controladores de dominio?

Windows Server incluye mecanismos integrados para la sincronización de tiempo entre controladores de dominio. Sin embargo, con los controladores de dominio virtuales, debe considerar la capa adicional del sistema operativo host y la máquina virtual, lo que puede afectar la configuración del tiempo.

6. ¿Cómo puedo mantener la configuración horaria correcta en mi dominio de Active Directory?

Al comprender los desafíos únicos que presentan los controladores de dominio virtuales y emplear técnicas de configuración estratégica, puede mantener la hora exacta en todo su dominio de Active Directory. Esto incluye deshabilitar la sincronización de tiempo entre el host y la máquina virtual invitada y garantizar que el controlador de dominio que tiene la función de emulador de PDC tenga la hora correcta.

7. ¿Es beneficioso implementar controladores de dominio adicionales?

Sí, la implementación de controladores de dominio adicionales puede mejorar la redundancia del sistema, lo cual es crucial en caso de que falle una máquina virtual. Es beneficioso implementar estos controladores en discos virtuales separados para proteger la base de datos del directorio activo.

Terminando

Dominar la configuración del tiempo en los controladores de dominio virtualizados no es poca cosa, pero con la comprensión y el enfoque correctos, puede mejorar en gran medida la integridad y la eficiencia de su dominio de Active Directory. Dada la función fundamental que desempeñan los controladores de dominio en las operaciones y la seguridad del sistema, hacer esto bien no es un lujo, sino una necesidad.

Recuerde que los principios que guían la configuración del tiempo en servidores físicos son válidos en un entorno virtualizado, pero también vienen con una capa adicional de complejidad. Al obtener control sobre la relación entre su máquina virtual, el controlador de dominio invitado y el sistema operativo host, puede navegar por esta complejidad y mantener una hora precisa y constante en todo su dominio.

4.7/5 - (172 votos)

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *