Hoy hablaremos sobre algunas de las características de la configuración de tiempo en un controlador de dominio virtualizado. Normalmente, el esquema de sincronización de tiempo en el dominio de Active Directory es el siguiente:

  • El emulador de PDC es la fuente de tiempo principal en el dominio y debe configurarse para sincronizar la hora con la fuente de tiempo externa;
  • Todos los demás controladores de dominio están sincronizados con el controlador que posee el Rol de emulador de PDC;
  • Todos los servidores miembros y estaciones de trabajo sincronizan su hora con el controlador de dominio más cercano.

Consejo. Para obtener más información sobre cómo configurar la hora NTP en un dominio, consulte el artículo Configurar la sincronización de hora NTP mediante la directiva de grupo.

Por ejemplo, así es como se ve la configuración de la hora en nuestro controlador de dominio virtual. Como puede ver, utiliza políticas de grupo para configurar la hora y sincronizar la hora con la fuente externa piscina.ntp.org.

proveedor de tiempo vmic

Sin embargo, si verifica la fuente de tiempo actual (w32tm /query /source), puede encontrarla inesperadamente, porque puede ver una fuente de tiempo extraña llamada Proveedor de sincronización de tiempo de VM IC.

sincronización de tiempo del controlador de dominio vmware

El hecho es que las máquinas virtuales de Hyper-V sincronizan su hora con el host de forma predeterminada e independientemente de la configuración del servicio de hora dentro de la máquina. Como resultado, puede resultar una situación bastante extraña cuando el host de Hyper-V es miembro del dominio y sincroniza la hora con el controlador de dominio, que a su vez es una máquina virtual y está sincronizada con el host (¿Recursión?) .

Para evitar esto, debe deshabilitar la sincronización de tiempo con el host para los controladores de dominio virtuales. Hay dos maneras de hacer esto.

La primera forma es deshabilitar la sincronización de tiempo en las propiedades de la VM. Para hacer esto, abra las propiedades de la máquina virtual en el complemento Administrador de Hyper-V, vaya a la Servicios de integración sección y marcar Sincronización de tiempo.

proveedor de sincronización de tiempo vm ic

Lo mismo se puede hacer usando la consola de PowerShell en el servidor Hyper-V. Por ejemplo, con este comando, obtenga el estado del servicio para la VM:

Get-VMIntegrationService -VMName dc1 -Name ‘Time synchronization’

El siguiente comando deshabilitará la sincronización de tiempo:

Get-VMIntegrationService -VMName dc1 -Name ‘Time synchronization’ | Disable-VMIntegrationService

vmictimeprovider vmware

Si está utilizando VMWare ESXi como host de virtualización, puede deshabilitar la sincronización de tiempo con el host en la configuración de la máquina virtual.

máquina virtual> Editar ajustes > Opciones de máquina virtual pestaña > marcar Sincronizar la hora del invitado con el host.

vmware deshabilita el controlador de dominio de sincronización de tiempo

La segunda forma es editar el registro dentro de la máquina virtual invitada con el rol ADDS. Para deshabilitar la sincronización, ejecute Regedit.exeir a sucursal HKLMSYSTEMCurrentControlSetServicesW32TimeTimeProvidersVMICTimeProvider y cambiar el valor de la Activado parámetro a 0.

deshabilitar vmictimeprovider

La misma configuración se puede realizar desde el símbolo del sistema ejecutando el comando:

reg add HKLMSYSTEMCurrentControlSetServicesW32TimeTimeProvidersVMICTimeProvider /v Enabled /t reg_dword /d 0

deshabilitar vmictimeprovider

Además, es conveniente realizar los siguientes ajustes:

  1. Cambie el período de sondeo del servidor NTP:
reg add HKLMSYSTEMCurrentControlSetServicesW32TimeTimeProvidersNtpClient  /v SpecialPollInterval /t reg_dword /d 900
  1. Configurar la respuesta correcta del servicio horario ante un cambio de hora no estándar de más de 52 horas
reg add HKLMSYSTEMCurrentControlSetServicesW32TimeConfig /v MaxNegPhaseCorrection /t reg_dword   0xFFFFFFFF

reg add HKLMSYSTEMCurrentControlSetServicesW32TimeConfig /v MaxPosPhaseCorrection /t reg_dword /d  0xFFFFFFFF

Después de deshabilitar la sincronización por cualquiera de los métodos descritos, es necesario reiniciar el servicio de hora, esto lo restablecerá a una nueva fuente. En un controlador de dominio con la función de emulador de PDC, debe reiniciar el tiempo w32 service y ejecute la sincronización:

net stop w32time

net start w32time
 w32tm /resync /force

sincronización de tiempo del controlador de dominio virtual

En todos los demás controladores de dominio de AD, debe ejecutar adicionalmente el comando:

w32tm/config /syncfromflags:DOMHIER /update

Esto hará que el Servicio de hora seleccione el emulador de PDC como fuente de acuerdo con la jerarquía del dominio. De esta forma configuraremos el esquema de sincronización horaria correcto en el dominio.

Recomendado para ti