El servicio de hora de Windows es la base para el funcionamiento normal del dominio de Active Directory. Kerberos, el protocolo de autenticación principal de AD, utiliza el servicio de hora W32Time (hora de Windows) para funcionar correctamente. En el entorno de AD, la sincronización de la hora se realiza de acuerdo con una jerarquía estricta: las computadoras y los servidores unidos a un dominio obtienen la hora del controlador de dominio más cercano en el que están conectados, todos los controladores de dominio sincronizan su hora con un único controlador de dominio que posee el PDC. Rol emulador FSMO.
El emulador de PDC (controlador de dominio principal) sincroniza la hora con una fuente de hora externa. La fuente de tiempo externa suele ser uno o más servidores NTP (Network Time Protocol) públicos, como time.windows.com o el servidor NTP de su proveedor. Tenga en cuenta que, de forma predeterminada, la hora se proporciona a los clientes que utilizan el servicio de hora de Windows (en lugar de NTP nativo).
¿Cómo funciona el servicio de hora de Windows en el dominio?
Todas las versiones de Windows tienen un servicio W32Time. Este servicio se utiliza para sincronizar la hora en la organización AD. Una computadora puede ser tanto un cliente como un servidor NTP. De forma predeterminada, los clientes del dominio sincronizan la hora mediante el servicio de hora de Windows en lugar de utilizar NTP.
De forma predeterminada, el servicio de hora de Windows está configurado de la siguiente manera:
- Después de realizar una instalación limpia de Windows, se inicia un cliente NTP en la computadora, que se sincroniza con una fuente de tiempo externa;
- Si unió una computadora a un dominio, el tipo de sincronización cambia. Todos los equipos cliente y los servidores miembro del dominio utilizan un controlador de dominio para la sincronización de tiempo;
- Cuando un servidor miembro se promociona a un controlador de dominio, se inicia un servidor NTP en él, que utiliza un controlador de dominio con la función de emulador de PDC como fuente de tiempo;
- El emulador de PDC es el servidor de tiempo principal para toda la organización. Al mismo tiempo, también se sincroniza con una fuente de tiempo externa, o con el reloj del hardware del servidor en CMOS (no se recomienda este método de sincronización de tiempo);
- Este esquema funciona en la mayoría de los casos y no requiere la intervención del administrador. Sin embargo, es posible que la estructura del servicio de tiempo en Windows no siga la jerarquía de dominio.
Si enfrenta un problema cuando la hora en los clientes y los controladores de dominio es diferente, lo más probable es que su dominio tenga un problema con la sincronización de la hora y este artículo puede serle muy útil.
En primer lugar, es necesario seleccionar un servidor NTP que desee utilizar. La lista de servidores de reloj atómico NTP públicos está disponible en http://ntp.org. En nuestro ejemplo, usaremos 0.us.pool.ntp.org, 1.us.pool.ntp.org, 2.us.pool.ntp.org y 3.us.pool.ntp.org.
La configuración de la sincronización horaria del dominio mediante la directiva de grupo consta de 2 pasos:
- Cree un GPO para el controlador de dominio con función de PDC;
- Cree un GPO para equipos cliente de Windows en el dominio AD.
Configuración del servidor NTP en PDC
En primer lugar, debe configurar el PDC y habilitar el servicio NTP en él. Abra un símbolo del sistema y ejecute:
w32tm /query /source
Si ves en la salida:
- Reloj CMOS local: la fuente de tiempo en este servidor es su reloj de hardware local;
- Proveedor de sincronización de tiempo de VM IC: entonces su controlador de dominio con el rol de PDC es una máquina virtual que sincroniza el tiempo con el host.
Deshabilite la sincronización de tiempo con el host a través del registro:
- Establezca el parámetro Habilitado en 0 en la clave de registro HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProvidersVMICTimeProvider
o en la configuración de la máquina virtual (la siguiente captura de pantalla muestra cómo deshabilitar la sincronización de tiempo de la VM con el host de Hyper-V mediante la opción Sincronización de tiempo en la sección Servicios de integración).
Si está ejecutando un controlador de dominio virtualizado en VMware vSphere/ESXi, puede deshabilitar la sincronización de tiempo en la configuración de la máquina virtual (Editar configuración > Opciones de VM > Herramientas de VMware > Hora, desmarque la opción Sincronizar la hora del invitado con el host).
O agregue las siguientes opciones a la configuración avanzada de VM:
tools.syncTime = "0" time.synchronize.continue = "0" time.synchronize.restore = "0" time.synchronize.resume.disk = "0" time.synchronize.shrink = "0" time.synchronize.tools.startup = "0" time.synchronize.tools.enable = "0" time.synchronize.resume.host = "0"
Nota. El emulador de PDC virtual siempre debe sincronizar la hora con una fuente externa y la sincronización de hora con el host debe estar deshabilitada. Esto también se aplica a cualquier otra máquina virtual unida al dominio.
Asegúrese de que el servicio NTP esté habilitado en el controlador de dominio. Para ello, abra el editor de registro, vaya a la clave de registro HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProvidersNtpServer y verifique que el valor de la Activado el parámetro es 1.
Configure los ajustes de NTP en PDC DC usando GPO
En este paso, debe configurar su controlador de dominio con el Emulador de PDC para sincronizar la hora con una fuente externa. La función de emulador de PDC se puede transferir entre controladores de dominio, por lo que debemos asegurarnos de que el GPO se aplique solo al titular actual de la función de controlador de dominio principal. Para hacer esto, ejecute la Consola de administración de directivas de grupo (GPMC.msc). Selecciona el Filtros WMI sección y cree un nuevo filtro WMI con el nombre Emulador de filtro PDC y la siguiente consulta WMI en el espacio de nombres rootCIMv2 Seleccione * de Win32_ComputerSystem donde DomainRole = 5.
Cree un nuevo GPO y vincúlelo a la unidad organizativa denominada Controladores de dominio.
Seleccione este GPO y cambie a la Editar modo. Vaya a la siguiente sección de la Consola del editor de directivas de grupo: Configuracion de Computadora > Plantillas Administrativas > Sistema > Servicio de hora de Windows > Proveedores de tiempo.
Habilite las siguientes configuraciones de política:
- Configurar el cliente NTP de Windows: Habilitado (la configuración de la política se describe a continuación);
- Habilitar cliente NTP de Windows: Activado;
- Habilitar el servidor NTP de Windows: Activado.
Especifique las siguientes configuraciones en Configurar la política de cliente NTP de Windows:
- NtpServer: us.pool.ntp.org,0x1 1.us.pool.ntp.org,0x1 2.us.pool.ntp.org,0x1 3.us.pool.ntp.org,0x1;
- Tipo: NTP;
- CrossSiteSyncFlags: 2;
- Resolver PeerBackoffMinutos: 15;
- Resolver Peer BackoffMaxTimes: 7;
- SpecialPoolInterval: 3600;
- EventLogFlags: 0.
Nota. No olvide configurar correctamente su firewall y permitir que su PDC acceda a los servidores NTP externos a través del protocolo NTP (puerto UDP 123).
Puede abrir el puerto NTP en el Firewall de Windows Defender usando PowerShell:
New-NetFirewallRule -Name 'NTP_Server_123UDP' -DisplayName 'NTP Server Port' -Description 'Allow Inbound Connections to NTP Server' -Profile Any -Direction Inbound -Action Allow -Protocol UDP -Program Any -LocalAddress Any -LocalPort 123
Asignar un filtro WMI Emulador de filtro PDC que creó anteriormente al GPO.
Propina. Puede ubicar el servidor PDC actual usando el comando:
netdom query fsmo
Queda por actualizar la configuración de la directiva de grupo en PDC:
gpupdate /force
Realice una sincronización horaria manual con su fuente NTP:
w32tm /resync
Y verifique la configuración actual de NTP:
w32tm /query /status
Ejecute el comando:
w32tm /monitor
Cuando se ejecuta en un controlador de dominio, este comando muestra la diferencia de tiempo entre otros controladores de dominio y la fuente de tiempo externa para la que está configurado el PDC.
Propina. Si algo no funciona, intente reiniciar el servicio de hora de Windows y restablecer su configuración:
net stop w32time w32tm.exe /unregister w32tm.exe /register net stop w32tim
Además, puede configurar su PDC para usar la fuente de tiempo externa usando la herramienta w32tm.exe:
w32tm.exe /config /manualpeerlist: "us.pool.ntp.org 1.us.pool.ntp.org 2.us.pool.ntp.org 3.us.pool.ntp.org,0x8" /syncfromflags:manual /update
Después de especificar la lista de servidores NTP, debe informar al servicio de hora para actualizar la configuración:
w32tm /config /update
Configure los ajustes de sincronización de tiempo del cliente usando GPO
De forma predeterminada en Active Directory, los clientes de dominio sincronizan su hora con los controladores de dominio (opción Nt5DS — sincronizar la hora con la jerarquía del dominio). Normalmente, este comportamiento no necesita ser reconfigurado. Sin embargo, si hay problemas con la sincronización de tiempo en los clientes de su dominio, puede intentar especificar el servidor de tiempo directamente en los clientes que usan GPO.
Para hacer esto, cree un nuevo GPO y asígnelo a la unidad organizativa con computadoras. En el Editor de GPO vaya a la siguiente sección Configuracion de Computadora > Plantillas Administrativas > Sistema > Servicio de hora de Windows > Proveedores de tiempo y habilite la política Configurar el cliente NTP de Windows.
como un servidor NTP especifique el nombre o la dirección IP del PDC:
lon-dc1.adatum.com,0x9
Establecer tipo:
NT5DS
Nota. Valores posibles para el parámetro Tipo:
-
Sin sincronización — el servidor NTP no está sincronizado con ninguna fuente horaria externa. Se utiliza el reloj del sistema integrado en el chip CMOS del servidor;
-
NTP — el servidor NTP está sincronizado con servidores de tiempo externos, que se especifican en el parámetro de registro NtpServer (este es el comportamiento predeterminado en una computadora independiente);
-
NT5DS — el servidor NTP realiza la sincronización de acuerdo con la jerarquía del dominio (utilizada de manera predeterminada en las computadoras unidas al dominio);
-
AllSync — el servidor NTP utiliza todas las fuentes disponibles para la sincronización horaria.
Actualice la configuración de la directiva de grupo en los clientes y verifique la configuración de sincronización de tiempo recibida como se describe anteriormente.
¿Cómo configurar manualmente un cliente de Windows para sincronizar la hora con el servidor NTP?
En esta sección, describiremos cómo configurar manualmente la sincronización de tiempo en clientes de Windows. Puede usar esta guía para configurar la sincronización de tiempo en computadoras con Windows que no sean de dominio.
Primero, restablezca todas las configuraciones para el servicio de hora y elimine el servicio:
w32tm /unregister
Reinicie la computadora y luego vuelva a registrar el servicio de hora:
w32tm /register
Inicie el servicio w32Time:
net start w32Time
Configura la sincronización del cliente Windows con el servidor NTP (tu PDC):
w32tm /config /manualpeerlist:"lon-dc01.adatum.com,0x9" /syncfromflags:manual /reliable:yes /update
Reiniciar el servicio:
net stop w32time && net start w32time
Actualice los ajustes de configuración de la hora:
w32tm /config /update
Sincroniza la hora:
w32tm /resync
Compruebe el estado:
w32tm /query /status
Habilite el inicio automático del Servicio de tiempo usando PowerShell:
Set-Service –Name w32tm–StartupType Automatic
Insinuación. Si necesita sincronizar rápidamente su dispositivo Windows con un servidor de tiempo preciso, ejecute:
net time \your_ntp_server_name /set