Página principal Sobre mi Links de Interés Contacto Blogs de referencia

Translate

miércoles, 31 de octubre de 2018

Textual description of firstImageUrl

Windows Server: Configuración de hora en Active Directory.

En el laboratorio de hoy, vamos a ver como podemos configurar correctamente el reloj del sistema en un entorno de Active Directory.

Los servicios de Active Directory, no funcionarán correctamente si el reloj del sistema de todos los equipos conectados a nuestro dominio, no está sincronizado perfectamente con todos los controladores de dominio.

Con la versión 5 de Kerberos, tiene configurado por defecto que todos los equipos conectados a un dominio de Active Directory que tengan su hora desfasada en más de 5 minutos no puedan autenticar la sesión.

Otro ejemplo de la gran importancia de la correcta sincronización de la hora en un dominio de Active Directory son las replicas. Active Directory utiliza sellos de tiempo para resolver conflictos durante la  replicación.

En un dominio de Active Directory, el servidor que ostenta el rol de emulador de PDC del dominio raíz, es el encargado de sincronizarse con un servidor de tiempo externo. Podemos utilizar ser un servidor de tiempo de Internet o el propio servidor host de virtualización si nos encontramos en un entorno con para máquinas virtuales.
Seguidamente, todos los controladores de dominio que no ostentan el rol de emulador de PDC, sincronizaran la hora con el emulador de PDC del dominio usando NT5DS.

Por ultimo, todos los equipos miembro de nuestro dominio de Active Directory, se sincronizan con cualquiera de los controlador de dominio existentes.

Por lo general, los servicios de tiempo se configuran automáticamente de forma jerárquica pero, en entornos de migración cuando sustituimos el controlador de dominio que ostenta el rol de emulador de PDC esta configuración puede variar.

En nuestro laboratorio, usaremos la herramienta en línea de comandos llamada w32tm.exe para definir nuevamente la jerarquía correctamente, en caso que sea necesario.

w32tm [/? | /register | /unregister ]
  ? - esta pantalla de ayuda.
  register - registra para ejecutarse como servicio y agregar la configuración predeterminada al Registro.
  unregister - elimina el servicio del Registro y quita toda la información de configuración del Registro.
w32tm /monitor [/domain:<nombre de dominio>]

               [/computers:<nombre>[,<nombre>[,<nombre>...]]]


               [/threads:<número>] [/ipprotocol:<4|6>] [/nowarn]


domain - especifica el dominio que hay que supervisar. Si no se da el nombre de dominio o no se especifica el dominio o las opciones de equipo, se usa el dominio predeterminado. Esta opción se puede usar más de una vez.

computers - supervisa la lista dada de equipos. Los nombres de equipo se separan con comas, sin espacios. Si se especifica el prefijo "*" con un nombre, se tratará como un PDC de AD. Esta opción puede utilizarse más de una vez.
threads - cantidad de equipos que se analizarán a la vez. El valor Predeterminado es 3. El intervalo permitido es 1-50.
ipprotocol - especifique el protocolo IP que se va a usar. El predeterminado es usar el que esté disponible.
nowarn - pasar por alto el mensaje de advertencia.

w32tm /ntte <tiempo base de hora de NT>

Convertir una hora del sistema NT, en intervalos de (10^-7) segundos desde 0h 1 ene 1601, a un formato legible.

w32tm /ntpte <tiempo base de hora NTP>

Convertir una hora NTP, en intervalos de (2^-32) segundos desde 0h 1 ene 1900, a un formato legible.

w32tm /resync [/computer:<equipo>] [/nowait] [/rediscover] [/soft]

Indica a un equipo que debe volver a sincronizar el reloj lo antes posible, y desechar todos los errores de estadística acumulados.
computer:<equipo> - equipo que debe volver a sincronizarse. Si no se especifica, el equipo local se volverá a sincronizar.
nowait - no esperar a que ocurra la nueva sincronización; volver inmediatamente. De lo contrario, espere a que se complete la nueva sincronización antes de volver.
rediscover - volver a detectar la configuración de red y los recursos de red y, a continuación, llevar a cabo la sincronización.
soft - volver a sincronizar usando las estadísticas de errores existentes. No es útil, se suministra por motivos de compatibilidad.

w32tm /stripchart /computer:<destino> [/period:<actualizar>]

    [/dataonly] [/samples:<recuento>] [/packetinfo] [/ipprotocol:<4|6>]
Muestra un gráfico de barras del desplazamiento entre este equipo y otro.
computer:<destino> - el equipo con respecto al que se mide el desplazamiento.
period:<actualizar> - el tiempo transcurrido entre las muestras,en segundos. El valor predeterminado es 2 segundos.
dataonly - muestra sólo datos, no gráficos. samples:<recuento> - recopila <recuento> muestras y después se detiene. Si no se especifica, se recopilan muestras hasta que se presiona Ctrl+C.
packetinfo - imprime el mensaje de respuesta del paquete NTP.
ipprotocol - especifica el protocolo IP que debe usarse. El valor predeterminado es usar el que esté disponible.

w32tm /config [/computer:<destino>] [/update]

    [/manualpeerlist:<interlocutores>] [/syncfromflags:<origen>]
    [/LocalClockDispersion:<segundos>]
    [/reliable:(YES|NO)]
    [/largephaseoffset:<milisegundos>]

computer:<destino> - ajusta la configuración de <destino>. Si no se especifica, el valor predeterminado es el equipo local.

update - notifica al servicio de hora que la configuración ha cambiado, para que se apliquen los cambios.
manualpeerlist:<interlocutores> - define la lista manual de interlocutores como <interlocutores>, que es una lista delimitada por espacios de direcciones DNS o IP. Si se especifican varios interlocutores, este modificador debe estar entre comillas.
syncfromflags:<origen> - define los orígenes con respecto a los cuales debe sincrnizarse el cliente NTP. <Origen> debe ser una lista de estas palabras clave delimitada por comas (sin distinguir mayúsculas de minúsculas):
MANUAL - se sincroniza a partir de los interlocutores de la lista manual de interlocutores.
DOMHIER - se sincroniza a partir de un controlador de dominio de Active Directory de la jerarquía de dominios.
NO - no usa ningún origen para sincronizarse.
ALL - se sincroniza a partir de interlocutores manuales y de dominio
LocalClockDispersion:<segundos> - configura la precisión del reloj interno que asume w32time si no puede adquirir la hora de sus orígenes configurados.
reliable:(YES|NO) - define si este equipo es un recurso de hora de confianza. Esta configuración sólo tiene significado para los controladores de dominio.
YES - este equipo es un servicio de hora de confianza.
NO - este equipo no es un servicio de hora de confianza.
largephaseoffset:<milisegundos> - define la diferencia entre la hora local y la hora de la red que w32time considera punta.

w32tm /tz Muestra la configuración de zona horaria actual.


w32tm /dumpreg [/subkey:<clave>] [/computer:<destino>] Muestra los valores asociados a una clave dada del Registro.La clave predeterminada es HKLM\System\CurrentControlSet\Services\W32Time (la clave raíz del servicio de hora).

subkey:<clave> - muestra los valores asociados a la subclave <clave> de la clave predeterminada.
computer:<destino> - consulta la configuración del Registro del equipo <destino>.

w32tm /query [/computer:<destino>]
 {/source | /configuration | /peers | /status} [/verbose]
Muestra la información del servicio Hora de Windows de un equipo.
computer:<destino> - consulta la información de <destino>. Si no se especifica, el valor predeterminado es el equipo local.
source: muestra el recurso de hora.
configuration: muestra la configuración del tiempo de ejecución y de dónde procede el valor. En modo detallado, también muestra el valor sin definir sin usar.
peers: muestra una lista de interlocutores y su estado.
status: muestra el estado del servicio Hora de Windows.
verbose: establece el modo detallado para mostrar más información.

w32tm /debug {/disable | {/enable /file:<nombre> /size:<bytes> /entries:<valor>
[/truncate]}}

Habilita o deshabilita el registro privado del servicio Hora de Windows de un equipo local.

disable: deshabilita el registro privado.
enable: habilita el registro privado.
file:<nombre> - especifica el nombre de archivo absoluto.
size:<bytes> - especifica el tamaño máximo para el registro circular.
entries:<valor> - contiene una lista de marcas especificadas por nombre y separadas por comas, que indican los tipos de información que se deben registrar. Los números válidos van de 0 a 300. También se pueden indicar intervalos numéricos además de números solos, como 0-100,103,106. El valor 0-300 sirve para registrar toda la información.
truncate: trunca el archivo en caso de que exista.

En primer lugar, usaremos la herramienta w32tm con el modificador /monitor para ver la configuración actual de nuestro entorno, escribiremos:

w32tm /monitor

Comprobaremos que en nuestro laboratorio, el controlador de dominio que ostenta el rol de emulador de PDC llamado SRVDC01, está sincronizando con el otro de los controladores de dominio de nuestro Active Directory llamado SRVDOM.

Como hemos comentado anteriormente, esta configuración es incorrecta. Debería ser al revés.

Con la información suministrada por w32tm /monitor también podemos ver, que el controlador de dominio llamado  llamado SRVDOM, está actualmente sincronizando su hora con un servidor de tiempo de Internet llamado hora.roa.es y tampoco debería ser así.

Lo correcto seria que nuestro emulador de PDC SRVDC01 sincronizase la hora con el servidor de tiempo de Internet llamado hora.roa.es y el otro controlador de dominio de nuestro dominio de Active Directory llamado SRVDOM sincronizase la hora con el emulador de PDC de nuestro dominio llamado SRVDC01.

El primer cambio que vamos a realizar será, la sincronización de hora de nuestro emulador de PDC SRVDC01. En nuestro laboratorio, queremos de conseguir que la sincronización de hora se realice con un servidor de tiempo de Internet.

NTP: hora.roa.es

Utilizaremos el comando que mostramos a continuación:

w32tm / config / manualpeerlist: SERVIDOR_DE_TIEMPO / syncfromflags: manual

En nuestro laboratorio la construcción final del comando es la siguiente:

w32tm / config / manualpeerlist: hora.roa.es / syncfromflags: manual

A continuación reiniciaremos los servicios de tiempo del controlador de dominio que ostenta el rol de emulador de PDC usando la construcción que mostramos a continuación:

net stop w32time && net start w32time

Si ejecutamos nuevamente w32tm /monitor, los dos controladores de dominio de nuestro Active Directory deberían estar sincronizando su hora con el servidor de tiempo de Internet llamado hora.roa.es.



Una vez tengamos configurados los servidores de tiempo del controlador de dominio que ostenta el rol de emulador de PDC con un servidor de tiempo de Internet, ha llegado el momento de reconfigurar el segundo controlador de dominio de nuestro Active Directory para que sincronice su hora con nuestro emulador de PDC.

En primer lugar, ejecutaremos el comando net stop w32time para parar los servicios de tiempo del controlador de dominio que no ostenta el rol de emulador de PDC. Seguidamente, usaremos el modificador llamado /unregister para eliminar el servicio w32Time del registro y quitar toda la información de configuración del registro.

w32tm /unregister

Se anuló correctamente el registro de w32Time

Una vez eliminada toda la información de configuración del registro de w32Time, usaremos el modificador /register, para ejecutar como servicio y agregar la configuración predeterminada al registro de w32Time.

w32tm /register

Se registró correctamente el registro de w32Time

Seguidamente, usaremos una vez más el modificador /monitor para ver la configuración actual de nuestro entorno, escribiremos:

w32tm /monitor

Comprobaremos que  la configuración de sincronización del controlador de dominio que no ostenta el rol de emulador de PDC, no esta configurada.

A continuación, vamos a definir los orígenes con respecto a los cuales debe sincronizarse el cliente NTP de nuestro segundo controlador de dominio, el controlador de dominio que no ostenta el rol de Emulador de PDC.

Para ello, usaremos el modificador /syncfromflags: domhier, que sincronizará nuestro controlador de dominio no PDC a partir de un controlador de dominio emulador de PDC de la jerarquía de dominios de nuestro Active Directory.

Podemos ejecutar el siguiente comando en todos los demás controladores de dominio (que no sean PDC):

w32tm /config /syncfromflags: domhier /update

A continuación, reiniciaremos los servicios de tiempo de nuestro controlador de dominio que no ostenta el rol de emulador de PDC usando la construcción que mostramos a continuación:

net stop w32time && net start w32time

Finalmente ejecutaremos w32tm con el modificador /resync, para indicar a nuestro segundo controlador de dominio que debe volver a sincronizar el reloj lo antes posible, y desechar todos los errores de estadística acumulados.

No hay comentarios:

Publicar un comentario