Windows Server: Configuración de hora en Active Directory.

En el laboratorio de hoy, vamos a ver como podemos configurar correctamente el reloj del sistema en un entorno de Active Directory.

Los servicios de Active Directory, no funcionarán correctamente si el reloj del sistema de todos los equipos conectados a nuestro dominio, no está sincronizado perfectamente con todos los controladores de dominio.

Con la versión 5 de Kerberos, tiene configurado por defecto que todos los equipos conectados a un dominio de Active Directory que tengan su hora desfasada en más de 5 minutos no puedan autenticar la sesión.

Otro ejemplo de la gran importancia de la correcta sincronización de la hora en un dominio de Active Directory son las replicas. Active Directory utiliza sellos de tiempo para resolver conflictos durante la  replicación.

En un dominio de Active Directory, el servidor que ostenta el rol de emulador de PDC del dominio raíz, es el encargado de sincronizarse con un servidor de tiempo externo. Podemos utilizar ser un servidor de tiempo de Internet o el propio servidor host de virtualización si nos encontramos en un entorno con para máquinas virtuales.

• VMware 6.5.0: Configurar NTP de Internet en una máquina virtual.
• vmware 6.5.0: Configuración de hora - Network Time Protocol (NTP).

Seguidamente, todos los controladores de dominio que no ostentan el rol de emulador de PDC, sincronizaran la hora con el emulador de PDC del dominio usando NT5DS.

Por ultimo, todos los equipos miembro de nuestro dominio de Active Directory, se sincronizan con cualquiera de los controlador de dominio existentes.

Por lo general, los servicios de tiempo se configuran automáticamente de forma jerárquica pero, en entornos de migración cuando sustituimos el controlador de dominio que ostenta el rol de emulador de PDC esta configuración puede variar.

En nuestro laboratorio, usaremos la herramienta en línea de comandos llamada w32tm.exe para definir nuevamente la jerarquía correctamente, en caso que sea necesario.

w32tm [/? | /register | /unregister ]
  ? - esta pantalla de ayuda.
  register - registra para ejecutarse como servicio y agregar la configuración predeterminada al Registro.
  unregister - elimina el servicio del Registro y quita toda la información de configuración del Registro.
w32tm /monitor [/domain:<nombre de dominio>]

               [/computers:<nombre>[,<nombre>[,<nombre>...]]]

               [/threads:<número>] [/ipprotocol:<4|6>] [/nowarn]

domain - especifica el dominio que hay que supervisar. Si no se da el nombre de dominio o no se especifica el dominio o las opciones de equipo, se usa el dominio predeterminado. Esta opción se puede usar más de una vez.
computers - supervisa la lista dada de equipos. Los nombres de equipo se separan con comas, sin espacios. Si se especifica el prefijo "*" con un nombre, se tratará como un PDC de AD. Esta opción puede utilizarse más de una vez.
threads - cantidad de equipos que se analizarán a la vez. El valor Predeterminado es 3. El intervalo permitido es 1-50.
ipprotocol - especifique el protocolo IP que se va a usar. El predeterminado es usar el que esté disponible.
nowarn - pasar por alto el mensaje de advertencia.

w32tm /ntte <tiempo base de hora de NT>
Convertir una hora del sistema NT, en intervalos de (10^-7) segundos desde 0h 1 ene 1601, a un formato legible.

w32tm /ntpte <tiempo base de hora NTP>
Convertir una hora NTP, en intervalos de (2^-32) segundos desde 0h 1 ene 1900, a un formato legible.

w32tm /resync [/computer:<equipo>] [/nowait] [/rediscover] [/soft]
Indica a un equipo que debe volver a sincronizar el reloj lo antes posible, y desechar todos los errores de estadística acumulados.
computer:<equipo> - equipo que debe volver a sincronizarse. Si no se especifica, el equipo local se volverá a sincronizar.
nowait - no esperar a que ocurra la nueva sincronización; volver inmediatamente. De lo contrario, espere a que se complete la nueva sincronización antes de volver.
rediscover - volver a detectar la configuración de red y los recursos de red y, a continuación, llevar a cabo la sincronización.
soft - volver a sincronizar usando las estadísticas de errores existentes. No es útil, se suministra por motivos de compatibilidad.

w32tm /stripchart /computer:<destino> [/period:<actualizar>]
    [/dataonly] [/samples:<recuento>] [/packetinfo] [/ipprotocol:<4|6>]
Muestra un gráfico de barras del desplazamiento entre este equipo y otro.
computer:<destino> - el equipo con respecto al que se mide el desplazamiento.
period:<actualizar> - el tiempo transcurrido entre las muestras,en segundos. El valor predeterminado es 2 segundos.
dataonly - muestra sólo datos, no gráficos. samples:<recuento> - recopila <recuento> muestras y después se detiene. Si no se especifica, se recopilan muestras hasta que se presiona Ctrl+C.
packetinfo - imprime el mensaje de respuesta del paquete NTP.
ipprotocol - especifica el protocolo IP que debe usarse. El valor predeterminado es usar el que esté disponible.

w32tm /config [/computer:<destino>] [/update]
    [/manualpeerlist:<interlocutores>] [/syncfromflags:<origen>]
    [/LocalClockDispersion:<segundos>]
    [/reliable:(YES|NO)]
    [/largephaseoffset:<milisegundos>]

computer:<destino> - ajusta la configuración de <destino>. Si no se especifica, el valor predeterminado es el equipo local.
update - notifica al servicio de hora que la configuración ha cambiado, para que se apliquen los cambios.
manualpeerlist:<interlocutores> - define la lista manual de interlocutores como <interlocutores>, que es una lista delimitada por espacios de direcciones DNS o IP. Si se especifican varios interlocutores, este modificador debe estar entre comillas.
syncfromflags:<origen> - define los orígenes con respecto a los cuales debe sincrnizarse el cliente NTP. <Origen> debe ser una lista de estas palabras clave delimitada por comas (sin distinguir mayúsculas de minúsculas):
MANUAL - se sincroniza a partir de los interlocutores de la lista manual de interlocutores.
DOMHIER - se sincroniza a partir de un controlador de dominio de Active Directory de la jerarquía de dominios.
NO - no usa ningún origen para sincronizarse.
ALL - se sincroniza a partir de interlocutores manuales y de dominio
LocalClockDispersion:<segundos> - configura la precisión del reloj interno que asume w32time si no puede adquirir la hora de sus orígenes configurados.
reliable:(YES|NO) - define si este equipo es un recurso de hora de confianza. Esta configuración sólo tiene significado para los controladores de dominio.
YES - este equipo es un servicio de hora de confianza.
NO - este equipo no es un servicio de hora de confianza.
largephaseoffset:<milisegundos> - define la diferencia entre la hora local y la hora de la red que w32time considera punta.

w32tm /tz Muestra la configuración de zona horaria actual.

w32tm /dumpreg [/subkey:<clave>] [/computer:<destino>] Muestra los valores asociados a una clave dada del Registro.La clave predeterminada es HKLM\System\CurrentControlSet\Services\W32Time (la clave raíz del servicio de hora).
subkey:<clave> - muestra los valores asociados a la subclave <clave> de la clave predeterminada.
computer:<destino> - consulta la configuración del Registro del equipo <destino>.

w32tm /query [/computer:<destino>] {/source | /configuration | /peers | /status} [/verbose]
Muestra la información del servicio Hora de Windows de un equipo.
computer:<destino> - consulta la información de <destino>. Si no se especifica, el valor predeterminado es el equipo local.
source: muestra el recurso de hora.
configuration: muestra la configuración del tiempo de ejecución y de dónde procede el valor. En modo detallado, también muestra el valor sin definir sin usar.
peers: muestra una lista de interlocutores y su estado.
status: muestra el estado del servicio Hora de Windows.
verbose: establece el modo detallado para mostrar más información.

w32tm /debug {/disable | {/enable /file:<nombre> /size:<bytes> /entries:<valor>[/truncate]}}

Habilita o deshabilita el registro privado del servicio Hora de Windows de un equipo local.
disable: deshabilita el registro privado.
enable: habilita el registro privado.
file:<nombre> - especifica el nombre de archivo absoluto.
size:<bytes> - especifica el tamaño máximo para el registro circular.
entries:<valor> - contiene una lista de marcas especificadas por nombre y separadas por comas, que indican los tipos de información que se deben registrar. Los números válidos van de 0 a 300. También se pueden indicar intervalos numéricos además de números solos, como 0-100,103,106. El valor 0-300 sirve para registrar toda la información.
truncate: trunca el archivo en caso de que exista.

En primer lugar, usaremos la herramienta w32tm con el modificador /monitor para ver la configuración actual de nuestro entorno, escribiremos:

w32tm /monitor

Comprobaremos que en nuestro laboratorio, el controlador de dominio que ostenta el rol de emulador de PDC llamado SRVDC01, está sincronizando con el otro de los controladores de dominio de nuestro Active Directory llamado SRVDOM.

Como hemos comentado anteriormente, esta configuración es incorrecta. Debería ser al revés.

Con la información suministrada por w32tm /monitor también podemos ver, que el controlador de dominio llamado  llamado SRVDOM, está actualmente sincronizando su hora con un servidor de tiempo de Internet llamado hora.roa.es y tampoco debería ser así.

Lo correcto seria que nuestro emulador de PDC SRVDC01 sincronizase la hora con el servidor de tiempo de Internet llamado hora.roa.es y el otro controlador de dominio de nuestro dominio de Active Directory llamado SRVDOM sincronizase la hora con el emulador de PDC de nuestro dominio llamado SRVDC01.

El primer cambio que vamos a realizar será, la sincronización de hora de nuestro emulador de PDC SRVDC01. En nuestro laboratorio, queremos de conseguir que la sincronización de hora se realice con un servidor de tiempo de Internet.

NTP: hora.roa.es

Utilizaremos el comando que mostramos a continuación:

w32tm / config / manualpeerlist: SERVIDOR_DE_TIEMPO / syncfromflags: manual

En nuestro laboratorio la construcción final del comando es la siguiente:

w32tm / config / manualpeerlist: hora.roa.es / syncfromflags: manual

A continuación reiniciaremos los servicios de tiempo del controlador de dominio que ostenta el rol de emulador de PDC usando la construcción que mostramos a continuación:

net stop w32time && net start w32time

Si ejecutamos nuevamente w32tm /monitor, los dos controladores de dominio de nuestro Active Directory deberían estar sincronizando su hora con el servidor de tiempo de Internet llamado hora.roa.es.

OSX El Capitán: Sincronizar un equipo con nuestros servidores de tiempo de confianza. NTP - Network Time Protocol.

En el laboratorio de hoy, vamos a ver como tenemos que proceder si queremos configurar un servidor de tiempo personalizado en un equipo que tenga instalado el sistema operativo Mac OSX El Capitán.

También, podéis acceder al canal de YouTube de Pantallazos.es, donde encontrareis un vídeo tutorial en el que sincronizaremos un equipo Mac OSX El Capitán con nuestros servidores de tiempo NTP de confianza.

Podéis acceder y suscribiros al canal de Youtube de Pantallazos.es en el enlace que mostramos a continuación:

https://www.youtube.com/c/pantallazoses

Algunos servicios como por ejemplo SSH o Active Directory niegan el establecimiento de  las conexiones si la diferencia de tiempo entre los distintos sistemas operativos, del equipo servidor y el del cliente excede un umbral, como por ejemplo, si los tiempos del equipo cliente y del servidor difieren en más de cinco minutos.

Si bien es verdad que todos los ordenadores disponen relojes de tiempo internos, estos no son precisos si se configuran de forma manual, pero, si usamos un servidor Network Time Protocol o NTP para establecer el tiempo tanto del equipo cliente como del servidor evitaremos los posibles desfases horarios.

En primer lugar, abriremos una nueva ventana de las Preferencias del Sistema y seleccionaremos el icono llamado Fecha y Hora. 

VMware 6.5.0: Configurar NTP de Internet en una máquina virtual.

En el laboratorio de hoy, vamos a sincronizar los servicios de hora de una máquina virtual que tiene instalados y configurados los servicios de dominio de Active Directory y que ostenta el rol de Emulador de PDC.

En nuestro anterior laboratorio, pudimos ver como una máquina virtual con el rol de Emulador de PDC sincroniza por defecto, los servicios de hora con el servidor host.

• vmware 6.5.0: Configuración de hora - Network Time Protocol (NTP).

Encontrareis, en nuestro canal de YouTube, el vídeo tutorial en el que configuramos todas las opciones de de tiempo en un servidor host vmware vSphere 6.5.0.

Pero, si queremos sincronizar directamente el sistema operativo invitado de nuestro servidor (Emulador de PDC), con un servidor Network Time Protocol de Internet.  También podríamos hacerlo, solo tenemos que realizar unos pequeños cambios al archivo con extensión *.VMX de nuestro PDC virtual.

También, podéis acceder al canal de YouTube de Pantallazos.es, donde encontrareis un vídeo tutorial en el que configuramos los servidores de tiempo de Internet directamente en el sistema operativo invitado de una máquina virtual, que se encuentra ejecutando en un servidor host vmware vSphere 6.5.0.

Podéis acceder y suscribiros al canal de Youtube de Pantallazos.es en el enlace que mostramos a continuación:

https://www.youtube.com/c/pantallazoses

Al comprobar la configuración del servicio de hora por defecto, del emulador de PDC llamado SRVDC.DOM.LOCAL, podemos obtener con dos posibles resultados:

• Local CMOS Clock: En este caso la máquina virtual con el rol de emulador de PDC está utilizando el reloj del hardware del equipo como fuente de tiempo.
• Free Running System Clock: El servidor no utiliza ninguna fuente de tiempo externa, sino que depende de la marca de tiempo generada por el Proceso Inactivo del sistema.

Cualquiera de las dos posibilidades anteriores, usando VMware, va a significar que la máquina virtual está sincronizando la hora con el reloj del host.

Con un servidor host Hyper-V, sucede algo muy parecido, el Servicio de integración de sincronización de tiempo sincronizará la hora de nuestras máquinas virtuales con el servidor host de Hyper-V durante el inicio.

Podemos intentar cambiar los servidores de tiempo del sistema operativo invitado usando  el comando w32tm, pero, comprobaremos que los cambios no se aplicarán.

vmware 6.5.0: Configuración de hora - Network Time Protocol (NTP).

En el laboratorio de hoy, vamos a ver como configurar los servidores de tiempo en un nuevo host vmware de la versión 6.5.0.

También, podéis acceder al canal de YouTube de Pantallazos.es, donde encontrareis un vídeo tutorial en el que configuramos todas las opciones de de tiempo en un servidor host vmware vSphere 6.5.0.

Podéis acceder y suscribiros al canal de Youtube de Pantallazos.es en el enlace que mostramos a continuación:

https://www.youtube.com/c/pantallazoses

Por defecto, las maquinas virtuales de una granja de vmware sincronizaran la hora con la configuración establecida en el servidor host, por esa razón, es muy importante que la hora de nuestro este correctamente establecida.

Pongamos un ejemplo, tenemos nuera infraestrctura un controlador de dominio de Active Directory que ostenta el rol de Emulador de PDC. Hemos de recordar que en un dominio de Active Directory, el controlador de dominio que tiene el rol Emulador de PDC es el que sincronizaría la hora con el servidor NTP externo de Internet. Seguidamente, los demás controladores de dominio, si los hubiera, sincronizarian la hora con controlador de dominio que tiene el rol Emulador de PDC y finalizaría la cadena sincronizando demás servidores miembro, equipos clientes y otros dispositivos que formen parte de nuestro dominio de Active Directory con uno de los controladores del Dominio.

En una granja de vmware, por defecto, el controlador de dominio que tiene el rol Emulador de PDC sincronizará la hora con el host, por esa razón es tan importante que el servicio de hora del servidor host este correctamente configurado ya que esta configuración que afectará a toda nuestra infraestructura.

VNX 5300: Configurar hora.

En este laboratorio, aprenderemos a modificar la hora de una cabina EMC VNX5300. Para cambiar la hora de nuestra cabina VNX, conectaremos a la misma mediante una conexión SSH.

Accederemos con las credenciales de acceso de nuestra VNX 5300, por defecto son.

Usuario: nasadmin
Contraseña: nasadmin

Pongamos que estamos a día 07 de enero del 2013 y nuestra hora es 11:42:00.

Para empezar, debemos saber, que día y hora tenemos actualmente configurados en nuestra VNX 5300 para ello usaremos el comando.

server_date <data mover>

en nuestro ejemplo será.

server_date server_2

Podemos comprobar que la hora de nuestra cabina VNX 5300 es las 11:38:03 y tendrían que ser, las 11:42:00, por lo contrario la fecha de la cabina es correcta.

Para proceder a establecer la nueva fecha y hora del sistema ejecutamos.

server_date server_2 1301071142

Donde

server_date server_2 1301071142 es la fecha 07/01/2013.

server_date server_2 1301071142 la hora 11:42.

Presionaremos la tecla enter para procedes al cambio.

Para comprobar que los nuevos parámetros se han establecido correctamente, ejecutaremos una vez más.

server_date server_2

Podemos comprobar, también,  la zona horaria usando el comando siguiente

server_date server_2 timezone.

También tenemos comandos para establecer servidores de tiempo a nuestra VNX.

Para comprobar que servidor NTP, tiene actualmente configurado el Data Mover de nuestra cabina VNX, usaremos el comando siguiente.

server_date <data mover>  timesvc stats ntp

Para configurar y posteriormente arrancar el servicio NTP en el el Data Mover de nuestra cabina VNX usaremos el comando siguiente

server_date <data mover> timesvc start ntp <NTP Server IP Address>

Para detener los servicios de tiempo en el Data Mover de nuestra cabina VNX usaremos el comando siguiente.

server_date <data mover> timesvc stop ntp

Para borrar los servicios de tiempo en el Data Mover de nuestra cabina VNX podemos usaremos el comando siguiente.

server_date <data mover> timesvc delete ntp

Espero os sea de utilidad.

Enlaces relacionados

VNX diagnóstico de las Sorage Processor

EMC VNX crear una nueva

Performance Data Logging - VNX

Free-running system clock - w32tm

En ocasiones los usuarios finales se quejan, que el reloj de Windows esta desfasado unos minutos, nosotros acudimos a nuestro servidor de tiempo del dominio y ajustamos la hora, todo parece funcionar correctamente, las estaciones de trabajo adquieren la nueva hora, pero, al cabo de unos días vuelve a desfasarse unos minutos.

Esto es debido a que nuestro servidor de tiempo se esta sincronizando con el reloj que tiene la BIOS del Hardware del propio servidor, y por desgracia, tenemos mal la hora.

Para verificar, que realmente es este nuestro caso, debemos abrir una ventana de Símbolo del sistema y ejecutaremos el comando siguiente.

Nos devolverá varias lineas, la que nos interesa es Origen: Free-running system clock, esto significa que efectivamente estábamos en lo cierto.

Ante esto, podemos hacer dos cosas. Ajustamos la hora de la BIOS del sistema, para que a su vez se ajuste la hora de Windows o hacemos que Windows se sincronice con un servidor de tiempo externo.

Por ejemplo www.pool.ntp.org

Primero buscaremos un servidor NTP, para nuestro ejemplo usaremos el siguiente, 3.es.pool.ntp.org y usaremos el comando siguiente.

w32tm /config /manualpeerlist:3.es.pool.ntp.org,0x8 /syncfromflags:MANUAL

Nos devolverá, El comando se ha completado correctamente.

Procederemos a reiniciar los servicios de hora de Windows.

net stop w32time
net start w32time

Finalmente, comprobaremos que los cambios realizados se hayan aplicado correctamente, de nuevo usaremos el comando w32tm /query /status.

Comprobaremos que el origen ha cambiado de Origen: Free-running system clock a Origen: 3.es.pool.ntp.org,0x8.

Espero os sea de utilidad.