Sincronismo Horario en Directorio Activo (NTP/NT5DS)

Network Time Protocol (NTP) es uno de los protocolos de internet más viejos (1985) que siguen en uso.
Su propósito, sincronizar los relojes de los sistemas informáticos a través del enrutamiento de paquetes en redes con latencia variable. NTP utiliza UDP como su capa de transporte, usando el puerto 123 y está diseñado para resistir los efectos de la latencia variable.
En un entorno empresarial, es muy importante tener bien implementado el sincronismo horario.
Hablemos de NTP en el ldap de Directorio Activo de Microsoft.

Como sabemos, el sincronismo horario para toda la estructura de Active Directory y sus puesto cliente (en adelante Desktops y Servers), tienen que tener un correcto sincronismo horario. Para que esto funcione, los desktops sincronizan su hora local sobre el controlador de dominio, (en adelante DC) en el cual se han validado, (su logon server) al cual reportan.

Ahora bien, para asegurarnos de que esto funcione correctamente, tenemos que controlar nuestros DCs, para que entre ellos tengan tambien un correcto sincronismo, ¿cómo funciona esto?, basicamente, lo que hacen todos los DCs es contactar al DC con el rol de Primary DC (PDC) y tomar la hora del mismo, con lo que recae toda la responsabilidad sobre dicho DC.

¿Qué debemos configurar del lado de nuestro Active Directory? Lo primero, nuestro PDC con clave NTP y el o los DCs restantes con NT5DS, a su vez, el resto de los objetos computer del dominio (desktops o servers), tambien tienen que tener configurado NT5DS en dicha clave, todo esto, se puede hacer mediante la aplicación de la GPO: Computer Settings – Plantillas Administrativas – System – Time Service

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/W32Time/Parameters
Key: Type con valor: NT5DS

Esta clave tiene que estar en todos los DCs menos en el PDC, ya que en el mismo en lugar de NT5DS tiene que figurar NTP y a su vez, en la key “NtpServer” se puede poner, el registro DNS o IP del server NTP de la empresa o muy preferiblemente algún NTP externo confiable, de esta forma, se hace que la estructura aplique un orden o un sincronismo horario a todo el bosque y/o dominio.

Con respecto al server NTP, se puede utilizar el de Microsoft (por darte un ejemplo) que es el default que aparece en la clave de registro NTPServer, si el dia de mañana habilitan un NTPServer o apuntamos a uno externo, se tiene que cambiar dicha clave de registro.

Por último, si hemos implementado los cambios de los que hemos hablado, se tiene que reiniciar el servicio Windows Time (W32Time). (net stop w32time – net start w32time)

Para ver el sincronismo horario de los Controladores de Dominio, podemos ejecutar el comando: w32tm /monitor

Personalmente diría que es muy recomendable cambiar la fuente externa del PDC, para que sincronice la hora desde otro site en internet en lugar de la que tenemos localmente.

Adjunto una útil url que utilizo para encontrar los servidores de hora NTP, importante de Stratum 2 y que hay disponibles: https://support.NTP.org/bin/View/Servers/StratumTwoTimeServers

Aplicado el cambio en el PDC ésta sería la configuración NTP:
El proveedor de hora NtpClient está recibiendo datos de hora válidos desde 93.189.33.204 (ntp.m|0×0|0.0.0.0:123-> 93.189.33.204). El nuevo servicio de hora comenzará a anunciarse como hora de origen.

También te podría gustar...