Hola Comunidad;
En cualquier entorno corporativo que cuente con un Directorio Activo, es muy importante tener la Hora correctamente configurada y sincronizada con nuestras estaciones de trabajo ya que esto evitará que los equipos se salgan del dominio por problemas de desfase de tiempo. Así mismo no olvidar que cualquier dispositivo como un Switch, Router, Marcador Biométrico, Teléfono IP, pueden estar sincronizados con el horario que maneja nuestro entorno de Directorio Activo.
Ingresamos a uno de nuestros controladores de dominio y buscamos quien tiene el PDC Emulator (es quien se encarga de sincronizar el tiempo con una fuente externa, como time.windows.com o pool.org).
Ejecutamos el siguiente código cmdlets en PowerShell.
Get-ADDomainController -Filter * | Select-Object -Property Name,OperationMasterRoles
El Controlador de Dominio que cuenta con el PDC Emulator es el DC01, por lo que debemos de ingresar a dicho servidor e ingresamos al Group Policy Management y nos dirigimos hasta WMI Filters.
Hacemos clic secundario en el panel derecho y clic en New.
Identificamos nuestro Filtro WMI, yo lo estoy colocando PDC Emulator, tanto en Name como en Description, luego hacemos clic en el botón Add y escribimos en Query lo siguiente:
Select * from Win32_ComputerSystem where DomainRole = 5
Y por último clic en OK.
Hacemos clic en OK.
Clic en Save.
Listo, ahora ya está creado.
Ahora vamos a crear la GPO, para ello nos dirigimos a la OU Domain Controllers y luego clic secundario en Create a GPO…
Le colocamos un nombre a la GPO (yo le estoy llamando NTP Sync) y luego clic en OK.
Después que se ha creado la GPO hacemos clic secundario y luego Edit…
Ahora nos dirigimos a: Computer Configuration/Policies/Administrative Templates…/System/Windows Time Service/Time Providers.
Vamos a realizar la configuración, hacemos clic secundario en Configure Windows NTP Client y clic en Edit..
Ahora en esta parte debemos de tener en cuenta que servidor NTP vamos a utilizar, para el caso de Perú estoy usando los que se encuentran publicados aqui: https://www.pool.ntp.org/zone/pe pero ya dependerá de ustedes.
Se puede resumir de la siguiente manera: 0.south-america.pool.ntp.org,1.south-america.pool.ntp.org,2.south-america.pool.ntp.org,3.south-america.pool.ntp.org y puedes verificar la operatividad de los mismos en el siguiente enlace: https://servertest.online/ntp
Ahora, lo que vamos a hacer es cambiar en las opciones de NtpServer y Type.
En NtpServer vamos a especificar los servidores NTP Separados por un espacio pero con un flag (En todos los casos que he realizado esta configuración yo uso el 0x1):
- 0.south-america.pool.ntp.org,0x1 1.south-america.pool.ntp.org,0x1 2.south-america.pool.ntp.org,0x1 3.south-america.pool.ntp.org,0x1
Si ustedes quiere una explicación mas detallada de los flag puede pasar a revisar este artículo: https://blogs.msdn.microsoft.com/w32time/2008/02/26/configuring-the-time-service-ntpserver-and-specialpollinterval/
Ahora en Type cambiamos a NTP. Con lo anterior dicho quedaría de la siguiente manera.
Ahora, clic secundario en Enable Windows NTP Client, editamos y seleccionamos Enabled. Luego clic en OK. (Es obligatorio, de lo contrario la computadora no se podrá sincronizar con otros servidores NTP).
Luego, clic secundario en Enable Windows NTP Server, editamos y seleccionamos Enabled. Luego clic en OK. (Es obligatorio, de lo contrario la computadora no permitirá que otras computadoras se sincronicen con ella).
Listo, con esto ya hemos acabado una parte.
Ahora lo que vamos a hacer es Seleccionar la GPO NTP Sync, en el panel derecho nos dirigimos hasta WMI Filtering y seleccionamos PDC Emulator (lo que creamos al inicio) y clic en Yes en el mensaje de confirmación.
Hasta aquí hemos terminado de realizar la configuración del GPO, para aplicar los cambios ejecutamos el comando gpupdate /force en un Command Prompt.
Para verificar si los cambios se han aplicado, podemos usar RSOP (Resultant Set of Policy).
Si verificamos que nuestra Hora aun no cambia, podemos usar el siguiente comando: w32tm.exe /resync /rediscover /nowait
Y después de un minuto probamos: w32tm /query /status
Si queremos verificar la lista de servidores NTP puedes probar: w32tm /query /peers
Si es que aún presenta falla puedes probar ejecutando los siguiente en un Command Prompt:
- Net Stop W32time
- W32tm /unregister
- W32tm /register
- Net Start W32time
Hacerlo uno por uno, en los casos de implementación que he tenido no me ha sido necesario.
No olvidar que se debe de permitir el tráfico UDP / 123
También debemos de tener en cuenta que algunas máquinas se sincronizan con la Hora del Hypervisor, por ejemplo uno de mis controladores estaba haciendo uso de ello.
Debemos de quitar la opción Time Synchronization.
Después de ello volvemos a ejecutar el comando: w32tm.exe /resync /rediscover /nowait y luego w32tm /query /status.
Muchas Gracias!
Me fascino demasiado tu trabajo Gracias, Un saludo