Instalación de servidor de tiempos NTP en Active Directory
Uno de los puntos más importantes dentro de directorio activo es la sincronización de la hora, que muchas veces puede darnos un buen dolor de cabeza. Hoy os quiero mostrar como configurar un servidor NTP en vuestro directorio activo. Lo más cómodo, por los recursos y la importancia, es darle ese role a uno de los controladores de dominio, que suelen ser accesibles por toda la organización.
El servidor de tiempos utiliza el puerto 123 (UDP)
Así que nos ponemos manos a la obra. Lo primero que haremos será comprobar donde están mirando las máquinas, en mi caso el DC2 cuando quiero que sea el DC1.
El comando a utilizar es
1 |
w32tm /query /status |
Lo primero que haremos será preparar el DC1 para que pueda ser servidor NTP. Para ello hay que modificar varias claves de registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time
Carpeta CONFIG, modificamos los valores como en la imagen:
Carpeta PARAMETERS:
Carpeta TimeProviders\NtpClient:
Carpeta TimeProviders\NtpServer:
Realizamos un reinicio del servicio:
1 |
<strong>Get-Service W32Time | restart-service</strong> |
Y volvemos a comprobar:
Deberíamos ver esto (con el servidor de tiempos de internet que nos interese y hemos colocado anteriormente en la clave de registro):
Ahora generamos una GPO:
Colocamos el servicio Windows Time en Automático:
Editamos y modificamos estos parámetros:
1 |
<strong>Computer Configuration > Policies > Administrative Templates > System > Windows Time Service > Time Providers > Configure Windows NTP Client</strong> |
También modificamos:
1 |
<strong>Computer Configuration > Policies > Administrative Templates > System > Windows Time Service > Time Providers > Enable Windows NTP Client</strong> |
Para que no se le aplique a los DCs, creamos un filtro:
Con la siguiente select:
1 |
SELECT * FROM Win32_ComputerSystem where Name <> "ad1" |
Y asignamos ese filtro a la GPO desde la pestaña Scope –> WMI Filtering:
Y aplicamos la GPO a Computers, no usuarios:
Ahora simplemente aplicamos la GPO en el dominio (primero probando sobre un servidor con poco impacto):
Arrastramos a desarrollo por ejemplo:
Verificamos:
Ahora nos conectamos RDP a una máquina y lanzamos:
Actualizamos las políticas y rehacemos un rediscover para el nuevo servidor de tiempos:
Y volvemos a comprobar:
Para el AD2 le ponemos a mano el servidor de tiempos en la clave de registro, así no dependemos de una GPO:
¿Te ha gustado la entrada SÍGUENOS EN TWITTER?
Te ha gustado la entrada SGUENOS EN TWITTER O INVITANOS A UN CAFE?