¿Cómo puedo sincronizar el tiempo entre las instancias vinculadas a un dominio de Windows y Microsoft AD administrado por AWS?

Descripción breve

Las máquinas de Windows pueden tener al menos un servidor de Network Time Protocol (NTP) preestablecido en el registro antes de vincularse al dominio de Microsoft AD administrado por AWS. Al unirse al dominio, las máquinas de Windows sincronizan automáticamente la hora con todos los mecanismos disponibles en el dominio. Si los servidores de NTP de origen tienen tiempos diferentes, esta configuración puede provocar problemas relacionados con el sesgo horario.

En el siguiente ejemplo, el parámetro NTPServer se rellena previamente con 169.254.169.123,0x9 antes de que la instancia se vincule al dominio de Microsoft AD administrado por AWS. Sin embargo, el parámetro Type cambia a AllSync después de vincularse al dominio. Este cambio durante la configuración puede provocar un sesgo temporal.

Antes de vincular al dominio:

PS C:\> w32tm /dumpreg /subkey:parameters | findstr /i "NtpServer Type"
Value Name Value Type Value Data
NtpServer REG_SZ 169.254.169.123,0x9
Type REG_SZ NTP

PS C:\> w32tm /query /configuration | findstr /i "Type NTPServer:"
Type: AllSync (Local)
NtpServer: 169.254.169.123,0x9 time.windows.com,0x8 (Local)

Después de vincular al dominio:

PS C:\> w32tm /dumpreg /subkey:parameters | findstr /i "NtpServer Type"
Value Name Value Type Value Data
NtpServer REG_SZ 169.254.169.123,0x9 time.windows.com,0x8
Type REG_SZ AllSync

PS C:\> w32tm /query /configuration | findstr /i "Type NTPServer:"
Type: AllSync (Local)
NtpServer: 169.254.169.123,0x9 time.windows.com,0x8 (Local)

Resolución

Como práctica recomendada, utilice controladores de dominio para asegurarse de que las máquinas vinculadas a un dominio de Windows sincronicen la hora a través de la jerarquía de dominios de Microsoft AD administrados por AWS. Para obtener más información, consulte Funcionamiento del servicio Hora de Windows y Configuración y herramientas del servicio de hora de Windows en el sitio web de Microsoft.

Requisitos previos

Asegúrese de cumplir los siguientes requisitos previos:

• Instale las herramientas de administración de Active Directory en una instancia de Amazon Elastic Compute Cloud (Amazon EC2) vinculada a un dominio.

PS C:\> Install-windowsFeature RSAT-ADDS,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,GPMC,RSAT-DNS-Server
Success Restart Needed Exit Code      Feature Result
------- -------------- ---------      --------------
True    No             Success        {Group Policy Management, DNS Server Tools,…}

• Compruebe que la instancia de EC2 esté vinculada al dominio de Microsoft AD administrado por AWS para el que desea configurar una jerarquía de dominios de sincronización horaria. Para obtener más información, consulte Unirse manualmente a una instancia de Windows.

Configurar la jerarquía temporal del dominio de AD administrado por AWS

Siga estos pasos para sincronizar la hora en la jerarquía de dominios de AD administrados por AWS mediante la configuración de la política de grupo:

1.    Inicie sesión en la instancia de EC2 mediante el Protocolo de escritorio remoto (RDP) y configure el usuario del dominio como administrador. Para obtener más información, consulte Conectarse a una instancia de Windows mediante RDP.

2.    Ejecute GPMC.msc para abrir la consola de administración de políticas de grupo.

3.    Elija Domains (Dominios) y, a continuación, elija [Nombre de dominio], [Nombre de NetBIOS del directorio] y Computers (Computadoras).

4.    Elija Computers (Computadoras) y, a continuación, elija Create a GPO in this domain and Link it here… (Crear un GPO en este dominio y vincularlo aquí…)

Nota: Los objetos del equipo deben estar en la unidad organizativa (OU) o en otras unidades organizativas de la misma jerarquía.

5.    Asigne al GPO un nombre, por ejemplo, Sincronización horaria de Domhier y, a continuación, seleccione OK (Aceptar).

6.    Elija el GPO que acaba de crear y, a continuación, elija Edit (Editar).

7.    Elija Computer Configuration (Configuración del equipo) y, a continuación, seleccione Administrative Templates (Plantillas administrativas), System (Sistema), WindowsTime Service (Servicio WindowsTime) y Time Providers (Proveedores de hora).

8.    Elija Enable Windows NTP Client (Habilitar el cliente NTP de Windows) y, a continuación, seleccione Enabled (Habilitado).

9.    Elija OK (Aceptar).

10.   Elija Configure NTP Client (Configurar cliente NTP).

11.   Seleccione Enabled (Habilitado) y cambie los siguientes parámetros:

En Type (Type), ingrese NT5DS.

En SpecialPoolInterval, ingrese 900.

12.    Elija OK (Aceptar).

Comprobar si la instancia de EC2 utiliza la jerarquía de sincronización horaria

Complete los siguientes pasos para confirmar que el controlador de dominio está sincronizando la hora a través de la jerarquía de dominios de Microsoft AD administrados por AWS. Para obtener más información, consulte Group Policy: Basic troubleshooting steps for beginners (Política de grupo: pasos básicos de solución de problemas para principiantes) en el sitio web de Microsoft.

1.    Utilice la instancia de la sección anterior para forzar la actualización de las políticas de dominio. Abra una línea de comandos de PowerShell como una línea de comandos elevada o como administrador y ejecute el siguiente comando:

PS C:\> gpupdate /force
Updating policy...
Computer Policy update has completed successfully.
User Policy update has completed successfully.

2.    Confirme que NT5DS esté en su lugar.

PS C:\> w32tm /query /configuration | findstr /i "Type NTPServer:"
Type: NT5DS (Policy)

3.    Descubra de manera forzosa el origen de la hora:

PS C:\> w32tm /resync /rediscover
Sending resync command to local computer
The command completed successfully.

4.    Identifique el servidor de sincronización de la instancia. En el siguiente ejemplo, WIN-A2P2S44M219 es el origen de la hora.

PS C:\> w32tm /query /status
Leap Indicator: 0(no warning)
Stratum: 5 (secondary reference - syncd by (S)NTP)
Precision: -6 (15.625ms per tick)
Root Delay: 0.0329001s
Root Dispersion: 0.0868277s
ReferenceId: 0xAC1F0599 (source IP:  172.31.5.153)
Last Successful Sync Time: 9/28/2022 10:41:34 AM
Source: WIN-A2P2S44M219.example.com
Poll Interval: 7 (128s)

5.     Confirme que el servidor es un controlador de dominio:

PS C:\> Get-ADDomainController -Filter * | select name
name
----
WIN-A2P2S44M219
WIN-E4VM0DELNQ1

Nota: El controlador de dominio que sincroniza la hora puede cambiar durante la configuración. El cambio no provoca ningún problema con la sincronización horaria.

5.    Compruebe la sincronización horaria entre la instancia y el controlador de dominio. Idealmente, la diferencia horaria es lo más cercana posible a cero. Para obtener más información, consulte W32tm en el sitio web de Microsoft.

PS C:\> w32tm /stripchart /computer:*WIN-A2P2S44M219.example.com (http://win-a2p2s44m219.example.com/)* /samples:3
Tracking *WIN-A2P2S44M219.example.com* (http://win-a2p2s44m219.example.com/) [172.31.5.153:123].
Collecting 3 samples.
The current time is 9/28/2022 10:42:26 AM.
10:42:26, d:+00.0006938s o:-00.0041540s  [                           *                           ]
10:42:28, d:+00.0006471s o:-00.0041757s  [                           *                           ]
10:42:30, d:+00.0006398s o:-00.0041987s  [                           *                           ]

---