Como sincronizo o tempo entre as instâncias do Windows ingressadas em domínio e o AWS Managed Microsoft AD?

6 minuto de leitura
0

Quero usar políticas de grupo para configurar a sincronização de tempo para máquinas de Microsoft Windows em todo o AWS Directory Service for Microsoft Active Directory.

Breve descrição

As máquinas de Windows podem ter um servidor de Protocolo de Tempo de Rede (NTP) predefinido no registro antes de ingressar no domínio do AWS Managed Microsoft AD. As máquinas de Windows sincronizam automaticamente o tempo com todos os mecanismos disponíveis quando ingressam no domínio. No entanto, se os servidores NTP de origem tiverem tempos diferentes, essa configuração pode causar problemas relacionados ao desvio de tempo.

Neste exemplo, o parâmetro NtpServer é pré-preenchido com 169.254.169.123,0x9 antes que a instância ingresse no domínio do AWS Managed Microsoft AD. No entanto, o parâmetro Type muda para AllSync depois do ingresso no domínio. Essa alteração na configuração pode causar um desvio de tempo.

Antes do ingresso no domínio:

PS C:\> w32tm /dumpreg /subkey:parameters | findstr /i "NtpServer Type"
Value Name Value Type Value Data
NtpServer REG_SZ 169.254.169.123,0x9
Type REG_SZ NTP
PS C:\> w32tm /query /configuration | findstr /i "Type NTPServer:"
Type: AllSync (Local)
NtpServer: 169.254.169.123,0x9 time.windows.com,0x8 (Local)

Depois do ingresso no domínio:

PS C:\> w32tm /dumpreg /subkey:parameters | findstr /i "NtpServer Type"
Value Name Value Type Value Data
NtpServer REG_SZ 169.254.169.123,0x9 time.windows.com,0x8
Type REG_SZ AllSync
PS C:\> w32tm /query /configuration | findstr /i "Type NTPServer:"
Type: AllSync (Local)
NtpServer: 169.254.169.123,0x9 time.windows.com,0x8 (Local)

Resolução

Como prática recomendada, use controladores de domínio para garantir que as máquinas de Windows ingressadas em domínio sincronizem o tempo por meio da hierarquia de domínios do AWS Managed Microsoft AD. Para obter mais informações, consulte How the Windows Time service works e Windows Time service tools and settings no site da Microsoft.

Pré-requisitos

Certifique-se de preencher estes pré-requisitos:

PS C:\> Install-windowsFeature RSAT-ADDS,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,GPMC,RSAT-DNS-Server
Success Restart Needed Exit Code      Feature Result
------- -------------- ---------      --------------
True    No             Success        {Group Policy Management, DNS Server Tools, . . . }
  • Verifique se a instância do EC2 está ingressada no domínio do AWS Managed Microsoft AD para o qual você deseja configurar uma hierarquia de domínios de sincronização de tempo. Para obter mais informações, consulte Manually join a Windows instance.

Configure a hierarquia de tempo de domínios do AWS Managed AD

Use as configurações da Política de grupo para sincronizar o tempo na hierarquia de domínios do AWS Managed AD:

  1. Use o Remote Desktop Protocol (RDP) para fazer login na instância do EC2. Em seguida, defina o usuário do domínio como administrador. Para obter mais informações, consulte Conectar-se à sua instância baseada no Windows usando RDP.
  2. Execute GPMC.msc para abrir o console de Gerenciamento de política de grupo.
  3. Escolha Domínios e, em seguida, escolha**[Nome do domínio], [Nome do diretório NetBIOS]**, Computadores.
  4. Escolha Computadores e, em seguida, escolha Criar um GPO neste domínio e vinculá-lo aqui:
    Observação: os objetos do computador devem estar na unidade organizacional (OU) ou em outras OUs dentro da mesma hierarquia.
  5. Nomeie o GPO. Por exemplo, você pode usar Domhier Time Syn. Em seguida, escolha OK.
  6. Escolha o GPO que você acabou de criar e, em seguida, escolha Editar.
  7. Escolha Configuração do computador e, em seguida, escolha Modelos administrativos, Sistema, Serviço de Horário do Windows, Provedores de tempo.
  8. Escolha Ativar cliente NTP do Windows e selecione Ativado.
  9. Escolha OK.
  10. Escolha Configurar cliente NTP.
  11. Selecione Ativado e, em seguida, altere estes parâmetros:
    Em Tipo, insira NT5DS.
    Em SpecialPoolInterval, insira 900.
  12. Escolha OK.

Verifique se a instância do EC2 usa a hierarquia de sincronização de tempo

Conclua essas etapas para confirmar se o controlador de domínio está sincronizando o tempo por meio da hierarquia de domínios do AWS Managed Microsoft AD.

Para obter mais informações, consulte Group Policy: basic troubleshooting steps for beginners no site da Microsoft.

  1. Use a instância da seção anterior para forçar uma atualização das políticas de domínio. Abra um prompt do Windows PowerShell como um prompt elevado ou como administrador e execute este comando:

    PS C:\> gpupdate /force
    Updating policy...
    Computer Policy update has completed successfully.
    User Policy update has completed successfully.
  2. Confirme se o NT5DS está em vigor.

    PS C:\> w32tm /query /configuration | findstr /i "Type NTPServer:"
    Type: NT5DS (Policy)
  3. Force a descoberta da fonte de tempo:

    PS C:\> w32tm /resync /rediscover
    Sending resync command to local computer
    The command completed successfully.
  4. Identifique o servidor de sincronização da instância. Neste exemplo, IP-C61301F5 é a fonte de tempo.

    PS C:\>  w32tm /query /status
    Leap Indicator: 0(no warning)
    Stratum: 5 (secondary reference - syncd by (S)NTP)
    Precision: -23 (119.209ns per tick)
    Root Delay: 0.0017265s
    Root Dispersion: 0.2926529s
    ReferenceId: 0xAC1F0DC6 (source IP:  172.31.13.198)
    Last Successful Sync Time: 4/18/2023 12:45:37 PM
    Source: IP-C61301F5.corp.example.com
    Poll Interval: 7 (128s)
  5. Confirme se o servidor é um controlador de domínio:

    PS C:\> Get-ADDomainController -Filter * | select name
    name
    ----
    IP-C61301F5
    IP-C6130214

    Observação: o controlador de domínio que está sincronizando o tempo pode mudar durante a configuração. A alteração não causa problemas com a sincronização de tempo.

  6. Verifique a sincronização de tempo entre a instância e o controlador de domínio. Idealmente, a diferença de tempo é a mais próxima de zero possível. Para obter mais informações, consulte W32tm no site da Microsoft.

    PS C:\> w32tm /stripchart /computer:IP-C61301F5.corp.example.com /samples:3
    Tracking IP-C61301F5.corp.example.com [172.31.13.198:123].
    Collecting 3 samples.
    The current time is 4/18/2023 12:43:11 PM.
    12:43:11, d:+00.0010085s o:-00.0012111s  [                           *                           ]
    12:43:13, d:+00.0015748s o:-00.0011228s  [                           *                           ]
    12:43:15, error: 0x80072733

Informações relacionadas

How do I troubleshoot time issues with my EC2 Windows instance?

Definir o horário para uma instância do Windows

Configurações de NTP (Network Time Protocol) padrão para AMIs do Windows da Amazon

AWS OFICIAL
AWS OFICIALAtualizada há um ano