Como sincronizo o tempo entre as instâncias do Windows ingressadas em domínio e o AWS Managed Microsoft AD?
Quero usar políticas de grupo para configurar a sincronização de tempo para máquinas de Microsoft Windows em todo o AWS Directory Service for Microsoft Active Directory.
Breve descrição
As máquinas de Windows podem ter um servidor de Protocolo de Tempo de Rede (NTP) predefinido no registro antes de ingressar no domínio do AWS Managed Microsoft AD. As máquinas de Windows sincronizam automaticamente o tempo com todos os mecanismos disponíveis quando ingressam no domínio. No entanto, se os servidores NTP de origem tiverem tempos diferentes, essa configuração pode causar problemas relacionados ao desvio de tempo.
Neste exemplo, o parâmetro NtpServer é pré-preenchido com 169.254.169.123,0x9 antes que a instância ingresse no domínio do AWS Managed Microsoft AD. No entanto, o parâmetro Type muda para AllSync depois do ingresso no domínio. Essa alteração na configuração pode causar um desvio de tempo.
Antes do ingresso no domínio:
PS C:\> w32tm /dumpreg /subkey:parameters | findstr /i "NtpServer Type" Value Name Value Type Value Data NtpServer REG_SZ 169.254.169.123,0x9 Type REG_SZ NTP
PS C:\> w32tm /query /configuration | findstr /i "Type NTPServer:" Type: AllSync (Local) NtpServer: 169.254.169.123,0x9 time.windows.com,0x8 (Local)
Depois do ingresso no domínio:
PS C:\> w32tm /dumpreg /subkey:parameters | findstr /i "NtpServer Type" Value Name Value Type Value Data NtpServer REG_SZ 169.254.169.123,0x9 time.windows.com,0x8 Type REG_SZ AllSync
PS C:\> w32tm /query /configuration | findstr /i "Type NTPServer:" Type: AllSync (Local) NtpServer: 169.254.169.123,0x9 time.windows.com,0x8 (Local)
Resolução
Como prática recomendada, use controladores de domínio para garantir que as máquinas de Windows ingressadas em domínio sincronizem o tempo por meio da hierarquia de domínios do AWS Managed Microsoft AD. Para obter mais informações, consulte How the Windows Time service works e Windows Time service tools and settings no site da Microsoft.
Pré-requisitos
Certifique-se de preencher estes pré-requisitos:
- Instale as ferramentas de administração do Active Directory em uma instância do Amazon Elastic Compute Cloud (Amazon EC2) ingressada no domínio.
PS C:\> Install-windowsFeature RSAT-ADDS,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,GPMC,RSAT-DNS-Server Success Restart Needed Exit Code Feature Result ------- -------------- --------- -------------- True No Success {Group Policy Management, DNS Server Tools, . . . }
- Verifique se a instância do EC2 está ingressada no domínio do AWS Managed Microsoft AD para o qual você deseja configurar uma hierarquia de domínios de sincronização de tempo. Para obter mais informações, consulte Manually join a Windows instance.
Configure a hierarquia de tempo de domínios do AWS Managed AD
Use as configurações da Política de grupo para sincronizar o tempo na hierarquia de domínios do AWS Managed AD:
- Use o Remote Desktop Protocol (RDP) para fazer login na instância do EC2. Em seguida, defina o usuário do domínio como administrador. Para obter mais informações, consulte Conectar-se à sua instância baseada no Windows usando RDP.
- Execute GPMC.msc para abrir o console de Gerenciamento de política de grupo.
- Escolha Domínios e, em seguida, escolha**[Nome do domínio], [Nome do diretório NetBIOS]**, Computadores.
- Escolha Computadores e, em seguida, escolha Criar um GPO neste domínio e vinculá-lo aqui:
Observação: os objetos do computador devem estar na unidade organizacional (OU) ou em outras OUs dentro da mesma hierarquia. - Nomeie o GPO. Por exemplo, você pode usar Domhier Time Syn. Em seguida, escolha OK.
- Escolha o GPO que você acabou de criar e, em seguida, escolha Editar.
- Escolha Configuração do computador e, em seguida, escolha Modelos administrativos, Sistema, Serviço de Horário do Windows, Provedores de tempo.
- Escolha Ativar cliente NTP do Windows e selecione Ativado.
- Escolha OK.
- Escolha Configurar cliente NTP.
- Selecione Ativado e, em seguida, altere estes parâmetros:
Em Tipo, insira NT5DS.
Em SpecialPoolInterval, insira 900. - Escolha OK.
Verifique se a instância do EC2 usa a hierarquia de sincronização de tempo
Conclua essas etapas para confirmar se o controlador de domínio está sincronizando o tempo por meio da hierarquia de domínios do AWS Managed Microsoft AD.
Para obter mais informações, consulte Group Policy: basic troubleshooting steps for beginners no site da Microsoft.
-
Use a instância da seção anterior para forçar uma atualização das políticas de domínio. Abra um prompt do Windows PowerShell como um prompt elevado ou como administrador e execute este comando:
PS C:\> gpupdate /force Updating policy... Computer Policy update has completed successfully. User Policy update has completed successfully.
-
Confirme se o NT5DS está em vigor.
PS C:\> w32tm /query /configuration | findstr /i "Type NTPServer:" Type: NT5DS (Policy)
-
Force a descoberta da fonte de tempo:
PS C:\> w32tm /resync /rediscover Sending resync command to local computer The command completed successfully.
-
Identifique o servidor de sincronização da instância. Neste exemplo, IP-C61301F5 é a fonte de tempo.
PS C:\> w32tm /query /status Leap Indicator: 0(no warning) Stratum: 5 (secondary reference - syncd by (S)NTP) Precision: -23 (119.209ns per tick) Root Delay: 0.0017265s Root Dispersion: 0.2926529s ReferenceId: 0xAC1F0DC6 (source IP: 172.31.13.198) Last Successful Sync Time: 4/18/2023 12:45:37 PM Source: IP-C61301F5.corp.example.com Poll Interval: 7 (128s)
-
Confirme se o servidor é um controlador de domínio:
PS C:\> Get-ADDomainController -Filter * | select name name ---- IP-C61301F5 IP-C6130214
Observação: o controlador de domínio que está sincronizando o tempo pode mudar durante a configuração. A alteração não causa problemas com a sincronização de tempo.
-
Verifique a sincronização de tempo entre a instância e o controlador de domínio. Idealmente, a diferença de tempo é a mais próxima de zero possível. Para obter mais informações, consulte W32tm no site da Microsoft.
PS C:\> w32tm /stripchart /computer:IP-C61301F5.corp.example.com /samples:3 Tracking IP-C61301F5.corp.example.com [172.31.13.198:123]. Collecting 3 samples. The current time is 4/18/2023 12:43:11 PM. 12:43:11, d:+00.0010085s o:-00.0012111s [ * ] 12:43:13, d:+00.0015748s o:-00.0011228s [ * ] 12:43:15, error: 0x80072733
Informações relacionadas
How do I troubleshoot time issues with my EC2 Windows instance?
Definir o horário para uma instância do Windows
Configurações de NTP (Network Time Protocol) padrão para AMIs do Windows da Amazon
Conteúdo relevante
- AWS OFICIALAtualizada há um ano
- AWS OFICIALAtualizada há um ano
- AWS OFICIALAtualizada há 2 anos