Como faço para sincronizar o horário entre as instâncias do Windows ingressadas em domínio e o AWS Managed Microsoft AD?

Breve descrição

Máquinas Windows podem ter pelo menos um servidor Network Time Protocol (NTP) predefinido no registro antes de ingressarem no domínio do AWS Managed Microsoft AD. Ao ingressar no domínio, as máquinas Windows sincronizam o horário automaticamente com todos os mecanismos disponíveis no domínio. Se os servidores NTP de origem tiverem horários diferentes, essa configuração poderá causar problemas relacionados à distorção temporal.

No exemplo a seguir, o parâmetro NtpServer é pré-preenchido com 169.254.169.123,0x9 antes que a instância ingresse no domínio do AWS Managed Microsoft AD. No entanto, o parâmetro Type muda para AllSync após o ingresso no domínio. Essa alteração durante a configuração pode causar uma distorção temporal.

Antes do ingresso no domínio:

PS C:\> w32tm /dumpreg /subkey:parameters | findstr /i "NtpServer Type"
Value Name Value Type Value Data
NtpServer REG_SZ 169.254.169.123,0x9
Type REG_SZ NTP

PS C:\> w32tm /query /configuration | findstr /i "Type NTPServer:"
Type: AllSync (Local)
NtpServer: 169.254.169.123,0x9 time.windows.com,0x8 (Local)

Depois do ingresso no domínio:

PS C:\> w32tm /dumpreg /subkey:parameters | findstr /i "NtpServer Type"
Value Name Value Type Value Data
NtpServer REG_SZ 169.254.169.123,0x9 time.windows.com,0x8
Type REG_SZ AllSync

PS C:\> w32tm /query /configuration | findstr /i "Type NTPServer:"
Type: AllSync (Local)
NtpServer: 169.254.169.123,0x9 time.windows.com,0x8 (Local)

Resolução

Como prática recomendada, use controladores de domínio para garantir que as máquinas ingressadas no domínio do Windows sincronizem o horário por meio da hierarquia de domínio do AWS Managed Microsoft AD. Para obter mais informações, consulte Como funciona o serviço de horário do Windows e Ferramentas e configurações do serviço de horário do Windows no site da Microsoft.

Pré-requisitos

Certifique-se de atender aos seguintes pré-requisitos:

• Instale as ferramentas de administração do Active Directory em uma instância do Amazon Elastic Compute Cloud (Amazon EC2) ingressada no domínio.

PS C:\> Install-windowsFeature RSAT-ADDS,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,GPMC,RSAT-DNS-Server
Success Restart Needed Exit Code      Feature Result
------- -------------- ---------      --------------
True    No             Success        {Group Policy Management, DNS Server Tools,…}

• Verifique se a instância do EC2 está vinculada ao domínio do AWS Managed Microsoft AD para o qual você deseja configurar uma hierarquia de domínio de sincronização de horário. Para obter mais informações, consulte Ingressar manualmente uma instância do Windows.

Configurar a hierarquia de horário do domínio do AWS Managed AD

Siga estas etapas para sincronizar o horário na hierarquia do domínio do AWS Managed AD usando as configurações de Política de grupo:

1.    Faça login na instância do EC2 usando o Remote Desktop Protocol (RDP) e defina o usuário do domínio como Administrador. Para obter mais informações, consulte Conectar-se à sua instância do Windows usando o RDP.

2.    Execute GPMC.msc para abrir o console de Gerenciamento de políticas de grupo.

3.    Escolha Domains (Domínios) e, em seguida, escolha [Nome do domínio], [Nome do diretório NetBIOS], Computers (Computadores).

4.    Escolha Computers (Computadores) e, em seguida, escolha Create a GPO in this domain and Link it here… (Criar um GPO neste domínio e vinculá-lo aqui)

Observação: os objetos de computador devem estar na unidade organizacional (UO) ou sob outras UOs dentro da mesma hierarquia.

5.    Dê um nome para o GPO, por exemplo, Domhier Time Sync e escolha OK.

6.    Escolha o GPO que você acabou de criar e depois escolha Edit (Editar).

7.    Escolha Computer Configuration (Configuração do computador) e escolha Administrative Templates (Modelos administrativos), System (Sistema), Windows Time Service (Serviço de horário do Windows), Time Providers (Provedores de horário).

8.    Escolha Enable Windows NTP Client (Habilitar Windows NTP Client) e selecione Enabled (Habilitado).

9.    Escolha OK.

10.   Escolha Configure NTP Client (Configurar cliente NTP).

11.   Selecione Enabled (Habilitado) e altere os seguintes parâmetros:

Em Type (Tipo), insira NT5DS.

Para SpecialPoolInterval, insira 900.

12.    Escolha OK.

Verificar se a instância do EC2 está usando a hierarquia de sincronização de horário

Conclua as etapas a seguir para confirmar se o controlador de domínio está sincronizando o horário por meio da hierarquia de domínio do AWS Managed Microsoft AD. Para obter mais informações, consulte Política de grupo: etapas básicas de solução de problemas para iniciantes, no site da Microsoft.

1.    Use a instância da seção anterior para forçar uma atualização das políticas de domínio. Abra um prompt do PowerShell como um prompt elevado ou como administrador e execute o seguinte comando:

PS C:\> gpupdate /force
Updating policy...
Computer Policy update has completed successfully.
User Policy update has completed successfully.

2.    Confirme se o NT5DS está instalado.

PS C:\> w32tm /query /configuration | findstr /i "Type NTPServer:"
Type: NT5DS (Policy)

3.    Descubra a fonte de horário à força:

PS C:\> w32tm /resync /rediscover
Sending resync command to local computer
The command completed successfully.

4.    Identifique o servidor de sincronização da instância. No exemplo a seguir, WIN-A2P2S44M219 é a fonte de horário.

PS C:\> w32tm /query /status
Leap Indicator: 0(no warning)
Stratum: 5 (secondary reference - syncd by (S)NTP)
Precision: -6 (15.625ms per tick)
Root Delay: 0.0329001s
Root Dispersion: 0.0868277s
ReferenceId: 0xAC1F0599 (source IP:  172.31.5.153)
Last Successful Sync Time: 9/28/2022 10:41:34 AM
Source: WIN-A2P2S44M219.example.com
Poll Interval: 7 (128s)

5.     Confirme se o servidor é um controlador de domínio:

PS C:\> Get-ADDomainController -Filter * | select name
name
----
WIN-A2P2S44M219
WIN-E4VM0DELNQ1

Observação: o controlador de domínio que está sincronizando o horário pode mudar durante a configuração. A alteração não causa problemas com a sincronização de horário.

5.    Verifique a sincronização de horário entre a instância e o controlador de domínio. O ideal é que a diferença de tempo seja a mais próxima possível de zero. Para obter mais informações, consulte W32tm no site da Microsoft.

PS C:\> w32tm /stripchart /computer:*WIN-A2P2S44M219.example.com (http://win-a2p2s44m219.example.com/)* /samples:3
Tracking *WIN-A2P2S44M219.example.com* (http://win-a2p2s44m219.example.com/) [172.31.5.153:123].
Collecting 3 samples.
The current time is 9/28/2022 10:42:26 AM.
10:42:26, d:+00.0006938s o:-00.0041540s  [                           *                           ]
10:42:28, d:+00.0006471s o:-00.0041757s  [                           *                           ]
10:42:30, d:+00.0006398s o:-00.0041987s  [                           *                           ]

---