Configuración del mecanismo de tiempo para Windows Virtual Machines de Active Directory en Azure
Se aplica a: ✔️ Máquinas virtuales Windows
Use esta guía para aprender a configurar la sincronización de hora para Windows Virtual Machines de Azure que pertenezcan a un Dominio de Active Directory.
Jerarquía de sincronización de hora en Active Directory Domain Services
La sincronización de hora en Active Directory solo debe administrarse al permitir que el PDC acceda a un origen de hora externo o a un servidor NTP.
A continuación, todos los demás controladores de dominio sincronizarán la hora con el PDC y todos los demás miembros obtendrán su hora desde el controlador de dominio que cumplió la solicitud de autenticación de ese miembro.
Si tiene un dominio de Active Directory que se ejecuta en máquinas virtuales hospedadas en Azure, siga estos pasos para configurar correctamente la sincronización de hora.
Nota:
Esta guía se centra en el uso de la consola de administración de directivas de grupo para realizar la configuración. Puede lograr los mismos resultados mediante el símbolo del sistema, PowerShell o al modificar manualmente el Registro, pero estos métodos no están dentro del ámbito de este artículo.
GPO para permitir que el PDC se sincronice con un origen NTP externo
Para comprobar el origen de la hora actual en el PDC, desde un símbolo del sistema con privilegios elevados, ejecute w32tm /query /source y anote la salida para la comparación posterior.
- En Iniciar, ejecute gpmc.msc.
- Vaya al bosque y al dominio donde desea crear el GPO.
- Cree un nuevo GPO, por ejemplo, Sincronización de hora de PDC, en el contenedor Objetos de directiva de grupo.
- Haga clic con el botón derecho en el GPO recién creado y edítelo.
- Vaya a la directiva Parámetros de configuración global de Configuración del equipo ->Plantillas administrativas ->Sistema ->Servicio Horario de Windows.
- Establézcalo en Habilitado y configure el parámetro AnnounceFlags en 5.
- Vaya a Configuración del equipo ->Plantillas administrativas ->Sistema ->Servicio horario de Windows ->Proveedores de hora.
- Haga doble clic en la directiva Configurar cliente NTP de Windows y establézcala en Habilitado, configure el parámetro NTPServer para que apunte a una dirección IP o FQDN de un servidor horario seguido de
,0x9
, por ejemplo,131.107.13.100,0x9
, y configure Tipo en NTP. Para todos los demás parámetros, puede usar los valores predeterminados o personalizados según sus necesidades corporativas. - Haga clic en el botón Siguiente configuración, establezca la directiva Habilitar cliente NTP de Windows en Habilitado y haga clic en Aceptar
- En la pestaña Ámbito del GPO recién creado, vaya a Filtrado de seguridad y resalte el grupo Usuarios autenticados -> Haga clic en Quitar botón ->Aceptar ->Aceptar.
- Cree un filtro WMI para obtener dinámicamente el controlador de dominio que tiene el rol de PDC:
- En la consola de Administración de directiva de grupo, vaya a Filtros WMI, haga clic con el botón derecho en esta opción y seleccione Nuevo.
- En la ventana Nuevo filtro WMI, asigne un nombre al nuevo filtro; por ejemplo, Obtener emulador de PDC -> rellene el campo Descripción (opcional) -> Haga clic en el botón Agregar.
- En la ventana Consulta WMI, deje el espacio de nombres tal cual, en el cuadro de texto Consulta pegue la cadena siguiente
Select * from Win32_ComputerSystem where DomainRole = 5
y, a continuación, haga clic en el botón Aceptar. - De nuevo en la ventana Nuevo filtro de WMI, haga clic en el botón Guardar.
- En la pestaña Ámbito del GPO recién creado, vaya al menú desplegable Filtrado de WMI, seleccione el filtro WMI que creó anteriormente y haga clic en Aceptar.
- En la pestaña Ámbito del GPO recién creado, vaya al filtro de seguridad, haga clic en el botón Agregar y busque el grupo Controladores de dominio; a continuación, haga clic en el botón Aceptar.
- Vincule el GPO a la unidad organizativa controladores de dominio.
Nota
Estos cambios pueden tardar hasta 15 minutos en reflejarse en el sistema.
Desde un símbolo del sistema con privilegios elevados, vuelva a ejecutar w32tm /query /source y compare la salida con la que anotó al principio de la configuración. Ahora se establecerá en el servidor NTP que eligió.
Sugerencia
Si quiere acelerar el proceso de cambio del origen NTP en el PDC, desde un símbolo del sistema con privilegios elevados, ejecute gpupdate /force, seguido de w32tm /resync /nowait, vuelva a ejecutar w32tm /query /source; la salida debe ser el servidor NTP que usó en el GPO anterior.
GPO para miembros
Normalmente, NTP en Active Directory Domain Services seguirá la jerarquía de hora de AD DS que se menciona al principio de este artículo y no es necesaria ninguna otra configuración.
Sin embargo, las máquinas virtuales hospedadas en Azure tienen una configuración de seguridad específica que aplica directamente la plataforma en la nube.
En el caso de todos los demás miembros del dominio que no son controladores de dominio, deberá modificar el registro y establecer el valor en 0 en la clave Habilitada en HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider
Importante
Recuerde que se pueden producir problemas graves si el registro se modifica de forma incorrecta. Por tanto, asegúrese de seguir estos pasos cuidadosamente y probarlos en un par de máquinas virtuales de prueba para asegurarse de que obtendrá el resultado esperado. Como protección adicional, haga una copia de seguridad del Registro antes de modificarlo. Y así, si se produce algún problema, puede restaurarlo. Para información sobre cómo realizar copias de seguridad y restaurar el Registro de Windows, siga estos pasos.
Hacer un copia de seguridad del Registro
- Seleccione el tipo Comenzar, escriba regedit.exe y, a continuación, presione
Enter
. Si se le pide una contraseña de administrador o una confirmación, escriba la contraseña o dé su confirmación. - En la ventana Editor del Registro, localice y haga clic en la clave o subclave del Registro de la que quiera hacer una copia de seguridad.
- En el menú Archivo, seleccione Exportar.
- En el cuadro de diálogo Exportar archivo de Registro, seleccione la ubicación donde quiera guardar la copia de seguridad, escriba un nombre para el archivo de copia de seguridad en el cuadro Nombre de archivo y, a continuación, haga clic en Guardar.
Restauración de una copia de seguridad del Registro
- Seleccione el tipo Comenzar, escriba regedit.exe y, a continuación, presione
Enter
. Si se le pide una contraseña de administrador o una confirmación, escriba la contraseña o dé su confirmación. - En la ventana Editor del Registro, en el menú Archivo, seleccione Importar.
- En el cuadro de diálogo Importar archivo de Registro, seleccione la ubicación en la que guardó la copia de seguridad, seleccione el archivo de copia de seguridad y haga clic en Abrir.
GPO para deshabilitar VMICTimeProvider
Configure el siguiente objeto de directiva de grupo para permitir que los miembros del dominio sincronicen la hora con los controladores de dominio en su sitio de Active Directory correspondiente:
Para comprobar el origen de la hora actual, inicie sesión en cualquier miembro del dominio y, desde un símbolo del sistema con privilegios elevados, ejecute w32tm /query /source y anote el resultado para compararlo después.
- Desde un controlador de dominio, vaya a Comenzar y ejecute gpmc.msc.
- Vaya al bosque y al dominio donde desea crear el GPO.
- Cree un GPO, por ejemplo, Clients Time Sync, en el contenedor Group Policy Objects.
- Haga clic con el botón derecho en el GPO recién creado y edítelo.
- Vaya a Configuración del equipo ->Preferencias ->Configuración de Windows -> Haga clic con el botón derecho en Registro ->Nuevo ->Elemento del Registro
- En la ventana Nuevas propiedades del Registro, establezca los valores siguientes:
- En Acción: Actualizar
- En Subárbol: HKEY_LOCAL_MACHINE
- En la ruta de acceso de la clave: vaya a SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider
- En el tipo Nombre de valorHabilitado
- En Tipo de valor: REG_DWORD
- En el tipo Datos de valor: 0
- Para todos los demás parámetros, use los valores predeterminados y haga clic en Aceptar
- Vincule el GPO a la unidad organizativa donde se encuentran los miembros.
- Espere o fuerce manualmente una actualización de directiva de grupo en el miembro del dominio.
Vuelva al miembro del dominio y, desde un símbolo del sistema elevado, vuelva a ejecutar w32tm /query /source y compare el resultado con el que anotó al principio de la configuración. Ahora se establecerá en el controlador de dominio que cumplió la solicitud de autenticación del miembro.
Pasos siguientes
A continuación le ofrecemos varios vínculos para obtener más detalles sobre la sincronización horaria:
- Windows Time Service Tools and Settings (Herramientas y configuración del servicio de hora de Windows)
- Windows Server 2016 Improvements (Mejoras de Windows Server 2016)
- Accurate Time for Windows Server 2016 (Hora exacta para Windows Server 2016)
- Support boundary to configure the Windows Time service for high-accuracy environments (Límite del soporte técnico para configurar el servicio de hora de Windows en entornos de alta precisión)