Configure o mecanismo de tempo para Máquinas Virtuais do Windows do Active Directory no Azure

Aplica-se a: ✔️ Máquinas Virtuais do Windows

Use este guia para aprender a configurar a sincronização de hora para suas Máquinas Virtuais do Windows do Azure que pertencem a uma Domínio do Active Directory.

Hierarquia de sincronização de tempo no Active Directory Domain Services

A sincronização de hora no Active Directory deve ser gerenciada permitindo apenas que o PDC acesse uma fonte de hora externa ou um servidor NTP.

Todos os outros Controladores de Domínio sincronizariam o tempo com o PDC e todos os outros membros obterão seu tempo do Controlador de Domínio que satisfaça a solicitação de autenticação desse membro.

Se você tiver um domínio do Active Directory em execução nas máquinas virtuais hospedadas no Azure, siga estas etapas para configurar corretamente a Sincronização de horário.

Observação

Este guia se concentra no uso do console de Gerenciamento de Política de Grupo para executar a configuração. Você pode obter os mesmos resultados usando o Prompt de Comando, o PowerShell ou modificando o Registro manualmente; no entanto, esses métodos não estão no escopo neste artigo.

GPO para permitir que o PDC seja sincronizado com uma fonte NTP externa

Para verificar a fonte de hora atual no PDC, em um prompt de comando com privilégios elevados, execute w32tm /query /source e tome nota da saída para comparação posterior.

1. Em Iniciar, execute gpmc.msc.
2. Navegue até a Floresta e o Domínio em que deseja criar o GPO.
3. Crie um GPO, por exemplo, Sincronização de Tempo de PDC, no contêiner Objetos de Política de Grupo.
4. Clique com o botão direito do mouse no GPO recém-criado e em Editar.
5. Navegue até a política Definições de Configurações Globais em Configuração do Computador ->Modelos Administrativos ->Sistema ->Serviço de Hora do Windows.
6. Defina-a como Habilitado e configure o parâmetro AnnounceFlags como 5.
7. Navegue até Configurações do Computador ->Modelos Administrativos ->Sistema ->Serviço de Hora do Windows ->Provedores de Hora.
8. Clique duas vezes na política Configurar o Cliente NTP do Windows e defina-a como Habilitado, configure o parâmetro NTPServer para apontar para um endereço IP ou FQDN de um servidor de hora seguido por ,0x9, por exemplo: 131.107.13.100,0x9 e configure o Tipo como NTP. Para todos os outros parâmetros, você pode usar os valores padrão ou pode usar valores personalizados de acordo com suas necessidades corporativas.
9. Clique no botão Próxima configuração, defina a política Habilitar o cliente NTP do Windows como Habilitada e clique em OK
10. Na guia Escopodo GPO recém-criado, navegue até Filtragem de Segurança e realce o grupo Usuários Autenticados – > clique no botão Remover –>OK –>OK
11. Crie um filtro WMI para obter dinamicamente o Controlador de Domínio com a função PDC:
    • No console de Gerenciamento de Política de Grupo, navegue até Filtros WMI, clique com o botão direito do mouse nele e selecione Novo.
    • Na janela Novo Filtro WMI, dê um nome ao novo filtro, por exemplo, Obter Emulador PDC –> Preencher o campo Descrição (opcional) –> Clique no botão Adicionar.
    • Na janela Consulta WMI, deixe o Namespace como está, na caixa de texto Consulta, cole a cadeia de caracteres a seguir Select * from Win32_ComputerSystem where DomainRole = 5 e clique no botão OK.
    • De volta à janela Novo Filtro WMI, clique no botão Salvar.
12. Na guia Escopo do GPO recém-criado, navegue até o menu suspenso Filtragem WMI, selecione o filtro WMI criado anteriormente e clique em OK.
13. Na guia Escopo do GPO recém-criado, navegue até a Filtragem de Segurança, clique no botão Adicionar, procure o grupo Controladores de Domínio e clique no botão OK.
14. Vincule o GPO à Unidade Organizacional dos Controladores de Domínio.

Observação

Pode levar até 15 minutos para que essas alterações sejam refletidas no sistema.

Em um prompt de comando com privilégios elevados, execute w32tm /query /source novamente e compare a saída com a que você anotou no início da configuração. Agora, ela será definida como o Servidor NTP que você escolheu.

Dica

Para acelerar o processo de alteração da origem NTP em seu PDC, execute gpupdate /force em um prompt de comando com privilégios elevados, seguido por w32tm /resync /nowait, e, em seguida, execute w32tm /query /source novamente; a saída deve ser o servidor NTP usado no GPO acima.

GPO para Membros

Normalmente, o NTP no Active Directory Domain Services seguirá a Hierarquia de Tempo do AD DS mencionada no início deste artigo e nenhuma configuração adicional é necessária.

No entanto, as máquinas virtuais hospedadas no Azure têm configurações de segurança específicas aplicadas diretamente pela plataforma de nuvem.

Em todos os outros membros de domínio que não sejam Controladores de Domínio, você precisará modificar o registro e definir o valor como 0 na chave Habilitado em HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider

Importante

Lembre-se de que poderão ocorrer problemas graves se você modificar o Registro incorretamente. Portanto, certifique-se de seguir essas etapas com cuidado e testá-las em algumas máquinas virtuais de teste para garantir que você obterá o resultado esperado. Para maior proteção, faça backup do Registro antes de modificá-lo. Assim, será possível restaurá-lo se houver algum problema. Para saber como fazer backup e restaurar o Registro do Windows, siga as etapas abaixo.

Fazer backup do registro

1. Em Iniciar, digite regedit.exe e pressione Enter. Caso precise inserir uma senha de administrador ou para confirmação, digite a senha ou forneça a confirmação.
2. Na janela Editor do Registro, localize a chave ou a subchave do Registro da qual deseja fazer backup e clique nela.
3. No menu Arquivo, selecione Exportar.
4. Na caixa de diálogo Exportar Arquivo do Registro, selecione o local no qual deseja salvar a cópia de backup, digite um nome para o arquivo de backup no campo Nome do arquivo e, em seguida, clique em Salvar.

Restaurar um backup do registro

1. Em Iniciar, digite regedit.exe e pressione Enter. Caso precise inserir uma senha de administrador ou para confirmação, digite a senha ou forneça a confirmação.
2. Na janela Editor do registro, no menu Arquivo, selecione Importar.
3. Na caixa de diálogo Importar Arquivo do Registro, selecione o local no qual você salvou a cópia de backup, selecione o arquivo de backup e clique em Abrir.

GPO para desabilitar o VMICTimeProvider

Configure o seguinte objeto da Política de Grupo para permitir que os membros do domínio sincronizem o tempo com os Controladores de Domínio no Site correspondente do Active Directory:

Para verificar a fonte de hora atual, faça logon em um membro do domínio e, em um prompt de comando com privilégios elevados, execute w32tm /query /source e tome nota da saída para comparação posterior.

1. Em um Controlador de Domínio, vá para Iniciar e execute gpmc.msc.
2. Navegue até a Floresta e o Domínio em que deseja criar o GPO.
3. Crie um GPO, por exemplo, Sincronização de Hora dos Clientes, no contêiner Objetos de Política de Grupo.
4. Clique com o botão direito do mouse no GPO recém-criado e em Editar.
5. Navegue até Configuração do Computador ->Preferências ->Configurações do Windows ->Clique com o botão direito em Registro ->Novo ->Item de Registro
6. Na janela Novas Propriedades do Registro, defina os seguintes valores:
   • Em Ação: Atualizar
   • Em Hive: HKEY_LOCAL_MACHINE
   • No Caminho da chave: navegue até SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider
   • No Nome do valor, digite Habilitado
   • Em Tipo de valor: REG_DWORD
   • Em Dados de valor: digite 0
7. Em todos os outros parâmetros, use os valores padrão e clique em OK
8. Vincule o GPO à Unidade Organizacional onde seus membros estão localizados.
9. Aguarde ou force manualmente uma Atualização da Política de Grupo no membro do domínio.

Retorne ao membro de domínio e, em um prompt de comando com privilégios elevados, execute w32tm /query /source novamente e compare a saída com a que você anotou no início da configuração. Agora, ele será definido como o Controlador de Domínio que satisfez a solicitação de autenticação do membro.

Próximas etapas

Abaixo, são apresentados links para mais detalhes sobre a sincronização de data/hora:

• Ferramentas e configurações do Serviço de Tempo do Windows
• Aprimoramentos do Windows Server 2016
• Hora precisa no Windows Server 2016
• Limite de suporte para configurar o Serviço de Horário do Windows para ambientes de alta precisão