¿Cómo puedo sincronizar la hora entre las instancias unidas a un dominio de Windows y Microsoft AD administrado por AWS?

6 minutos de lectura

Quiero usar políticas de grupo para configurar la sincronización horaria de las máquinas de Microsoft Windows a través de AWS Directory Service para Microsoft Active Directory.

Breve descripción

Las máquinas de Windows pueden tener un servidor de protocolo de tiempo de redes (NTP) preestablecido en el registro antes de la unión con el dominio de Microsoft AD administrado por AWS. Al unirse al dominio, las máquinas de Windows sincronizan automáticamente la hora con todos los mecanismos disponibles. Si los servidores de NTP de origen tienen horas diferentes, esta configuración puede provocar problemas relacionados con el sesgo horario.

En el siguiente ejemplo, el parámetro NtpServer se ha rellenado previamente con 169.254.169.123,0x9 antes de que la instancia se una al dominio de Microsoft AD administrado por AWS. Sin embargo, el parámetro Type cambia a AllSync después de la unión con el dominio. Este cambio de configuración puede provocar un sesgo horario.

Antes de la unión con el dominio:

PS C:\> w32tm /dumpreg /subkey:parameters | findstr /i "NtpServer Type"
Value Name Value Type Value Data
NtpServer REG_SZ 169.254.169.123,0x9
Type REG_SZ NTP

PS C:\> w32tm /query /configuration | findstr /i "Type NTPServer:"
Type: AllSync (Local)
NtpServer: 169.254.169.123,0x9 time.windows.com,0x8 (Local)

Después de la unión con el dominio:

PS C:\> w32tm /dumpreg /subkey:parameters | findstr /i "NtpServer Type"
Value Name Value Type Value Data
NtpServer REG_SZ 169.254.169.123,0x9 time.windows.com,0x8
Type REG_SZ AllSync

PS C:\> w32tm /query /configuration | findstr /i "Type NTPServer:"
Type: AllSync (Local)
NtpServer: 169.254.169.123,0x9 time.windows.com,0x8 (Local)

Solución

Como práctica recomendada, utilice controladores de dominio para asegurarse de que las máquinas unidas a un dominio de Windows sincronicen la hora a través de la jerarquía de dominios de Microsoft AD administrado por AWS. Para obtener más información, consulte Funcionamiento del servicio Hora de Windows y Configuración y herramientas del servicio de hora de Windows en el sitio web de Microsoft.

Requisitos previos

Asegúrese de cumplir los siguientes requisitos previos:

Instale las herramientas de administración de Active Directory en una instancia de Amazon Elastic Compute Cloud (Amazon EC2) unida a un dominio.

PS C:\> Install-windowsFeature RSAT-ADDS,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,GPMC,RSAT-DNS-Server
Success Restart Needed Exit Code      Feature Result
------- -------------- ---------      --------------
True    No             Success        {Group Policy Management, DNS Server Tools, . . . }

Compruebe que la instancia de EC2 esté unida al dominio de Microsoft AD administrado por AWS para el que desea configurar una jerarquía de dominios de sincronización horaria. Para obtener más información, consulte Manually join a Windows instance.

Configuración de la jerarquía horaria del dominio de AD administrado por AWS

Utilice la configuración de Directiva de grupo para sincronizar la hora en la jerarquía de dominios de AD administrado por AWS:

Inicie sesión en la instancia de EC2 mediante el protocolo de escritorio remoto (RDP) y configure el usuario del dominio como administrador. Para obtener más información, consulte Conectarse a una instancia de Windows mediante RDP.
Ejecute GPMC.msc para abrir la Consola de administración de directivas de grupo.
Elija Dominios y, a continuación, [Nombre de dominio],[Nombre NetBIOS del directorio] y Equipos.
Elija Equipos y, a continuación, Crear un GPO en este dominio y Vincularlo aquí:
Nota: Los objetos Equipo deben estar en la unidad organizativa (OU) o en otras unidades organizativas de la misma jerarquía.
Asigne un nombre al GPO, por ejemplo, Domhier Time Syn. A continuación, seleccione Aceptar.
Elija el GPO que acaba de crear y seleccione Editar.
Elija Configuración del equipo y, a continuación, Plantillas administrativas, Sistema, Servicio de hora de Windows, Proveedores de hora.
Elija Habilitar el cliente NTP de Windows y, a continuación, seleccione Habilitado.
Elija Aceptar.
Elija Configurar cliente NTP.
Seleccione Habilitado y, a continuación, cambie los siguientes parámetros:
En Type, indique NT5DS.
En SpecialPoolInterval,, indique 900.
Elija Aceptar.

Comprobación de si la instancia de EC2 utiliza la jerarquía de sincronización horaria

Complete los siguientes pasos para confirmar si el controlador del dominio está sincronizando la hora a través de la jerarquía de dominios de Microsoft AD administrado por AWS.

Para obtener más información, consulte Group Policy: basic troubleshooting steps for beginners en el sitio web de Microsoft.

Utilice la instancia de la sección anterior para forzar la actualización de las políticas del dominio. Abra una línea de comandos de Windows PowerShell como línea de comandos elevada o como administrador y ejecute el siguiente comando:

PS C:\> gpupdate /force
Updating policy...
Computer Policy update has completed successfully.
User Policy update has completed successfully.

Confirme que NT5DS esté en su lugar.

PS C:\> w32tm /query /configuration | findstr /i "Type NTPServer:"
Type: NT5DS (Policy)

Fuerce el descubrimiento del origen de la hora:

PS C:\> w32tm /resync /rediscover
Sending resync command to local computer
The command completed successfully.

Identifique el servidor de sincronización de la instancia. En el siguiente ejemplo, IP-C61301F5 es el origen de la hora.

PS C:\>  w32tm /query /status
Leap Indicator: 0(no warning)
Stratum: 5 (secondary reference - syncd by (S)NTP)
Precision: -23 (119.209ns per tick)
Root Delay: 0.0017265s
Root Dispersion: 0.2926529s
ReferenceId: 0xAC1F0DC6 (source IP:  172.31.13.198)
Last Successful Sync Time: 4/18/2023 12:45:37 PM
Source: IP-C61301F5.corp.example.com
Poll Interval: 7 (128s)

Confirme si el servidor es un controlador de dominio:

PS C:\> Get-ADDomainController -Filter * | select name
name
----
IP-C61301F5
IP-C6130214

Nota: El controlador de dominio que sincroniza la hora puede cambiar durante la configuración. El cambio no provoca ningún problema con la sincronización horaria.

Compruebe la sincronización horaria entre la instancia y el controlador de dominio. Idealmente, la diferencia horaria debería ser lo más cercana posible a cero. Para obtener más información, consulte W32tm en el sitio web de Microsoft.

PS C:\> w32tm /stripchart /computer:IP-C61301F5.corp.example.com /samples:3
Tracking IP-C61301F5.corp.example.com [172.31.13.198:123].
Collecting 3 samples.
The current time is 4/18/2023 12:43:11 PM.
12:43:11, d:+00.0010085s o:-00.0012111s  [                           *                           ]
12:43:13, d:+00.0015748s o:-00.0011228s  [                           *                           ]
12:43:15, error: 0x80072733

Información relacionada

How do I troubleshoot time issues with my EC2 Windows instance?

Establecer la hora para una instancia de Windows

Configuración predeterminada de protocolo de tiempo de redes (NTP) para las AMI de Amazon Windows

Temas

Seguridad, identidad y cumplimiento

Etiquetas

AWS Directory Service

Idioma

Español

OFICIAL DE AWSActualizada hace 6 meses

Contenido relevante

¿Cómo puedo configurar una relación de confianza entre dos dominios de AWS Managed Microsoft AD?
OFICIAL DE AWSActualizada hace 10 meses
¿Cómo permito a los usuarios del dominio el acceso RDP a una instancia de EC2 de Windows mediante una política de grupo en AWS Managed Microsoft AD o Simple AD?
OFICIAL DE AWSActualizada hace 2 años
¿Cómo puedo administrar un directorio de AWS Managed Microsoft AD o Simple AD desde una instancia de Windows de Amazon EC2?
OFICIAL DE AWSActualizada hace 2 años
¿Por qué no puedo unir fácilmente mi instancia de Windows Amazon de EC2 a un directorio de AWS Managed Microsoft AD?
OFICIAL DE AWSActualizada hace 10 meses