none
resultado BPA de AD en mi DC RRS feed

  • Pregunta

  • Hola, Haciendo un escaneo con el best practice analyzer me da este error, y la verdad antes de hacer nada quiero preguntar, no quiero que mis usuarios se queden colgados por alguna maniobra equivocada. No tengo reloj interno. El reloj es el automatico que me da windows server a traves de internet. Exactamente que debo hacer¿? tanto en el PDC como en los clientes ¿? Problema: El maestro de operaciones de emulador de controlador de dominio principal (PDC) de este bosque no está configurado para sincronizar correctamente la hora a partir de un origen de hora válido. Impacto: Si el maestro emulador de PDC de este bosque no está configurado para sincronizar la hora correctamente a partir de un origen de hora válido, podría usar el reloj interno para la sincronización de la hora. Si el maestro emulador de PDC de este bosque genera un error o deja de estar disponible (y si no se configuró un servidor horario confiable (GTIMESERV) en el dominio raíz del bosque), otros equipos miembros y controladores de dominio del bosque no podrán sincronizar la hora. Resolución: Establezca el maestro emulador de PDC de este bosque para que sincronice la hora con un origen de hora externo confiable. Si no configuró un servidor horario confiable (GTIMESERV) en el dominio raíz del bosque, establezca el maestro emulador de PDC de este bosque para que sincronice la hora con un reloj de hardware instalado en la red (el método recomendado). También puede establecer el maestro emulador de PDC de este bosque para que sincronice la hora con un servidor horario externo ejecutando el comando w32tm /config /computer:dc.contoso.local /manualpeerlist:time.windows.com /syncfromflags:manual /update. Si se configuró un servidor horario confiable (GTIMESERV) en el dominio raíz del bosque, establezca el maestro emulador de PDC de este bosque para que sincronice la hora a partir de la jerarquía de dominio raíz del bosque ejecutando w32tm /config /computer:dc.contoso.local /syncfromflags:domhier /update.
    TELE TRABAJO
    viernes, 25 de febrero de 2011 12:43

Respuestas

  • Hola,

    Generalmente las empresas no suelen tener sus NTP locales armados internamente, esto es importante tenerlo bien implementado ya que puede ser un bug de seguridad...

    Por el lado de lo que tienes que configurar en AD, es correcto lo que indicas, tu server PDC con clave NTP y el o los DCs restantes con NT5DS, a su vez, el resto de los objetos computer de tu dominio (desktops o servidores), tambien tienen que tener configurado NT5DS en dicha clave, todo esto, lo puedes hacer mediante GPO para facilitarte las cosas: Computer Settings -> Administrative Templates -> System -> Time Service

    Con respecto al server NTP, puedes utilizar el de Microsoft (por darte un ejemplo) que es el default que aparece en la clave de registro NTPServer, si el dia de mañana habilitan en tu empresa un NTPServer o contratan otro externo, tienes que cambiar dicha clave de registro.

    Por ultimo, luego de los cambios que hablamos, tienes que reiniciar el servicio Windows Time (W32Time).

    Te paso unos articulos interesantes para familiarizarte en el tema y obviamente tomar mas informacion, como comente, es un tema muy extenso y seguramente te aparezcan mayores dudas, de mas esta decir que las mismas puedes seguir consultandolas en el foro:

    http://support.microsoft.com/kb/816042/en-us
    http://technet.microsoft.com/en-us/library/cc773263(WS.10).aspx
    http://robsilver.org/ad/demystifying-time-in-a-forest/
    http://blogs.msdn.com/b/w32time/

    Salu2


    Leonardo Ponti MCSA - MCSE - MVA - MAP
    sábado, 26 de febrero de 2011 15:41
    Moderador

Todas las respuestas

  • Hola,

    Como sabemos, el sincronismo horario para toda la estructura de AD y sus clientes (Desktops y Servidores), tienen que tener un correcto sincronismo horario, para que esto funcione, lo que hace los clientes es sincronizar su hora sobre el DC al cual reporto, ahora bien, para asegurarnos de que esto funcione correctamente, tenemos que controlar nuestros Controladores de Dominio, para que entre ellos tengan tambien un correcto sincronismo, como funciona esto?, basicamente, lo que hacen todos los DCs es contactar al PDC y tomar la hora del mismo, con lo que recae toda la responsabilidad sobre dicho servidor.

    Lo que te indica el BPA, es que no esta correctamente configurado el PDC para tomar la "responsabilidad absoluta" definiendo un NTP valido para tu dominio. Como se hace esto, tienes que mirar en todos los Controladores de dominio, la siguiente clave de registry:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters

    Key: Type con valor: NT5DS

    Esta clave tiene que estar en todos los DCs menos en el PDC, ya que en el mismo en lugar de NT5DS tiene que figurar NTP y a su vez, en la key "NtpServer" tienes que poner el registro DNS o IP del server NTP de tu empresa o alguno externo confiable, de esta forma, si haces que tu estructura aplique un orden horario general.

    Para ver que tan sincronizado estan tus Controladores de Dominio, puedes correr el comando:  w32tm /monitor

    Espero la explicacion haya quedado entendible, esto es mucho mas complejo a como lo explique y porque es importante tener el dominio sincronizado (no solo es importante, sino altamente primordial para que no se presenten problemas en tu infraestructura).

    Salu2


    Leonardo Ponti MCSA - MCSE - MVA - MAP
    viernes, 25 de febrero de 2011 13:51
    Moderador
  • Ok, Leo.

    Confirmame el procedimiento para no meterla pata.....

    Para ponerme en situacion tengo los dos servidores, el que es el PDC principal, el DC1 y un segundo controlador de dominio DC2

    1º En mi DC2 debe estar la clave

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters

    Key: Type con valor: NT5DS

    2º En mi DC1, el que es PDC

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters

    Key: Type con valor: NTP

    En la keyNTP SERVER, Aqui me entran dudas, que ponga el NTP server de mi DNS externo.....

    ¿Como puedo saber un NTP SERVER confiable y como lo meto en el DNS? No estoy seguro de lo que me indicas.....Nunca he realizado esta configuracion del registro, sorry


    TELE TRABAJO
    viernes, 25 de febrero de 2011 22:05
  • Hola,

    Generalmente las empresas no suelen tener sus NTP locales armados internamente, esto es importante tenerlo bien implementado ya que puede ser un bug de seguridad...

    Por el lado de lo que tienes que configurar en AD, es correcto lo que indicas, tu server PDC con clave NTP y el o los DCs restantes con NT5DS, a su vez, el resto de los objetos computer de tu dominio (desktops o servidores), tambien tienen que tener configurado NT5DS en dicha clave, todo esto, lo puedes hacer mediante GPO para facilitarte las cosas: Computer Settings -> Administrative Templates -> System -> Time Service

    Con respecto al server NTP, puedes utilizar el de Microsoft (por darte un ejemplo) que es el default que aparece en la clave de registro NTPServer, si el dia de mañana habilitan en tu empresa un NTPServer o contratan otro externo, tienes que cambiar dicha clave de registro.

    Por ultimo, luego de los cambios que hablamos, tienes que reiniciar el servicio Windows Time (W32Time).

    Te paso unos articulos interesantes para familiarizarte en el tema y obviamente tomar mas informacion, como comente, es un tema muy extenso y seguramente te aparezcan mayores dudas, de mas esta decir que las mismas puedes seguir consultandolas en el foro:

    http://support.microsoft.com/kb/816042/en-us
    http://technet.microsoft.com/en-us/library/cc773263(WS.10).aspx
    http://robsilver.org/ad/demystifying-time-in-a-forest/
    http://blogs.msdn.com/b/w32time/

    Salu2


    Leonardo Ponti MCSA - MCSE - MVA - MAP
    sábado, 26 de febrero de 2011 15:41
    Moderador