Principales respuestas
resultado BPA de AD en mi DC

Pregunta
-
Hola, Haciendo un escaneo con el best practice analyzer me da este error, y la verdad antes de hacer nada quiero preguntar, no quiero que mis usuarios se queden colgados por alguna maniobra equivocada. No tengo reloj interno. El reloj es el automatico que me da windows server a traves de internet. Exactamente que debo hacer¿? tanto en el PDC como en los clientes ¿? Problema: El maestro de operaciones de emulador de controlador de dominio principal (PDC) de este bosque no está configurado para sincronizar correctamente la hora a partir de un origen de hora válido. Impacto: Si el maestro emulador de PDC de este bosque no está configurado para sincronizar la hora correctamente a partir de un origen de hora válido, podría usar el reloj interno para la sincronización de la hora. Si el maestro emulador de PDC de este bosque genera un error o deja de estar disponible (y si no se configuró un servidor horario confiable (GTIMESERV) en el dominio raíz del bosque), otros equipos miembros y controladores de dominio del bosque no podrán sincronizar la hora. Resolución: Establezca el maestro emulador de PDC de este bosque para que sincronice la hora con un origen de hora externo confiable. Si no configuró un servidor horario confiable (GTIMESERV) en el dominio raíz del bosque, establezca el maestro emulador de PDC de este bosque para que sincronice la hora con un reloj de hardware instalado en la red (el método recomendado). También puede establecer el maestro emulador de PDC de este bosque para que sincronice la hora con un servidor horario externo ejecutando el comando w32tm /config /computer:dc.contoso.local /manualpeerlist:time.windows.com /syncfromflags:manual /update. Si se configuró un servidor horario confiable (GTIMESERV) en el dominio raíz del bosque, establezca el maestro emulador de PDC de este bosque para que sincronice la hora a partir de la jerarquía de dominio raíz del bosque ejecutando w32tm /config /computer:dc.contoso.local /syncfromflags:domhier /update.
TELE TRABAJO
Respuestas
-
Hola,
Generalmente las empresas no suelen tener sus NTP locales armados internamente, esto es importante tenerlo bien implementado ya que puede ser un bug de seguridad...
Por el lado de lo que tienes que configurar en AD, es correcto lo que indicas, tu server PDC con clave NTP y el o los DCs restantes con NT5DS, a su vez, el resto de los objetos computer de tu dominio (desktops o servidores), tambien tienen que tener configurado NT5DS en dicha clave, todo esto, lo puedes hacer mediante GPO para facilitarte las cosas: Computer Settings -> Administrative Templates -> System -> Time Service
Con respecto al server NTP, puedes utilizar el de Microsoft (por darte un ejemplo) que es el default que aparece en la clave de registro NTPServer, si el dia de mañana habilitan en tu empresa un NTPServer o contratan otro externo, tienes que cambiar dicha clave de registro.
Por ultimo, luego de los cambios que hablamos, tienes que reiniciar el servicio Windows Time (W32Time).
Te paso unos articulos interesantes para familiarizarte en el tema y obviamente tomar mas informacion, como comente, es un tema muy extenso y seguramente te aparezcan mayores dudas, de mas esta decir que las mismas puedes seguir consultandolas en el foro:
http://support.microsoft.com/kb/816042/en-us
http://technet.microsoft.com/en-us/library/cc773263(WS.10).aspx
http://robsilver.org/ad/demystifying-time-in-a-forest/
http://blogs.msdn.com/b/w32time/Salu2
Leonardo Ponti MCSA - MCSE - MVA - MAP- Propuesto como respuesta Ismael Borche martes, 1 de marzo de 2011 16:28
- Marcado como respuesta Angel Garrido_1970 martes, 1 de marzo de 2011 16:43
Todas las respuestas
-
Hola,
Como sabemos, el sincronismo horario para toda la estructura de AD y sus clientes (Desktops y Servidores), tienen que tener un correcto sincronismo horario, para que esto funcione, lo que hace los clientes es sincronizar su hora sobre el DC al cual reporto, ahora bien, para asegurarnos de que esto funcione correctamente, tenemos que controlar nuestros Controladores de Dominio, para que entre ellos tengan tambien un correcto sincronismo, como funciona esto?, basicamente, lo que hacen todos los DCs es contactar al PDC y tomar la hora del mismo, con lo que recae toda la responsabilidad sobre dicho servidor.
Lo que te indica el BPA, es que no esta correctamente configurado el PDC para tomar la "responsabilidad absoluta" definiendo un NTP valido para tu dominio. Como se hace esto, tienes que mirar en todos los Controladores de dominio, la siguiente clave de registry:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
Key: Type con valor: NT5DS
Esta clave tiene que estar en todos los DCs menos en el PDC, ya que en el mismo en lugar de NT5DS tiene que figurar NTP y a su vez, en la key "NtpServer" tienes que poner el registro DNS o IP del server NTP de tu empresa o alguno externo confiable, de esta forma, si haces que tu estructura aplique un orden horario general.
Para ver que tan sincronizado estan tus Controladores de Dominio, puedes correr el comando: w32tm /monitor
Espero la explicacion haya quedado entendible, esto es mucho mas complejo a como lo explique y porque es importante tener el dominio sincronizado (no solo es importante, sino altamente primordial para que no se presenten problemas en tu infraestructura).
Salu2
Leonardo Ponti MCSA - MCSE - MVA - MAP -
Ok, Leo.
Confirmame el procedimiento para no meterla pata.....
Para ponerme en situacion tengo los dos servidores, el que es el PDC principal, el DC1 y un segundo controlador de dominio DC2
1º En mi DC2 debe estar la clave
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
Key: Type con valor: NT5DS
2º En mi DC1, el que es PDC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
Key: Type con valor: NTP
En la keyNTP SERVER, Aqui me entran dudas, que ponga el NTP server de mi DNS externo.....
¿Como puedo saber un NTP SERVER confiable y como lo meto en el DNS? No estoy seguro de lo que me indicas.....Nunca he realizado esta configuracion del registro, sorry
TELE TRABAJO -
Hola,
Generalmente las empresas no suelen tener sus NTP locales armados internamente, esto es importante tenerlo bien implementado ya que puede ser un bug de seguridad...
Por el lado de lo que tienes que configurar en AD, es correcto lo que indicas, tu server PDC con clave NTP y el o los DCs restantes con NT5DS, a su vez, el resto de los objetos computer de tu dominio (desktops o servidores), tambien tienen que tener configurado NT5DS en dicha clave, todo esto, lo puedes hacer mediante GPO para facilitarte las cosas: Computer Settings -> Administrative Templates -> System -> Time Service
Con respecto al server NTP, puedes utilizar el de Microsoft (por darte un ejemplo) que es el default que aparece en la clave de registro NTPServer, si el dia de mañana habilitan en tu empresa un NTPServer o contratan otro externo, tienes que cambiar dicha clave de registro.
Por ultimo, luego de los cambios que hablamos, tienes que reiniciar el servicio Windows Time (W32Time).
Te paso unos articulos interesantes para familiarizarte en el tema y obviamente tomar mas informacion, como comente, es un tema muy extenso y seguramente te aparezcan mayores dudas, de mas esta decir que las mismas puedes seguir consultandolas en el foro:
http://support.microsoft.com/kb/816042/en-us
http://technet.microsoft.com/en-us/library/cc773263(WS.10).aspx
http://robsilver.org/ad/demystifying-time-in-a-forest/
http://blogs.msdn.com/b/w32time/Salu2
Leonardo Ponti MCSA - MCSE - MVA - MAP- Propuesto como respuesta Ismael Borche martes, 1 de marzo de 2011 16:28
- Marcado como respuesta Angel Garrido_1970 martes, 1 de marzo de 2011 16:43