none
Melhores práticas para NTP server com Active Directory (máquina virtual) RRS feed

  • Pergunta

  • Bom dia a todos,

    Estou trabalhando num novo cliente, em que este não tem um servidor NTP, e, às vezes, o Domain Controller (que é uma VM do VMWare) fica com a hora errada. Eu preciso consertar isso porque às máquinas acabam ficando com o horário errado, e gerando problemas. Desse modo, gostaria de saber o que é melhor: Criar um servidor NTP com Linux, e apontar os DCs para ele (e, por consequencia, as workstations), ou apontar o DC que tem o PDC para um NTP externo (e apontar os server e as máquinas para esse DC)? Por fim, se eu for fazer um servidor NTP, tem alguma prática recomendada, inclusive com relação ao fato de os DCs (e a maioria dos servers) ser VMs?

    Desde já agradeço as respostas.

    segunda-feira, 8 de outubro de 2018 13:42

Respostas

  • Se não há firewall de borda, libera no firewall do Windows a saída da comunicação. com relação ao nome ou IP, se o seu servidor resolver o nome, não vejo problema, eu utilizo o IP. quando não ocorre a comunicação é gerado um evento de warning no visualizador de eventos.


    Se quiser derrubar uma árvore na metade do tempo, passe o dobro do tempo amolando o machado.

    • Marcado como Resposta IgorFKModerator segunda-feira, 29 de outubro de 2018 12:49
    sexta-feira, 19 de outubro de 2018 16:05
    Moderador

Todas as Respostas

  • Ola Windows Man,

    Se voce já possui um domain controller Windows, aponte via script para o seu controlador de domínio principal. Com isso não terá mais problemas de horário em seu cenário. 

    Poderá coloca no login da seguinte forma:

    net time \\servidor /set /yes

    Espero que ajude e grande abraço


    Vinicius Mozart || MVP - Cloud and Datacenter Management || vinicius.mozart@terra.com.br || http://www.wenz.com.br || Skype:vinicius.mozart || www.wenzcursos.com.br

    segunda-feira, 8 de outubro de 2018 20:43
    Moderador
  • Boa tarde,

    Desde que a porta do protocolo (Porta 123) esteja liberada no trunk que entrega a comunicaçao, firewall, etc, o fato de serem máquinas virtuais em si não tem interefência em seu cenário NTP. Este passa a ser mais complexo quando o ambiente dispõe de servidores ERP, CRM como SAP RH ou ferramentas de B.I como Tableau, etc devido a confeção de relatórios que podem inclusive levar horas que normalmente precisam ser schedulados para períodos da madrugada.  Se não for esse o seu caso, a recomendação é apontar para um pool de servidores para que a indisponibilidade de um deles não cause transtornos e vc possa contar com redundância e de preferência que sejam NTP atomicos que são mais precisos por terem sua referência na leitura de mais de 260 relógios atômicos localizados em institutos e observatórios de metrologia ao redor do mundo.

    Referências:
    https://ntp.br/tempo.php

    Outra recomendação é que apenas um de seus servidores "saia" para buscar a sincronização de horário. Costuno manter o servidor com fsmo de PDC como NTP, é mais recomendável que se houver diferença de horário, que toda a sua rede esteja com o mesmo horário, assim você não precisará lhe dar com incidentes de folha de pagamento além da criticidade dos bancos de dados que sua infraestrutura hospeda.

    Para casos de troubleshooting, você tem recursos como o comando w32tm /resync e outras ferramentas como as descritas em https://docs.microsoft.com/en-us/windows-server/networking/windows-time-service/windows-time-service-tools-and-settings.


    Espero ter ajudado :)
    segunda-feira, 8 de outubro de 2018 21:08
  • Bom dia Vinicius e Marcio Tadeu,

    Vinicius, desculpe, mas inicialmente não tinha entendido sua resposta. Mas agora entendi. Você falou que é para eu configurar o meu Domain Controller que tem o PDC Emulator para receber o NTP externo e, fazer configurar uma GPO para os clientes receberem as configurações de hora do DC que tem o NTP externo, ou seja, você já indicou o procedimento a fazer depois de configurar o NTP no DC, correto?

    Marcio, entendi. Vou fazer isso então (configurar o DC para receber o NTP externo).

    Obrigado pela ajuda de vocês.

    quinta-feira, 11 de outubro de 2018 12:22
  • Olá Windows Man,

    Isso mesmo, fazendo assim não tem erro.

    Grande abraço!


    Vinicius Mozart || MVP - Cloud and Datacenter Management || vinicius.mozart@terra.com.br || http://www.wenz.com.br || Skype:vinicius.mozart || www.wenzcursos.com.br

    quinta-feira, 11 de outubro de 2018 12:58
    Moderador
  • Olá Vinícius,

    Perfeito, obrigado pela ajuda!

    Grande abraço.

    quinta-feira, 11 de outubro de 2018 16:56
  • Bom dia,

    Desculpe voltar neste tópico, mas eu fiz o procedimento para fazer meu DC (PDC) receber o NTP externo, porém, quando executo o comando w32tm /query /source ocorre a seguinte mensagem de erro:

    Local CMOS Clock

    Como posso fazer para resolver isso?

    Obrigado desde já.

    sexta-feira, 19 de outubro de 2018 12:42
  • Primeiro você precisa garantir que o servidor não esta sincronizando o horário com o host.

    http://www.mustbegeek.com/time-synchronization-between-virtual-machine-and-esxi-server/

    Feito isso, basta apontar seu DC para um NTP externo, tipo NTP.br, liberando a porta UDP 123 no firewall.

    w32tm /config /manualpeerlist:"200.160.0.8,0x8 200.189.40.8,0x8" /syncfromflags:manual /reliable:yes /update

    https://blogs.technet.microsoft.com/nepapfe/2013/03/01/its-simple-time-configuration-in-active-directory/

    https://ntp.br/


    Se quiser derrubar uma árvore na metade do tempo, passe o dobro do tempo amolando o machado.

    sexta-feira, 19 de outubro de 2018 13:24
    Moderador
  • Olá Felipe tudo bem?

    Então, vi que o DC não está sincronizando com o host. Está desmarcada essa opção.

    Eu já tinha executado esse comando que você colocou (w32tm...), só que coloquei o hostname dos servidores (a.ntp.org, b.ntp.org, etc.) em vez do IP...será que pode ser isso? Devo alterar o comando, colocando o IP?

    Por fim, essa liberação da porta UDP 123 que você cita é no firewall do Windows? Pergunto isso porque, aqui na empresa, não tem firewall que eu saiba...

    Obrigado.

    sexta-feira, 19 de outubro de 2018 14:14
  • Se não há firewall de borda, libera no firewall do Windows a saída da comunicação. com relação ao nome ou IP, se o seu servidor resolver o nome, não vejo problema, eu utilizo o IP. quando não ocorre a comunicação é gerado um evento de warning no visualizador de eventos.


    Se quiser derrubar uma árvore na metade do tempo, passe o dobro do tempo amolando o machado.

    • Marcado como Resposta IgorFKModerator segunda-feira, 29 de outubro de 2018 12:49
    sexta-feira, 19 de outubro de 2018 16:05
    Moderador
  • Bom dia,

    Por falta de retorno essa thread está sendo encerrada.

    Caso necessário, sinta-se livre para reabrir a thread (desmarcando como resposta) ou se achar mais conveniente, abrir uma nova thread.

    Atenciosamente,

    Igor F. Kunrath

    Esse conteúdo é fornecido sem garantias de qualquer tipo, seja expressa ou implícita

    Technet Community Support

    Por favor, lembre-se de Marcar como Resposta as postagens que resolveram o seu problema. Essa é uma maneira comum de reconhecer aqueles que o ajudaram e fazer com que seja mais fácil para os outros visitantes encontrarem a resolução mais tarde.

    segunda-feira, 29 de outubro de 2018 12:49
    Moderador