Sincronismo de Horário no Domínio 1
Um dos problemas que um administrador de sistemas enfrenta é a sincronização da hora na rede. E se você tem uma rede multi-site e com servidores AD espalhados geograficamente o problema é inevitável a não ser corrigido da raiz.
Sincronismo é muito importante na rede, tanto para comunicação e replicação quanto para segurança. Para evitar problemas vamos usar um plano para sincronizar todos os nosso computadores. Vamos fazer isso em etapas;
- Sincronizar O AD primário (PDC emulator) com uma fonte externa
- Sincronizar os outros servidores e micros com o nosso servidor primário
1 – Sincronizar O AD primário
O servidor AD que estou referindo aqui é o servidor que está fazendo a função (FSMO Role) PDC Emulator. Para verificar qual AD está servindo essa função use o comando netdom query:
netdom query /domain:nome_do_teu_domínio FSMO
Antes de tentarmos sincronizar com uma fonte externa devemos verificar se o nosso firewall de borda (ou todos os firewalls se tivesse outros fazendo filtragem de pacotes) não está barrando a porta 123 UDP. Da linha de comando podemos fazer uma port query para ver se terá uma resolução, vê a captura de tela a seguir:
portqry -n 200.186.125.195 -e 123 -p udp
vendo da imagem, o nosso firewall está passando pacotes UDP 123.
Agora é necessário (no nosso exemplo) que temos umas fontes de tempo confiáveis. As melhores fontes aqui no Brasil são da NTP.br
O site é rico com informações sobre o protocolo de tempo, sincronização, e outras pesquisas da área. O site NTP.br é ligado com outras organizações como NIC.br, CEPTRO.br, Antispam.br e CETIC.br. Os servidores de hora de alta confiança são sete e são de Stratum 1 (no topo da hierarquia de servidores de tempo) .
| nome DNS | endereço IP |
|---|---|
| a.st1.ntp.br | 200.160.7.186 |
| c.st1.ntp.br | 200.186.125.195 |
| d.st1.ntp.br | 200.20.186.76 |
| a.ntp.br | 200.160.0.8 |
| b.ntp.br | 200.189.40.8 |
| c.ntp.br | 200.192.232.8 |
| gps.ntp.br | 200.160.7.193 |
| ________________________________________________________ |
Segundo o Antonio M. Moreiras da nic.br “o melhor é usar o conjunto dos servidores. Não se deve sincronizar um servidor ntp com apenas uma fonte. Para uma operação confiável, o ideal é que haja de 4 a 7 referências independentes.”
Vamos usar a ferramenta w32tm em Windows 2003 para configurar o nosso servidor PDC emulador para sincronizar com as fontes de hora da ntp.br. O comando é
w32tm /config /computer:10.0.0.1 /manualpeerlist:”b.ntp.br c.ntp.br 200.160.7.193″ /syncfromflags:manual /reliable:YES /update
os switches usados
/config é para configurações pois o w32tm pode ser usado para monitoramento, conversão de tempo, para mostrar o fuso horário e outros funções.
/computer é usado para designar o computador que vai ser sincronizado. Acrescentando :computador Podemos sincronizar um computador remotamente.
*Não usar o switch /computer significa que faremos a sincronização do computador local.
/manualpeerlist é usado para fazer uma lista de peers (parceiros) de tempo, aqui que vai o IP ou nome FQDN (nome DNS) do servidor de tempo
/syncfromflags define as origens das quais o cliente NTP deve sincronizar. <origem> deve ser uma lista separada por vírgulas destas palavras-chave (sem distinçao entre maiúsculas e minúsculas):
MANUAL – sincronizaçao de níveis de protocolo na lista manual de níveis de protocolo, exemplo é o estamos usando.
DOMHIER – sincronizaçao com um Controlador de Domínio do Active Directory na hierarquia do domínio, o que vamos usar nas estações
/update notifica o serviço de tempo que a configuração foi alterada, fazendo com que as alterações entrem em vigor.
apos isso precisarmos de reiniciar o serviço de tempo
net stop w32time && net start w32time
Com esses paços o nosso servidor está sincronizando com fontes de hora externas. Para verificar isso usamos o comando net time
net time /querysntp
* Segundo a Microsoft, no artigo http://technet.microsoft.com/en-us/library/cc756161(WS.10).aspx, não devemos usar o net time para fazer configurações enquanto o serviço Windows Time Serviçe ativado (aqui estamos usando o comando somente para visualização)
Podemos usar o comando reg query para visualizar as alterações no registro do nosso servidor PDC, vê a captura de tela:
Os campos importantes são NtpServer que deve ser a lista dos servidores de hora externos e o tipo(Type) que dever ser NTP.
Podemos obter a visualização da mesma chave do registro usando o próprio comando w32tm com o switch /dumpreg . Isso nos levara à chave HKLM\system\currentcontrolset\services\w32time. Para visualizar a subchave parameters temos que usar o switch /subkey: com parameters e ai fica
w32tm /dumpreg /subkey:parameters vê a imagem da captura de tela:
Vou testar
Abs