Sincronismo de Horário no Domínio 1
Um dos problemas que um administrador de sistemas enfrenta é a sincronização da hora na rede. E se você tem uma rede multi-site e com servidores AD espalhados geograficamente o problema é inevitável a não ser corrigido da raiz.
Sincronismo é muito importante na rede, tanto para comunicação e replicação quanto para segurança. Para evitar problemas vamos usar um plano para sincronizar todos os nosso computadores. Vamos fazer isso em etapas;
- Sincronizar O AD primário (PDC emulator) com uma fonte externa
- Sincronizar os outros servidores e micros com o nosso servidor primário
1 – Sincronizar O AD primário
O servidor AD que estou referindo aqui é o servidor que está fazendo a função (FSMO Role) PDC Emulator. Para verificar qual AD está servindo essa função use o comando netdom query:
netdom query /domain:nome_do_teu_domínio FSMO
Antes de tentarmos sincronizar com uma fonte externa devemos verificar se o nosso firewall de borda (ou todos os firewalls se tivesse outros fazendo filtragem de pacotes) não está barrando a porta 123 UDP. Da linha de comando podemos fazer uma port query para ver se terá uma resolução, vê a captura de tela a seguir:
portqry -n 200.186.125.195 -e 123 -p udp
vendo da imagem, o nosso firewall está passando pacotes UDP 123.
Agora é necessário (no nosso exemplo) que temos umas fontes de tempo confiáveis. As melhores fontes aqui no Brasil são da NTP.br
O site é rico com informações sobre o protocolo de tempo, sincronização, e outras pesquisas da área. O site NTP.br é ligado com outras organizações como NIC.br, CEPTRO.br, Antispam.br e CETIC.br. Os servidores de hora de alta confiança são sete e são de Stratum 1 (no topo da hierarquia de servidores de tempo) .
| nome DNS | endereço IP |
|---|---|
| a.st1.ntp.br | 200.160.7.186 |
| c.st1.ntp.br | 200.186.125.195 |
| d.st1.ntp.br | 200.20.186.76 |
| a.ntp.br | 200.160.0.8 |
| b.ntp.br | 200.189.40.8 |
| c.ntp.br | 200.192.232.8 |
| gps.ntp.br | 200.160.7.193 |
* no site da NTP.br tem o b.st1.ntp.br , só que parece que está sempre fora e nunca responde o ping.
Segundo o Antonio M. Moreiras da nic.br “o melhor é usar o conjunto dos servidores. Não se deve sincronizar um servidor ntp com apenas uma fonte. Para uma operação confiável, o ideal é que haja de 4 a 7 referências independentes.”
Vamos usar a ferramenta w32tm em Windows 2003 para configurar o nosso servidor PDC emulador para sincronizar com as fontes de hora da ntp.br. O comando é
w32tm /config /computer:10.0.0.1 /manualpeerlist:”b.ntp.br c.ntp.br 200.160.7.193″ /syncfromflags:manual /reliable:YES /update
os switches usados
/config é para configurações pois o w32tm pode ser usado para monitoramento, conversão de tempo, para mostrar o fuso horário e outros funções.
/computer é usado para designar o computador que vai ser sincronizado. Acrescentando :computador Podemos sincronizar um computador remotamente.
*Não usar o switch /computer significa que faremos a sincronização do computador local.
/manualpeerlist é usado para fazer uma lista de peers (parceiros) de tempo, aqui que vai o IP ou nome FQDN (nome DNS) do servidor de tempo
/syncfromflags define as origens das quais o cliente NTP deve sincronizar. <origem> deve ser uma lista separada por vírgulas destas palavras-chave (sem distinçao entre maiúsculas e minúsculas):
MANUAL – sincronizaçao de níveis de protocolo na lista manual de níveis de protocolo, exemplo é o estamos usando.
DOMHIER – sincronizaçao com um Controlador de Domínio do Active Directory na hierarquia do domínio, o que vamos usar nas estações
/update notifica o serviço de tempo que a configuração foi alterada, fazendo com que as alterações entrem em vigor.
apos isso precisarmos de reiniciar o serviço de tempo
net stop w32time && net start w32time
Com esses paços o nosso servidor está sincronizando com fontes de hora externas. Para verificar isso usamos o comando net time
net time /querysntp
* Segundo a Microsoft, no artigo http://technet.microsoft.com/en-us/library/cc756161(WS.10).aspx, não devemos usar o net time para fazer configurações enquanto o serviço Windows Time Serviçe ativado (aqui estamos usando o comando somente para visualização)
Podemos usar o comando reg query para visualizar as alterações no registro do nosso servidor PDC, vê a captura de tela:
Os campos importantes são NtpServer que deve ser a lista dos servidores de hora externos e o tipo(Type) que dever ser NTP.
Podemos obter a visualização da mesma chave do registro usando o próprio comando w32tm com o switch /dumpreg . Isso nos levara à chave HKLM\system\currentcontrolset\services\w32time. Para visualizar a subchave parameters temos que usar o switch /subkey: com parameters e ai fica
w32tm /dumpreg /subkey:parameters vê a imagem da captura de tela:
Vou testar
Abs
Prezado,
Usei a sua sintaxe, porém w32tm /config /computer:10.0.0.1 /manualpeerlist:”b.ntp.br c.ntp.br 200.160.7.193″ /syncfromflags:manual /reliable:YES /update
ele não ceita mais de um valor a exemplo b.ntp.br c.ntp.br a.st1.ntp.br
Att.,
Olá Fabio, obrigado pela participação
qual erro que deu? outra coisa que voce deve fazer é pingar os servidores ntp para ver seestão todos no ar ao digitar o comando.
Abraço, Nassim
Segue erro que aconteceu comigo, no winsrv2k8r2 sp1
Ao executar o comando:
w32tm /config /computer:10.0.0.1 /manualpeerlist
c.ntp.br 200.160.7.193″ /syncfromflags:manual /reliable:YES /update
The following arguments were unexpected:
c.ntp.br 200.160.7.193 /syncfromflags:manual /reliable:YES /update
Testei e os servidores responderam ao ping,
Rafael, faltou dois pontos depois do manualpeerlist e um abre aspas antes do c.ntp.br
Segue o comando que executei no DOS:
w32tm /config /computer:172.16.1.43 /manualpeerlist:”b.ntp.br c.ntp.br 200.160.7.193″ /syncfromflags:manual /reliable:YES /update
ok, este deu certo ?
Deu o mesmo erro, copiei e colei no DOS e troquei o ip pelo ip do meu server.
O q será q estou fazendo de errado?
poderia me auxiliar?
Rafael, vamos cortar o caminho um pouco. Loga no servidor 172.16.1.43 e executa o comando sem o /computer:172.16.1.43
tente e me fala se da certo.
Abraço.
Valeu tchê!
w32tm /config /manualpeerlist:”b.ntp.br c.ntp.br 20
0.160.7.193″ /syncfromflags:manual /reliable:YES /update
The command completed successfully.
Meu servidor estava sincronizado com time.windows.com e percebi que minha rede está dois minutos atrasada do restante do país pela hora certa. tentei mudar para ntp.cais.rnp.br e não deu certo. continuou os dois minutos. Daí fiz o comando que você mandou e também continua. Você tem alguam luz do que pode ser?
Fala Antonio tudo bom. Este ntp.cais.rnp.br não está pingando neste momento que estou escrevendo. Tenta um dos servidores listados na tabela. E sempre bom pingar o IP do servidor antes de testar o comando pois as vezes o servidor está em manutenção. Também é bom ter mais de um servidor no seu comando.
Prezados, seguir as dicas..
Más o comando net time não é recomendado pela Microsoft. Recomenda se usar o w32tm.
Abraço.