Sincronismo de Horário no Domínio 1

Publicado: 05/04/2015 em Uncategorized

Um dos problemas que um administrador de sistemas  enfrenta é a sincronização da hora na rede. E se você tem uma rede multi-site e com servidores AD espalhados geograficamente o problema é inevitável a não ser corrigido da raiz.
Sincronismo é muito importante na rede, tanto para comunicação e replicação quanto para segurança. Para evitar problemas vamos usar um plano para sincronizar todos os nosso computadores. Vamos fazer isso em etapas;

  1. Sincronizar O AD primário (PDC emulator) com uma fonte externa
  2. Sincronizar os outros servidores e micros com o nosso servidor primário

1 – Sincronizar O AD primário

O servidor AD que estou referindo aqui é o servidor que está fazendo a função (FSMO Role) PDC Emulator. Para verificar qual AD  está servindo essa função use o comandonetdom query:
netdom query /domain:nome_do_teu_domínio FSMO
Antes de tentarmos sincronizar com uma fonte externa devemos verificar se o nosso firewall de borda (ou todos os firewalls se tivesse outros fazendo filtragem de pacotes) não está barrando a porta 123 UDP.  Da linha de comando podemos fazer uma port query para ver se terá uma resolução, vê a captura de tela a seguir:
portqry -n 200.186.125.195 -e 123 -p udp

vendo da imagem, o nosso firewall está passando pacotes UDP 123.
Agora é necessário (no nosso exemplo) que temos umas fontes de tempo confiáveis. As melhores fontes aqui no Brasil são da NTP.br
O site é rico com informações sobre o protocolo de tempo, sincronização, e outras pesquisas da área.  O site NTP.br é ligado com outras organizações como NIC.br, CEPTRO.br, Antispam.br e CETIC.br. Os servidores de hora de alta confiança são sete e são de Stratum 1 (no topo da hierarquia de servidores de tempo) .

nome DNS endereço IP
a.st1.ntp.br 200.160.7.186
c.st1.ntp.br 200.186.125.195
d.st1.ntp.br 200.20.186.76
a.ntp.br 200.160.0.8
b.ntp.br 200.189.40.8
c.ntp.br 200.192.232.8
gps.ntp.br 200.160.7.193

* no site da NTP.br tem o b.st1.ntp.br , só que parece que está sempre fora e nunca responde o ping.
Segundo o Antonio M. Moreiras da nic.br “o melhor é usar o conjunto dos servidores. Não se deve sincronizar um servidor ntp com apenas uma fonte. Para uma operação confiável, o ideal é que haja de 4 a 7 referências independentes.”
Vamos usar a ferramenta w32tm em Windows 2003 para configurar o nosso servidor PDC emulador para sincronizar com as fontes de hora da ntp.br. O comando é
w32tm /config /computer:10.0.0.1  /manualpeerlist:”b.ntp.br c.ntp.br 200.160.7.193″/syncfromflags:manual /reliable:YES /update
os switches usados
/config é para configurações pois o w32tm pode ser usado para monitoramento, conversão de tempo, para mostrar o fuso horário  e  outros funções.
/computer é usado para designar o computador que vai ser sincronizado. Acrescentando:computador Podemos sincronizar um computador remotamente.
*Não usar o switch /computer significa que faremos a sincronização do computador local.
/manualpeerlist é usado para fazer uma lista de peers (parceiros) de tempo, aqui que vai o IP ou nome FQDN (nome DNS) do servidor de tempo
/syncfromflags define as origens das quais o cliente NTP deve sincronizar. deve ser uma lista separada por vírgulas destas palavras-chave (sem distinçao entre maiúsculas e minúsculas): MANUAL – sincronizaçao de níveis de protocolo na lista manual de níveis de protocolo, exemplo é o estamos usando.
DOMHIER – sincronizaçao com um Controlador de Domínio do Active Directory na hierarquia do domínio, o que vamos usar nas estações
/update notifica o serviço de tempo que a configuração foi alterada, fazendo com que as alterações entrem em vigor.
apos isso precisarmos de reiniciar o serviço de tempo
net stop w32time && net start w32time
Com esses paços o nosso servidor está sincronizando com fontes de hora externas. Para verificar isso usamos o comando net time
net time /querysntp
* Segundo a Microsoft, no artigo http://technet.microsoft.com/en-us/library/cc756161(WS.10).aspx, não devemos usar o net time para fazer configurações enquanto o serviço Windows Time Serviçe ativado (aqui estamos usando o comando somente para visualização)
Podemos usar o comando reg query para visualizar as alterações no registro do nosso servidor PDC, vê a captura de tela:

Os campos importantes são NtpServer que deve ser a lista dos servidores de hora externos e o tipo(Type) que dever ser NTP.
Podemos obter a visualização da mesma chave do registro usando o próprio comandow32tm com o switch /dumpreg . Isso nos levara à chave HKLM\system\currentcontrolset\services\w32time. Para visualizar a subchaveparameters temos que usar o switch /subkey:  com parameters   e ai fica
w32tm /dumpreg /subkey:parameters     vê a imagem da captura de tela:

 

Fonte: http://tekniblog.com.br/sincronismo1/

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s