Compartilhar via

Recomendação - Configurar a PDC Raiz com uma Fonte de Tempo Autoritativa e Evitar uma Distorção de Tempo Disseminada

  • Artigo

Por que Considerar isso

O emulador PDC raiz não está definido para usar um servidor NTP (protocolo de tempo de rede). Muitas funções do Windows e de rede dependem da sincronização robusta de tempo em toda a rede. Falhas de sincronização de tempo podem causar vários problemas, mais notavelmente falhas de logon. A autenticação Kerberos e o logon único baseado em declarações podem falhar devido a disparidades de tempo.

Assista à explicação de um Engenheiro de Clientes sobre o problema

Contexto e práticas recomendadas

Por padrão, todos os computadores e dispositivos em um domínio sincronizam a hora do sistema usando a hierarquia de domínio. Os membros do domínio sincronizam o tempo com controladores de domínio, que, por sua vez, sincronizam o tempo com o controlador de domínio executando a função de emulador PDC. O emulador PDC do domínio raiz da floresta está no topo da hierarquia de domínio e, como tal, configurar esse controlador de domínio para sincronizar o tempo com a hierarquia de domínio é inválido. O Serviço de Tempo do Windows avisa você sobre essa condição escrevendo a ID de evento 12 no log de eventos do Windows a partir da origem do evento W32Time.

Em alguns cenários, o emulador PDC recebe a hora do relógio do BIOS. No entanto, essa abordagem tem desvantagens. Se a hora e a data não estiverem definidas com precisão no BIOS do emulador PDC, as configurações de data e hora estarão incorretas em todo o domínio. Além disso, se o emulador PDC ficar offline, os membros do domínio não poderão sincronizar o tempo. Uma abordagem melhor é configurar o emulador PDC para sincronizar o tempo diretamente com uma fonte de tempo externa. Como alternativa, você pode configurar outro dispositivo no seu domínio para sincronizar a hora com um serviço de tempo externo e, em seguida, configurar o emulador PDC para usar o seu servidor de horário interno como a fonte de tempo autoritativa.

Fontes de tempo externas autoritativas são serviços voltados para a Internet, geralmente mantidos por estabelecimentos governamentais, científicos ou educacionais que permitem que você sincronize a hora do sistema usando o protocolo NTP (Network Time Protocol). Por exemplo, o NIST fornece servidores de horário em vários locais dos Estados Unidos.

Ações sugeridas

Você pode configurar o controlador de domínio que contém a função PDCE para usar um servidor NTP para sincronizar o tempo, há várias abordagens.

Para configurar a sincronização de tempo por meio da linha de comando:

No emulador PDC abra o Prompt de Comando administrativo e use os seguintes comandos:

w32tm.exe /config /syncfromflags:manual /manualpeerlist:131.107.13.100,0x8 /reliable:yes /update

w32tm.exe /config /update

Observação

O endereço IP no exemplo é um servidor de horário do NIST (National Institute of Standards and Technology) na Microsoft, em Redmond, Washington. Substitua este endereço IP pelo serviço de tempo de sua escolha.

Para configurar a sincronização de horário por meio da edição do registro no emulador PDC:

  1. Abra o Editor de registro (regedit.exe).

  2. Navegue até esta chave de registro: HKLM\System\CurrentControlSet\Services\W32Time\Parameters

  3. Para usar uma fonte NTP específica, modifique o valor de Tipo para NTP.

  4. Modifique o valor NtpServer para conter o servidor NTP para sincronizar o tempo seguido por 0x8, por exemplo 131.107.13.100,0x8. Vários servidores NTP devem ser delimitados por espaço, por exemplo 131.107.13.100,0x8 24.56.178.140,0x8

  5. Abra um prompt de Comando com privilégios de administrador e digite o seguinte comando: w32tm /config /update.

Para configurar a sincronização de horário por meio da política de grupo:

  1. Abra o Console de gerenciamento de política de grupo.

  2. Criar um novo GPO.

  3. Abra o GPO e navegue até Configurações do Computador -> Modelos Administrativos -> Sistema -> Serviço de Tempo do Windows -> Provedores de Tempo.

  4. Clique duas vezes em Configurar o Cliente NTP do Windows.

  5. Definir o estado como Habilitado.

  6. Configure o Tipo como NTP.

  7. Configure o NTPServer para apontar para um endereço IP de um servidor de tempo, seguido por ,0x8. Por exemplo: 131.107.13.100,0x8

  8. Feche o Editor de Diretiva de Grupo.

  9. No painel Filtragem de segurança do Console de gerenciamento de política de grupo, remova Usuários autenticados da política recém-criada e adicione a máquina que contém a função Emulador de PDC.

  10. Vincular o GPO a Controladores de domínio OU.

Observação

As configurações de política de grupo para o Horário do Windows são gravadas no caminho HKLM\Software\Policies\Microsoft\W32time do registro.

Como solucionar problemas

Para ver a configuração atual do serviço Tempo do Windows, use o seguinte comando em um prompt de comando elevado:

w32tm /query /configuration

Para ver a origem atual para sincronização de tempo, use o seguinte comando:

w32tm /query /source

Saiba Mais

Para obter mais informações sobre o Serviço de Tempo de Internet NIST, consulte Serviço de Tempo de Internet (ITS) NIST.

Para obter mais informações sobre o Serviço de Tempo do Windows, consulte Como o Serviço de Tempo do Windows funciona.