Red de conocimiento informático - Material del sitio web - Cómo configurar la autenticación Kerberos en un servidor AD de Windows Server 2003 -Error de autenticación de red -Problemas de comunicación con el agente System Center Data Protection Manager (SCDPM) -Exchange Server, Active Sync y Outlook Web Acceso (OWA) no disponible En muchos casos, los problemas de sincronización horaria del servidor se deben al protocolo Kerberos, que tiene una característica de seguridad que analiza específicamente las marcas de tiempo en los tickets de Kerberos, principalmente para protegerlos de su reutilización. Si la hora indicada en el billete difiere en más de cinco minutos de la hora actual, el billete será rechazado. Por lo tanto, si los relojes no se sincronizan en cinco minutos, Kerberos comenzará a fallar. En general, la sincronización horaria no causa problemas. Por ejemplo, cuando Windows se ejecuta en un entorno de Active Directory (AD), los relojes de todas las computadoras del dominio se sincronizan automáticamente con el controlador de dominio. Sin embargo, la sincronización del reloj puede convertirse en un problema en un entorno con una combinación de miembros de dominio y miembros de grupos de trabajo o múltiples bosques de Active Directory. Para dar un ejemplo más concreto, todos los servidores de producción de mi propia red están virtualizados. Por lo tanto, mi servidor host de virtualización no tiene miembros de dominio y todos los controladores de dominio son máquinas virtuales. Debido a que la máquina virtual no se inicia en absoluto, el servidor host no puede comunicarse con el controlador de dominio. Por lo tanto, elegí hacer que el sistema operativo host fuera miembro del grupo de trabajo. Además, todos mis hosts virtuales ejecutan Hyper-V en Windows Server 2008 R2. Algunos de los clústeres de servidores ejecutan máquinas virtuales Windows 2008R2 y otros clústeres de servidores ejecutan máquinas virtuales Windows Server 2003. Sin embargo, aunque las máquinas cliente que ejecutan Windows 2008 R2 parecen estar sincronizadas con el reloj del servidor maestro, es posible que las máquinas que ejecutan Windows 2003 no estén sincronizadas con el resto de la red. En un entorno de grupo de trabajo, puede conectar una máquina a una fuente horaria abriendo una ventana del símbolo del sistema y escribiendo: w32tm/config/syncfromflags:manual/manualpeerlist:w32tm/config/update En este ejemplo, puede utilizar el nombre de dominio completo (FQDN) o la dirección IP del servidor con el que desea sincronizar. Puede especificar varias fuentes de tiempo aislando cada dirección con espacios. En un entorno de dominio, es mejor utilizar la configuración de Política de grupo para especificar la fuente de hora. La configuración de la política de grupo relacionada con el reloj se puede ver en el Editor de políticas de grupo en Configuración de la computadora Plantillas administrativas Sistema Servicio de hora de Windows. Hay tres configuraciones de directiva de grupo diferentes que puede utilizar, entre ellas: Configuración del cliente NTP de Windows. Configurar el cliente NTP de Windows: le permite sincronizar el reloj de su computadora con una fuente de hora externa. -Habilitar cliente NTP de Windows: permite que la computadora sincronice su reloj con otros servidores de Windows. -Habilitar el servidor NTP de Windows: permite que el servidor proporcione sincronización horaria a los clientes NTP de Windows. Tenga en cuenta que no puede habilitar el cliente NTP de Windows o el servidor NTP de Windows si planea sincronizar con una fuente de hora externa como NIST. Cuando utilice una fuente de hora externa, es posible que también necesite abrir algunos puertos del firewall. Windows Server utiliza el puerto UDP 123 para el protocolo de tiempo, que debería estar abierto de forma predeterminada. Pero si desea utilizar NIST, también debe abrir el puerto TCP 13, el puerto TCP 37 y el puerto UDP 37. Como puede ver, es importante mantener sincronizados los relojes de su servidor Windows.

Cómo configurar la autenticación Kerberos en un servidor AD de Windows Server 2003 -Error de autenticación de red -Problemas de comunicación con el agente System Center Data Protection Manager (SCDPM) -Exchange Server, Active Sync y Outlook Web Acceso (OWA) no disponible En muchos casos, los problemas de sincronización horaria del servidor se deben al protocolo Kerberos, que tiene una característica de seguridad que analiza específicamente las marcas de tiempo en los tickets de Kerberos, principalmente para protegerlos de su reutilización. Si la hora indicada en el billete difiere en más de cinco minutos de la hora actual, el billete será rechazado. Por lo tanto, si los relojes no se sincronizan en cinco minutos, Kerberos comenzará a fallar. En general, la sincronización horaria no causa problemas. Por ejemplo, cuando Windows se ejecuta en un entorno de Active Directory (AD), los relojes de todas las computadoras del dominio se sincronizan automáticamente con el controlador de dominio. Sin embargo, la sincronización del reloj puede convertirse en un problema en un entorno con una combinación de miembros de dominio y miembros de grupos de trabajo o múltiples bosques de Active Directory. Para dar un ejemplo más concreto, todos los servidores de producción de mi propia red están virtualizados. Por lo tanto, mi servidor host de virtualización no tiene miembros de dominio y todos los controladores de dominio son máquinas virtuales. Debido a que la máquina virtual no se inicia en absoluto, el servidor host no puede comunicarse con el controlador de dominio. Por lo tanto, elegí hacer que el sistema operativo host fuera miembro del grupo de trabajo. Además, todos mis hosts virtuales ejecutan Hyper-V en Windows Server 2008 R2. Algunos de los clústeres de servidores ejecutan máquinas virtuales Windows 2008R2 y otros clústeres de servidores ejecutan máquinas virtuales Windows Server 2003. Sin embargo, aunque las máquinas cliente que ejecutan Windows 2008 R2 parecen estar sincronizadas con el reloj del servidor maestro, es posible que las máquinas que ejecutan Windows 2003 no estén sincronizadas con el resto de la red. En un entorno de grupo de trabajo, puede conectar una máquina a una fuente horaria abriendo una ventana del símbolo del sistema y escribiendo: w32tm/config/syncfromflags:manual/manualpeerlist:w32tm/config/update En este ejemplo, puede utilizar el nombre de dominio completo (FQDN) o la dirección IP del servidor con el que desea sincronizar. Puede especificar varias fuentes de tiempo aislando cada dirección con espacios. En un entorno de dominio, es mejor utilizar la configuración de Política de grupo para especificar la fuente de hora. La configuración de la política de grupo relacionada con el reloj se puede ver en el Editor de políticas de grupo en Configuración de la computadora Plantillas administrativas Sistema Servicio de hora de Windows. Hay tres configuraciones de directiva de grupo diferentes que puede utilizar, entre ellas: Configuración del cliente NTP de Windows. Configurar el cliente NTP de Windows: le permite sincronizar el reloj de su computadora con una fuente de hora externa. -Habilitar cliente NTP de Windows: permite que la computadora sincronice su reloj con otros servidores de Windows. -Habilitar el servidor NTP de Windows: permite que el servidor proporcione sincronización horaria a los clientes NTP de Windows. Tenga en cuenta que no puede habilitar el cliente NTP de Windows o el servidor NTP de Windows si planea sincronizar con una fuente de hora externa como NIST. Cuando utilice una fuente de hora externa, es posible que también necesite abrir algunos puertos del firewall. Windows Server utiliza el puerto UDP 123 para el protocolo de tiempo, que debería estar abierto de forma predeterminada. Pero si desea utilizar NIST, también debe abrir el puerto TCP 13, el puerto TCP 37 y el puerto UDP 37. Como puede ver, es importante mantener sincronizados los relojes de su servidor Windows.

Aunque los relojes generalmente se sincronizan automáticamente, es necesario estar preparado para situaciones en las que necesite sincronizar sus relojes manualmente.