La precisión cronométrica en un entorno de Active Directory es un factor crítico que a menudo se subestima. En infraestructuras virtualizadas, como aquellas basadas en VMware ESXi, los hosts suelen sincronizarse automáticamente al unirse al dominio. Sin embargo, para garantizar que toda la red mantenga una hora exacta respecto al tiempo global, el Controlador de Dominio (DC) que ostenta el rol de emulador de PDC debe configurarse para obtener la hora de una fuente externa confiable.
Configuración del Servicio de Tiempo mediante la Línea de Comandos
Para establecer servidores externos de referencia y asegurar que el DC sea reconocido como una fuente autoritativa de tiempo, se utiliza la herramienta w32tm. A continuación, se presenta una secuencia lógica para reconfigurar el servicio:
# Definir los servidores NTP externos y marcar el origen como manual
w32tm /config /manualpeerlist:"time.windows.com,0x1 ntp.aliyun.com,0x1 ntp.cloudflare.com,0x1" /syncfromflags:manual /reliable:YES /update
# Reiniciar el servicio para aplicar los cambios de registro
sc stop w32time
sc start w32time
# Forzar la sincronización inmediata
w32tm /resync /nowait
# Verificar el estado actual del servicio
w32tm /query /status
Desglose de los Parámetros Utilizados
- /manualpeerlist: Define la lista de servidores NTP externos (DNS o IP). El sufijo
,0x1indica un intervalo de sondeo especial. - /syncfromflags:manual: Indica al sistema que debe ignorar la jerarquía de dominio y usar la lista definida manualmente.
- /reliable:YES: Identifica a este servidor como una fuente de tiempo fidedigna para los demás clientes del dominio.
- /update: Notifica al administrador de control de servicios que la configuración ha cambiado sin necesidad de reiniciar todo el sistema.
Validación y Diagnóstico de Conectividad
Una vez configurado, es vital verificar si el servidor realmente está recibiendo datos de la fuente externa. Podemos inspeccionar el origen activo con el siguiente comando:
w32tm /query /source
Si necesitamos analizar la latencia y el desfase (offset) entre nuestro servidor y una fuente externa específica antes de agregarla permanentemente, podemos ejecutar un gráfico de traza:
w32tm /stripchart /computer:time.windows.com /samples:15 /dataonly
Sincronización en Equipos Clientes y Miembros
Por norma general, los equipos unidos al dominio sincronizarán su hora automáticamente siguiendo la jerarquía de Active Directory. No osbtante, si se detecta un desfase significativo o se desea forzar una actualización tras un cambio de política, se debe ejecutar en la terminal del cliente:
w32tm /resync /rediscover
Este comando obliga al cliente a redescubrir los recursos de red y reajustar su reloj interno con el Controlador de Dominio más cercano.