Partilhar via

Configurar o mecanismo de tempo para Máquinas Virtuais Windows do Active Directory no Azure

Aplica-se a: ✔️ Máquinas Virtuais do Windows

Use este guia para saber como configurar a sincronização de tempo para suas Máquinas Virtuais do Windows do Azure que pertencem a um Domínio do Ative Directory.

Hierarquia de sincronização de tempo nos Serviços de Domínio Ative Directory

A sincronização de tempo no Ative Directory deve ser gerenciada permitindo apenas que o PDC acesse uma fonte de tempo externa ou um servidor NTP.

Todos os outros Controladores de Domínio sincronizariam o tempo com o PDC, e todos os outros membros obteriam seu tempo do Controlador de Domínio que satisfizesse a solicitação de autenticação desse membro.

Se você tiver um domínio do Ative Directory em execução em máquinas virtuais hospedadas no Azure, siga estas etapas para configurar corretamente a Sincronização de Tempo.

Nota

Este guia se concentra no uso do console de Gerenciamento de Diretiva de Grupo para executar a configuração. Você pode obter os mesmos resultados usando o Prompt de Comando, o PowerShell ou modificando manualmente o Registro; no entanto, esses métodos não são abrangidos pelo âmbito de aplicação do presente artigo.

GPO para permitir que o PDC sincronize com uma fonte NTP externa

Para verificar a fonte de tempo atual em seu PDC, em um prompt de comando elevado, execute w32tm /query /source e anote a saída para comparação posterior.

  1. Em Iniciar , execute gpmc.msc.
  2. Navegue até à Floresta e ao Domínio onde quer criar o GPO.
  3. Crie um novo GPO, por exemplo, Sincronização de Tempo PDC, no contêiner Objetos de Diretiva de Grupo.
  4. Clique com o botão direito do mouse no GPO recém-criado e em Editar.
  5. Navegue até a política de Definições de Configuração Global em Configuração do Computador ->Modelos Administrativos ->Sistema ->Serviço de Tempo do Windows.
  6. Defina-o como Enabled e configure o parâmetro AnnounceFlags como 5.
  7. Navegue até Configuração do Computador ->Modelos Administrativos ->Sistema ->Serviço de Tempo do Windows ->Provedores de Tempo.
  8. Clique duas vezes na política Configurar Cliente NTP do Windows e defina-a como Habilitado, configure o parâmetro NTPServer para apontar para um endereço IP ou FQDN de um servidor de tempo seguido por ,0x9 , por exemplo: 131.107.13.100,0x9 e configure Type como NTP. Para todos os outros parâmetros, você pode usar os valores padrão ou usar os personalizados de acordo com suas necessidades corporativas.
  9. Clique no botão Próxima configuração , defina a política Habilitar cliente NTP do Windows comoHabilitado e clique em OK
  10. Na guia Escopo do GPO recém-criado, navegue até Filtragem de Segurança e realce o grupo Usuários Autenticados -> Clique no botão Remover ->OK ->OK
  11. Crie um Filtro WMI para obter dinamicamente o Controlador de Domínio que detém a função PDC:
    • No console de Gerenciamento de Diretiva de Grupo , navegue até Filtros WMI, clique com o botão direito do mouse nele e selecione Novo.
    • Na janela Novo Filtro WMI , dê um nome ao novo filtro, por exemplo, Obter Emulador PDC -> Preencher o campo Descrição (opcional) -> Clique no botão Adicionar .
    • Na janela Consulta WMI deixe o Namespace como está, na caixa de texto Consulta cole a seguinte cadeia de caracteres Select * from Win32_ComputerSystem where DomainRole = 5e clique no botão OK .
    • De volta à janela Novo Filtro WMI , clique no botão Salvar .
  12. Na guia Escopo do GPO recém-criado, navegue até o menu drop-down Filtragem WMI, selecione o filtro WMI criado anteriormente e passe para OK.
  13. Na guia Escopo do GPO recém-criado, navegue até a Filtragem de Segurança , clique no botão Adicionar e procure o grupo Controladores de Domínio e clique no botão OK .
  14. Vincule o GPO à unidade organizacional Controladores de Domínio .

Nota

Pode levar até 15 minutos para que essas alterações sejam refletidas pelo sistema.

A partir de um prompt de comando elevado, execute novamente w32tm /query /source e compare a saída com a que você anotou no início da configuração. Agora ele será definido para o servidor NTP que você escolheu.

Gorjeta

Se você quiser acelerar o processo de alteração da fonte NTP em seu PDC, a partir de um prompt de comando elevado, execute gpupdate /force, seguido por w32tm /resync /nowait, em seguida, execute novamente w32tm /query /source; a saída deve ser o servidor NTP usado no GPO acima.

Nota

Se, depois que as alterações forem aplicadas, você ainda não obtiver a saída para o servidor NTP escolhido, talvez seja necessário definir o valor como 0 na chave Habilitada em HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider no PDC e DCs também.

GPO para Membros

Normalmente, o NTP nos Serviços de Domínio Ative Directory seguirá a Hierarquia de Tempo do AD DS mencionada no início deste artigo e nenhuma configuração adicional é necessária.

No entanto, as máquinas virtuais hospedadas no Azure têm configurações de segurança específicas aplicadas a elas diretamente pela plataforma Cloud.

Para todos os outros membros do domínio que não são controladores de domínio, você precisará modificar o registro e definir o valor como 0 na chave habilitada em HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider

Importante

Lembre-se de que problemas sérios podem ocorrer se você modificar o registro incorretamente. Portanto, certifique-se de seguir essas etapas cuidadosamente e testá-las em algumas máquinas virtuais de teste para garantir que obterá o resultado esperado. Para maior proteção, faça uma cópia de segurança do registo antes de o modificar. Em seguida, pode restaurar o registo se ocorrer algum problema. Para saber como fazer backup e restaurar o Registro do Windows, siga as etapas abaixo.

Fazer backup do Registro

  1. Em Iniciar , escreva regedit.exee, em seguida, prima Enter. Se lhe for pedido para introduzir uma palavra-passe de administrador ou para confirmar, introduza a palavra-passe ou confirme.
  2. Na janela do Editor do Registro , localize e clique na chave ou subchave do Registro da qual deseja fazer backup.
  3. No menu Arquivo , selecione Exportar.
  4. Na caixa de diálogo Exportar Arquivo do Registro , selecione o local no qual deseja salvar a cópia de backup, digite um nome para o arquivo de backup no campo Nome do arquivo e clique em Salvar.

Restaurar um backup do Registro

  1. Em Iniciar , escreva regedit.exee, em seguida, prima Enter. Se lhe for pedido para introduzir uma palavra-passe de administrador ou para confirmar, introduza a palavra-passe ou confirme.
  2. Na janela Editor do Registro , no menu Arquivo , selecione Importar.
  3. Na caixa de diálogo Importar Arquivo do Registro , selecione o local no qual você salvou a cópia de backup, selecione o arquivo de backup e clique em Abrir.

GPO para desativar o VMICTimeProvider

Configure o seguinte Objeto de Diretiva de Grupo para permitir que os membros do domínio sincronizem o tempo com os Controladores de Domínio em seu Site do Ative Directory correspondente:

Para verificar a fonte de tempo atual, faça login em qualquer membro do domínio e, a partir de um prompt de comando elevado, execute w32tm /query /source e anote a saída para comparação posterior.

  1. Em um controlador de domínio, vá para Iniciar , execute gpmc.msc.
  2. Navegue até à Floresta e ao Domínio onde quer criar o GPO.
  3. Crie um novo GPO, por exemplo, Sincronização de Tempo de Clientes, no contêiner Objetos de Diretiva de Grupo.
  4. Clique com o botão direito do mouse no GPO recém-criado e em Editar.
  5. Navegue até Configuração do Computador ->Preferências ->Configurações do Windows -> Clique com o botão direito do mouse em Registro ->Novo ->Item do Registro
  6. Na janela Novas Propriedades do Registro , defina os seguintes valores:
    • Em ação:Atualizar
    • Em Hive:HKEY_LOCAL_MACHINE
    • No caminho da chave: navegue até SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider
    • Em Nome do Valor , digite Ativado
    • Tipo de valor: REG_DWORD
    • Em Dados do Valor: digite 0
  7. Para todos os outros parâmetros, use os valores padrão e clique em OK
  8. Vincule o GPO à Unidade Organizacional onde seus membros estão localizados.
  9. Aguarde ou force manualmente uma Atualização de Política de Grupo no membro do domínio.

Volte para o membro do domínio e, a partir de um prompt de comando elevado, execute novamente w32tm /query /source e compare a saída com a que você anotou no início da configuração. Agora ele será definido como o Controlador de Domínio que satisfez a solicitação de autenticação do membro.

Próximos passos

Abaixo estão os links para mais detalhes sobre a sincronização de tempo:

  • Last updated on