Windows Server 2019 AD e problemi orologio

[Valerio5000]

Ciao a tutti amici

Sto perdendo giorni e giorni con un problema che inizialmente credo abbastanza semplice ma in realtà leggendo in rete sto notando che non è sempre di facile risoluzione mi spiego;

gestisco un Dominio Active Directory supportato da due Domain Controller entrambi con Windows Server 2019 il tutto attivo da quasi un anno (Gennaio 2021. I due DC sono virtualizzati su un server vMware 6.0 su quest'ultimo server vi girano altre macchine virtuali inserite nel dominio in questione.

Mi sono accorto da circa un mesetto che tutti i client (un centinaio) e le VM in dominio compresi gli stessi DC hanno l'orologio in avanti di circa 5 minuti. Sono andato a vedere sul Domain Controller 1 che è anche il server di riferimento per l'orario ma non ho capito cosa fare nello specifico per risolvere il problema.

Sono andato a vedere l'orario del server fisico dove vi sono le virtualizzazioni ed effettivamente il sistema NTP era per qualche ragione disattivato , attivandolo e sincronizzandolo con un server NTP italiano (ora mi sfugge il nome e non posso verificarlo) l'orario del server si è effettivamente allineato perfettamente ma il DC virtualizzato non ha minimamente cambiato nulla riguardo l'ora. Ho provato diversi comandi da impartire sul DC ma non hanno assortito effetto e ho anche un po di timore nel creare problemi ulteriori visto che a parte questo difetto dell'orologio tutta l'infrastruttura Active Directory funziona perfettamente..

Attualmente la situazione è che il server fisico è 5 minuti indietro rispetto al DC che a sua volta ovviamente fornisce questo ritardo orario a tutti i client e VM a valle.

Avete qualche consiglio ?

L'unica cosa che non ho provato è riavviare totalmente il DC ma siccome parliamo di tantissimi client in dominio 24/24 è un po difficile ma non credo serva..

[ciop71]

Ciao, va sincronizzato con un server ntp il dc virtualizzato e non la macchina fisica sulla quale è installato. Se sul dc c'è un'ora sbagliate tutti gli apparati collegati avranno lo stesso problema.

[lemming]

Non è difficile, basta creare una group policy che distribusca l'impostazione che il server ntp è il domain controller. Es. https://theitbros.com/configure-ntp-...-group-policy/

Teoricamente dovrebbe essere il domain controller che è anche PDC (primary domain controller) emulator è solo uno dei server domain controller del dominio ad essere PDC emulator.

Per sapere qual è puoi usare risolvere questo SRV record:

nslookup -type=srv _ldap._tcp.pdc._msdcs.<nome de tuo dominio>
dove <nome de tuo dominio> è il nome del tuo dominio AD.

Es. <nome de tuo dominio> = example.com

ti restituisce l'ip del DC che fa da PDC emulator.
Crei una policy che attivi il servizio NTP client sui membri del dominio (puoi fare un filtro WMI che prenda solo i membri del dominio e non i domain controller) e che imposti anche come ntp server il DNS name del tuo domain controller PDC emulator.

Edit: attiva NTP anche su VMWARE: https://www.valent-blog.eu/2015/03/15/vmware-esxi-6/

[Kaya]

Come detto sopra, il Domain controller si sincronizza al server ntp (consiglio i server inrim ) e poi il client puntano al DC.

Ti consiglio però un bel backup: abbiamo avuto anche noi un problema simile e (non so ancora e mai saprò se è collegato) abbiamo avuto problemi col Dominio (una giornata di panico a rimettere tutto a posto... )

[Dane]

dovresti decidere chi fa da autorità per la parte NTP.

Nel senso che di default i DC fanno da server NTP per i client (che di default utilizzano i DC come orologi).
Oltre a ciò di default esxi sincronizza l'ora delle VM "fregandosene" dell'l'NTP della VM usando come "master" l'ora locale dell'hypervisor.


Se il client NTP dei server esxi era disattivato e disallineato tra di loro, ti sei rietrovato i DC che di tanto si cambiavano l'ora e cercavano di sincronizzarsela.


Probabilmente la casistica che hai è che sono utilizzati tutti i default, e per qualche motivo esxi non sincronizzano l'ora, ma la forzano sulle VM.

Valuta i seguenti:
- quale sarà il server NTP autoritativo (e se ne vuoi gestire uno o più interni)
- se i DC devono fare anche da client NTP (per sincronizzarsi su internet) o se sincronizzare l'ora usando le feature di esxi (via vmtools)
- se attivare su esxi il client NTP (per avere l'ora sincrozzata tra hypervisor)

[Valerio5000]

Grazie a tutti per le risposte, ho risolto ieri nel modo più banale possibile

L'infrastruttura VMware nello specifico i 2 server fisici avevano si il server NTP sincronizzato e funzionante, ma mancava una piccola spunta nelle impostazioni della VM che fa da DC1 del dominio per sincronizzare i rispettivi orologi

È bastato fleggare l'opzione e dopo circa un quarto d'ora tutti avevano l'ora corretta...

Grazie per il supporto a tutti