Configuración de servidores Linux con origen de tiempo en Domain Controllers Windows

Configurar un servidor Linux para que sincronice su hora utilizando los Controladores de Dominio (DCs) de un dominio Windows como fuente de tiempo NTP.

Requisitos Previos

• Acceso root o sudo en el servidor Linux.
• Conectividad de red con al menos uno de los Domain Controllers.
• Los DCs deben tener habilitado el servicio de tiempo (W32Time).
• Verificar que el firewall permita el tráfico NTP (UDP/123).

Paso 1: Identificar los Domain Controllers

Puedes obtener la lista de DCs desde una máquina con herramientas AD o mediante resolución DNS:

nslookup -type=SRV _ntp._udp.Dominio.local

También puedes listar directamente los DCs:

dig +short _ldap._tcp.dc._msdcs.Dominio.local SRV

Apunta sus FQDN o IPs.

Paso 2: Instalar y configurar NTP o Chrony

Dependiendo de tu distribución, puedes usar chrony (más moderno) o ntpd. Se recomienda Chrony por su precisión y flexibilidad.

2.1 Para sistemas con Chrony (CentOS 7/8, RHEL, Debian 10+, Ubuntu 18.04+)

Instalar Chrony

sudo apt install chrony        # Debian/Ubuntu
sudo yum install chrony        # CentOS/RHEL

Editar configuración /etc/chrony/chrony.conf

Comenta los servidores por defecto y añade los DCs:

# pool 0.debian.pool.ntp.org iburst
# pool 1.debian.pool.ntp.org iburst

server dc1.dominio.local iburst
server dc2.dominio.local iburst

Reinicia el servicio:

sudo systemctl enable chronyd
sudo systemctl restart chronyd

Verificar sincronización

chronyc sources -v
chronyc tracking

2.2 Para sistemas con NTP clásico (ntpd)

Instalar NTP

sudo apt install ntp           # Debian/Ubuntu
sudo yum install ntp           # CentOS/RHEL

Configurar /etc/ntp.conf

Edita el archivo y añade los Domain Controllers:

server dc1.dominio.local iburst
server dc2.dominio.local iburst

restrict default kod nomodify notrap nopeer noquery
restrict 127.0.0.1
restrict ::1

Reinicia el servicio:

sudo systemctl enable ntp
sudo systemctl restart ntp

Verificar sincronización

ntpq -p

Paso 3: Verificar conectividad NTP con los DCs

Antes de forzar sincronización, asegúrate de que puedes contactar el puerto 123 UDP:

sudo nmap -sU -p 123 dc1.dominio.local

Paso 4: Forzar sincronización manual (opcional)

Con Chrony:

sudo chronyc -a makestep

Con NTPD:

sudo ntpd -gq

Paso 5: Verificar sincronización de hora del sistema

timedatectl status

Asegúrate de que el sistema esté sincronizado y con la zona horaria correcta.

Consideraciones de seguridad

• Es recomendable usar FQDNs de los DCs, especialmente si hay cambios de IP.
• Evita usar servidores públicos si dependes de sincronía Kerberos (5 minutos de desviación puede causar fallos de autenticación).
• Asegúrate de que los DCs tengan su hora sincronizada correctamente (normalmente desde el PDCe y luego desde fuentes externas fiables).

Juan José Fernández Durán

Arquitecto IT & Consultor IT

See author's posts