Resolução de problemas do serviço de hora do Windows

O serviço de hora do Windows é muito importante no Active Directory. Por padrão, a autenticação Kerberos requer que os relógios em todas as máquinas no domínio sejam sincronizados dentro de cinco minutos uns dos outros quando corrigidos para diferenças de fuso horário e horário de verão. Máquinas cujos relógios estão fora deste intervalo não serão capazes de autenticar e, portanto, não terão acesso aos recursos do domínio.

Com um domínio AD, o controlador de domínio (DC) que detém a função FSMO do Emulador PDC é o servidor de tempo mestre para todo o domínio. Isto não significa que cada máquina no domínio sincroniza seu relógio diretamente com o Emulador PDC, no entanto. Outros DCs sincronizam com o Emulador PDC, enquanto os servidores e clientes membros podem sincronizar com qualquer DC. Nesta hierarquia, o Emulador PDC deve ser a única máquina que está configurada para sincronizar com uma fonte de tempo externa, como um servidor NTP público. Tudo o resto no domínio deve ser configurado para sincronizar com o AD. Qualquer outra configuração pode resultar em perda de sincronização do relógio.
Refer a este site da TechNet para informações detalhadas sobre como o serviço de Time do Windows funciona.
Determinar a extensão do problema
O primeiro passo na solução de um problema no serviço de Time do Windows deve ser determinar quantas máquinas são afetadas. Se o tempo estiver incorreto em apenas uma máquina, os passos necessários para corrigir o problema serão diferentes dos passos necessários para corrigir um problema de tempo em todo o domínio.
Se apenas algumas máquinas forem afetadas

1. Se a máquina afetada estiver executando o Windows Vista ou posterior, execute w32tm /query /source em um prompt de comando para determinar a fonte de tempo da máquina afetada. Uma fonte de tempo externa só deve ser listada se este comando for executado no Emulador PDC; caso contrário, o comando deve emitir o nome de uma DC no domínio.
2. O comando w32tm /query /status também mostra a fonte de tempo da máquina, bem como outras informações potencialmente úteis. A chave /verbose fornece ainda mais informações. Tal como no primeiro comando, estes interruptores só estão disponíveis em máquinas com Windows Vista ou posterior.
3. Se a fonte de tempo correcta estiver listada, pode usar o w32tm /resync para tentar ressincronizar o relógio da máquina com a fonte de tempo. Adicionar a chave /rediscover a este comando faz com que a máquina primeiro tente descobrir as fontes de tempo da rede, depois tente um resync.
4. Para alterar a fonte de tempo da máquina, pode usar um de dois comandos:
   w32tm /config /syncfromflags:DOMHIER /update configura a máquina para usar a hierarquia de domínio (AD) como sua fonte de tempo.
   w32tm /config /syncfromflags:MANUAL /manualpeerlist:<list> /update configura a máquina para usar os servidores de tempo em <list> como sua fonte de tempo.
   NOTA: Se vários servidores de tempo são especificados em <list>, eles devem ser separados por espaços, e toda a lista deve ser delimitada entre aspas.

Se todo o domínio for afectado

1. Se o tempo estiver incorrecto em todas as máquinas do domínio, o Emulador PDC é muito provavelmente a fonte do problema. Execute o comando fsmo da netdom numa DC para determinar qual DC detém a função do Emulador PDC.
2. Executar w32tm /query /source a partir de um prompt de comando no Emulador PDC para assegurar que está configurado para sincronizar com uma fonte de tempo externa. O Emulador PDC nunca deve ser configurado para sincronizar com o domínio, uma vez que é a fonte de tempo mestre do domínio.
3. Se o Emulador PDC for uma máquina virtual (VM), desabilite a sincronização do relógio guest-host. O procedimento para fazer isso depende do sistema operacional rodando no host de virtualização.
4. Para configurar o Emulador PDC para sincronizar com um ou mais servidores de tempo externos, use o seguinte comando:
   w32tm /config /syncfromflags:MANUAL /manualpeerlist:<list> /update
   NOTA: Se forem especificados vários servidores de tempo em <list>, eles devem ser separados por espaços, e toda a lista deve estar entre aspas.

Configurações do registo do serviço de tempo do Windows
Os comandos w32tm especificados nos procedimentos acima fazem alterações aos valores do registo do serviço de tempo do Windows, que estão todos localizados sob a seguinte chave de registo:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time
É possível definir estes valores manualmente em vez de usar os comandos w32tm, claro. Se você optar por fazê-lo, os seguintes sites podem ser úteis:

• Ferramentas e Definições do Serviço de Hora do Windows (inclui uma secção sobre definições do registo)
• Como configurar um Servidor de Hora Autorizado no Windows Server

Política de Grupo
Se fizer alterações ao serviço de Hora do Windows utilizando os comandos w32tm ou através do registo, mas essas alterações não entram em vigor ou entram em vigor apenas por um curto período de tempo antes de reverter para seus valores anteriores, pode haver um Objeto de Política de Grupo (GPO) sobrepondo-se às suas alterações. As configurações da Política de Grupo para o serviço Time do Windows incluem muitos dos mesmos itens que podem ser configurados através do registro ou comandos w32tm. Essas configurações podem ser encontradas no seguinte local:
Configuração do Computador\Políticas\Modelos Administrativos\Sistema\Sistema\Serviço de Tempo do Windows
Refinir os valores padrão do registro do serviço de Tempo do Windows para as configurações padrão
Se tudo mais falhar, esse procedimento redefinirá o serviço de Tempo do Windows para suas configurações padrão:

1. Abrir o console de Serviços e interromper o serviço de Tempo do Windows (ou executar o tempo de rede w32time a partir de um prompt de comando) se ele estiver sendo executado.
2. Abrir um prompt de comando elevado e executar w32tm /unregister para remover o serviço de Hora do Windows do registo. O serviço não será mais listado no console Services.
3. Executar w32tm /register para recriar o serviço com suas configurações padrão de registro.
4. Fazer quaisquer alterações necessárias no registro, então iniciar o serviço de Hora do Windows no console Services ou com o comando net start w32time.