25-10-2016, 06:54 PM
0
Cómo mantener la hora de los servidores de nuestra organización actualizados con la hora legal y oficial. Método útil para sellados de tiempo y operaciones con validez horaria. Para ello utilizaremos el protocolo NTP y la Hora ROA. Explicamos cómo actualizar los servidores de un dominio Windows y equipos Windows con y sin dominio. También mostramos el proceso para equipos con Linux.
NTP Network Time Protocol
Network Time Protocol (NTP) es un protocolo de Internet para sincronizar los relojes de los sistemas informáticos a través del enrutamiento de paquetes en redes con latencia variable. NTP utiliza UDP como su capa de transporte, usando el puerto 123. Está diseñado para resistir los efectos de la latencia variable.
NTP utiliza el Algoritmo de Marzullo con la escala de tiempo UTC, incluyendo soporte para características como segundos intercalares. NTPv4 puede mantenerse sincronizado con una diferencia máxima de 10 milisegundos (1/100 segundos) a través de Internet, y puede llegar a acercarse hasta 200 microsegundos (1/5000 segundos) o más en redes de área local sobre condiciones ideales. NTP es uno de los protocolos de internet más viejos que siguen en uso (desde antes de 1985).
El demonio NTP de Unix es un proceso de nivel de usuario que se ejecuta continuamente en la máquina que soporta NTP, y la mayor parte del protocolo está implementado en este proceso de usuario. Para obtener el mejor rendimiento de NTP, es importante tener un reloj NTP estándar con lazo de seguimiento de fase implementado en el kernel del Sistema operativo, en vez de sólo usar la intervención de un demonio NTP externo: todas las versiones actuales de GNU/Linux y Solaris soportan esta característica. NTP utiliza un sistema de jerarquía de estratos de reloj, en donde los sistemas de estrato 1 están sincronizados con un reloj externo tal como un reloj GPS ó algún reloj atómico. Los sistemas de estrato 2 de NTP derivan su tiempo de uno ó más de los sistemas de estrato 1, y así consecutivamente (cabe mencionar que esto es diferente de los estrato de reloj utilizados en los sistemas de telecomunicaciones).
Las estampas de tiempo utilizadas por NTP consisten en un segundo de 32-bit y una parte fraccional de 32-bit, dando con esto una escala de 232 segundos, con una resolución teórica de 2−32 segundos (0.233 nanosegundos). Aunque las escalas de tiempo NTP se redondean cada 232 segundos, las implementaciones deberían desambiguar el tiempo NTP utilizando el tiempo aproximado de otras fuentes. Esto no es un problema en la utilización general ya que esto solamente requiere un tiempo cercano a unas cuantas décadas.
La versión actual de NTP es la versión 4; hasta el 2005, sólo las versiones superiores a la versión 3 han sido documentadas en los RFCs. El grupo de trabajo de NTP IETF ha sido formado para estandarizar el trabajo de la comunidad de NTP desde RFC 1305. Hay una forma menos compleja de NTP que no requiere almacenar la información respecto a las comunicaciones previas que se conoce como Protocolo Simple de Tiempo de Red ó SNTP. Ha ganado popularidad en dispositivos incrustados y en aplicaciones en las que no se necesita una gran precisión.
Hora ROA Real Instituto y Observatorio de la Armada
La Hora ROA es la establecida por Real Instituto y Observatorio de la Armada en San Fernando, Cádiz, siendo esta la hora oficial de España.
El ROA difunde la hora ofical de España mediante los siguientes métodos:
- Transmisión de señales horarias en HF (onda corta), durante dos periodos de 25 minutos diarios. De 10:00 UTC a 10:25 UTC en 15006 KHz y de 10:30 UTC a 10:55 UTC en 4998 KHz. La emisora es un Harris RF-130 de 1kW de potencia que emite desde San Fernando (Cádiz). Esta estación es la única emisión de la hora oficial, porque que en España no existe todavía ninguna estación de onda larga que emita una señal horaria con la que poder sincronizar automáticamente, como son la DCF77 de Alemania o la MSF60 (ahora también llamada NPL) del Reino Unido.
- Vía telefónica (Tfno.: +34 956 59 94 29), siguiendo un protocolo de difusión de información horaria ampliamente extendido entre los laboratorios de referencia nacionales de tiempo y frecuencia y los usuarios en Europa (European Telephone Code Standard). El accesso está limitado a dos minutos por llamada y admite llamadas internacionales.
- Protocolo NTP (Network Time Protocol), a través de dos servidores de Internet situados en San Fernando y un tercero situado en Madrid. El servidor de hora NTP es: hora.roa.es.
- Sellado de tiempo: el ROA, como Autoridad de Sellado de Tiempo (TSA, Time Stamping Authority) legalmente establecida, dispone de un servidor de sellado de tiempo para la certificación oficial de documentos por terceros, mediante certificado digital estándar x509 v.3. Así, este sistema se usa para establecer el sellado de tiempo en las transacciones certificadas por la administración central y sus agencias en España, incluyendo entre ellas a la Agencia Tributaria y a la Fábrica Nacional de Moneda y Timbre. Sus servicios son también empleados por las comunidades autónomas para este fin. Este servicio está disponible a través de la Red SARA.
Requisitos para establecer la Hora ROA en un PC Servidor o PC de escritorio
Conexión a Internet
El servicio automático de actualización de hora en un PC Servidor (Windows Server 2003, W2008, W2012, Linux Red Hat, Linux Ubuntu Server, etc.) o PC de escritorio (Windows XP, Windows Vista, Windows 7, Windows 8, Linux Ubuntu, etc.) requiere de conexión a Internet, por lo tanto el equipo debe disponer de una conexión a Internet, cuanto más rápida y directa menos desfase habrá en la actualización horaria.
Puerto 123 abierto en firewall o cortafuegos
Por otro lado, puesto que la actualización automática de hora utiliza el protocolo NTP, necesitaremos tener abierto el puerto 123 en el cortafuegos del equipo y en el cortafuegos de nuestra organización (de haberlos).
Establecer la Hora ROA en servidores y equipos con sistemas operativos Windows
Hora ROA en servidor Windows Server 2003, 2008 PDC de dominio (servidor de hora autorizado)
Si en nuestra organización disponemos de un Dominio Windows (Active Directory o Directorio Activo) debemos configurar el servidor PDC (Primary Domain Controller ó Controlador Principal de Dominio) como servidor de hora autorizado. De esta forma el resto de servidores y equipos clientes agregados al dominio actualizarán la hora de este servidor. El servidor PDC, a su vez, actualizará la hora del servidor de hora ROA, a continuación indicamos cómo configurarlo a tal efecto.
Si tenemos varios servidores controladores de dominio y no sabemos cuál es el PDC, ejecutaremos el siguiente comando en uno de ellos:
netdom query fsmo
Dicho comando nos devolverá cuál es el PDC del dominio:
![[Imagen: AjpdSoft_ahsph_012.jpg]](https://lh5.googleusercontent.com/-Li_OC8tz1Zc/UrrwBXdp4mI/AAAAAAAAOMo/3tCy4iKjLjs/s400/AjpdSoft_ahsph_012.jpg)
Accederemos al servidor PDC (Controlador Principal de Dominio), desde este equipo abriremos el Editor de Registro (escribiendo "regedit" en "Inicio" - "Ejecutar"), accederemos a la clave de registro:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/services/W32Time/Parameters
Haremos doble clic sobre el valor "NtpServer" y especificaremos el servidor de hora que usaremos, en nuestro caso, para la hora legal ofical de España será hora.roa.es:
![[Imagen: AjpdSoft_ahsph_013.jpg]](https://lh5.googleusercontent.com/-4IyBMfs6-E8/UrrwIWQVgRI/AAAAAAAAOMo/HycJKoJgzVY/s400/AjpdSoft_ahsph_013.jpg)
En el valor "Type" especificaremos "NTP":
![[Imagen: AjpdSoft_ahsph_014.jpg]](https://lh5.googleusercontent.com/-_V-fK66hiAw/Ursd7Y4Q7_I/AAAAAAAAOP4/1fpoA2i7VS0/s400/AjpdSoft_ahsph_014.jpg)
En la clave:
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/services/W32Time/TimeProviders/NtpServer
En el valor "Enabled" estableceremos "1":
![[Imagen: AjpdSoft_ahsph_025.jpg]](https://lh5.googleusercontent.com/-PYaYsL4Ad0I/UrsbWEeJCwI/AAAAAAAAOPo/ZGeWFb3sJdk/s400/AjpdSoft_ahsph_025.jpg)
Ahora podremos aplicar los cambios reiniciando el servicio W32Time de Windows con los comandos:
net stop w32time
net start w32time
![[Imagen: AjpdSoft_ahsph_026.jpg]](https://lh3.googleusercontent.com/-TaMP1hqTBH0/UrsbXMBnN3I/AAAAAAAAOPo/NwiG7D_uhzE/s400/AjpdSoft_ahsph_026.jpg)
También podremos hacerlo desde la aplicación "Servicios" (services.msc) de Windows:
![[Imagen: AjpdSoft_ahsph_022.jpg]](https://lh4.googleusercontent.com/-szlDDwT__2w/UrsbPvGSm8I/AAAAAAAAOPo/CNX5WNTDCfo/s400/AjpdSoft_ahsph_022.jpg)
Para comprobar que todo es correcto en la configuración del servicio NTP de Windows accederemos al Visor de sucesos, en "Sistema", para los sucesos de tipo "Time-Service" podremos ver el resultado, si todo es correcto debe indicar "El servicio de hora comenzo a anunciarse como origen de la hora" y también "El servicio de hora comenzó a anunciarse como buen origen de la hora":
![[Imagen: AjpdSoft_ahsph_023.jpg]](https://lh5.googleusercontent.com/-rCe-9gHMnYE/UrsbSjwfcHI/AAAAAAAAOPo/vvcAHTmpjwo/s400/AjpdSoft_ahsph_023.jpg)
Si no establecemos el valor del parámetro "Enabled" a 0 en la clave "NtpClient" del servidor en el visor de sucesos nos mostrará un warning indicando: Proveedor de hora NtpClient: este equipo está configurado para usar la jerarquía de dominios para determinar su origen de la hora, pero es el emulador del controlador de dominio principal de Active Directory para el dominio raíz del bosque, por lo que no hay un equipo por encima de él en la jerarquía de dominios que pueda usarse como origen de la hora. Se recomeida configurar un servicio de hora confiable en el dominio raíz o configurar manualmente el controlador de dominio principal de Activce Directory para que se sincronice con un origen de la hora externo. De lo contrario, este equipo funcionará como origen de la hora autoritativo en la jerarquía de dominios. Si un origen de la hora externo no está configurado o este equipo no lo usa, puede deshabilitar NtpClient.
Si queremos mostrar la configuración de la hora automática del equipo podemos usar el comando:
w32tm /query /configuration
Para forzar la sincronización de la hora podemos usar el comando:
w32tm /resync
![[Imagen: AjpdSoft_ahsph_027.jpg]](https://lh6.googleusercontent.com/-zMIa-nyGf08/UrtHG2oz7JI/AAAAAAAAOQk/Uw4nMNBAOoQ/s400/AjpdSoft_ahsph_027.jpg)
En el Visor de eventos se creará un evento de tipo "Time-Service" con el mensaje "El proveedor de hora NtpClient está recibiendo datos de hora válidos desde hora.roa.es,0x9 (ntp.m|0x9|0.0.0.0:123-> 150.214.94.5:123":
![[Imagen: AjpdSoft_ahsph_028.jpg]](https://lh3.googleusercontent.com/-rC8XcTOQUNU/UrtHKnf5P1I/AAAAAAAAOQk/HPgj8zEQYiU/s400/AjpdSoft_ahsph_028.jpg)
Si ha de cambiarse la hora del equipo se creará otro evento de tipo "Kernel-General" con el texto: "La hora del sistema se cambió de xxxx a xxx":
![[Imagen: AjpdSoft_ahsph_029.jpg]](https://lh3.googleusercontent.com/-f04ocPG1h98/UrtHLOg3awI/AAAAAAAAOQk/6VlJEVlVdSE/s400/AjpdSoft_ahsph_029.jpg)
Hora ROA si el equipo pertenece a un dominio Windows
Si el PC de escritorio o servidor con sistema operativo Windows (XP, Vista, W7, W8, W2003, W2008, W2012) pertence a un dominio Windows la configuración de Hora de Internet no se podrá actualizar en el equipo miembro. El equipo miembro del dominio sincronizará la hora del servidor de hora autorizado que normalmente será el maestro de operaciones del controlador principal de dominio (PDC) con Windows Server 2003, Windows Server 2008 o Windows Server 2012.
Para consultar si un equipo está en un dominio, en un PC con sistema operativo Windows 7 accederemos a "Inicio" - "Panel de control" - "Sistema":
![[Imagen: AjpdSoft_ahsph_001.jpg]](https://lh5.googleusercontent.com/-VN5ss-o2mfo/UrId-Z3ZCPI/AAAAAAAAOII/4d6zve3mB2w/s400/AjpdSoft_ahsph_001.jpg)
Directamente en las propiedades del Sistema podremos comprobar en Dominio si nuestro equipo pertenece a un dominio. Para consultar más información pulsaremos en "Cambiar configuración":
![[Imagen: AjpdSoft_ahsph_002.jpg]](https://lh3.googleusercontent.com/-YBj_PPykYCY/UrIeSWrbGBI/AAAAAAAAOII/a5TFsAmKtOw/s400/AjpdSoft_ahsph_002.jpg)
Si aparecen datos en "Dominio" el equipo pertenecerá a un dominio Windows, pulsando en "Cambiar" podremos consultar todos los datos:
![[Imagen: AjpdSoft_ahsph_003.jpg]](https://lh5.googleusercontent.com/-zAYSA4UTgc8/UrIeTBsCpMI/AAAAAAAAOII/IKzF0ZF_7wo/s400/AjpdSoft_ahsph_003.jpg)
En esta ventana de "Cambios en dominio o nombre del equipo" podremos consultar y modificar (si disponemos de permisos) el nombre de red del equipo (hostname o nombre DNS) y la pertenencia a un dominio o a un grupo de trabajo:
![[Imagen: AjpdSoft_ahsph_004.jpg]](https://lh5.googleusercontent.com/-BMMl_RVX6hw/UrImiPVOcLI/AAAAAAAAOIg/9q3CoKBgwEk/s800/AjpdSoft_ahsph_004.jpg)
Si el equipo pertenece a un dominio Windows (como el del ejemplo anterior) NO podremos modificar la configuración de actualización de hora automática pues el equipo actualizará la hora del servidor de hora autorizado que normalmente será el maestro de operaciones del controlador principal de dominio (PDC). Si accedemos a las propiedades de Fecha y hora del equipo desde "Inicio" - "Panel de control" - "Fecha y hora":
![[Imagen: AjpdSoft_ahsph_011.jpg]](https://lh6.googleusercontent.com/-JEXQhqGmdOs/UrIfel4BmqI/AAAAAAAAOII/tcFC2EszZo4/s400/AjpdSoft_ahsph_011.jpg)
En los equipos pertenecientes a un dominio no aparecerá la opción de "Hora de Internet":
![[Imagen: AjpdSoft_ahsph_006.jpg]](https://lh6.googleusercontent.com/-BMr3YeB1gw4/UrIeeQ3WCHI/AAAAAAAAOII/37lTokJDLBA/s400/AjpdSoft_ahsph_006.jpg)
Hora ROA si el equipo no pertenece a un dominio Windows (grupo de trabajo)
Si el equipo no pertenece a un dominio y sí a un grupo de trabajo podremos establecer la actualización de hora automática basándonos en la Hora ROA mediante el protocolo NTP. Para ello accederemos a las propiedades de Fecha y hora de Windows o bien desde "Inicio" - "Panel de control" - "Fecha y hora":
O bien pulsando con el botón derecho sobre la hora (de la parte inferior derecha) y pulsando "Ajutar fecha y hora" en el menú emergente:
![[Imagen: AjpdSoft_ahsph_005.jpg]](https://lh4.googleusercontent.com/-ojKUULEbVGA/UrIeaurDliI/AAAAAAAAOII/q3_I0oOY8Y8/s400/AjpdSoft_ahsph_005.jpg)
Desde la pestaña "Hora de Internet" pulsaremos en "Cambiar la configuración":
![[Imagen: AjpdSoft_ahsph_007.jpg]](https://lh5.googleusercontent.com/-79GmO_AH-vc/UrIefQZJR3I/AAAAAAAAOII/cGwOxjed5Ik/s400/AjpdSoft_ahsph_007.jpg)
Marcaremos la opción "Sincronizar con un servidor horario de Internet". En "Servidor" introduciremos hora.roa.es. Para comprobar la conexión con el servidor de Hora de ROA pulsaremos en "Actualizar ahora":
![[Imagen: AjpdSoft_ahsph_008.jpg]](https://lh5.googleusercontent.com/-HiFal33G9Yg/UrIehFLutWI/AAAAAAAAOII/N0LSPqJO59U/s400/AjpdSoft_ahsph_008.jpg)
Si todo es correcto, en unos segundos, nos mostrará el mensaje "El reloj se sincronizó correctamente con hora.roa.es el xxx a las xxx":
![[Imagen: AjpdSoft_ahsph_009.jpg]](https://lh4.googleusercontent.com/-Kdq1t7EQNfk/UrIeiQzYfiI/AAAAAAAAOII/Z7ONro-CYEk/s400/AjpdSoft_ahsph_009.jpg)
A partir de este momento el equipo actualizará la hora de forma automática cada cierto tiempo conectándose a hora.roa.es mediante el protocolo NTP. Si todo es correcto, en el Visor de sucesos de Windows, en "Sistema" podremos ver los sucesos del tipo "Time-Service" indicando: El proveedor de hora NtpClient está recibiendo datos de hora válidos desde hora.roa.es,0x9 (ntp.m|0x9|0.0.0.0:123->150.214.94.5:123)":
![[Imagen: AjpdSoft_ahsph_015.jpg]](https://lh5.googleusercontent.com/-CL6uu2ljkXE/UrrwQF_-0EI/AAAAAAAAOMo/DhpUiJ6rMb4/s400/AjpdSoft_ahsph_015.jpg)
Establecer la Hora ROA en un PC con Linux
En el caso de un PC con sistema operativo Linux deberemos usar la aplicación ntp, para la distribución Linux Ubuntu Server lo podremos instalar ejecutando el comando:
apt-get install ntp
Nota: si no encuentra el paquete ntp podremos descargarlo e instalarlo manualmente.
![[Imagen: AjpdSoft_ahsph_016.jpg]](https://lh3.googleusercontent.com/-tI1TIkljmQE/Urrw_RNbCPI/AAAAAAAAOOA/_i8rBTHfoI4/s400/AjpdSoft_ahsph_016.jpg)
Una vez instalado ntp, se iniciará el servicio NTP Server ntpd, será el encargado de mantener el equipo Linux con la hora actualizada de forma automática:
![[Imagen: AjpdSoft_ahsph_017.jpg]](https://lh6.googleusercontent.com/-xCR5uMuf8iU/Urrw91Go43I/AAAAAAAAOOA/fRKQ44rIA60/s400/AjpdSoft_ahsph_017.jpg)
Ahora configuraremos los servidores de hora oficiales de España (o los que queramos), para ello editamos el fichero /etc/ntp.conf con el comando:
nano /etc/ntp.conf
Establecemos en "server" los valores:
server hora.roa.es
server hora.rediris.es
(el resto de servidores que vienen por defecto se pueden comentar añadiendo delante la letra #):
![[Imagen: AjpdSoft_ahsph_019.jpg]](https://lh6.googleusercontent.com/-KMzdxrI8JoU/UrrxVgdBR1I/AAAAAAAAOOk/E3XH6fKkrRk/s400/AjpdSoft_ahsph_019.jpg)
Guardamos los cambios pulsando Control + O y cerramos pulsando Control + X.
Para que los cambios tengan efecto reiniciaremos el servicio NTP Server ntpd con el comando:
service ntp restart
Para comprobar que hemos establecido correctamente los servidores de hora y para comprobar que el servicio NTP Server ntpd se está iniciando visualizaremos el fichero /var/log/syslog con el comando:
cat /var/log/syslog
![[Imagen: AjpdSoft_ahsph_021.jpg]](https://lh4.googleusercontent.com/-A4_dm1_DFxM/UrrxYs0TRFI/AAAAAAAAOO0/U32ZiQCw-Bo/s400/AjpdSoft_ahsph_021.jpg)
A partir de ahora, configurando los permisos de acceso en el fichero /etc/ntp.conf este equipo Linux podrá servir de servidor de hora para el resto de la red.
