Configurer le mécanisme de temps pour Machines virtuelles Windows Active Directory dans Azure
S’applique à : ✔️ Machines virtuelles Windows Azure
Servez-vous de ce guide pour découvrir comment configurer la synchronisation de l’heure pour vos machines virtuelles Windows Azure qui appartiennent à un domaine Active Directory.
Hiérarchie de synchronisation de l’heure dans Active Directory Domain Services
La synchronisation de l’heure dans Active Directory doit être managée uniquement en autorisant le contrôleur de domaine principal à accéder à une source de temps externe ou à un serveur NTP.
Tous les autres contrôleurs de domaine synchronisent ensuite l’heure avec le contrôleur de domaine principal. Tous les autres membres obtiennent l’heure à partir du contrôleur de domaine qui a satisfait à la demande d’authentification du membre.
Si vous disposez d’un domaine Active Directory s’exécutant sur des machines virtuelles hébergées dans Azure, procédez comme suit pour configurer correctement la synchronisation de l’heure.
Notes
Ce guide est axé sur l’utilisation de la console Gestion des stratégies de groupe pour effectuer la configuration. Vous pouvez obtenir les mêmes résultats en utilisant l’invite de commandes, PowerShell ou en modifiant manuellement le Registre. Toutefois, ces méthodes ne sont pas abordées dans cet article.
Objet GPO pour permettre au contrôleur de domaine principal d’effectuer la synchronisation avec une source NTP externe
Pour vérifier la source de temps actuelle dans votre contrôleur de domaine principal, à partir d’une invite de commandes avec élévation de privilèges, exécutez w32tm /query /source et notez la sortie pour une comparaison ultérieure.
- À partir de Démarrer, exécutez gpmc.msc.
- Accédez à la forêt et au domaine dans lesquels vous souhaitez créer l’objet de stratégie de groupe.
- Créez un objet GPO, par exemple Synchronisation du temps DPC, dans le conteneur Objets de stratégie de groupe.
- Cliquez avec le bouton droit sur l’objet de stratégie de groupe nouvellement créé, puis sélectionnez Modifier.
- Accédez à la stratégie Paramètres de configuration globale sous Configuration ordinateur ->Modèles d’administration ->Système ->Service de temps Windows.
- Définissez-le sur Activé et configurez le paramètre AnnounceFlags sur 5.
- Accédez à Configuration ordinateur –>Modèles d’administration –>Système –>Service de temps Windows –>Fournisseurs de temps.
- Double-cliquez sur la stratégie Configurer le client NTP Windows et définissez-la sur Activée, configurez le paramètre NTPServer pour pointer vers une adresse IP ou le nom de domaine complet d’un serveur de temps, suivi par
,0x9
par exemple131.107.13.100,0x9
et configurez Type surNTP. Pour tous les autres paramètres, vous pouvez utiliser les valeurs par défaut ou utiliser des valeurs personnalisées en fonction des besoins de votre entreprise. - Cliquez sur le bouton Paramètre suivant, définissez la stratégie Activer le client NTP Windows sur Activé et cliquez sur OK
- Dans l’onglet Étendue de l’objet GPO nouvellement créé, naviguez vers Filtrage de sécurité et mettez en surbrillance le groupe Utilisateurs authentifiés -> Cliquez sur le bouton Supprimer ->OK ->OK
- Créez un filtre WMI pour obtenir dynamiquement le contrôleur de domaine qui détient le rôle PDC :
- Dans la console Gestion des stratégies de groupe, accédez à Filtres WMI, cliquez dessus avec le bouton droit, puis sélectionnez Nouveau.
- Dans la fenêtre Nouveau filtre WMI, donnez un nom au nouveau filtre, par exemple, Obtenir l’émulateur PDC -> Renseignez le champ Description (facultatif) -> Cliquez sur le bouton Ajouter.
- Dans la fenêtre Requête WMI, laissez l’Espace de noms tel quel. Dans la zone de texte Requête, collez la chaîne suivante
Select * from Win32_ComputerSystem where DomainRole = 5
, puis cliquez sur le bouton OK. - Dans la fenêtre Nouveau filtre WMI, cliquez sur le bouton Enregistrer.
- Dans l’onglet Étendue de l’objet de stratégie de groupe nouvellement créé, accédez au menu déroulant Filtrage WMI, puis sélectionnez le filtre WMI créé précédemment, et cliquez sur OK.
- Dans l’onglet Étendue de l’objet de stratégie de groupe nouvellement créé, accédez au Filtrage de sécurité en cliquant sur le bouton Ajouter et recherchez le groupe Contrôleurs de domaine, puis cliquez sur le bouton OK.
- Liez l’objet GPO à l’unité d’organisation Contrôleurs de domaine.
Notes
Jusqu’à 15 minutes peuvent être nécessaires avant que ces modifications soient prises en compte par le système.
À partir d’une invite de commandes avec élévation de privilèges, réexécutez w32tm /query /source et comparez la sortie avec celle que vous avez notée au début de la configuration. Maintenant, il sera défini sur le serveur NTP que vous avez choisi.
Conseil
Si vous souhaitez accélérer le processus de modification de la source NTP sur votre contrôleur de domaine principal, à partir d’une invite de commandes avec élévation de privilèges, exécutez gpupdate /force, suivi de w32tm /resync /nowait, puis réexécutez w32tm /query /source. La sortie doit être le serveur NTP que vous avez utilisé dans l’objet GPO ci-dessus.
Objet GPO pour les membres
En règle générale, NTP dans Active Directory Domain Services suit la hiérarchie de temps AD DS mentionnée au début de cet article et aucune configuration supplémentaire n’est requise.
Toutefois, les machines virtuelles hébergées dans Azure présentent des paramètres de sécurité spécifiques qui sont appliqués directement par la plateforme cloud.
Pour tous les autres membres de domaine qui ne sont pas des contrôleurs de domaine, vous devez modifier le Registre et définir la valeur sur 0 dans la clé Activé sous HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider
Important
N’oubliez pas que toute erreur de modification du Registre peut être à l’origine de problèmes graves. Par conséquent, assurez-vous de respecter strictement ces étapes et de les tester sur quelques machines virtuelles de test pour vous assurer d’obtenir le résultat attendu. Pour plus de protection, sauvegardez le registre avant de le modifier. Vous pourrez ainsi restaurer le Registre en cas de problème. Pour savoir comment sauvegarder et restaurer le Registre Windows, suivez les étapes ci-dessous.
Sauvegarder le Registre
- Sélectionnez Démarrer, tapez regedit.exe, puis appuyez sur
Enter
. Le cas échéant, le système vous invite à taper un mot de passe administrateur ou à le confirmer. - Dans la fenêtre Éditeur de Registre, recherchez la clé ou la sous-clé de Registre que vous souhaitez sauvegarder, puis cliquez dessus.
- Dans le menu Fichier, sélectionnez Exporter.
- Dans la boîte de dialogue Exporter un fichier de Registre, sélectionnez l’emplacement où vous souhaitez enregistrer la copie de sauvegarde, tapez un nom pour le fichier de sauvegarde dans le champ Nom de fichier, puis cliquez sur Enregistrer.
Restaurer une sauvegarde de Registre
- Sélectionnez Démarrer, tapez regedit.exe, puis appuyez sur
Enter
. Le cas échéant, le système vous invite à taper un mot de passe administrateur ou à le confirmer. - Dans la fenêtre Éditeur du Registre, dans le menu Fichier, sélectionnez Importer.
- Dans la boîte de dialogue Importer un fichier du Registre, sélectionnez l’emplacement dans lequel vous avez enregistré la copie de sauvegarde, sélectionnez le fichier de sauvegarde, puis cliquez sur Ouvrir.
ObjetGPO pour désactiver VMICTimeProvider
Configurez l’Objet de stratégie de groupe suivant pour permettre aux membres du domaine de synchroniser l’heure avec les contrôleurs de domaine dans le site Active Directory correspondant :
Pour vérifier la source de temps actuelle, connectez-vous à un membre de domaine et à partir d’une invite de commandes avec élévation de privilèges, exécutez w32tm /query /source et notez la sortie pour une comparaison ultérieure.
- À partir d’un contrôleur de domaine, accédez à Démarrer, puis exécutez gpmc.msc.
- Accédez à la forêt et au domaine dans lesquels vous souhaitez créer l’objet de stratégie de groupe.
- Créez un objet de stratégie de groupe, par exemple Synchronisation de l’heure des clients, dans le conteneur Objets de stratégie de groupe.
- Cliquez avec le bouton droit sur l’objet de stratégie de groupe nouvellement créé, puis sélectionnez Modifier.
- Accédez à Configuration de l’ordinateur ->Préférences ->Paramètres Windows -> Cliquez avec le bouton droit sur Registre ->Nouveau ->Élément de Registre
- Dans la fenêtre Nouvelles propriétés de Registre, définissez les valeurs suivantes :
- Sur action : mise à jour
- Sur Hive :HKEY_LOCAL_MACHINE
- Sur Chemin de la clé : accédez à SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider
- Sur Nom de la valeur, tapez Activé
- Sur Type valeur : REG_DWORD
- Sur Données de valeur : type 0
- Pour tous les autres paramètres, utilisez les valeurs par défaut et cliquez sur OK
- Liez l’objet GPO à l’unité d’organisation où se trouvent vos membres.
- Patientez ou forcez manuellement une Mise à jour de stratégie de groupe sur le membre du domaine.
Accédez au membre de domaine et à partir d’une invite de commandes avec élévation de privilèges, réexécutez w32tm /query /source et comparez la sortie avec celle que vous avez notée au début de la configuration. À présent, il sera défini sur le contrôleur de domaine qui ont satisfait à la demande d’authentification du membre.
Étapes suivantes
Voici des liens pour plus d’informations sur la synchronisation de l’heure :