Partager via

Recommandation - Configurer le contrôleur de domaine principal de la racine avec une source de temps externe et éviter les asymétries temporelles étendues

  • Article

Pourquoi effectuer ces actions

Votre émulateur de contrôleur de domaine principal racine n’est pas configuré pour utiliser un serveur NTP (Network Time Protocol). De nombreuses fonctions Windows et réseau dépendent d’une excellente synchronisation temporelle à l’échelle du réseau. Les échecs de synchronisation temporelle peuvent générer divers problèmes, plus particulièrement des échecs de connexion. L’authentification Kerberos et l’authentification unique par revendications peuvent échouer en raison de disparités au niveau du temps.

Regardez un ingénieur client expliquer le problème

Contexte et meilleures pratiques

Par défaut, tous les ordinateurs et périphériques d’un domaine synchronisent l’heure du système en utilisant la hiérarchie du domaine. Les membres du domaine synchronisent l’heure avec les contrôleurs de domaine qui, à leur tour, synchronisent l’heure avec le contrôleur de domaine qui joue le rôle d’émulateur de contrôleur de domaine principal (PDC). En haut de la hiérarchie du domaine figure l’ECDP du domaine racine de la forêt. Ainsi, il est incorrect de configurer ce contrôleur de domaine de manière à synchroniser l’heure avec la hiérarchie du domaine. Pour vous informer de cette situation, le service de temps Windows consigne l’événement d’ID 12 dans le journal des événements Windows (source : W32Time).

Dans certains cas, l’émulateur PDC détermine l’heure à partir de l’horloge BIOS. Cette approche présente toutefois des inconvénients. Si l’heure et la date ne sont pas définies avec précision dans le BIOS de l’ECDP, leur configuration à travers le domaine sera incorrecte. Par ailleurs, les membres du domaine ne parviendront pas à synchroniser l’heure si l’ECDP est hors connexion. Mieux vaut configurer l’émulateur du contrôleur de domaine principal pour qu’il synchronise l’heure directement avec une source de temps externe. Autre solution : configurer un autre périphérique du domaine pour qu’il synchronise l’heure avec une source de temps externe, puis configurer l’ECDP pour qu’il utilise un serveur de temps interne comme source de temps faisant autorité.

Les sources de temps externes faisant autorité sont accessibles via Internet. Généralement gérées par des organismes publics, des instituts scientifiques ou des établissements d’enseignement, elles vous permettent de synchroniser l’heure du système via le protocole de temps du réseau (NTP, Network Time Protocol). Par exemple, le NIST fournit des serveurs de temps à divers emplacements des États-Unis.

Actions suggérées

Vous pouvez configurer le contrôleur de domaine détenant le rôle PDCE pour utiliser un serveur NTP afin de synchroniser l’heure. Il existe plusieurs approches.

Pour configurer la synchronisation de l’heure via une ligne de commande :

Sur l’émulateur de contrôleur de domaine principal, ouvrez l’invite de commandes d’administration et utilisez les commandes suivantes :

w32tm.exe /config /syncfromflags:manual /manualpeerlist:131.107.13.100,0x8 /reliable:yes /update

w32tm.exe /config /update

Note

L’adresse IP utilisée dans l’exemple est celle d’un serveur de temps du National Institute of Standards and Technology (NIST) situé dans les locaux de Microsoft à Redmond, Washington. Remplacez cette adresse IP par le service de temps de votre choix.

Pour configurer la synchronisation de l’heure via la modification du registre sur l’émulateur de contrôleur de domaine principal :

  1. Ouvrez l’Éditeur du Registre (regedit.exe).

  2. Accédez à la clé de Registre suivante : HKLM\System\CurrentControlSet\Services\W32Time\Parameters

  3. .Pour utiliser une source NTP spécifique, remplacez la valeur du Type par NTP

  4. Modifiez la valeur NtpServer pour qu’elle contienne le serveur NTP avec lequel synchroniser l’heure, suivi de 0x8, par exemple 131.107.13.100,0x8. Plusieurs serveurs NTP doivent être séparés par des espaces, par exemple 131.107.13.100,0x8 24.56.178.140,0x8

  5. Ouvrez une invite de commandes en tant qu’administrateur et tapez la commande suivante : w32tm /config /update.

Pour configurer la synchronisation de l’heure via la stratégie de groupe :

  1. Ouvrez la Console de gestion des stratégies de groupe.

  2. Créez un Objet de stratégie de groupe.

  3. Ouvrez l’objet de stratégie de groupe et accédez à Paramètres de l’ordinateur -> Modèles d’administration -> Système -> Service de temps Windows -> Fournisseurs de temps.

  4. Double-cliquez sur Configurer le client NTP Windows.

  5. Définir l’état sur Activé.

  6. Configurez le Type sur NTP.

  7. Configurez NtpServer pour qu’il pointe vers une adresse IP d’un serveur de temps, suivi de ,0x8. Par exemple : 131.107.13.100,0x8.

  8. Fermez l’Éditeur de stratégie de groupe.

  9. Dans le volet Filtrage de sécurité de la console de gestion des stratégies de groupe, supprimez Utilisateurs authentifiés pour la stratégie nouvellement créée et ajoutez la machine qui détient le rôle d’Émulateur de contrôleur de domaine principal.

  10. Associez l’objet de stratégie de groupe à l’unité d’organisation des Contrôleurs de domaine.

Note

Les paramètres de stratégie de groupe pour l’heure Windows sont écrits dans le chemin HKLM\Software\Policies\Microsoft\W32time du Registre.

Procédure de dépannage

Pour afficher la configuration actuelle du service de temps Windows, utilisez la commande suivante dans une invite de commandes avec élévation de privilèges :

w32tm /query /configuration

Pour afficher la source actuelle de la synchronisation de l’heure, utilisez la commande suivante :

w32tm /query /source

En savoir plus

Pour plus d’informations sur le service de temps Internet NIST, consultez l’article Service de temps Internet NIST (ITS).

Pour plus d’informations sur le service de temps Windows, consultez l’article Fonctionnement du service de temps Windows.