Comment puis-je synchroniser l'heure entre les instances jointes à un domaine Windows et AWS Managed Microsoft AD ?
Je souhaite utiliser des politiques de groupe pour configurer la synchronisation de l'heure pour les machines Microsoft Windows via AWS Directory Service for Microsoft Active Directory.
Brève description
Les machines Windows peuvent disposer d'un serveur NTP (Network Time Protocol) prédéfini dans le registre avant qu'il ne soit joint au domaine AWS Managed Microsoft AD. Les machines Windows synchronisent automatiquement l'heure avec tous les mécanismes disponibles lorsqu'elles sont jointes au domaine. Toutefois, si les serveurs NTP sources utilisent une heure différente, cette configuration peut entraîner des problèmes de décalage horaire.
Dans cet exemple, le paramètre NtpServer a été prérempli avec la valeur 169.254.169.123,0x9 avant que l'instance ne rejoigne le domaine AWS Managed Microsoft AD. Toutefois, le paramètre Type devient AllSync une fois le domaine rejoint. Ce changement de configuration peut provoquer un décalage horaire.
Avant que le domaine ne soit rejoint :
PS C:\> w32tm /dumpreg /subkey:parameters | findstr /i "NtpServer Type" Value Name Value Type Value Data NtpServer REG_SZ 169.254.169.123,0x9 Type REG_SZ NTP
PS C:\> w32tm /query /configuration | findstr /i "Type NTPServer:" Type: AllSync (Local) NtpServer: 169.254.169.123,0x9 time.windows.com,0x8 (Local)
Une fois le domaine rejoint :
PS C:\> w32tm /dumpreg /subkey:parameters | findstr /i "NtpServer Type" Value Name Value Type Value Data NtpServer REG_SZ 169.254.169.123,0x9 time.windows.com,0x8 Type REG_SZ AllSync
PS C:\> w32tm /query /configuration | findstr /i "Type NTPServer:" Type: AllSync (Local) NtpServer: 169.254.169.123,0x9 time.windows.com,0x8 (Local)
Résolution
Il est recommandé d'utiliser des contrôleurs de domaine pour s'assurer que les machines jointes au domaine Windows synchronisent l'heure via la hiérarchie des domaines AWS Managed Microsoft AD. Pour en savoir plus, reportez-vous à Comment fonctionne le service de temps Windows et Outils et paramètres du service de temps Windows sur le site Web de Microsoft.
Prérequis
Avant toute chose, vous devez :
- Installer les outils d'administration Active Directory sur une instance Amazon Elastic Compute Cloud (Amazon EC2) jointe à un domaine.
PS C:\> Install-windowsFeature RSAT-ADDS,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,GPMC,RSAT-DNS-Server Success Restart Needed Exit Code Feature Result ------- -------------- --------- -------------- True No Success {Group Policy Management, DNS Server Tools, . . . }
- Vérifier que l'instance EC2 est jointe au domaine AWS Managed Microsoft AD pour lequel vous souhaitez configurer une hiérarchie de domaines pour la synchronisation horaire. Pour en savoir plus, reportez-vous à Joindre manuellement une instance Windows.
Configurer la hiérarchie horaire du domaine AWS Managed AD
Utilisez les paramètres de la Politique des groupes pour synchroniser l'heure dans la hiérarchie des domaines AWS Managed AD :
- Utilisez le protocole RDP (Remote Desktop Protocol) pour vous connecter à l'instance EC2. Définissez ensuite l'utilisateur du domaine en tant qu'administrateur. Pour en savoir plus, reportez-vous à Se connecter à votre instance Windows à l'aide du protocole RDP.
- Exécutez GPMC.msc pour ouvrir la console de gestion des politiques de groupe.
- Choisissez Domaines, puis sélectionnez [Nom de domaine], [Nom NetBIOS du répertoire ], Ordinateurs.
- Choisissez Ordinateurs, puis choisissez Créer un objet de politique de groupe dans ce domaine et liez-le ici :
Remarque : les objets informatiques doivent se trouver dans l'unité organisationnelle (UO) ou dans d'autres UO de la même hiérarchie. - Nommez l'objet de politique de groupe. Par exemple, vous pouvez utiliser Domhier Time Syn. Cliquez ensuite sur OK.
- Choisissez l'objet de politique de groupe que vous venez de créer, puis choisissez Modifier.
- Choisissez Configuration de l'ordinateur, puis Modèles d'administration, Système, Service de temps Windows, Fournisseurs de temps.
- Choisissez Activer le client NTP Windows, puis sélectionnez Activé.
- Cliquez sur OK.
- Choisissez Configurer le client NTP.
- Sélectionnez Activé, puis modifiez les paramètres suivants :
Dans Type, saisissez NT5DS.
Dans SpecialPoolInterval, saisissez 900. - Cliquez sur OK.
Vérifier que l'instance EC2 utilise la hiérarchie de synchronisation horaire
Procédez comme suit pour vérifier que le contrôleur de domaine synchronise l'heure via la hiérarchie des domaines AWS Managed Microsoft AD.
Pour en savoir plus, reportez-vous à Politique de groupe : solutions de base pour débutants sur le site Web de Microsoft.
-
Utilisez l'instance de la section précédente pour forcer la mise à jour des politiques de domaine. Ouvrez une invite Windows PowerShell en tant qu'invite élevée ou en tant qu'administrateur, puis exécutez cette commande :
PS C:\> gpupdate /force Updating policy... Computer Policy update has completed successfully. User Policy update has completed successfully.
-
Vérifiez que le mode NT5DS est en place.
PS C:\> w32tm /query /configuration | findstr /i "Type NTPServer:" Type: NT5DS (Policy)
-
Forcez la découverte de la source du temps :
PS C:\> w32tm /resync /rediscover Sending resync command to local computer The command completed successfully.
-
Identifiez le serveur de synchronisation pour l'instance. Dans cet exemple, IP-C61301F5 est la source de temps.
PS C:\> w32tm /query /status Leap Indicator: 0(no warning) Stratum: 5 (secondary reference - syncd by (S)NTP) Precision: -23 (119.209ns per tick) Root Delay: 0.0017265s Root Dispersion: 0.2926529s ReferenceId: 0xAC1F0DC6 (source IP: 172.31.13.198) Last Successful Sync Time: 4/18/2023 12:45:37 PM Source: IP-C61301F5.corp.example.com Poll Interval: 7 (128s)
-
Vérifiez que le serveur est un contrôleur de domaine :
PS C:\> Get-ADDomainController -Filter * | select name name ---- IP-C61301F5 IP-C6130214
Remarque : le contrôleur de domaine qui synchronise l'heure peut changer au cours de la configuration. Cette modification n'aura toutefois aucun impact sur la synchronisation horaire.
-
Vérifiez la synchronisation horaire entre l'instance et le contrôleur de domaine. Dans l'idéal, le décalage horaire sera aussi proche de zéro que possible. Pour en savoir plus, reportez-vous à W32tm sur le site Web de Microsoft.
PS C:\> w32tm /stripchart /computer:IP-C61301F5.corp.example.com /samples:3 Tracking IP-C61301F5.corp.example.com [172.31.13.198:123]. Collecting 3 samples. The current time is 4/18/2023 12:43:11 PM. 12:43:11, d:+00.0010085s o:-00.0012111s [ * ] 12:43:13, d:+00.0015748s o:-00.0011228s [ * ] 12:43:15, error: 0x80072733
Informations connexes
Comment puis-je résoudre les problèmes de temps liés à mon instance Windows EC2 ?
Régler l'heure pour une instance Windows
Paramètres du protocole NTP (Network Time Protocol) par défaut pour les AMI Amazon Windows
Contenus pertinents
- demandé il y a 9 moislg...
- demandé il y a 3 moislg...
- demandé il y a 9 moislg...
- demandé il y a 4 moislg...
- demandé il y a un anlg...
- AWS OFFICIELA mis à jour il y a un an
- AWS OFFICIELA mis à jour il y a 10 mois
- AWS OFFICIELA mis à jour il y a un an