Partager via

Configurer le mécanisme de temps pour Machines virtuelles Windows Active Directory dans Azure

S’applique à : ✔️ Machines virtuelles Windows

Servez-vous de ce guide pour découvrir comment configurer la synchronisation de l’heure pour vos machines virtuelles Windows Azure qui appartiennent à un domaine Active Directory.

Hiérarchie de synchronisation de l’heure dans Active Directory Domain Services

La synchronisation de l’heure dans Active Directory doit être gérée uniquement en autorisant le PDC à accéder à une source de temps externe ou au serveur NTP.

Tous les autres contrôleurs de domaine synchronisent ensuite l’heure avec le contrôleur de domaine principal. Tous les autres membres obtiennent l’heure à partir du contrôleur de domaine qui a satisfait à la demande d’authentification du membre.

Si vous disposez d’un domaine Active Directory s’exécutant sur des machines virtuelles hébergées dans Azure, procédez comme suit pour configurer correctement la synchronisation de l’heure.

Notes

Ce guide se concentre sur l’utilisation de la console de gestion des stratégies de groupe pour effectuer la configuration. Vous pouvez obtenir les mêmes résultats en utilisant l’invite de commandes, PowerShell ou en modifiant manuellement le Registre. Toutefois, ces méthodes ne sont pas abordées dans cet article.

Objet GPO pour permettre au contrôleur de domaine principal d’effectuer la synchronisation avec une source NTP externe

Pour vérifier la source d’heure actuelle dans votre PDC, à partir d’une invite de commandes avec élévation de privilèges, exécutez w32tm /query /source et notez le résultat pour une comparaison ultérieure.

  1. À partir du démarrage , exécutez gpmc.msc.
  2. Accédez à la forêt et au domaine dans lesquels vous souhaitez créer l’objet de stratégie de groupe.
  3. Créez un nouvel objet de stratégie de groupe, par exemple PDC Time Sync, dans le conteneur Group Policy Objects.
  4. Cliquez avec le bouton droit sur l’objet de stratégie de groupe nouvellement créé, puis sélectionnez Modifier.
  5. Accédez à la stratégie Paramètres de configuration globaux sous Configuration ordinateur ->Modèles d’administration ->Système ->Service de temps Windows.
  6. Définissez-le sur Activé et configurez le paramètre AnnounceFlags sur 5.
  7. Accédez à Configuration ordinateur ->Modèles d’administration ->System ->Windows Time Service ->Time Providers.
  8. Double-cliquez sur la stratégie Configurer le client NTP Windows et définissez-la sur Activé. Configurez le paramètre NTPServer pour qu'il pointe vers une adresse IP ou un nom de domaine complet d'un serveur de temps, suivi de ,0x9 par exemple : 131.107.13.100,0x9. Configurez ensuite le Type sur NTP. Pour tous les autres paramètres, vous pouvez utiliser les valeurs par défaut ou utiliser des valeurs personnalisées en fonction des besoins de votre entreprise.
  9. Cliquez sur le bouton Paramètre suivant , définissez la stratégie Activer le client NTP Windowssur Activé , puis cliquez sur OK
  10. Dans l’onglet Étendue de l’objet de stratégie de groupe nouvellement créé, accédez au Filtrage de sécurité et sélectionnez le groupe Utilisateurs Authentifiés -> Cliquez sur le bouton Supprimer ->OK ->OK
  11. Créez un filtre WMI pour obtenir dynamiquement le contrôleur de domaine qui détient le rôle PDC :
    • Dans la console Gestion des stratégies de groupe, accédez à Filtres WMI, cliquez dessus avec le bouton droit, puis sélectionnez Nouveau.
    • Dans la fenêtre Nouveau filtre WMI , donnez un nom au nouveau filtre, par exemple Obtenir l’émulateur PDC -> Renseignez le champ Description (facultatif) -> Cliquez sur le bouton Ajouter .
    • Dans la fenêtre Requête WMI , laissez l’espace de noms tel qu’il se trouve, dans la zone de texte Requête , collez la chaîne Select * from Win32_ComputerSystem where DomainRole = 5suivante, puis cliquez sur le bouton OK .
    • Dans la fenêtre Nouveau filtre WMI , cliquez sur le bouton Enregistrer .
  12. Dans l’onglet Étendue de l'objet de stratégie de groupe nouvellement créé, accédez au menu déroulant Filtrage WMI, sélectionnez le filtre WMI créé précédemment, puis cliquez sur OK.
  13. Dans l’onglet Étendue de l’objet de stratégie de groupe nouvellement créé, accédez au Filtrage de sécurité en cliquant sur le bouton Ajouter et recherchez le groupe Contrôleurs de domaine, puis cliquez sur le bouton OK.
  14. Lier le GPO à l'unité organisationnelle des contrôleurs de domaine.

Notes

Jusqu’à 15 minutes peuvent être nécessaires avant que ces modifications soient prises en compte par le système.

À partir d’une invite de commandes avec élévation de privilèges, réexécutez w32tm /query /source et comparez la sortie à celle que vous avez notée au début de la configuration. Maintenant, il sera défini sur le serveur NTP que vous avez choisi.

Conseil

Si vous souhaitez accélérer le processus de modification de la source NTP sur votre contrôleur de domaine principal (PDC), depuis une invite de commandes en mode administrateur, exécutez gpupdate /force, suivi de w32tm /resync /nowait, puis réexécutez w32tm /query /source ; le résultat doit être le serveur NTP que vous avez utilisé dans le GPO ci-dessus.

Notes

Si, après avoir appliqué les modifications, vous n'obtenez toujours pas la transmission des résultats vers le serveur NTP choisi, il vous faudra peut-être définir la valeur à 0 dans la clé Enabled sous HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider sur votre PDC et DC également.

Objet GPO pour les membres

En règle générale, NTP dans Active Directory Domain Services suit la hiérarchie de temps AD DS mentionnée au début de cet article et aucune configuration supplémentaire n’est requise.

Toutefois, les machines virtuelles hébergées dans Azure présentent des paramètres de sécurité spécifiques qui sont appliqués directement par la plateforme cloud.

Pour tous les autres membres de domaine qui ne sont pas des contrôleurs de domaine, vous devez modifier le Registre et définir la valeur sur 0 dans la clé Activée sous HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider

Important

N’oubliez pas que toute erreur de modification du Registre peut être à l’origine de problèmes graves. Par conséquent, assurez-vous de respecter strictement ces étapes et de les tester sur quelques machines virtuelles de test pour vous assurer d’obtenir le résultat attendu. Pour plus de protection, sauvegardez le registre avant de le modifier. Vous pourrez ainsi restaurer le Registre en cas de problème. Pour savoir comment sauvegarder et restaurer le Registre Windows, suivez les étapes ci-dessous.

Sauvegarder le Registre

  1. Depuis Start, tapez regedit.exe, puis appuyez sur Enter. Le cas échéant, le système vous invite à taper un mot de passe administrateur ou à le confirmer.
  2. Dans la fenêtre Éditeur de Registre , recherchez et cliquez sur la clé de Registre ou la sous-clé que vous souhaitez sauvegarder.
  3. Dans le menu Fichier , sélectionnez Exporter.
  4. Dans la boîte de dialogue Exporter le fichier du Registre , sélectionnez l’emplacement dans lequel vous souhaitez enregistrer la copie de sauvegarde, tapez un nom pour le fichier de sauvegarde dans le champ Nom de fichier, puis cliquez sur Enregistrer.

Restaurer une sauvegarde de Registre

  1. Depuis Start, tapez regedit.exe, puis appuyez sur Enter. Le cas échéant, le système vous invite à taper un mot de passe administrateur ou à le confirmer.
  2. Dans la fenêtre Éditeur de Registre , dans le menu Fichier , sélectionnez Importer.
  3. Dans la boîte de dialogue Importer un fichier de Registre , sélectionnez l’emplacement dans lequel vous avez enregistré la copie de sauvegarde, sélectionnez le fichier de sauvegarde, puis cliquez sur Ouvrir.

ObjetGPO pour désactiver VMICTimeProvider

Configurez l’Objet de stratégie de groupe suivant pour permettre aux membres du domaine de synchroniser l’heure avec les contrôleurs de domaine dans le site Active Directory correspondant :

Pour vérifier la source de l'heure actuelle, connectez-vous à n’importe quel membre du domaine et, depuis une invite de commandes en mode administrateur, exécutez w32tm /query /source et notez le résultat pour une comparaison ultérieure.

  1. À partir d’un contrôleur de domaine, accédez à Démarrer l’exécution de gpmc.msc.
  2. Accédez à la forêt et au domaine dans lesquels vous souhaitez créer l’objet de stratégie de groupe.
  3. Créez un nouvel objet GPO, par exemple Clients Time Sync, dans le conteneur Group Policy Objects.
  4. Cliquez avec le bouton droit sur l’objet de stratégie de groupe nouvellement créé, puis sélectionnez Modifier.
  5. Accéder à la configuration de l’ordinateur -> ->Paramètres Windows -> Cliquez avec le bouton droit sur Registre ->Nouvel élément ->Registre
  6. Dans la fenêtre Nouvelles propriétés du Registre , définissez les valeurs suivantes :
    • Sur Action :Mettre à jour
    • Sur Hive :HKEY_LOCAL_MACHINE
    • Sur Chemin de la clé : accédez à SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider
    • Sur Nom de la valeur, tapez Activé
    • Sur Type valeur : REG_DWORD
    • Sur Données de valeur : type 0
  7. Pour tous les autres paramètres, utilisez les valeurs par défaut, puis cliquez sur OK
  8. Liez l’objet GPO à l’unité d’organisation où se trouvent vos membres.
  9. Attendez ou forcez manuellement une mise à jour de stratégie de groupe sur le membre du domaine.

Retournez au membre du domaine et, à partir d'une invite de commandes avec élévation de privilèges, réexécutez w32tm /query /source et comparez la sortie à celle que vous avez notée au début de la configuration. À présent, il sera défini sur le contrôleur de domaine qui ont satisfait à la demande d’authentification du membre.

Étapes suivantes

Voici des liens pour plus d’informations sur la synchronisation de l’heure :

  • Last updated on