it-swarm-eu.dev

Comment trouver un serveur de temps dans un domaine?

Dans un domaine Windows PDC n'est pas nécessairement le serveur de temps du domaine. Comment pourrais-je identifier le serveur de temps faisant autorité?

33
Hrvoje Zlatar

Je suppose que vous recherchez le serveur utilisé par le service W32Time pour effectuer la synchronisation de l'heure sur les ordinateurs membres du domaine.

Dans un déploiement Active Directory standard, le seul ordinateur configuré explicitement avec un serveur de temps sera l'ordinateur détenant le rôle PDC Emulator FSMO dans le domaine racine de la forêt. Tous les contrôleurs de domaine du domaine racine de la forêt synchronisent l'heure avec les titulaires de rôle PDC émulateur FSMO. Tous les titulaires de rôle PDC émulateur FSMO dans les domaines enfants synchronisent leur temps avec les contrôleurs de domaine de leur domaine parent (y compris, potentiellement, , le PDF titulaire de rôle FSMO de l'émulateur dans le domaine racine de la forêt). Tous les ordinateurs membres du domaine synchronisent l'heure avec les ordinateurs contrôleurs de domaine dans leurs domaines respectifs.

Pour déterminer si un membre de domaine est configuré pour la synchronisation de l'heure du domaine, examinez la valeur REG_SZ dans HKLM\System\CurrentControlSet\Services\W32Time\Parameters\Type. S'il est défini sur "Nt5DS", l'ordinateur synchronise l'heure avec la hiérarchie de temps Active Directory. S'il est configuré avec la valeur "NTP", le compteur synchronise l'heure avec le serveur NTP spécifié dans la valeur NtpServer REG_SZ dans la même clé de registre).

Les détails de bas niveau du protocole de synchronisation horaire sont disponibles dans cet article: Fonctionnement du service de temps Windows

Sachez que tous les contrôleurs de domaine (les KDC, comme James vous l'indique via DNS dans son message) ne peuvent pas exécuter un service de temps. Dans un déploiement AD standard, chaque contrôleur de domaine le sera, mais certains déploiements peuvent utiliser des contrôleurs de domaine virtualisés dont le service W32Time est désactivé (pour faciliter la synchronisation horaire basée sur l'hyperviseur) et, en tant que tel, vous feriez probablement bien d'implémenter les fonctionnalités décrites par l'article "Fonctionnement du service de temps Windows" si vous développez un logiciel qui doit synchroniser l'heure de la même manière qu'un ordinateur membre du domaine le ferait.

27
Evan Anderson

Quelques commandes utiles

Re-synchronisation (nécessite des droits d'administrateur):

w32tm /resync /nowait    

Re-synchronisation avec un ordinateur spécifique (nécessite des droits d'administrateur):

w32tm /resync /nowait /computer:computername 

Afficher le serveur actuellement utilisé (nécessite des droits d'administrateur):

w32tm /query /source

Vérifiez si son fonctionnement:

w32tm /monitor /domain:mydomain.com 

Voir les paramètres:

w32tm /dumpreg /subkey:parameters 

Regardez ensuite le type:

  • Pas de synchronisation
    Le client ne synchronise pas l'heure.

  • NTP
    Le client synchronise l'heure à partir d'une source horaire externe. Vérifiez les valeurs de la ligne NtpServer dans la sortie pour voir le nom du ou des serveurs que le client utilise pour la synchronisation de l'heure.

  • NT5DS
    Le client est configuré pour utiliser la hiérarchie de domaine pour sa synchronisation horaire.

  • AllSync
    Le client synchronise l'heure à partir de n'importe quelle source de temps disponible, y compris la hiérarchie de domaine et les sources de temps externes.

Paramètres de registre trouvés ici:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters]
"NtpServer"=""
"Type"="NT5DS" 
24
user27387

Le domaine faisant autorité est généralement l'émulateur PDC , à son tour, d'autres contrôleurs de domaine se synchroniseront avec lui.

Pour déterminer qui détient actuellement le rôle d'émulateur PDC dans votre domaine, utilisez:

netdom query fsmo

Pour d'autres façons de déterminer les détenteurs de rôles FSMO, consultez l'article Détermination des détenteurs de rôles FSMO .

Pour en savoir plus sur le sujet, consultez l'article TechNet Fonctionnement du service de temps Windows .

15
katriel

Dans un domaine Windows correctement configuré, le DC qui détient le PDC (il n'y a pas de "PDC" dans AD)) sera le serveur de temps pour le domaine. Aucune autre machine sur le domaine - y compris les autres DC - devrait avoir un serveur de temps défini. Du tout. La synchronisation du temps sera alors gérée en fonction de la hiérarchie du domaine, et vous aurez un "ensemble une fois et oublier "l'environnement - au moins en ce qui concerne le temps, et jusqu'à ce que vous veniez de déplacer le rôle d'émulateur PDC vers un autre serveur).

Si vous devez effectuer une maintenance régulière ou continue de la configuration de votre serveur de temps, quelque chose ne va pas.

1
Maximus Minimus