Comment synchroniser l'heure entre les instances jointes à un domaine Windows et AWS Managed Microsoft AD ?

Brève description

Les machines Windows peuvent disposer d'au moins un serveur NTP (Network Time Protocol) prédéfini dans le registre avant de rejoindre le domaine Microsoft AD géré par AWS. Lorsqu'ils rejoignent le domaine, les machines Windows synchronisent automatiquement l'heure avec tous les mécanismes disponibles dans le domaine. Si les serveurs NTP source ont des horaires différents, cette configuration peut entraîner des problèmes liés au décalage horaire.

Dans l'exemple suivant, le paramètre NtpServer est prérempli avec 169.254.169.123,0x9 avant que l'instance ne rejoigne le domaine Microsoft AD géré par AWS. Toutefois, le paramètre Type prend la valeur AllSync après avoir rejoint le domaine. Cette modification au cours de la configuration peut entraîner un décalage temporel.

Avant de rejoindre le domaine :

PS C:\> w32tm /dumpreg /subkey:parameters | findstr /i "NtpServer Type"
Value Name Value Type Value Data
NtpServer REG_SZ 169.254.169.123,0x9
Type REG_SZ NTP

PS C:\> w32tm /query /configuration | findstr /i "Type NTPServer:"
Type: AllSync (Local)
NtpServer: 169.254.169.123,0x9 time.windows.com,0x8 (Local)

Après avoir rejoint le domaine :

PS C:\> w32tm /dumpreg /subkey:parameters | findstr /i "NtpServer Type"
Value Name Value Type Value Data
NtpServer REG_SZ 169.254.169.123,0x9 time.windows.com,0x8
Type REG_SZ AllSync

PS C:\> w32tm /query /configuration | findstr /i "Type NTPServer:"
Type: AllSync (Local)
NtpServer: 169.254.169.123,0x9 time.windows.com,0x8 (Local)

Solution

Il est recommandé d'utiliser des contrôleurs de domaine pour vous assurer que les machines jointes à un domaine Windows synchronisent l'heure via la hiérarchie des domaines Microsoft AD gérés par AWS. Pour plus d'informations, consultez Fonctionnement du service Windows Time et Outils et paramètres du service Windows Time sur le site Web de Microsoft.

Prérequis

Assurez-vous de remplir les conditions préalables suivantes :

• Installez les outils d'administration Active Directory sur une instance Amazon Elastic Compute Cloud (Amazon EC2) associée à un domaine.

PS C:\> Install-windowsFeature RSAT-ADDS,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,GPMC,RSAT-DNS-Server
Success Restart Needed Exit Code      Feature Result
------- -------------- ---------      --------------
True    No             Success        {Group Policy Management, DNS Server Tools,…}

• Vérifiez que l'instance EC2 est jointe au domaine Microsoft AD géré par AWS pour lequel vous souhaitez configurer une hiérarchie de domaines de synchronisation horaire. Pour plus d'informations, consultez Joindre manuellement une instance Windows.

Configuration de la hiérarchie temporelle des domaines AWS Managed AD

Suivez ces étapes pour synchroniser l'heure dans la hiérarchie des domaines AWS Managed AD à l'aide des paramètres de stratégie de groupe :

1.    Connectez-vous à l'instance EC2 à l'aide du protocole RDP (Remote Desktop Protocol) et définissez l'utilisateur du domaine en tant qu'administrateur. Pour en savoir plus, consultez la section de Connexion à votre instance Windows en utilisant RDP.

2.    Exécutez GPMC.msc pour ouvrir la console de gestion des stratégies de groupe.

3.    Choisissez Domaines, puis [Nom du domaine], [Nom NetBIOS du répertoire], Ordinateurs.

4.    Choisissez Ordinateurs, puis choisissez Créer un GPO dans ce domaine et liez-le ici...

Remarque : Les objets informatiques doivent se trouver dans l'unité organisationnelle (UO) ou sous d'autres UO de la même hiérarchie.

5.    Nommez le GPO, par exemple Domhier Time Sync, puis choisissez OK.

6.    Choisissez le GPO que vous venez de créer, puis choisissez Modifier.

7.    Choisissez Configuration de l'ordinateur, puis Modèles d'administration, Système, WindowsTime Service,Time Providers.

8.    Choisissez Activer le client Windows NTP, puis sélectionnez Activé.

9.    Sélectionnez OK.

10.   Choisissez Configurer le client NTP.

11.   Sélectionnez Activé et modifiez les paramètres suivants :

Dans le champ Type, saisissez NT5DS.

Pour SpecialPoolInterval, saisissez 900.

12.    Sélectionnez OK.

Vérifiez si l'instance EC2 utilise la hiérarchie de synchronisation horaire

Procédez comme suit pour vérifier que le contrôleur de domaine synchronise l'heure via la hiérarchie des domaines Microsoft AD gérés par AWS. Pour plus d'informations, voir Stratégie de groupe : étapes de dépannage de base pour les débutants sur le site Web de Microsoft.

1.    Utilisez l'instance de la section précédente pour forcer la mise à jour des politiques de domaine. Ouvrez une invite PowerShell en tant qu'invite élevée ou en tant qu'administrateur, puis exécutez la commande suivante :

PS C:\> gpupdate /force
Updating policy...
Computer Policy update has completed successfully.
User Policy update has completed successfully.

2.    Vérifiez que le NT5DS est en place.

PS C:\> w32tm /query /configuration | findstr /i "Type NTPServer:"
Type: NT5DS (Policy)

3.    Découvrez avec force la source du temps :

PS C:\> w32tm /resync /rediscover
Sending resync command to local computer
The command completed successfully.

4.    Identifiez le serveur de synchronisation pour l'instance. Dans l'exemple suivant, WIN-A2P2S44M219 est la source de temps.

PS C:\> w32tm /query /status
Leap Indicator: 0(no warning)
Stratum: 5 (secondary reference - syncd by (S)NTP)
Precision: -6 (15.625ms per tick)
Root Delay: 0.0329001s
Root Dispersion: 0.0868277s
ReferenceId: 0xAC1F0599 (source IP:  172.31.5.153)
Last Successful Sync Time: 9/28/2022 10:41:34 AM
Source: WIN-A2P2S44M219.example.com
Poll Interval: 7 (128s)

5.     Vérifiez que le serveur est un contrôleur de domaine :

PS C:\> Get-ADDomainController -Filter * | select name
name
----
WIN-A2P2S44M219
WIN-E4VM0DELNQ1

Remarque : Le contrôleur de domaine qui synchronise l'heure peut changer au cours de la configuration. La modification ne pose aucun problème de synchronisation de l'heure.

5.    Vérifiez la synchronisation de l'heure entre l'instance et le contrôleur de domaine. Idéalement, le décalage horaire doit être aussi proche que possible de zéro. Pour plus d'informations, consultez la section W32tm sur le site web de Microsoft.

PS C:\> w32tm /stripchart /computer:*WIN-A2P2S44M219.example.com (http://win-a2p2s44m219.example.com/)* /samples:3
Tracking *WIN-A2P2S44M219.example.com* (http://win-a2p2s44m219.example.com/) [172.31.5.153:123].
Collecting 3 samples.
The current time is 9/28/2022 10:42:26 AM.
10:42:26, d:+00.0006938s o:-00.0041540s  [                           *                           ]
10:42:28, d:+00.0006471s o:-00.0041757s  [                           *                           ]
10:42:30, d:+00.0006398s o:-00.0041987s  [                           *                           ]

---