Comment synchroniser l'heure entre les instances jointes à un domaine Windows et AWS Managed Microsoft AD ?
Je souhaite utiliser des politiques de groupe pour configurer la synchronisation de l'heure pour les machines Microsoft Windows via AWS Directory Service pour Microsoft Active Directory.
Brève description
Les machines Windows peuvent disposer d'au moins un serveur NTP (Network Time Protocol) prédéfini dans le registre avant de rejoindre le domaine Microsoft AD géré par AWS. Lorsqu'ils rejoignent le domaine, les machines Windows synchronisent automatiquement l'heure avec tous les mécanismes disponibles dans le domaine. Si les serveurs NTP source ont des horaires différents, cette configuration peut entraîner des problèmes liés au décalage horaire.
Dans l'exemple suivant, le paramètre NtpServer est prérempli avec 169.254.169.123,0x9 avant que l'instance ne rejoigne le domaine Microsoft AD géré par AWS. Toutefois, le paramètre Type prend la valeur AllSync après avoir rejoint le domaine. Cette modification au cours de la configuration peut entraîner un décalage temporel.
Avant de rejoindre le domaine :
PS C:\> w32tm /dumpreg /subkey:parameters | findstr /i "NtpServer Type" Value Name Value Type Value Data NtpServer REG_SZ 169.254.169.123,0x9 Type REG_SZ NTP
PS C:\> w32tm /query /configuration | findstr /i "Type NTPServer:" Type: AllSync (Local) NtpServer: 169.254.169.123,0x9 time.windows.com,0x8 (Local)
Après avoir rejoint le domaine :
PS C:\> w32tm /dumpreg /subkey:parameters | findstr /i "NtpServer Type" Value Name Value Type Value Data NtpServer REG_SZ 169.254.169.123,0x9 time.windows.com,0x8 Type REG_SZ AllSync
PS C:\> w32tm /query /configuration | findstr /i "Type NTPServer:" Type: AllSync (Local) NtpServer: 169.254.169.123,0x9 time.windows.com,0x8 (Local)
Solution
Il est recommandé d'utiliser des contrôleurs de domaine pour vous assurer que les machines jointes à un domaine Windows synchronisent l'heure via la hiérarchie des domaines Microsoft AD gérés par AWS. Pour plus d'informations, consultez Fonctionnement du service Windows Time et Outils et paramètres du service Windows Time sur le site Web de Microsoft.
Prérequis
Assurez-vous de remplir les conditions préalables suivantes :
- Installez les outils d'administration Active Directory sur une instance Amazon Elastic Compute Cloud (Amazon EC2) associée à un domaine.
PS C:\> Install-windowsFeature RSAT-ADDS,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,GPMC,RSAT-DNS-Server Success Restart Needed Exit Code Feature Result ------- -------------- --------- -------------- True No Success {Group Policy Management, DNS Server Tools,…}
- Vérifiez que l'instance EC2 est jointe au domaine Microsoft AD géré par AWS pour lequel vous souhaitez configurer une hiérarchie de domaines de synchronisation horaire. Pour plus d'informations, consultez Joindre manuellement une instance Windows.
Configuration de la hiérarchie temporelle des domaines AWS Managed AD
Suivez ces étapes pour synchroniser l'heure dans la hiérarchie des domaines AWS Managed AD à l'aide des paramètres de stratégie de groupe :
1. Connectez-vous à l'instance EC2 à l'aide du protocole RDP (Remote Desktop Protocol) et définissez l'utilisateur du domaine en tant qu'administrateur. Pour en savoir plus, consultez la section de Connexion à votre instance Windows en utilisant RDP.
2. Exécutez GPMC.msc pour ouvrir la console de gestion des stratégies de groupe.
3. Choisissez Domaines, puis [Nom du domaine], [Nom NetBIOS du répertoire], Ordinateurs.
4. Choisissez Ordinateurs, puis choisissez Créer un GPO dans ce domaine et liez-le ici...
Remarque : Les objets informatiques doivent se trouver dans l'unité organisationnelle (UO) ou sous d'autres UO de la même hiérarchie.
5. Nommez le GPO, par exemple Domhier Time Sync, puis choisissez OK.
6. Choisissez le GPO que vous venez de créer, puis choisissez Modifier.
7. Choisissez Configuration de l'ordinateur, puis Modèles d'administration, Système, WindowsTime Service,Time Providers.
8. Choisissez Activer le client Windows NTP, puis sélectionnez Activé.
9. Sélectionnez OK.
10. Choisissez Configurer le client NTP.
11. Sélectionnez Activé et modifiez les paramètres suivants :
Dans le champ Type, saisissez NT5DS.
Pour SpecialPoolInterval, saisissez 900.
12. Sélectionnez OK.
Vérifiez si l'instance EC2 utilise la hiérarchie de synchronisation horaire
Procédez comme suit pour vérifier que le contrôleur de domaine synchronise l'heure via la hiérarchie des domaines Microsoft AD gérés par AWS. Pour plus d'informations, voir Stratégie de groupe : étapes de dépannage de base pour les débutants sur le site Web de Microsoft.
1. Utilisez l'instance de la section précédente pour forcer la mise à jour des politiques de domaine. Ouvrez une invite PowerShell en tant qu'invite élevée ou en tant qu'administrateur, puis exécutez la commande suivante :
PS C:\> gpupdate /force Updating policy... Computer Policy update has completed successfully. User Policy update has completed successfully.
2. Vérifiez que le NT5DS est en place.
PS C:\> w32tm /query /configuration | findstr /i "Type NTPServer:" Type: NT5DS (Policy)
3. Découvrez avec force la source du temps :
PS C:\> w32tm /resync /rediscover Sending resync command to local computer The command completed successfully.
4. Identifiez le serveur de synchronisation pour l'instance. Dans l'exemple suivant, WIN-A2P2S44M219 est la source de temps.
PS C:\> w32tm /query /status Leap Indicator: 0(no warning) Stratum: 5 (secondary reference - syncd by (S)NTP) Precision: -6 (15.625ms per tick) Root Delay: 0.0329001s Root Dispersion: 0.0868277s ReferenceId: 0xAC1F0599 (source IP: 172.31.5.153) Last Successful Sync Time: 9/28/2022 10:41:34 AM Source: WIN-A2P2S44M219.example.com Poll Interval: 7 (128s)
5. Vérifiez que le serveur est un contrôleur de domaine :
PS C:\> Get-ADDomainController -Filter * | select name name ---- WIN-A2P2S44M219 WIN-E4VM0DELNQ1
Remarque : Le contrôleur de domaine qui synchronise l'heure peut changer au cours de la configuration. La modification ne pose aucun problème de synchronisation de l'heure.
5. Vérifiez la synchronisation de l'heure entre l'instance et le contrôleur de domaine. Idéalement, le décalage horaire doit être aussi proche que possible de zéro. Pour plus d'informations, consultez la section W32tm sur le site web de Microsoft.
PS C:\> w32tm /stripchart /computer:*WIN-A2P2S44M219.example.com (http://win-a2p2s44m219.example.com/)* /samples:3 Tracking *WIN-A2P2S44M219.example.com* (http://win-a2p2s44m219.example.com/) [172.31.5.153:123]. Collecting 3 samples. The current time is 9/28/2022 10:42:26 AM. 10:42:26, d:+00.0006938s o:-00.0041540s [ * ] 10:42:28, d:+00.0006471s o:-00.0041757s [ * ] 10:42:30, d:+00.0006398s o:-00.0041987s [ * ]

Contenus pertinents
- demandé il y a 4 moislg...
- demandé il y a 5 jourslg...
- demandé il y a 2 moislg...
- Réponse acceptéedemandé il y a 4 moislg...
- demandé il y a 4 moislg...
- AWS OFFICIELA mis à jour il y a 2 mois
- AWS OFFICIELA mis à jour il y a 7 mois
- AWS OFFICIELA mis à jour il y a 6 mois