Comment trouver un serveur de temps dans un domaine?

32

Dans un domaine Windows, le PDC n'est pas nécessairement le serveur de temps du domaine. Comment identifier le serveur de temps faisant autorité?

active-directory Hrvoje Zlatar
la source

Réponses:

25

Je suppose que vous recherchez le serveur utilisé par le service W32Time pour effectuer la synchronisation de l'heure sur les ordinateurs membres du domaine.

Dans un déploiement stock d'Active Directory, le seul ordinateur configuré explicitement avec un serveur de temps sera l'ordinateur détenant le rôle FSMO d'émulateur PDC dans le domaine racine de la forêt. Tous les contrôleurs de domaine du domaine racine de la forêt synchronisent l'heure avec le détenteur du rôle FSMO Emulator FSMO. Tous les détenteurs de rôle FSMO Emulator PDC dans les domaines enfants synchronisent leur heure avec les contrôleurs de domaine de leur domaine parent (y compris, éventuellement, le détenteur du rôle FSMO Emulator PDF dans le domaine racine de la forêt). Tous les ordinateurs membres du domaine synchronisent l'heure avec les ordinateurs contrôleurs de domaine de leurs domaines respectifs.

Pour déterminer si un membre de domaine est configuré pour la synchronisation temporelle de domaine, examinez la valeur REG_SZ dans HKLM \ System \ CurrentControlSet \ Services \ W32Time \ Parameters \ Type. S'il est défini sur "Nt5DS", l'ordinateur synchronise l'heure avec la hiérarchie temporelle d'Active Directory. S'il est configuré avec la valeur "NTP", l'ordinateur du serveur synchronise l'heure avec le serveur NTP spécifié dans la valeur NtpServer REG_SZ dans la même clé de registre.

Les détails de bas niveau du protocole de synchronisation de l'heure sont disponibles dans cet article: Fonctionnement du service de temps Windows

Attention, tous les contrôleurs de domaine (les KDC, comme le dit James, recherchent via DNS dans son message) peuvent exécuter un service de temps. Chaque contrôleur de domaine sera dans un déploiement AD standard, mais certains déploiements peuvent utiliser des contrôleurs de domaine virtualisés pour lesquels le service W32Time est désactivé (afin de faciliter la synchronisation de l'heure basée sur l'hyperviseur) et, de ce fait, vous auriez probablement intérêt à implémenter les fonctionnalités décrites dans l'article "Comment fonctionne le service de temps Windows" si vous développez un logiciel qui doit synchroniser l'heure de la même manière qu'un ordinateur membre du domaine.

Evan Anderson
la source
Désolé si je réveille un sujet "en sommeil" ici, mais pourriez-vous nous expliquer comment gérer correctement le temps sur un domaine avec plusieurs contrôleurs? Disons qu'il y a 5 contrôleurs (Windows 2003 AD). Est-ce que celui avec le rôle PDC doit être configuré pour avoir "Type" NTP et le serveur externe Ntpserver de requête (c'est-à-dire, time.windows.com), et avoir le reste juste pour avoir "NT5DS"? Conseillez si vous voulez que je poste ceci comme une question séparée. Merci!
24

Quelques commandes utiles

Re-sync (nécessite des droits d'administrateur):

w32tm /resync /nowait

Re-synchroniser à un ordinateur spécifique (nécessite des droits d'administrateur):

w32tm /resync /nowait /computer:computername

Afficher le serveur en cours d'utilisation (nécessite des droits d'administrateur):

w32tm /query /source

Vérifiez si cela fonctionne:

w32tm /monitor /domain:mydomain.com

Voir les paramètres:

w32tm /dumpreg /subkey:parameters

Ensuite, regardez le type:

  • NoSync
    Le client ne synchronise pas l'heure.

  • NTP
    Le client synchronise l'heure à partir d'une source de temps externe. Examinez les valeurs de la ligne NtpServer dans la sortie pour voir le nom du ou des serveurs que le client utilise pour la synchronisation de l'heure.

  • NT5DS
    Le client est configuré pour utiliser la hiérarchie de domaine pour sa synchronisation temporelle.

  • AllSync
    Le client synchronise l'heure à partir de n'importe quelle source de temps disponible, y compris la hiérarchie de domaine et les sources de temps externes.

Paramètres de registre trouvés ici:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters]
"NtpServer"=""
"Type"="NT5DS"
utilisateur27387
la source
15

Le domaine faisant autorité est généralement l' émulateur PDC ; à son tour, les autres DC le synchroniseront.

Pour déterminer qui détient actuellement le rôle d'émulateur PDC dans votre domaine, utilisez:

netdom query fsmo

Pour d'autres moyens de déterminer les détenteurs de rôles FSMO, voir l'article Détermination des détenteurs de rôles FSMO .

Pour plus d'informations, consultez l'article TechNet intitulé Fonctionnement du service de temps Windows .

Katriel
la source
Merci pour le lien! La raison pour laquelle j'ai demandé ceci est que j'ai eu des réponses différentes sur deux commandes apparemment identiques. Lorsque j'utilise le temps net, l'heure actuelle est définie sur \\ PDC, mais ... lorsque j'utilise net time / domain, l'heure actuelle est définie sur \\ Secondary_DC, c'est ... J'aimerais savoir lequel est utilisé pour la synchronisation? w32tm / monitor a renvoyé les deux serveurs. PDC est synchronisé avec une source externe, alors que Secondary_DC est synchronisé avec PDC.
Hrvoje Zlatar
1
La commande "NET TIME ... / SET" est héritée et obsolète. Dans un domaine AD avec une bonne communication entre les contrôleurs de domaine et les clients et une source de temps externe à la forêt configurée sur le détenteur du rôle d'émulateur de contrôleur de domaine principal sur des boîtes physiques, la synchronisation temporelle "fonctionnera". Si vous intégrez des ordinateurs virtuels (en particulier des ordinateurs contrôleurs de domaine virtuels), vous devez penser à la synchronisation temporelle au niveau de l'hyperviseur et ne pas utiliser W32Time.
Evan Anderson
1

Dans un domaine Windows correctement configuré, le CD qui détient le rôle d'émulateur PDC (il n'y a pas de "PDC" dans AD) sera le serveur de temps du domaine. Aucun autre ordinateur du domaine , y compris les autres DC, ne doit avoir un serveur de temps défini. Du tout. La synchronisation temporelle sera ensuite gérée en fonction de la hiérarchie du domaine et vous disposerez d'un environnement "défini une fois pour tous", du moins en ce qui concerne le temps, et jusqu'à ce que vous veniez de déplacer le rôle d'émulateur PDC vers un autre serveur.

Si vous devez effectuer une maintenance régulière ou continue sur la configuration de votre serveur de temps, cela signifie que quelque chose est mal configuré.

Maximus Minimus
la source