Dans un domaine Windows, le PDC n'est pas nécessairement le serveur de temps du domaine. Comment identifier le serveur de temps faisant autorité?
Dans un domaine Windows, le PDC n'est pas nécessairement le serveur de temps du domaine. Comment identifier le serveur de temps faisant autorité?
Réponses:
Je suppose que vous recherchez le serveur utilisé par le service W32Time pour effectuer la synchronisation de l'heure sur les ordinateurs membres du domaine.
Dans un déploiement stock d'Active Directory, le seul ordinateur configuré explicitement avec un serveur de temps sera l'ordinateur détenant le rôle FSMO d'émulateur PDC dans le domaine racine de la forêt. Tous les contrôleurs de domaine du domaine racine de la forêt synchronisent l'heure avec le détenteur du rôle FSMO Emulator FSMO. Tous les détenteurs de rôle FSMO Emulator PDC dans les domaines enfants synchronisent leur heure avec les contrôleurs de domaine de leur domaine parent (y compris, éventuellement, le détenteur du rôle FSMO Emulator PDF dans le domaine racine de la forêt). Tous les ordinateurs membres du domaine synchronisent l'heure avec les ordinateurs contrôleurs de domaine de leurs domaines respectifs.
Pour déterminer si un membre de domaine est configuré pour la synchronisation temporelle de domaine, examinez la valeur REG_SZ dans HKLM \ System \ CurrentControlSet \ Services \ W32Time \ Parameters \ Type. S'il est défini sur "Nt5DS", l'ordinateur synchronise l'heure avec la hiérarchie temporelle d'Active Directory. S'il est configuré avec la valeur "NTP", l'ordinateur du serveur synchronise l'heure avec le serveur NTP spécifié dans la valeur NtpServer REG_SZ dans la même clé de registre.
Les détails de bas niveau du protocole de synchronisation de l'heure sont disponibles dans cet article: Fonctionnement du service de temps Windows
Attention, tous les contrôleurs de domaine (les KDC, comme le dit James, recherchent via DNS dans son message) peuvent exécuter un service de temps. Chaque contrôleur de domaine sera dans un déploiement AD standard, mais certains déploiements peuvent utiliser des contrôleurs de domaine virtualisés pour lesquels le service W32Time est désactivé (afin de faciliter la synchronisation de l'heure basée sur l'hyperviseur) et, de ce fait, vous auriez probablement intérêt à implémenter les fonctionnalités décrites dans l'article "Comment fonctionne le service de temps Windows" si vous développez un logiciel qui doit synchroniser l'heure de la même manière qu'un ordinateur membre du domaine.
Quelques commandes utiles
w32tm /resync /nowait
w32tm /resync /nowait /computer:computername
w32tm /query /source
w32tm /monitor /domain:mydomain.com
w32tm /dumpreg /subkey:parameters
Ensuite, regardez le type:
NoSync
Le client ne synchronise pas l'heure.
NTP
Le client synchronise l'heure à partir d'une source de temps externe. Examinez les valeurs de la ligne NtpServer dans la sortie pour voir le nom du ou des serveurs que le client utilise pour la synchronisation de l'heure.
NT5DS
Le client est configuré pour utiliser la hiérarchie de domaine pour sa synchronisation temporelle.
AllSync
Le client synchronise l'heure à partir de n'importe quelle source de temps disponible, y compris la hiérarchie de domaine et les sources de temps externes.
Paramètres de registre trouvés ici:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters]
"NtpServer"=""
"Type"="NT5DS"
Le domaine faisant autorité est généralement l' émulateur PDC ; à son tour, les autres DC le synchroniseront.
Pour déterminer qui détient actuellement le rôle d'émulateur PDC dans votre domaine, utilisez:
netdom query fsmo
Pour d'autres moyens de déterminer les détenteurs de rôles FSMO, voir l'article Détermination des détenteurs de rôles FSMO .
Pour plus d'informations, consultez l'article TechNet intitulé Fonctionnement du service de temps Windows .
Dans un domaine Windows correctement configuré, le CD qui détient le rôle d'émulateur PDC (il n'y a pas de "PDC" dans AD) sera le serveur de temps du domaine. Aucun autre ordinateur du domaine , y compris les autres DC, ne doit avoir un serveur de temps défini. Du tout. La synchronisation temporelle sera ensuite gérée en fonction de la hiérarchie du domaine et vous disposerez d'un environnement "défini une fois pour tous", du moins en ce qui concerne le temps, et jusqu'à ce que vous veniez de déplacer le rôle d'émulateur PDC vers un autre serveur.
Si vous devez effectuer une maintenance régulière ou continue sur la configuration de votre serveur de temps, cela signifie que quelque chose est mal configuré.