En utilisant AWS re:Post, vous acceptez les AWS re:Post Conditions d’utilisation
AWS re:Postre:Post

Comment puis-je synchroniser l'heure entre les instances jointes à un domaine Windows et AWS Managed Microsoft AD ?

Lecture de 6 minute(s)
0

Je souhaite utiliser des politiques de groupe pour configurer la synchronisation de l'heure pour les machines Microsoft Windows via AWS Directory Service for Microsoft Active Directory.

Brève description

Les machines Windows peuvent disposer d'un serveur NTP (Network Time Protocol) prédéfini dans le registre avant qu'il ne soit joint au domaine AWS Managed Microsoft AD. Les machines Windows synchronisent automatiquement l'heure avec tous les mécanismes disponibles lorsqu'elles sont jointes au domaine. Toutefois, si les serveurs NTP sources utilisent une heure différente, cette configuration peut entraîner des problèmes de décalage horaire.

Dans cet exemple, le paramètre NtpServer a été prérempli avec la valeur 169.254.169.123,0x9 avant que l'instance ne rejoigne le domaine AWS Managed Microsoft AD. Toutefois, le paramètre Type devient AllSync une fois le domaine rejoint. Ce changement de configuration peut provoquer un décalage horaire.

Avant que le domaine ne soit rejoint :

PS C:\> w32tm /dumpreg /subkey:parameters | findstr /i "NtpServer Type"
Value Name Value Type Value Data
NtpServer REG_SZ 169.254.169.123,0x9
Type REG_SZ NTP
PS C:\> w32tm /query /configuration | findstr /i "Type NTPServer:"
Type: AllSync (Local)
NtpServer: 169.254.169.123,0x9 time.windows.com,0x8 (Local)

Une fois le domaine rejoint :

PS C:\> w32tm /dumpreg /subkey:parameters | findstr /i "NtpServer Type"
Value Name Value Type Value Data
NtpServer REG_SZ 169.254.169.123,0x9 time.windows.com,0x8
Type REG_SZ AllSync
PS C:\> w32tm /query /configuration | findstr /i "Type NTPServer:"
Type: AllSync (Local)
NtpServer: 169.254.169.123,0x9 time.windows.com,0x8 (Local)

Résolution

Il est recommandé d'utiliser des contrôleurs de domaine pour s'assurer que les machines jointes au domaine Windows synchronisent l'heure via la hiérarchie des domaines AWS Managed Microsoft AD. Pour en savoir plus, reportez-vous à Comment fonctionne le service de temps Windows et Outils et paramètres du service de temps Windows sur le site Web de Microsoft.

Prérequis

Avant toute chose, vous devez :

PS C:\> Install-windowsFeature RSAT-ADDS,RSAT-AD-AdminCenter,RSAT-ADDS-Tools,GPMC,RSAT-DNS-Server
Success Restart Needed Exit Code      Feature Result
------- -------------- ---------      --------------
True    No             Success        {Group Policy Management, DNS Server Tools, . . . }
  • Vérifier que l'instance EC2 est jointe au domaine AWS Managed Microsoft AD pour lequel vous souhaitez configurer une hiérarchie de domaines pour la synchronisation horaire. Pour en savoir plus, reportez-vous à Joindre manuellement une instance Windows.

Configurer la hiérarchie horaire du domaine AWS Managed AD

Utilisez les paramètres de la Politique des groupes pour synchroniser l'heure dans la hiérarchie des domaines AWS Managed AD :

  1. Utilisez le protocole RDP (Remote Desktop Protocol) pour vous connecter à l'instance EC2. Définissez ensuite l'utilisateur du domaine en tant qu'administrateur. Pour en savoir plus, reportez-vous à Se connecter à votre instance Windows à l'aide du protocole RDP.
  2. Exécutez GPMC.msc pour ouvrir la console de gestion des politiques de groupe.
  3. Choisissez Domaines, puis sélectionnez [Nom de domaine], [Nom NetBIOS du répertoire ], Ordinateurs.
  4. Choisissez Ordinateurs, puis choisissez Créer un objet de politique de groupe dans ce domaine et liez-le ici :
    Remarque : les objets informatiques doivent se trouver dans l'unité organisationnelle (UO) ou dans d'autres UO de la même hiérarchie.
  5. Nommez l'objet de politique de groupe. Par exemple, vous pouvez utiliser Domhier Time Syn. Cliquez ensuite sur OK.
  6. Choisissez l'objet de politique de groupe que vous venez de créer, puis choisissez Modifier.
  7. Choisissez Configuration de l'ordinateur, puis Modèles d'administration, Système, Service de temps Windows, Fournisseurs de temps.
  8. Choisissez Activer le client NTP Windows, puis sélectionnez Activé.
  9. Cliquez sur OK.
  10. Choisissez Configurer le client NTP.
  11. Sélectionnez Activé, puis modifiez les paramètres suivants :
    Dans Type, saisissez NT5DS.
    Dans SpecialPoolInterval, saisissez 900.
  12. Cliquez sur OK.

Vérifier que l'instance EC2 utilise la hiérarchie de synchronisation horaire

Procédez comme suit pour vérifier que le contrôleur de domaine synchronise l'heure via la hiérarchie des domaines AWS Managed Microsoft AD.

Pour en savoir plus, reportez-vous à Politique de groupe : solutions de base pour débutants sur le site Web de Microsoft.

  1. Utilisez l'instance de la section précédente pour forcer la mise à jour des politiques de domaine. Ouvrez une invite Windows PowerShell en tant qu'invite élevée ou en tant qu'administrateur, puis exécutez cette commande :

    PS C:\> gpupdate /force
Updating policy...
Computer Policy update has completed successfully.
User Policy update has completed successfully.

  2. Vérifiez que le mode NT5DS est en place.

    PS C:\> w32tm /query /configuration | findstr /i "Type NTPServer:"
Type: NT5DS (Policy)

  3. Forcez la découverte de la source du temps :

    PS C:\> w32tm /resync /rediscover
Sending resync command to local computer
The command completed successfully.

  4. Identifiez le serveur de synchronisation pour l'instance. Dans cet exemple, IP-C61301F5 est la source de temps.

    PS C:\>  w32tm /query /status
Leap Indicator: 0(no warning)
Stratum: 5 (secondary reference - syncd by (S)NTP)
Precision: -23 (119.209ns per tick)
Root Delay: 0.0017265s
Root Dispersion: 0.2926529s
ReferenceId: 0xAC1F0DC6 (source IP:  172.31.13.198)
Last Successful Sync Time: 4/18/2023 12:45:37 PM
Source: IP-C61301F5.corp.example.com
Poll Interval: 7 (128s)

  5. Vérifiez que le serveur est un contrôleur de domaine :

    PS C:\> Get-ADDomainController -Filter * | select name
name
----
IP-C61301F5
IP-C6130214

    Remarque : le contrôleur de domaine qui synchronise l'heure peut changer au cours de la configuration. Cette modification n'aura toutefois aucun impact sur la synchronisation horaire.

  6. Vérifiez la synchronisation horaire entre l'instance et le contrôleur de domaine. Dans l'idéal, le décalage horaire sera aussi proche de zéro que possible. Pour en savoir plus, reportez-vous à W32tm sur le site Web de Microsoft.

    PS C:\> w32tm /stripchart /computer:IP-C61301F5.corp.example.com /samples:3
Tracking IP-C61301F5.corp.example.com [172.31.13.198:123].
Collecting 3 samples.
The current time is 4/18/2023 12:43:11 PM.
12:43:11, d:+00.0010085s o:-00.0012111s  [                           *                           ]
12:43:13, d:+00.0015748s o:-00.0011228s  [                           *                           ]
12:43:15, error: 0x80072733

Informations connexes

Comment puis-je résoudre les problèmes de temps liés à mon instance Windows EC2 ?

Régler l'heure pour une instance Windows

Paramètres du protocole NTP (Network Time Protocol) par défaut pour les AMI Amazon Windows

Sujets
Sécurité, identité et conformité
Balises
AWS Directory Service
Langue
Français
AWS OFFICIEL
AWS OFFICIELA mis à jour il y a 6 mois
Aucun commentaire

Contenus pertinents