Salut,
 
Sur un domaine active directory, quelle est la bonne méthode pour la synchronisation de l'heure ?
 
Un seul contrôleur synchronise son heure avec un serveur de temps extérieur, les autres contrôleurs et serveurs poste de travail se synchonisent dessus.
 
ou bien
 
Tous les contrôleurs synchronisent leurs heures avec un serveur de temps extérieur ?
 
merci  
 
   
 

Tu réponds seul à ta question, quelle sont les conséquences si plusieurs DC ont des sources (et donc des temps) différents?  

 
Je suis d’accord mais si les dcs ont la même source extérieure ?

Le ePDC se synchronise avec une source de temps intérieure (extérieure n'est pas recommandée, même si ça fonctionne en pratique).
 
Les autres contrôleurs/serveurs/postes de travail sont configurés en mode automatique (qui est la configuration par défaut).

https://www.it-connect.fr/configure [...] rver-2012/

Dans ma boite la source extérieure c'est : fr.pool.ntp.org
Jamais remarqué de problème.

  bon en pratique tout le monde synchronise sur un pool ntp publique voir le pool microsoft .
Seules les grosses boites ont des vrais appliance NTP/PTP qui vont bien

En même temps la recommendation officielle de MS c'est une horloge atomique interne, y a pas beaucoup de boîtes qui en ont

Il y a quelques années, il y a eu des problèmes d'authentification AD massifs aux US, impactant notamment plusieurs grosses grosses boîtes.
Après enquête, le ePDC pétait les plombs côté horloge, puis on s'est apercu que c'est la source de temps qui déconnait.
Source de temps qui étaient des serveurs de l'US Navy, qui visiblement n'étaient pas maintenus ou redémarrés depuis...13 ans, et qui avaient planté après redémarrage (je crois).
 
Maintenant, soyons réaliste, je n'ai jamais d'incident similaire sur du pool.ntp.org, et les chances qu'un incident arrive sont infimes.

merci pour vos informations.  
 
J'ai bien cela en place, avec comme source fr.pool.ntp.org  aussi.
 
bonne journée à tous

Salut,  
 
J'ai des problèmes aléatoires avec le temps du domaine. Je m'explique :
 
J'ai trois DC. mon pdc est serveur ntp et se synchronise sur fr.pool.ntp.org
 
Les autres membres du domaine se synchronise sur lui. J'ai très aléatoirement, sur des serveurs différents des problèmes d'accès aux partages, et en rdp un message d'erreur comme quoi il y a une différence de temps. Sauf qu'en vérifiant le temps est exactement le même sur tous les postes et serveurs.  
 
J'ai fait une gpo pour activer le serveur ntp sur mon PDC avec filtre wmi. et une autre pour activer le client ntp sur les serveurs et poste membre.
 
Si je me connecte  sur un serveur sur lequel j'ai un soucis de partage ou d'accès en bureau à distance, et que je lance un gpupdate /force : j'ai un message d'erreur comme quoi la stratégie de groupe n'a pas pu être traité car il peut y avoir un problème de résolution de nom de l'ordinateur ou bien un problème de réplication Active directory.  
 
Si je redémarre le serveur concerné, les problèmes disparaissent.  
 
Que je puis je faire ? quoi d'autre vérifier ?

Si tu laisses W32Time fonctionner en NT5DS tu ne devrais pas avoir à t'ennuyer avec la config que tu décris.
 
Première chose à regarder, ton journal d'évènements Système avec la source Time-Service. Si pas d'erreur à cet endroit, et si ton DNS est bien opérationnel (client configuré comme il faut et service up&running sur les DCs) je vérifierais la bonne réplication AD entre les DCs... Si il y en a un qui diverge ça pourrait tout à fait expliquer tes erreurs aléatoires.

 
Merci j’ai passé les commandes pour vérifier la synchro tous les tests sont réussi. Néanmoins le dcdiag sur le pdc m’indique des erreurs de réplications sur les dernières 24h.
 
En regardant j’ai quelques erreur de réplications il y a plusieurs jours, plus récemment j’ai des avertissements comme quoi la réplication est stopée a cause de la sauvegarde.
 
Sur les postes du domaine, dans le registre, le protocole est bien NT5DS mais il y a sur la plus part des postes la ligne Time provider qui est sur time.windows.com
 
Est ce que cette ligne est nécessaire ? Car elle n’est pas présente sur tous les serveurs  
 
Merci

Enlève Ta GPO, elle ne sert à rien et ne va causer que des problèmes.
 

 
Je vais faire ça mais j’avais quand même les problèmes avant de la mettre  
 

Ce n'est pas forcément lié au temps. Regarde quand même les fuseaux horaires de chaque machine, mais sinon comme dis plus haut commence par vérifier réseau/firewall, DNS et réplication AD.

 
time.windows.com devrait être positionné par défaut dans la valeur NtpServer. Si le protocole est à NT5DS elle est ignorée c'est juste un paramètre par défaut si la config du service devait repasser en (S)NTP.
 
Tu peux toujours vérifier la config du service de temps avec w32tm /query /configuration.
 
Tes erreurs sont transitoires ? Il faudrait vérifier avec repadmin.
 
repadmin /showrepl *
 
tu peux aussi forcer une réplication sur tous les DCs voir si ça se passe bien
 
repadmin /syncall *
 
Avec trois DCs ça devrait aller  

repadmin me dit que tout est correct.
 
je vais vérifier la configuration NT5DS sur les autres serveurs.
 
Lorsque je vais w32tm /query /status  
 
sur certains postes / serveurs dans la source j'ai mon PDC, parfois j'ai mon DC2 ou DC3
 
Est ce normal ?
 

Oui, c'est choisi aléatoirement. Ce qui est important c'est que les DC se synchro sur le DC avec le role ePDC.

d'accord merci. Je vais essayer de tout remette à plat.
 
Je viens de m'apercevoir que les deux autre DC avait le parametre enable à 1 dans ntpserver dans le registre.
 
S'ils étaient aussi serveur ntp cela pouvait causer des problèmes ?

Sur ton ePDC, tu entres : w32tm /config /update /syncfromflags:manual /manualpeerlist:fr.pool.ntp.org /reliable:yes puis tu redémarres le service de temps
 
Sur toutes les autres machines : w32tm /config /update /syncfromflags:domhier puis tu redémarres le service de temps

Merci pour ton aide.
 
Je vais faire ça. j'espère qu'il n'y aura plus d'erreur.
 
On est bien d'accord que sur les dc secondaire, le serveur ntp doit être désactivé ?

La config que nebulios te dit de rentrer va dégager tout ça et forcer la hierarchie en NT5DS partout (domhier = domain hierarchy) sauf sur le PDCe qui va aller chercher le pool NTP spécifié.
 
A condition que ta GPO de tout à l'heure soit plus là.
 
La prochaine fois que tu as une erreur d'application de GPO ou autre comme tu décrivais tente de passer sur la machine qui a l'erreur la commande nltest /sc_query:ton_domaine_ad
 
Ca permettra de vérifier avec quel DC la machine en question a établi son secure channel. Et si c'est toujours le même si les erreurs reviennent ça permettra de cibler les investigations. Et si elle n'a pas de secure channel qui fonctionne ça donnera aussi une info...
 
Les DCs sont en quelle version de Windows ? Et question bête à laquelle je pense comment sont faites tes MAJ ? Tu n'as pas une stratégie unique genre une GPO WSUS qui rebooterait tous les DCs en même temps ? Ca pourrait effectivement laisser certains membres du domaine "le bec dans l'eau" si je puis dire...

salut,
 
J'ai encore eu des problèmes d'accès à certains serveurs, ils étaient pourtant bien en NT5ds et synchro avec mon PDC (w32tm /query /status)
 
J'ai repassé la commande w32tm /config /update /syncfromflags:domhier
 
Je vais voir si cela persiste ou non.
 
Mon PDC est en 2008 R2, le second controleur est en 2008r2, le troisième en 2012r2
 
Les serveurs ne redémarrent pas seuls suite au mise à jour (wsus) c'est moi qui les reboot quand il faut.
 
Bref, la synchro fonctionne, mais ca n'a pas l'air vraiment stable et je ne comprends pas d'où cela vient.

Tu n'es pas homogène au niveau de tes OS de DC, et ça c'est pas top.
Tu utilises des OS non supportés, ce n'est pas une situation normale (et j'ai pu voir pas mal de soucis NTP sur de vieux 2008 R2).
 
Donc pour commencer il faudrait migrer vers un AD en full 2019.
 
Ensuite voir si ce sont des VM (synchro du temps sur l'hôte ?) ou des machines physiques (synchro sur un BIOS à bout de souffle ?). Regarder les logs en détail, et bien confirmer que tes problèmes d'accès sont bien liés au temps et pas à autre chose (DNS/réseau/etc...)

2012 R2 est toujours supporté.
 
Tu as fait le nltest sur les machines qui avaient des soucis ?

La migration est prévue dans l'année vers 2019.
 
A la base j'avais un second DC en 2008r2 (VM) qui plantait très régulièrement, en attendant je l'ai remplacé par un dc en 2012r2
 
Oui j'avais le test nltest, et le serveur était sur mon pdc
 

Tu ne remplaces un DC en OS x par un DC en OS y "comme ça". On appelle ça une migration, et ça ne se fait pas n'importe comment.