none
Bonne pratique NTP et hyperviseurs RRS feed

  • Question

  • Bonjour,

    Je souhaiterais savoir quelles sont les bonnes pratiques lorsqu'on configure le serveur de temps NTP en ce qui concerne les hyperviseurs.

    Dans un domaine, je sais que les membres vont se synchroniser sur leur DC et les DC sur le PDC. Lorsqu'on a plusieurs domaine, alors les PDC des domaines enfants se synchronisent sur les DC ou le PDC du domaine racine.

    Qu'en est t'il pour les hyperviseurs ? Que ce soit vmware ou Hyper-v.

    Si jamais on a un DC physique, alors on le met PDC et on paramètre les hyperviseurs pour se synchroniser dessus ?
    Si jamias on a pas de DC physique et qu'on a un cluster hyper-v ? Est ce qu'on met les hyperviseurs client de la VM qui fera PDC ? Ou bien on les synchronise sur la même source que celle fournie aux PDC ? (dans le cas où les hyperviseurs ont accès à internet).



    mardi 3 avril 2018 07:37

Réponses

  • Perso j'utilise une seul référence de temps synchronisé vers internet.

    Ma source de temps synchronisée n'est pas le PDC, mais un équipement réseau. .  

    En cas de coupure internet ma source de temps en interne reste la même pour l'ensemble des équipements. 

    L'émulateur PDC du domaine racine est synchronisé sur cette source de temps qui fait relai. Le reste des postes des domaines se synchronise automatiquement la dessus. Switch, routeur et autre également ...

    Si le PDC est virtuel et l'hyperviseur synchronise sur lui, au démarrage tu pourrais avoir un décalage. Si l'hyperviseur n'est pas dans un cluster je ne pense pas que cela empêche le démarrages des VMs. Si tu as une autre source interne tu peux synchroniser l'hyperviseur et le PDC dessus. Si tu as un DC physique et un cluster HyperV, utilises ton serveur physique comme émulateur PDC et synchronise le reste dessus.


    mercredi 11 avril 2018 09:56

Toutes les réponses

  • Je me permets de relancer ma question :)
    mardi 10 avril 2018 11:22
  • Tu fais bien cela m intéresse aussi

    MCSE ne signifie pas MEDIUM. Donnez des informations sur vos environnements ainsi que les codes erreurs. S'il vous plaît n'oubliez pas de "Marquer comme réponse" les réponses qui ont résolu votre problème.

    mardi 10 avril 2018 11:25
  • J'aimerais bien avoir une réponse de philippe barth qui est je pense le plus qualifié sur les intervenant participant ici sur la partie AD (et donc à priori NTP :)  ).

    C'est une problèmatique ou on entend beaucoup de réponse différentes, et je souhaiterais être au clair la dessus.

    mardi 10 avril 2018 12:08
  • Bonjour matteu,

    j'ai peut être un lien qui peut t'aider en attendant une réponse de M Barth :

    (réponse de LOIC et THIERRY)

    https://social.technet.microsoft.com/Forums/fr-FR/826b344e-65c9-401e-bc4e-3dc8f39d86cb/ntp-erreur-juste-aprs-linstallation?forum=windowsserver8fr

    Cordialement 

    MCSE ne signifie pas MEDIUM. Donnez des informations sur vos environnements ainsi que les codes erreurs. S'il vous plaît n'oubliez pas de "Marquer comme réponse" les réponses qui ont résolu votre problème.


    mardi 10 avril 2018 16:48
  • J'aimerais bien avoir une réponse de philippe barth qui est je pense le plus qualifié sur les intervenant participant ici sur la partie AD (et donc à priori NTP :)  

    Merci je suis flatté. Maintenant pour Thierry c'est du lourd, il a sans doute un éventail plus large que moi. Loïc qui a un peu moins d'ancienneté sur le forum apporte également souvent des réponses judicieuses, et c'est bien ce cumul qui permet de donner la richesse au forum.

    Le lien de Sanio est intéressant.
    Si tu as un seul hyperviseur non joint au domaine, tu peux le configurer avec la même source de temps que l'émulateur PDC. 
    Tu supprimes la synchro des VMs sur l'hôte, les postes du domaine doivent être correctement synchronisés. 

    Si tes hyperviseurs sont membres du domaine, ils doivent synchroniser sur la référence du domaine. L'important est d'éviter un décalage de temps.

    Si tu as un cluster la synchro des hyperviseurs est encore plus critique.
    Après si tu as d'autres versions, tu peux écouter les arguments de chacun afin de t'en faire une idée. Beaucoup de recommandations sont liés à un contexte et il n'est pas toujours judicieux de prendre tout à la lettre sans en connaître la finalité.

    L'impératif est que dans un domaine AD les horloges soient synchronisées.

    mardi 10 avril 2018 19:44
  • Vous exercez le même métier de consultant il me semble , c'est bien la solidarité !

    J'ai pensé à toi principalement car dès qu'il y a une question AD tu es dans le fil de discution :)

    Thierry sait répondre à des question exchange et Loïc je l'ai déjà vu répondre également à des questions sur d'autres sujets.

    Après en soit, mon objectif serait surtout d'avoir une réponse à ma question par une personne "compétente" sur le sujet.

    Je suis d'accord avec toi que cela va dépendre de l'environnement et j'en suis bien conscient.Toutefois, je souhaiterais savoir quelle est la méthode qui permet d'éviter des problèmes principalement. Désactiver la synchro horraire dans les VM, il y a un article technet qui dit qu'il ne faut jamais le faire. Il faut juste renseigner une clé de registre sur les DCs pour ne pas que l'hyperviseur modifie l'horraire de ces vm particulièrement lors de leur démarrage.

    Ce que je ne comprends pas en terme de best practice c'est quand un hyperviseur est dans un domaine pourquoi le faire se synchroniser sur le PDC plutôt que sur internet et vice versa ?

    J'ai un collègue qui me dit qu'il faut que les hyperviseurs se synchronisent toujours sur la même source que le PDC car si t'éteins l'infra au complet quand tu la redémarre l'hôte aura une heure différente du PDC. Je ne comprends pas pourquoi

    mercredi 11 avril 2018 06:21
  • Bonjour,

    La bonne pratique est d'avoir un serveur crédible (soit horloge physique... comme on le trouve dans l'ancienne documentation, soit un serveur qui synchronise son temps depuis un serveur de temps internet), puis

    Ce que j'ai, un serveur physique (crédible en terme de temps), et je synchronise mon contrôleur de domaine PDC depuis ce serveur. Et pour les postes, par défaut ils synchronisent leurs temps depuis le PDC mais j'ai déployé un script, qui force la synchronisation depuis le PDC.

    Pour le script qui s'exécute dans une GPO lors du démarrage de l'ordinateur:

    REGEDIT /S \\CORP.intranet\SysVol\CORP.intranet\Policies\{18E7631E-B371-422D-A25C-793E1A709CAB}\Machine\Scripts\Startup\tz.reg
    
    w32tm /config /syncfromflags:domhier /update
    w32tm /resync /nowait
    net stop w32time
    net start w32time
    
    EVENTCREATE /T INFORMATION /L APPLICATION /ID 100 /D "AD GPO : WRP-SetTZ.bat script executed

    Pour les postes qui ne font pas partie du domaine, j'exécute le script suivant (le même, seulement une commande modifiée):

    w32tm /config /manualpeerlist:"ntp_server" /syncfromflags:manual /reliable:yes /update
    net stop w32time
    net start w32time
    w32tm /resync
    Pour la clé de registre tz.reg, juste pour s'assurer que tous les postes utilisent Afrique Centrale comme fuseau horaire :
    Windows Registry Editor Version 5.00
    
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TimeZoneInformation]
    "Bias"=dword:ffffffc4
    "DaylightBias"=dword:00000000
    "DaylightName"="@tzres.dll,-312"
    "DaylightStart"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
    "StandardBias"=dword:00000000
    "StandardName"="@tzres.dll,-312"
    "StandardStart"=hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
    "TimeZoneKeyName"="W. Central Africa Standard Time"
    "DynamicDaylightTimeDisabled"=dword:00000000
    "ActiveTimeBias"=dword:ffffffc4
    


    • Modifié Lotfi B mercredi 11 avril 2018 07:28
    mercredi 11 avril 2018 07:18
  • Merci pour votre aide toutefois je ne suis pas d'accord sur plusieurs points.

    les postes, par défaut ils synchronisent leurs temps depuis le PDC -> Les postes synchronisent leur temps sur les DCs. Les DCs du domaine racine synchronisent leur temps sur le PDC. (on va rester dans une foret monodomaine pour ne pas complexifier).

    Le script au démarrage de l'ordinateur -> Le client fait cette synchronisation de manière autonome. Vous pouvez filtrer le journal d'évènement sur la source time-service pour vous en apercevoir.

    MA questions concerne vraiment le paramétrage à utiliser sur les hyperviseurs de type hyper-v et dans le cas de vmware.

    Pour ce qui est de la config NTP pour les postes, DP et PDC j'ai compris le fonctionnement.

    mercredi 11 avril 2018 08:27
  • Perso j'utilise une seul référence de temps synchronisé vers internet.

    Ma source de temps synchronisée n'est pas le PDC, mais un équipement réseau. .  

    En cas de coupure internet ma source de temps en interne reste la même pour l'ensemble des équipements. 

    L'émulateur PDC du domaine racine est synchronisé sur cette source de temps qui fait relai. Le reste des postes des domaines se synchronise automatiquement la dessus. Switch, routeur et autre également ...

    Si le PDC est virtuel et l'hyperviseur synchronise sur lui, au démarrage tu pourrais avoir un décalage. Si l'hyperviseur n'est pas dans un cluster je ne pense pas que cela empêche le démarrages des VMs. Si tu as une autre source interne tu peux synchroniser l'hyperviseur et le PDC dessus. Si tu as un DC physique et un cluster HyperV, utilises ton serveur physique comme émulateur PDC et synchronise le reste dessus.


    mercredi 11 avril 2018 09:56
  • Ah en effet :) Pas bête du tout !

    Faut juste penser lors du remplacement/panne de l'équipement réseau qui sert de source de temps qu'il jouait ce rôle pour le faire jouer par un autre équipement réseau mais l'idée est plutôt intéressante en effet.

    Merci pour ton retour.


    mercredi 11 avril 2018 12:04
  • Faut juste penser lors du remplacement/panne de l'équipement réseau qui sert de source de temps

    C'est vrai quel que soit la référence de temps (émulateur PDC ou autre).

    mercredi 11 avril 2018 14:11
  • Je suis tout à fait d'accord.

    Juste qu'on a plus vite fait de migrer un DC que migrer un équipement réseau qui sert de source de temps et qu'on choisira pour sa pérénité je suppose !

    Mais je suis tout à fait d'accord, dans tous les cas il faut y penser ! (Sinon les problème nous y feront vite penser... mais bon, c'est qu'il y aura quelque effet de bord...)

    mercredi 11 avril 2018 14:31
  • Bonjour matteu31400

    J'aimerais bien avoir une réponse de philippe barth qui est je pense le plus qualifié sur les intervenant participant ici sur la partie AD (et donc à priori NTP :)  

    Personne peut douter sur la qualité des réponses de Philippe dans ce forum, il est toujours parmi les meilleurs. Mais aussi faut pas sous estimer les autres participants , ici c'est un forum ouvert à tout le monde. il vaut mieux écouter toutes les personnes qui veulent aider et partager leurs connaissances et expériences et après à toi de valider les réponses qui te semble valide :).

    Juste qu'on a plus vite fait de migrer un DC que migrer un équipement réseau qui sert de source de temps et qu'on choisira pour sa pérénité je suppose !

    Mais je suis tout à fait d'accord, dans tous les cas il faut y penser ! (Sinon les problème nous y feront vite penser... mais bon, c'est qu'il y aura quelque effet de bord...)

    Si vous choisissez la synchronisation des clients  à travers les DCs, le client synchronisera l'heure avec le DC lors de l'ouverture de session. Si vous avez plusieurs DC et un DC tombe en panne, le client va contacter un autre . Par contre pour le PDC, il est unique dans un domaine. s'il tombe en panne le client ne sera pas toucher directement mais il faut le seizer rapidement pour éviter un décalage horaire entre les DCs qui peut provoquer des problème de réplication entre les DCs

    Si vous désirez choisir une autre solution, il faut choisir une solution redondante,  pour ne pas être obligé attendre la livraison et le remplacement de l'équipement pour reprendre la synchronisation du temps.



    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    mercredi 11 avril 2018 18:41
    Modérateur
  • Bonjour,

    Sur quel type d'équipement réseau avez-vous configuré la synchronisation ?

    Izhocell

    jeudi 8 novembre 2018 13:26