none
Avis Serveur Temps sur Windows serveur 2012 R2 via contrôleur de domaine ou Hyperviseur ?

    Question

  • Bonjour à tous , 

    lorsque j'essai de configurer le serveur temps sur mon contrôleur de domaine j'ai un décalage de 7 min entre l'heure réelle et mon domaine , par contre quand je synchronise l'hyperviseur avec mes VM pas de problème . Est t'il bon de laisser la synchro via l'hyperviseur ou vous me conseillez de passer par un serveur de temps ? 

    Ma cfg: 1 Hyperviseur et 7 VM sous Windows serveur 2012 R2

    Merci pour vos avis 

    Cordialement 




    • Modifié Own3d59 dimanche 4 février 2018 09:29
    dimanche 4 février 2018 09:28

Réponses

  • Pour compléter la réponse de thameur :

    • soit vous décider que votre source de temps est votre hyperviseur : auquel cas, vous ne laissez la synchro temps qu'avec le DC, les autres machines se synchroniseront via le domaine ;
    • soit vous décidez de suivre les bonnes pratiques : auquel cas vous ne synchronisez le temps avec aucune VM et vous configurez le PDC (le DC jouant le role de synchro temps pour tous)  vers une source de temps externe.

    Personnellement, lorsque mes clients n'ont pas l'infra nécessaire pour une source de temps interne, je fait pointer le DC vers fr.pool.ntp.org :

    w32tm /config /manualpeerlist:"0.fr.pool.ntp.org 1.fr.pool.ntp.org 2.fr.pool.ntp.org" /syncfromflags:MANUAL

    N'oubliez pas de redémarrer le service de temps ensuite (Stop-Service w32time && Start-Service w32time), ni d'ouvrir le flux 123 UDP vers les IP publiques de fr.pool.ntp.org sur votre firewall.

    dimanche 4 février 2018 15:41
  • Bonjour,

    La configuration du temps est très sensible dans un domaine active directory parce que un décalage qui dépasse 5 min peut provoquer un problème d'authentification et réplication active diractory. Pour cela il est recommandé de garder une seule source de temps pour éviter le décalage horaire entre les machines membres et les contrôleurs de domaine et aussi entre les contrôleurs de domaine et les PDC. 
    Donc je vous recommande de désactiver la synchronisation avec les hyperviseur pour les machines virtuelles membres d'un domaine active directory.

    Pour information, si vous êtes entrain d'utiliser le service WindowsTime pour synchroniser le temps ,par défaut les machines membres synchronise le temps avec un des contrôleur de domaine, et les contrôleur de domaine synchronise le temps avec le PDC si vous avez une forêt avec plusieurs domaine , chaque le PDC de domaine enfant synchronise le temps avec n'importe quel DC du forêt root. Voici un schéma qui résume la gestion de synchronisation du temps dans une forêt avec plusieurs domaines 


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    dimanche 4 février 2018 14:04
    Modérateur

Toutes les réponses

  • Bonjour,

    La configuration du temps est très sensible dans un domaine active directory parce que un décalage qui dépasse 5 min peut provoquer un problème d'authentification et réplication active diractory. Pour cela il est recommandé de garder une seule source de temps pour éviter le décalage horaire entre les machines membres et les contrôleurs de domaine et aussi entre les contrôleurs de domaine et les PDC. 
    Donc je vous recommande de désactiver la synchronisation avec les hyperviseur pour les machines virtuelles membres d'un domaine active directory.

    Pour information, si vous êtes entrain d'utiliser le service WindowsTime pour synchroniser le temps ,par défaut les machines membres synchronise le temps avec un des contrôleur de domaine, et les contrôleur de domaine synchronise le temps avec le PDC si vous avez une forêt avec plusieurs domaine , chaque le PDC de domaine enfant synchronise le temps avec n'importe quel DC du forêt root. Voici un schéma qui résume la gestion de synchronisation du temps dans une forêt avec plusieurs domaines 


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    dimanche 4 février 2018 14:04
    Modérateur
  • Pour compléter la réponse de thameur :

    • soit vous décider que votre source de temps est votre hyperviseur : auquel cas, vous ne laissez la synchro temps qu'avec le DC, les autres machines se synchroniseront via le domaine ;
    • soit vous décidez de suivre les bonnes pratiques : auquel cas vous ne synchronisez le temps avec aucune VM et vous configurez le PDC (le DC jouant le role de synchro temps pour tous)  vers une source de temps externe.

    Personnellement, lorsque mes clients n'ont pas l'infra nécessaire pour une source de temps interne, je fait pointer le DC vers fr.pool.ntp.org :

    w32tm /config /manualpeerlist:"0.fr.pool.ntp.org 1.fr.pool.ntp.org 2.fr.pool.ntp.org" /syncfromflags:MANUAL

    N'oubliez pas de redémarrer le service de temps ensuite (Stop-Service w32time && Start-Service w32time), ni d'ouvrir le flux 123 UDP vers les IP publiques de fr.pool.ntp.org sur votre firewall.

    dimanche 4 février 2018 15:41
  • Bonsoir , 

    merci pour votre retour , j'ai oublié de vous répondre , cela fonctionne parfaitement avec fr.pool.ntp.org

    merci


    • Modifié Own3d59 dimanche 11 mars 2018 19:50
    dimanche 11 mars 2018 19:49