La synchronisation de l’heure dans un environnement Active Directory ne se résume pas à configurer les bons serveurs NTP et à croiser les doigts. Un problème de synchronisation peut entraîner des dysfonctionnements : échecs d’authentification Kerberos, problèmes de certificats ou messages d’erreur obscurs, incompréhensibles jusqu’à ce que l’on réalise que les horloges sont complètement décalées. Il est particulièrement frustrant que Windows complique inutilement les choses, notamment avec les nombreuses options de configuration du service de temps et la possibilité de déplacer des rôles comme l’émulateur PDC. Ce guide explique comment synchroniser le contrôleur de domaine principal (PDC) avec un fournisseur NTP externe et fiable – car, bien sûr, Windows a la fâcheuse habitude de rendre la tâche plus ardue. Ensuite, les autres serveurs et clients pourront suivre la même procédure sans difficulté. Résultat ? Moins de problèmes de synchronisation et un fonctionnement plus fluide du domaine.
Comment résoudre les problèmes de synchronisation de l’heure dans un domaine Active Directory
Méthode 1 : Assurez-vous que l’émulateur PDC est synchronisé avec une source NTP externe.
C’est essentiel car le contrôleur de domaine principal (PDC) fait office de serveur de temps principal dans le domaine ; s’il est déréglé, tout le reste est affecté. Si votre contrôleur de domaine (DC) ne se synchronise pas avec un serveur NTP valide, des décalages horaires se produisent et entraînent toutes sortes de problèmes.
- Tout d’abord, identifiez l’émulateur PDC actuel en exécutant la commande suivante dans PowerShell :
Get-ADDomain | Select-Object PDCEmulator- Cela vous permet de savoir quel serveur cibler.
- Sur le PDC, vérifiez quelle est sa source de temps actuelle :
w32tm /query /source- Si le message indique « Horloge CMOS locale » ou toute autre chose qu’un protocole NTP externe, c’est le moment de régler le problème.
- Arrêtez le service Heure de Windows :
net stop w32time - Configurez-le pour utiliser un serveur externe fiable, comme ceux du projet pool.ntp.org. Au Royaume-Uni, il s’agit généralement de 0.uk.pool.ntp.org, 1.uk.pool.ntp.org, etc.
- Courir:
-
w32tm /config /manualpeerlist:"0.uk.pool.ntp.org 1.uk.pool.ntp.org 2.uk.pool.ntp.org" /syncfromflags:manual /reliable:YES /update - Ensuite, redémarrez le service de temps :
net start w32time- Forcer une resynchronisation :
w32tm /resync- Enfin, vérifiez une dernière fois la source
w32tm /query /source. Elle devrait maintenant indiquer les serveurs NTP externes.
Cela devrait résoudre le problème principal du PDC qui se comporte comme une source de temps instable ou uniquement locale, en particulier s’il s’agit d’une machine virtuelle ou si l’horloge système dérive.
Méthode 2 : Configurer le protocole NTP via la stratégie de groupe (pour qu’il soit conservé même en cas de changement de rôle).
Si vous ne souhaitez pas manipuler constamment les commandes, ou si vous craignez les changements de rôle, l’utilisation des GPO est judicieuse. Ainsi, lorsque le rôle de contrôleur de domaine principal (PDC) est transféré à un autre contrôleur de domaine, ce serveur est automatiquement configuré pour se synchroniser avec les sources externes appropriées.
- Ouvrez la console de gestion des stratégies de groupe ( GPMC.msc )
- Créez un nouveau filtre WMI avec :
Select * from Win32_ComputerSystem where DomainRole = 5- Associez ce filtre à une nouvelle stratégie de groupe (GPO), puis accédez à Configuration ordinateur -> Stratégies -> Modèles d’administration -> Système -> Service de temps Windows -> Fournisseurs de temps.
- Configurez ces GPO :
- Activer Configurer le client NTP Windows : définir sur Activé
- Activer Activer le client NTP Windows : Activé
- Activer Activer le serveur NTP Windows : Activé (si nécessaire pour la synchronisation)
- Définissez les options spécifiques dans Configurer le client NTP Windows :
- Serveur NTP :
0.uk.pool.ntp.org, 0x8 1.uk.pool.ntp.org, 0x8 2.uk.pool.ntp.org, 0x8 3.uk.pool.ntp.org, 0x8 - Type : NTP
- Vous pouvez laisser les autres paramètres par défaut, sauf si vous modifiez des configurations avancées.
- Serveur NTP :
- Liez cette stratégie de groupe à l’unité d’organisation Contrôleurs de domaine afin qu’elle s’applique au contrôleur de domaine qui a le rôle de contrôleur de domaine principal.
Méthode 3 : Vérifiez que le service de temps Windows est correctement configuré sur les machines clientes.
La plupart des PC et serveurs joints à un domaine suivent la hiérarchie du domaine, mais il arrive que des paramètres soient corrompus ou mal configurés. En général, la synchronisation avec le contrôleur de domaine (en mode NT5DS) est automatique ; si ce n’est pas le cas, vous pouvez la forcer.
- Exécutez ces commandes dans une fenêtre PowerShell ou CMD en tant qu’administrateur pour réinitialiser le service de temps à la hiérarchie de domaine par défaut :
-
net stop w32timew32tm /unregisterw32tm /registernet start w32timew32tm /resync - Vérifiez quelle source il utilise actuellement :
w32tm /query /source- Si tout fonctionne correctement, ceci devrait indiquer LogonServer ou la source de votre hiérarchie de domaine, et non l’horloge CMOS locale.
Voilà, c’est tout. Dans la plupart des cas, configurer le contrôleur de domaine principal (PDC) pour utiliser une source NTP externe fiable permet de résoudre efficacement les problèmes. Assurez-vous que les ports du pare-feu (UDP 123) sont ouverts sur vos serveurs NTP et consultez les journaux d’événements si le problème persiste.
Résumé
- Trouvez votre émulateur PDC avec PowerShell.
- Configurez le contrôleur de domaine principal (PDC) pour qu’il se synchronise avec un serveur NTP externe fiable, comme celui de pool.ntp.org.
- Utilisez la stratégie de groupe pour assurer la cohérence de cette configuration sur l’ensemble des contrôleurs de domaine, en particulier si les rôles sont modifiés.
- Assurez-vous que les machines clientes respectent la hiérarchie du domaine et ne modifient pas leurs horloges locales.
Conclure
Configurer l’heure dans Active Directory peut paraître fastidieux, mais une fois correctement paramétré, tout fonctionne plus facilement. Fini les erreurs de journalisation obscures, les problèmes d’authentification et les cauchemars de certificats. Vous bénéficiez d’une heure précise et synchronisée pour un domaine toujours opérationnel. J’ai testé cette méthode avec succès sur différentes configurations ; j’espère qu’elle facilitera la tâche à d’autres.