Politique synchro temp AD

[cjp]

Bonjour à tous,

J'aimerais avoir vos opinions au sujet de la synchronisation du temps au sein de mes architectures AD.
J'ai paramétré tous mes DC principaux pour pointer vers une source de temps externe et tout ceci est fonctionnel. Mes autres DC pointent vers ces premiers et ça aussi ça baigne.
Question :
- Ais-je raison de faire pointer également mes serveurs membres vers leurs DC principaux (ceux-ci pointant par défaut su time.windows.com)?
- Côté postes clients, ceux-ci pointent également vers time.windows.com par défaut et je pense devoir les faire pointer vers mes DC principaux. Ais-je raison ? Existe-t-il une gpo spécifique pour paramètrer cela ou dois-je en créér une qui emploie un script ?
- Une dernière petite chose, en suivant les procédures MS j'ai rajouté sur mes DC principaux la valeur "0x1" aux serveurs SNTP externe, je ne comprend pas bien le pourquoi du comment, pourriez-vous m'éclairer la-dessus ? Enfin dois-je rajouter cette valeur également sur tous mes postes ou ceci ne concerne-t-il que les DC faisant autorité et pointant vers une source de temps externe ?

Merci de vos retours

[BZP]

Achtung ! Ne change aucun mais alors aucun des paramètres NTP ni sur tes DC ni sur tes stations.
NTP est en place pour assurer la synchro temps pour s'assurer du bon fonctionnement de Kerberos (qui ne support pas plus de 5 minutes de décalage par défaut). Tous tes DC et tes stations et tes serveurs doivent avoir le paramètre :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type (REG_SG) = NT5DS

Lorsque que ce param est en place, ce que tu mets dans NtpServer est ignoré et les DC sont utilisés comme référence temps. Tu peux d'ailleurs le vérifier depuis n'importe quelle machine membre du domaine (client ou serveur) avec la commande :

W32TM /MONITOR

Ensuite la hierarchie DNS de ta structure AD fait office de strates NTP. Exemple, tu as un domaine TOTO.COM et FILS.TOTO.COM ben tous les DC de FILS.TOTO.COM se synchro sur les DC de TOTO.COM qui eux même se synchro sur ... Le PDC du domaine racine (en l'occurence, le PDC de TOTO.COM) qui est le seul a avoir une référence externe. Et donc le paramètre Type renseigné à NTP et paramètre NtpServer avec ta source (source qui si est un FQDN -et donc pas une IP- doit comporter la chaine 0x1 concaténée). Et encore tout ceci est une version simplifiée.

Je recapépéte, les stations se synchro sur leur DC, les DC sur les DC de plus haut niveau et ces derniers sur le PDC du domaine racine. Et c'est uniquement sur ce dernier que l'on fait la modif des paramètres NTP. Je te conseil la lecture de la doc Technet à ce sujet, et la lecture de la page 884776 de notre KBible (qui ne paye pas de mine mais qui a causé de gros soucis même chez les grands comptes !).

http://technet2.microsoft.com/windowsserver/en/library/a0fcd250-e5f7-41b3-b0e8-240f8236e2101033.mspx?mfr=true

[cjp]

Merci et désolé pour ce retour tardif.

En fait tout est paramètré comme tu le dit au niveau de mes DC et de mes serveur membre, cependant mes postes eux pointent par défaut vers time.windows.com et n'ont donc pas la même valeur HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type (REG_SG) = NT5DS.
A l'origine de mes intérrogations, j'ai constaté que certains de mes postes (sousvent les portables) mettaient un certain temps à se synchroniser avec mes DC et donc il arrivait que des utilisateurs pouvaient se loguer malgré le fait que leur mot de passe avait expiré, à la suite de quoi ils devaient fermer deux fois leur session aavnt de se voir proposer de le changer. Donc la question que je me pose dois-je changer ce paramètre sur mes postes clients en me basant sur les articles du technet et surtout pourquoi n'est ce pas automatique lors de l'intégration d'un poste au domaine ?

Merci encore

[BZP]

En fait, peut importe vers quoi ils pointent si ils ont la valeur NT5DS, ils iront se synchro sur leur DC au démarrage puis à interval régulier. Maintenant si ils n'ont pas NT5DS, c'est qu'il y a eu modification (par un Adminisatreur local de la machine ou un Utilisateur avec pouvoirs) car à la jonction au domaine, ce paramètre se positionne seul. Je pense que tes problème de logon avec des mots de passe expirés ne sont pas un problème de temps. C'est un problème de mise en cache des credentials sur ton poste nomade qui déconnecté du réseau utilise le hash en cache plutôt que de contacter un controleur de domaine. Tu peux avoir plus d'info sur ces comportements aux pages suivantes de ta KBible 913485 puis 172931 et enfin 242536 (dans cet ordre).

[cjp]

Maintenant si ils n'ont pas NT5DS, c'est qu'il y a eu modification (par un Adminisatreur local de la machine ou un Utilisateur avec pouvoirs) car à la jonction au domaine, ce paramètre se positionne seul.

Justement ce n'est pas le cas ! J'ai retesté ce matin avec un poste que j'ai rattaché au domaine hors ce paramètre n'est pas présent !
Est-ce à dire qu'il manque quelquechose au niveau de ma stratégie de domaine par défaut ?

Merci encore

[BZP]

A vrai dire ... Je suis surpris, http://technet2.microsoft.com/windowsserver/en/library/b43a025f-cce2-4c82-b3ea-3b95d482db3a1033.mspx?mfr=true : The default value on domain members is NT5DS. The default value on stand-alone clients and servers is NTP. Cela dit je te crois, du coup, je m'interroge, comment et dans quelle circonstance la machine est affiliée au domaine ?

[BZP]

A vrai dire ... Je suis surpris, http://technet2.microsoft.com/windowsserver/en/library/b43a025f-cce2-4c82-b3ea-3b95d482db3a1033.mspx?mfr=true : The default value on domain members is NT5DS. The default value on stand-alone clients and servers is NTP. Cela dit je te crois, du coup, je m'interroge, comment et dans quelle circonstance la machine est affiliée à ton domaine ? Peut être que nous pourrions trouver une explication ...