Mon PC n’est pas à l’heure !!! C’est une rhétorique classique dans les infras.
L’heure ce n’est pas un détail dans une infra :
– Active Directory utilise Kerberos pour vous authentifier, si l’heure n’est pas correcte, pas d’authentification
– Windows Update est aussi sensible aux décalages d’heure
– D’un point de vue sécurité, comment auditer des logs si l’heure n’est pas correcte.
Voici donc un petit résumé de la gestion de l’heure sur un réseau Microsoft.
Active Directory et l’heure
Dans un domaine Active Directory, un serveur est plus particulièrement chargé de l’heure, c’est le serveur hébergeant le rôle FSMO PDC Emulator.
Ce serveur est l’autorité de temps pour le domaine. Il est donc important de le configurer correctement en paramétrant une base de temps internet fiable.
Le service Windows gérant l’heure se nomme W32Time
Je vous conseille la lecture de cet article, très complet : https://docs.microsoft.com/fr-FR/troubleshoot/windows-server/identity/configure-authoritative-time-server
Personnellement j’utilise time.windows.com et europe.pool.ntp.
Une fois le PDC emulator à jour, les autres DC, et les serveurs et PC membres se’ synchroniseront.
Important : Attention au fuseau horaire, si un PC n’est pas dans le même fuseau que votre DC, l’heure sera synchronisée… avec le décallage du fuseau horaire !
Hyper-V et l’heure
Hyper-V comprends un service nommé Hyper-V Time Synchronization Service, chargé de synchroniser les VM avec le host.
C’est notamment ce service qui va remettre à l’heure une machine virtuelle suspendue.
Si les machines virtuelles sont membres d’un domaine, il y a donc un conflit entre la synchronisation AD-AD et Hyperv Host – VM.
Je vous conseille donc de désactiver le service de synchronisation Hyper-V sur chaque machine virtuelle :
VMWare ESX et l’heure
Il faut configurer manuellement le Host afin qu’il se synchronise avec une source NTP, un controleur de domaine peut être source NTP.
Si vous voulez synchroniser la VM avec le Host il faut regarder dans les propriétés de la VM :
Edit Settings / Options / VMWare tools :
Comme écrit plus haut, je ne vous conseille pas cette option dans un réseau Microsoft, Active Directory gère déja la synchro.
L’heure et Azure ?
Microsoft a optimisé l’infra Azure pour permettre au service Windows de se synchroniser avec l’heure GPS dans chaque datacenter.
Par défaut les serveurs (tout comme les PC hors domaine d’ailleurs), se synchronisent avec time.windows.com.
Conclusion
Attention à l’heure dans votre infra, les serveurs, les PC, mais aussi les équipements réseau et sécurité se doivent d’être synchrone.
Vous devez y veiller à chaque ajout de matériel et ou de machine virtuelle !