Dépannage du service de temps Windows

Le service de temps Windows est très important dans Active Directory. Par défaut, l’authentification Kerberos exige que les horloges de toutes les machines du domaine soient synchronisées à cinq minutes près, après correction des différences de fuseaux horaires et de l’heure d’été. Les machines dont les horloges sont en dehors de cette plage ne pourront pas s’authentifier et n’auront donc pas accès aux ressources du domaine.

Au sein d’un domaine AD, le contrôleur de domaine (DC) détenant le rôle PDC Emulator FSMO est le serveur de temps maître pour l’ensemble du domaine. Cependant, cela ne signifie pas que chaque machine du domaine synchronise son horloge directement avec l’émulateur PDC. D’autres DCs se synchronisent avec l’émulateur PDC, tandis que les serveurs et clients membres peuvent se synchroniser avec n’importe quel DC. Dans cette hiérarchie, l’émulateur PDC devrait être la seule machine configurée pour se synchroniser avec une source de temps externe, telle qu’un serveur NTP public. Toutes les autres machines du domaine doivent être configurées pour se synchroniser avec AD. Toute autre configuration peut entraîner une perte de synchronisation de l’horloge.
Référez-vous à ce site TechNet pour obtenir des informations détaillées sur le fonctionnement du service Windows Time.
Déterminer l’étendue du problème
La première étape du dépannage d’un problème de service Windows Time devrait consister à déterminer combien de machines sont affectées. Si l’heure est incorrecte sur une seule machine, les étapes requises pour résoudre le problème seront différentes de celles requises pour résoudre un problème d’heure à l’échelle du domaine.
Si seules quelques machines sont affectées

1. Si la machine affectée exécute Windows Vista ou une version ultérieure, exécutez w32tm /query /source à une invite de commande pour déterminer la source de temps de la machine affectée. Une source de temps externe ne doit être listée que si cette commande est exécutée sur l’émulateur PDC ; sinon, la commande doit sortir le nom d’un DC du domaine.
2. La commande w32tm /query /status montre également la source de temps de la machine, ainsi que d’autres informations potentiellement utiles. Le commutateur /verbose fournit encore plus d’informations. Comme pour la première commande, ces commutateurs ne sont disponibles que sur les machines exécutant Windows Vista ou une version ultérieure.
3. Si la bonne source de temps est listée, vous pouvez utiliser w32tm /resync pour tenter de resynchroniser l’horloge de la machine avec la source de temps. En ajoutant le commutateur /rediscover à cette commande, la machine tente d’abord de découvrir les sources de temps du réseau, puis tente une resynchronisation.
4. Pour changer la source de temps de la machine, vous pouvez utiliser l’une des deux commandes suivantes :
   w32tm /config /syncfromflags:DOMHIER /update configure la machine pour qu’elle utilise la hiérarchie de domaine (AD) comme source de temps.
   w32tm /config /syncfromflags:MANUAL /manualpeerlist:<list> /update configure la machine pour utiliser les serveurs de temps dans <list> comme source de temps.
   NOTE : Si plusieurs serveurs de temps sont spécifiés dans <list>, ils doivent être séparés par des espaces, et la liste entière doit être placée entre guillemets.

Si tout le domaine est affecté

1. Si l’heure est incorrecte sur toutes les machines du domaine, l’émulateur PDC est très probablement la source du problème. Exécutez la commande netdom query fsmo sur un DC pour déterminer quel DC détient le rôle d’Émulateur PDC.
2. Exécutez w32tm /query /source à partir d’une invite de commande sur l’Émulateur PDC pour vous assurer qu’il est configuré pour se synchroniser avec une source de temps externe. L’émulateur PDC ne devrait jamais être configuré pour se synchroniser avec le domaine, puisqu’il est la source de temps maître du domaine.
3. Si l’émulateur PDC est une machine virtuelle (VM), désactivez la synchronisation de l’horloge de l’hôte invité. La procédure à suivre pour ce faire dépend du système d’exploitation exécuté sur l’hôte de virtualisation.
4. Pour configurer l’émulateur PDC afin qu’il se synchronise avec un ou plusieurs serveurs de temps externes, utilisez la commande suivante :
   w32tm /config /syncfromflags:MANUAL /manualpeerlist:<list> /update
   NOTE : Si plusieurs serveurs de temps sont spécifiés dans <list>, ils doivent être séparés par des espaces et la liste entière doit être placée entre guillemets.

Paramètres du registre du service Windows Time
Les commandes w32tm spécifiées dans les procédures ci-dessus apportent des modifications aux valeurs du registre du service Windows Time, qui sont toutes situées sous la clé de registre suivante :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time
Il est possible de définir ces valeurs manuellement plutôt que d’utiliser les commandes w32tm, bien sûr. Si vous choisissez de le faire, les sites suivants peuvent s’avérer utiles :

• Outils et paramètres du service Windows Time (comprend une section sur les paramètres du registre)
• Comment configurer un serveur de temps faisant autorité dans Windows Server

Politique de groupe
Si vous apportez des modifications au service Windows Time à l’aide des commandes w32tm ou via le registre, mais que ces modifications ne prennent pas du tout effet ou ne prennent effet que pendant une courte période avant de revenir à leurs valeurs précédentes, il se peut qu’un objet de stratégie de groupe (GPO) remplace vos modifications. Les paramètres de stratégie de groupe pour le service Windows Time comprennent un grand nombre des éléments qui peuvent être configurés via le registre ou les commandes w32tm. Ces paramètres se trouvent à l’emplacement suivant:
Computer Configuration\Policies\Administrative Templates\System\Windows Time Service
Réinitialiser les valeurs de registre du service Windows Time aux paramètres par défaut
Si tout le reste échoue, cette procédure réinitialisera le service Windows Time à ses paramètres par défaut:

1. Ouvrir la console Services et arrêter le service Windows Time (ou exécuter net stop w32time à partir d’une invite de commande) s’il est en cours d’exécution.
2. Ouvrez une invite de commande élevée et exécutez w32tm /unregister pour supprimer le service Windows Time du registre. Le service ne sera plus répertorié dans la console Services.
3. Exécutez w32tm /register pour recréer le service avec ses paramètres de registre par défaut.
4. Réalisez toutes les modifications de registre nécessaires, puis démarrez le service Windows Time dans la console Services ou avec la commande net start w32time.

.