Dans un domaine Active Directory, il faut que toutes vos machines serveurs comme clients soient synchronisées. L'authentification Kerberos autorise au maximum un décalage de 5 minutes pour des raisons de sécurité. Lorsque qu'un utilisateur se connecte au domaine, Kerberos vérifie ses informations et lui délivre un Ticket Granting Ticket(TGT). Parmi les informations envoyées par le client (le nom principal de l'utilisateur sous le format <user>@<domain.com>,le mot de passe et l'heure). Pour que les réplications se fassent, il faut donc que les dcs soient synchrones. Il existe plusieurs façons de configurer le service de temps sur les dcs. Nous verrons celà dans des articles futurs.
Pour le moment, nous allons voir comment vérifier que ces derniers soient à l'heure.
exécutez
w32tm /monitor sur un contrôleur de domaine
Cette commande vous renvoie le décalage de temps en secondes avec le PDC et ceux pour tous les contrôleurs de domaines. Analysons la capture ci-dessous.
La ligne NTP: ... indique le décalage qu'il y a entre le contrôleur de domaine et le PDC du domaine.
La ligne RefID: indique si le contrôleur de domaine est synchronisé avec son PDC.
Le PDC est identifié par ***PDC***. Il n'y a évidemment aucun décalage avec lui même, par contre son RefID renvoie un résultat 'LOCL' [73.79.67.76] qui veut dire qu'il est synchronisé avec son horloge locale. Nous verrons dans un prochain article comment le configurer pour se synchroniser avec un serveur de temps.
Pour mieux comprendre le fonctionnement de la synchronisation des temps dans un domaine Active Directory, je vous invite à lire cet
article.
Aucun commentaire:
Enregistrer un commentaire