Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article fournit des recommandations pour la fonctionnalité STS (Secure Time Seeding) dans Windows Server, ainsi que les bonnes pratiques de synchronisation de temps générales.
Résumé
Les clients ont signalé des problèmes de synchronisation temporelle dans les déploiements du système d’exploitation Windows Server 2016 et des versions ultérieures, liés à la fonctionnalité STS, en raison de son incompatibilité avec les déploiements affectés.
En fonction des rapports clients et des commentaires associés, nous vous recommandons de désactiver la fonctionnalité STS dans Windows Server 2016 et les machines Windows Server qui hébergent des charges de travail sensibles au temps. Cela inclut tous les contrôleurs de domaine Active Directory Domain Services (ADDS), les hôtes de machine virtuelle et les serveurs qui utilisent le temps nécessaire pour les fonctionnalités critiques, en fournissant une connectivité ou un traitement des données dans vos déploiements.
Nous vous recommandons de désactiver la fonctionnalité STS dans toutes les machines Windows Server 2016 et ultérieures hébergeant des charges de travail génériques/non sensibles au temps afin d’éviter les problèmes d’incompatibilité imprévus liés à la conservation du temps résultant de STS.
Nous vous recommandons de passer en revue les exigences de gestion des temps pour les déploiements de système d’exploitation Windows Server 2016 et ultérieurs, et de vérifier que la diffusion/synchronisation et la surveillance de l’heure appropriées sont en place pour les machines Windows hébergeant des charges de travail sensibles au temps dans vos déploiements, y compris les contrôleurs de domaine ADDS et d’autres ordinateurs potentiellement critiques.
Vue d’ensemble de l’article
L'audience principale de cet article est composée des administrateurs qui gèrent les machines Windows Server 2016, Windows Server 2019, Windows Server 2022 et Windows Server 2025 dans leurs déploiements. Cet article met en évidence les problèmes potentiels liés à la fonctionnalité STS dans le système d’exploitation Windows Server. Il fournit des conseils et des considérations sur la désactivation de cette fonctionnalité dans les déploiements du système d’exploitation Windows Server.
Nous vous recommandons de lire cet article à des fins d’information même si vous avez déjà désactivé STS dans vos déploiements.
Cet article donne une vue d’ensemble générale des points suivants :
Fonctionnalité STS dans le système d’exploitation Windows.
Problèmes de gestion du temps liés à STS dans certaines versions du système d’exploitation Windows Server (SKU) signalées à Microsoft.
Désactivation de la fonctionnalité STS dans le système d’exploitation Windows Server.
Aspects critiques de la conservation du temps, de la synchronisation de l’heure et de la diffusion.
Exemple d’ensemble d’actions suggérées pour évaluer vos besoins de synchronisation de temps et désactiver la fonctionnalité STS dans vos déploiements de système d’exploitation Windows Server.
Vue d’ensemble de STS
STS est un mécanisme de gestion de temps heuristique dans le système d’exploitation Windows qui détermine l’heure actuelle approximative à l’aide de métadonnées d’heure provenant des connexions SSL (Secure Sockets Layer) sortantes/TLS (Transport Layer Security) sur un ordinateur et utilise ces informations de temps pour détecter et corriger les erreurs importantes dans l’horloge système sur cet ordinateur.
Le temps approximatif déterminé par STS dépend des métadonnées de temps disponibles pour la fonctionnalité. Cette fois, les métadonnées proviennent des serveurs SSL/TLS auxquels une machine se connecte. Pour plus d’informations sur la fonctionnalité STS, reportez-vous à l’amorçage sécurisé de l’heure—amélioration de la gestion du temps dans Windows (publié à l’origine en 2016).
L’objectif principal de la fonctionnalité STS est de corriger le temps système lorsque des facteurs environnementaux tels que des dysfonctionnements matériels ou d’autres sources introduisent des erreurs de temps suffisantes pour empêcher SSL/TLS de fonctionner comme prévu. Le taux d’incidence de ces erreurs de temps induit par l’environnement dépend de l’environnement de déploiement spécifique.
STS a produit des résultats fiables dans nos observations, souvent supérieurs à la fiabilité sur le long terme du chronométrage sur le matériel informatique, par exemple.
La fonctionnalité STS est activée par défaut dans toutes les éditions de Windows Server 2016, Windows Server 2019 et Windows Server 2022, toutes les éditions du système d’exploitation client Windows commençant par Windows 10, version 1511 et toutes les versions ultérieures du système d’exploitation client Windows, les versions Windows IoT et les références SKU de tous les autres systèmes d’exploitation Windows publiés avec/après Windows 10, version 1511.
La fonctionnalité STS est désactivée par défaut dans Windows Server 2025, en fonction des commentaires des clients abordés dans la section suivante.
La section suivante décrit les paramètres de registre et de stratégie de groupe qui peuvent être utilisés par un administrateur pour contrôler l’activation de cette fonctionnalité dans le système d’exploitation Windows.
Problèmes de chronométrage liés à STS
Plusieurs rapports d’incidents clients ont été reçus concernant les sauts de temps temporaires volumineux et erronés dans les déploiements de système d’exploitation Windows Server, ce qui peut avoir été dû à la fonctionnalité STS. Ces problèmes présentent les caractéristiques courantes suivantes :
Ces problèmes ont été signalés dans certains déploiements de clients sur des machines exécutant différentes versions/versions du système d’exploitation Windows Server.
Une faible incidence par rapport à la durée globale du déploiement de la fonctionnalité STS.
La fonctionnalité STS est activée sur les machines concernées.
Le service W32time définit l’heure système sur une valeur incorrecte aléatoire, avec une erreur de temps variable entre les jours et les semaines et les années.
Ceci est suivi d’une forte probabilité que le service W32time corrige automatiquement l’erreur introduite précédemment dans le temps du système après une période notable mais brève, qui varie selon le déploiement.
Dans la plupart des cas, les problèmes STS ne sont pas reproductibles à la demande.
Étant donné que ces incidents se sont produits uniquement lorsque la fonctionnalité STS a été activée, elles peuvent avoir été provoquées par des métadonnées de temps anormales présentées à la fonctionnalité STS des connexions SSL/TLS sortantes à différents services sur chaque ordinateur concerné. Ces incidents indiquent une incompatibilité potentielle entre la fonctionnalité STS et les applications/services déployés sur les ordinateurs spécifiques et/ou dans des environnements de déploiement spécifiques.
Des rapports d’incidents clients ont été reçus, impliquant des erreurs de temps persistantes importantes sur des machines Windows Server avec la fonctionnalité STS activée. Dans ces incidents de conservation de temps, les erreurs de temps n’ont pas été corrigées automatiquement dans un délai raisonnable et ont été résolues après la désactivation de la fonctionnalité STS sur les machines affectées. Cela a conduit à ces clients à découvrir l’incompatibilité entre la fonctionnalité STS sur les machines affectées avec les applications s’exécutant sur l’ordinateur ou avec l’environnement de déploiement spécifique et a aidé à désactiver la fonctionnalité STS dans les déploiements affectés.
STS a été conçu pour fonctionner avec les métadonnées SSL/TLS disponibles dans les déploiements de système d’exploitation Windows génériques. Toutefois, tous les rapports clients sur STS indiquent que certains déploiements du système d’exploitation Windows Server peuvent être incompatibles avec les heuristiques de conception STS et que la fonctionnalité peut ne pas s’exécuter comme prévu dans de tels scénarios.
Des informations sur des applications, services ou déploiements spécifiques incompatibles avec la fonctionnalité STS ne sont pas disponibles. Si quelqu’un rencontre des problèmes de temps sur un ordinateur sur lequel STS est activé, nous vous recommandons de désactiver STS pour l’empêcher de changer potentiellement la durée du système en une valeur incorrecte.
Les commentaires des clients ont suggéré que la fonctionnalité STS soit désactivée par défaut sur le système d’exploitation Windows Server, qui a été incorporé dans le système d’exploitation Windows Server 2025 récemment publié.
Certains clients ont remarqué des problèmes de temps incorrects (induits par STS ou autrement) sur des machines affectées lors de l’examen des effets secondaires du temps incorrect, car ils ne surveillent pas l’heure sur ces ordinateurs. Cette expérience a également été examinée dans les conseils fournis plus loin dans cet article.
Désactivation de la fonctionnalité STS dans le système d’exploitation Windows Server
Nous conseillons à tous les clients d’entreprise qui ont déployé le système d’exploitation Windows Server (Windows Server 2016, Windows Server 2019, Windows Server 2022 et toutes les versions intermédiaires dans ce système) en tant que machines autonomes ou dans le cadre d’ADDS pour évaluer la désactivation de la fonctionnalité STS sur ces machines. Cette recommandation pour désactiver STS s’applique même si vous n’avez jamais rencontré de problèmes antérieurs avec la fonctionnalité STS. STS est désactivé par défaut dans Windows Server 2025, mais veillez à vérifier que les paramètres STS de ce système d’exploitation répondent aux exigences de votre déploiement.
Nous vous recommandons de désactiver la fonctionnalité STS sur les machines Windows Server exécutant toutes les charges de travail sensibles au temps, y compris ces machines dans vos déploiements :
contrôleurs de domaine ADDS
Serveurs qui utilisent le temps pour les fonctionnalités critiques
Serveurs qui utilisent le temps nécessaire pour fournir une connectivité
Serveurs qui utilisent le temps dans le cadre du traitement des données
Hôtes de machine virtuelle
Nous vous recommandons de désactiver la fonctionnalité STS par défaut sur les machines Windows Server de votre déploiement, même si ces ordinateurs n’hébergent pas de charges de travail sensibles au temps et même si vous n’avez jamais rencontré de problèmes de temps liés à STS sur ces machines.
Si vous n’avez jamais rencontré de problèmes STS sur des ordinateurs Windows Server dans votre environnement et/ou si vous choisissez de continuer à utiliser STS sur ces ordinateurs, n’oubliez pas les problèmes de conservation de temps potentiellement causés par cette fonctionnalité. Nous vous recommandons de prendre note des problèmes STS dans le système d’exploitation Windows Server et des conseils décrits dans cet article et de planifier la désactivation éventuelle de la fonctionnalité STS sur ces ordinateurs dans votre déploiement.
Paramètres pour désactiver STS :
La désactivation (ou l’activation) de STS nécessite que les administrateurs modifient les paramètres sur les ordinateurs cibles, soit dans le paramètre de Registre, soit dans la stratégie de groupe, et redémarrent ces ordinateurs.
| Paramètre de la stratégie de groupe | Paramètre local |
|---|---|
| Chemin d’accès : Configuration ordinateur\Modèles d’administration\System\Windows Time Service Stratégie de groupe : Paramètres de configuration globaux Paramètre : UtiliserSslTimeData Valeurs (Redémarrage requis) : 0 = STS désactivé 1 = STS activé Pour plus d’informations, consultez les outils et paramètres du service de temps Windows. |
Sauvegardez les paramètres existants avant d’apporter des modifications au Registre. Clé de Registre : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\ConfigNom de la valeur : UtilizeSslTimeDataType de valeur : REG_DWORDValeurs (Redémarrage requis) : 0 = STS désactivé1 = STS activéPour plus d’informations, consultez les outils et paramètres du service de temps Windows. Commande pour désactiver le paramètre local STS dans le Registre : reg.exe add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config" /v "UtilizeSslTimeData" /t REG_DWORD /d 0 /f |
Déterminez le paramètre STS utilisé par le service W32time :
Utilisation des événements des services (disponibles uniquement sur certaines éditions et versions) :
(Facultatif) Démarrez le service W32time :
net start w32time.Recherchez Time-Service journal des événements opérationnels (nom du journal : Microsoft-Windows-Time-Service/Operational ; chemin d’accès du fichier : %SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-Time-Service%4Operational.evtx).
Recherchez le dernier événement parmi les événements 257, 260 et 263, puis cherchez le texte UtilizeSslTimeData dans le message d’événement.
UtilisezSslTimeData : 0 indique que la fonctionnalité STS est désactivée.
UtiliserSslTimeData : X (X est un nombre différent de zéro) indique que la fonctionnalité STS est activée.
Via le journal de débogage W32time (disponible sur toutes les éditions et versions) :
(facultatif) Archivez les journaux de débogage W32time existants pour éviter toute confusion.
Arrêtez le service W32time :
net stop w32time.Archivez le journal de débogage W32time existant :
move c:\w32time.log c:\w32time_archive.log.
Activez la journalisation du service W32time :
w32tm.exe /debug /enable /file:c:\w32time.log /size:100000000 /entries:0-300.Redémarrez le service W32time :
Arrêtez le service W32time :
net stop w32time.Démarrez le service W32time :
net start w32time.
Recherchez le texte indiquant l’état STS dans W32time.log :
ReadConfig : ' UtiliserSslTimeData'=0x00000000 indique que STS est désactivé.
ReadConfig : 'UtilizeSslTimeData'=0xYYYYYYYY, où YYYYYYYY est un nombre hexadécimal différent de zéro qui indique que STS est activé.
En outre, nous vous recommandons de vous assurer que la diffusion/synchronisation temporelle appropriée et la surveillance de l’heure sont en place pour répondre aux exigences de gestion du temps dans votre déploiement (consultez la discussion suivante sur les différentes approches de gestion des temps). Cela est essentiel pour les machines exécutant des charges de travail sensibles au temps. Il est également important pour d’autres déploiements, compte tenu des dépendances imprévues que ces déploiements ont sur le temps système.
Étendue des recommandations générales de cet article
Les recommandations relatives à la désactivation de la fonctionnalité STS de cet article s’appliquent uniquement aux déploiements exécutant des références SKU du système d’exploitation Windows Server (Windows Server 2016 et versions ultérieures) en fonction des commentaires des clients. Des commentaires similaires sur la fonctionnalité STS n’ont pas été reçus sur les références SKU de système d’exploitation non Windows Server. Par conséquent, les recommandations ne sont pas étendues aux références SKU de système d’exploitation non-Windows Server (différentes éditions et versions non serveur de Windows 10, version 1511 ou ultérieure, par exemple, différentes éditions et versions des références SKU clientEs Windows 10, Windows 10 IoT, Windows 11 et Windows 11 IoT).
Différentes références SKU du système d’exploitation Windows hébergent différents composants et charges de travail. Ils sont déployés dans différents environnements, impactant les métadonnées de temps SSL/TLS disponibles, le résultat heuristique de STS et tous les effets en aval des problèmes STS. Ces facteurs, ainsi que les commentaires des clients reçus principalement concernant la fonctionnalité STS dans les références SKU du système d’exploitation Windows Server, nous amènent à croire que ces problèmes n’affectent pas uniformément toutes les références SKU du système d’exploitation Windows.
Les administrateurs peuvent appliquer les conseils généraux des sections suivantes pour passer en revue leurs propres solutions de diffusion et de surveillance du temps pour toutes les références SKU du système d’exploitation Windows pour une meilleure gestion du temps et un aperçu de leur déploiement.
Gestion des problèmes liés aux versions Windows SKU qui ne relèvent pas du cadre actuel des recommandations générales.
Cette partie de la note est incluse uniquement pour l’exhaustivité. Il n'existe actuellement aucune tendance indiquant que ce scénario se produit sur les versions de systèmes d’exploitation non-Windows Server, et il n’existe pas de recommandation générale actuelle pour désactiver STS sur ces versions.
Il existe une possibilité petite mais distincte que les machines d’un déploiement exécutant des références SKU de système d’exploitation non-Windows Server (différentes éditions et versions non serveur de Windows 10, version 1511 ou ultérieure : par exemple, les références SKU client Windows 10, Windows 10 IoT, Windows 11 et Windows 11 IoT) puissent également rencontrer des problèmes de temps liés à STS en fonction de circonstances uniques dans ce déploiement, et l’incidence de ces problèmes ne peut être atténuée que par la désactivation de la fonctionnalité STS sur les machines concernées.
Certains ordinateurs (par exemple, les appareils portables qui s’appuient uniquement sur des batteries rechargeables anciennes comme source d’alimentation et qui subissent une décharge complète avant la recharge de la batterie suivante) qui exécutent le système d’exploitation Windows peuvent s’appuyer sur STS pour corriger automatiquement les erreurs de temps importantes. Si la fonctionnalité STS est désactivée, ces ordinateurs peuvent nécessiter une autre intervention pour corriger le temps.
Les administrateurs doivent prendre en compte leurs exigences de déploiement et leurs données opérationnelles, ainsi que les instructions générales fournies dans ce document, lorsque vous décidez de désactiver STS sur des références SKU de système d’exploitation non-Windows Server dans leur déploiement. Un test approfondi des modifications apportées aux paramètres Windows ou à toute solution nouvellement déployée est également recommandé dans le cadre de ce processus.
Synchronisation de l’heure, surveillance de l’heure et désactivation de STS
La synchronisation temporelle et la synchronisation de temps sont des sujets complexes qui sont les sujets de plusieurs documents et livres. Certains aspects pertinents ont été résumés ici pour aider les clients à passer en revue leurs propres mécanismes de distribution de temps et à obtenir un aperçu opérationnel de leur déploiement.
La gestion du temps sur une machine peut être influencée par des logiciels tels que le système d’exploitation lui-même, les services de boîte de réception tels que le service W32time, les outils d’administration, les applications non-Microsoft disposant de privilèges suffisants ou par le microprogramme ou le matériel sous-jacent de la conservation du temps, la sauvegarde de l’horloge complémentaire de semi-conducteurs en métal (CMOS) ou la batterie, les conditions d’exécution sur l’unité centrale de traitement (PROCESSEUR) ou la mémoire ou même les conditions environnementales. Diverses fonctionnalités de gestion du temps et de synchronisation dans Windows visent à mettre de l’ordre dans ce processus apparemment chaotique et à tenter de conserver le temps d’un ordinateur dans des limites acceptables pour un cas d’usage donné.
Le matériel informatique standard nécessite généralement des synchronisations de l'heure, et cela vaut également pour les appareils exécutant différentes versions de système d'exploitation Windows. Les références SKU du système d’exploitation Windows (Windows Server 2016, Windows Server 2019, Windows Server 2022, Windows Server 2025, Windows 10, Windows 11, Windows 10 IoT, Windows 11 IoT, incluant plusieurs versions intermédiaires et différentes autres références SKU de système d’exploitation Windows) ont chacune une configuration de service W32Time par défaut pour maintenir et synchroniser le temps sur un appareil générique.
- Dans ce cadre, STS est activé par défaut dans Windows Server 2016, Windows Server 2019, Windows Server 2022 et versions intermédiaires et est désactivé par défaut sur différentes éditions de Windows Server 2025, en fonction des commentaires des clients.
Familiarisez-vous avec les paramètres du Registre du service W32time documentés dans les outils et paramètres du Service de Temps de Windows.
De nombreux clients modifient les paramètres W32Time par défaut pour mieux répondre à leurs besoins de déploiement et de chronométrage. La modification du paramètre STS doit être prise en compte dans une veine similaire.
La capture des journaux d’événements système (entre autres journaux d’événements) sur les systèmes Windows lors d’un déploiement peut être utile pour analyser différents problèmes au cours du déploiement.
La définition de l'heure système dans le système d'exploitation Windows entraîne l'enregistrement de l'événement Kernel-General événement #1 dans le journal des événements système. Le texte du message dans cet événement a été renforcé sur les versions du système d’exploitation, et toutes les versions doivent consigner ou identifier l’ID de processus (PID) du processus, définir l’heure et un moyen de calculer le changement de temps.
Tous les événements du journal des événements système incluent l’heure système locale actuelle dans les métadonnées.
Par défaut, certaines références SKU du système d’exploitation écrivent les journaux des événements système dans ce fichier : %SystemRoot%\System32\Winevt\Logs\System.evtx. Ces journaux peuvent généralement être consultés dans l’application Observateur d’événements.
Plusieurs aspects de la journalisation des événements sont configurables par l’administrateur.
Les versions du système d'exploitation Windows sans composant de journalisation des événements par défaut sont capables de capturer ce journal des événements grâce à des écouteurs d'événements.
Cet article et cette vidéo liée expliquent différents aspects de la journalisation des événements Windows : Présentation des stratégies du journal des événements et du journal des événements Windows. Vous trouverez plus d’informations dans ce module de formation Windows : Gérer et surveiller les journaux des événements Windows Server.
Plusieurs solutions de supervision disponibles sur le marché (créées par des tiers et Microsoft) capturent les journaux des événements dans le cadre de leurs fonctionnalités. Cet article ne recommande aucune solution spécifique.
Les charges de travail sensibles au temps sont des applications et des services qui nécessitent que le temps d’un ordinateur soit précis dans une certaine marge d’erreur. L’hébergement de charges de travail sensibles au temps dans un déploiement est un facteur important pour décider de la personnalisation supplémentaire de la synchronisation de temps et de la topologie de distribution décrite plus loin.
La gestion de l’intervalle de temps sur n’importe quel déploiement permet de surveiller l’heure sur chaque appareil de ce déploiement et d’avoir un plan d’action lorsque la surveillance indique des erreurs.
La sophistication de la surveillance dépend des exigences spécifiques en matière de précision de temps (qui varient de la précision élevée (moins d’une ms) à la durée approximative (~mois/années)).
La surveillance est essentielle dans n’importe quel déploiement hébergeant des charges de travail sensibles au temps et potentiellement importantes dans d’autres scénarios.
La surveillance peut aider à identifier du matériel défectueux ou une mauvaise synchronisation temporelle à l'avance, et à prévenir les effets en aval de ces situations.
La surveillance peut être indirecte à l’aide de journaux d’événements ou d’autres métriques système observables ou directes à l’aide de pings NTP (Network Time Protocol) par rapport à une source de temps de référence.
De nombreux déploiements utilisent des serveurs de temps externe, mais certains déploiements utilisent des serveurs de temps dédiés qu’ils contrôlent et gèrent. Ces serveurs de temps dédiés doivent être surveillés pour détecter les problèmes liés aux défaillances dans le matériel sous-jacent de ces appareils. Les serveurs/sources de temps externes peuvent autoriser uniquement une surveillance limitée.
Il existe une grande variété de réseaux et de déploiements clients, allant des points d’accès Internet publics et des réseaux domestiques aux réseaux privés avancés. Celles-ci peuvent être généralisées en deux grandes catégories, des réseaux privés/intra et des réseaux publics/inter, et examiner les solutions de synchronisation de temps possibles pour chaque catégorie. Il s’agit d’une vue abstraite de haut niveau de ces déploiements, et les lecteurs sont encouragés à traiter les détails présentés ici comme tels.
Les réseaux privés déploient souvent des serveurs de temps NTP locaux et distribuent le temps au sein du réseau.
Les réseaux publics utilisent généralement des serveurs NTP accessibles publiquement pour synchroniser le temps (par exemple).
time.windows.comUn serveur NTP sur votre réseau privé peut être plus adaptée à vos besoins qu’un serveur NTP public, mais ce dernier peut être facilement accessible.
Le protocole NTP utilisé dans la plupart de ces scénarios est NTP (texte en clair), défini dans RFC 1305 et ses variantes avancées. Ce protocole est largement utilisé pour la synchronisation de temps entre différentes plateformes de système d’exploitation et Internet. Le service W32time exige qu’un administrateur spécifie un nom de serveur NTP ou une adresse IP dans les paramètres à utiliser comme source de temps. La source NTP commune (en texte clair) utilisée dans les paramètres W32time est
time.windows.com.
Les services de domaine Active Directory (ADDS) utilisent le protocole NTP avec des extensions de sécurité ADDS ajoutées au sein du domaine/forêt AD, et il est généralement connecté en dehors de la forêt AD par le biais du protocole NTP en texte clair standard. La distribution de temps dans ADDS utilise des contrôleurs de domaine disponibles comme serveurs de temps principaux ou intermédiaires. La plupart des machines ADDS découvrent dynamiquement leur serveur de temps, à l’exception des contrôleurs de domaine marqués « Bon serveur de temps » (le contrôleur de domaine principal de la racine de forêt assume par défaut ce rôle) qui sont des sources de temps précises ou qui sont configurées explicitement pour se synchroniser depuis une source de temps externe.
Les clients doivent d’abord déterminer si leurs machines Windows Server sont déployées dans un réseau privé ou public, puis faire des choix sur les paramètres de gestion de temps Windows spécifiques qu’ils utiliseront dans ce déploiement.
Certains déploiements peuvent nécessiter une redondance des serveurs de temps pour éviter toute perte de disponibilité. L’utilisation d’un nombre impair de serveurs de temps comparables (plusieurs) peut aider à atteindre cet objectif.
Les clients hébergeant des charges de travail sensibles au temps doivent s’assurer que leur distribution et leur surveillance temporelles dans ces environnements répondent à leurs besoins.
Une fois que vous avez suffisamment d’informations précises sur les machines qui hébergent des charges de travail sensibles au temps, la topologie de distribution du temps et la surveillance (y compris la surveillance du temps) au sein de votre infrastructure de déploiement, nous vous recommandons de procéder progressivement à la désactivation du service STS sur les éditions du système d’exploitation Windows Server (versions/éditions variées), en commençant par la machine la moins critique jusqu'à la plus critique.
Avec cet arrière-plan sur la gestion et la synchronisation du temps, vous trouverez ci-dessous un ensemble d’actions suggérées pour réexaminer votre déploiement et le modifier, notamment la désactivation de STS comme recommandé précédemment. Cet exemple de liste doit être adapté à vos déploiements spécifiques.
Passez en revue les mécanismes de distribution/synchronisation de temps que vous utilisez pour la gestion du temps sur vos machines Windows Server.
Déterminez si votre déploiement a des charges de travail sensibles au temps et déterminez la marge d’erreur de temps acceptable. En général, les erreurs de temps plus volumineuses sont plus faciles à détecter que les erreurs de temps plus petites.
Déterminez si vous disposez d’un mécanisme de surveillance du temps sur ces machines pour répondre à vos besoins en matière de chronométrage. Il peut s’agir d’un système de surveillance temporelle exclusif ou d’une solution de supervision générale déployée sur chaque ordinateur de ce déploiement.
Nous vous recommandons de déployer des mécanismes de surveillance du temps s’ils exécutent des charges de travail sensibles au temps. La surveillance des journaux des événements système sur une machine cible concernant l'événement Kernel-General n°1 est un moyen possible de répondre aux changements soudains ou importants (de plus d'une seconde) ou aux corrections. Il existe d’autres façons de surveiller le temps, qui sont au-delà de l’étendue de ce document. Plus la précision du temps nécessaire à votre déploiement est élevée, plus la nécessité de déployer une solution de supervision est élevée.
Familiarisez-vous avec la fonctionnalité STS et les recommandations de ce document pour désactiver STS.
Si vous disposez d’un environnement de test, testez vos nouveaux paramètres avec STS désactivés dans cet environnement pour vous assurer qu’ils fonctionnent comme prévu. Nous vous recommandons également de tester votre solution de surveillance du temps dans cet environnement de test.
Désactivez progressivement la fonctionnalité STS sur les ordinateurs Windows Server via un changement de paramètre de Registre ou le paramètre de stratégie de groupe sur les machines jointes ADDS et planifiez un redémarrage pour appliquer entièrement la modification.
Vérifiez que le service W32time est désormais en cours d’exécution avec STS désactivé.