Configuration de DNSSEC sur un serveur 2012 en powershell

Bien le bonjour,

Voici comment configurer le DNSSEC en powershell sur un Windows serveur 2012.

#Définir le nom de la zone

$zonename =  "secure.domaine.tld"

#Création d'une zone intégrée à l'AD avec une réplication dans la forêt.

Add-DnsServerPrimaryZone -Name $zonename -ReplicationScope Forest

#Ajout d'enregistrement dans la zone

Add-DnsServerResourceRecord -ZoneName $zonename -A -Name mail -IPv4Address 10.0.0.5

Add-DnsServerResourceRecord -ZoneName $zonename -MX -Name . -MailExchange mail.domaine.tld -Preference 10

#Définir ou redéfinir le maitre des clés pour la zone

Reset-DnsServerZoneKeyMasterRole -ZoneName $zonename -KeyMasterServer dc2.domaine.tld -SeizeRole -Force

#Définir la méthode utilisée pour les RR non existants (nsec ou nsec3)

#Set-DnsServerDnsSecZoneSetting -ZoneName $zonename -DenialOfExistence NSec

Set-DnsServerDnsSecZoneSetting -ZoneName $zonename -DenialOfExistence NSec3 -DistributeTrustAnchor DnsKey -DSRecordGenerationAlgorithm Sha256 -EnableRfc5011KeyRollover $False -NSec3HashAlgorithm RsaSha1

#Création de la clé KSK pour NSEC3

Add-DnsServerSigningKey -ZoneName $zonename -Type KeySigningKey -CryptoAlgorithm RsaSha1NSec3 -KeyLength 2048

#Création de la clé ZSK pour NSEC3

Add-DnsServerSigningKey -ZoneName $zonename -Type ZoneSigningKey -CryptoAlgorithm RsaSha1NSec3 -KeyLength 1024

#Signer la zone

Invoke-DnsServerZoneSign -ZoneName $zonename -Force

Prochain article sur la mise en place d'un serveur WSUS via Powershell sur un serveur 2012.

Salutation,
Guillaume

DNSSEC et chaine d'approbation

Bien le bonjour,

Petit point sur le DNSSEC qui est utilisé pour aider à protéger les requêtes DNS de l’interception et de la falsification.
Il utilise des clés de chiffrement et des signatures numériques pour vérifier que les réponses DNS sont valides et emploie un certain nombre de nouveaux enregistrements de ressource pour signer et publier des clés :

• DNSKEY : Publie la clé publique de la zone.
• Delegation Signer (DS) :  Enregistrement de délégation de zone qui contient le hachage de la clé publique d'une zone enfant. Cet enregistrement est signé par la clé privée de la zone parente.
• Resource Record Signature (RRSIG) : Contient une signature pour un jeu d'enregistrements DNS
• Next Secure (NSEC) : Authentifie le fait que l'hôte n'existe pas.
• NSEC3 : Hache de l'enregistrement NSEC.

Schéma de la chaîne d’approbation DNSSEC

Schéma de la chaîne d’approbation DNSSEC

Vous pouvez utiliser les sites suivant pour afficher les informations DNSSEC sur la zone souhaitée :

dnssec-debugger.verisignlabs.com

dnsviz.net

Prochain article sur la mise en place du DNSSEC sur un Windows serveur 2012 en powershell.

Salutation,
Guillaume

Résoudre le problème wpad sur un DNS windows

En charge de l'implémentation d'un proxy (squid + squidguard), je me suis aperçu d'un problème lors de la mise en place de la méthode utilisant le DNS pour indiquer l'emplacement du fichier de configuration automatique du proxy "WPAD".
La méthode est simple, il faut créer un enregistrement A ou un alias pointant sur le serveur contenant le fameux fichier wpad.dat et avec pour nom wpad.
Une fois créé, dans les 2 cas, impossible de résoudre wpad alors que tous les autres enregistrements fonctionnaient parfaitement.

Après quelques recherches, je suis tombé sur Managing the Global Query Block List
Pour des raisons de sécurité certains noms sont bloqués et notamment isatap et wpad.
Pour le vérifier exécuter la commande :
dnscmd ip_du_serveur_dns /info /globalqueryblocklist

La liste des noms bloqués s'affiche.

Pour débloquer le nom wpad, je suis allé dans la base de registre :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters\GlobalQueryBlockList

Il suffit de supprimer les valeurs que l'on souhaite débloquer dans la clé.

Une fois effectué, j'ai redémarré le service DNS.

And it works!!

Comment renommer un domaine 2008

Il est tout à fait possible de modifier le nom d’un domaine pour un domaine sous Windows serveur 2003, 2008, 2008R2.
Le processus implique la mise à jour du DNS (Domain Name System), des relations de confiances, des GPO (Group Policy Object) et des SPN (Service Principal Name).
Il est impératif de lire et de comprendre la documentation technique « Comment renommer un domaine » dont cette documentation est une synthèse.

Important : Si votre forêt comporte au moins un de ces éléments ou fonctionnalités, vous devez impérativement lire la documentation technique de Microsoft :
• Exchange 2000
• Exchange 2007
• Exchange 2010
• DFS
• Autorité de certificat
• Ordinateurs sous NT 4

Conditions et effets sur les services
• Renommer un domaine est supporté dans une forêt où Exchange 2003 SP1 est déployé. Ce n’est cependant pas le cas pour Exchange 2000 ainsi que Exchange Server 2007 et Exchange Server 2010.
• La forêt est indisponible pendant une courte période, le temps que chaque contrôleur de domaine effectue les mises à jour de la base de données.
• Chaque ordinateur membre du domaine doit redémarrer deux fois après que le contrôleur de domaine est été mis à jour.
• Renommer le domaine ne renomme pas le FQDN du contrôleur de domaine. Modifier le FQDN est une opération supplémentaire à effectuer, cependant la non-modification du FQDN n’affecte pas le fonctionnement de la forêt.
• Par défaut, le suffixe DNS des ordinateurs membres est automatiquement mis à jour quand le domaine auquel les ordinateurs sont joins est modifié.

Renommer un domaine : Interaction et processus
L’utilitaire pour renommer le domaine (Rendom)
Rendom.exe est un utilitaire en ligne de commande disponible sur le cd de Windows serveur 2003 (une version plus à jour est disponible sur le site de Microsoft, celle-ci permet de renommer même si exchange 2003 sp1 est déployé sur le domaine).
Rendom.exe est directement disponible sur les contrôleurs de domaine Windows Serveur 2008 R2 et Windows Serveur 2008. Il est aussi disponible dans les Remote Server Administration Tools (RSAT).

Le fichier d’état du renommage de domaine
La première étape du renommage de domaine commence générer un fichier de type XML contenant la liste de tous les controlleurs de domaine de la forêt. A chaque étape ce fichier est modifié fournissant ainsi les informations nécessaire pour la prochaine étape.

Prérequis pour renommer un domaine
• Le niveau fonctionnel doit être 2003 ou supérieur.

• Les zones DNS doivent exister pour les nouveaux domaines.

Renommer un domaine : les étapes
1. Vérifier le niveau fonctionnel de la forêt : 2003 ou supérieur.

2. Créer la zone DNS pour le nouveau domaine.

3. Se connecter sur le contrôleur de domaine maître de la forêt, ouvrir un invite de commande et exécuter la commande rendom /list
Cette commande génère le fichier XML qui est placé à l’emplacement où vous avez exécuté la commande.
Vous devez ensuite ouvrir et modifier toutes les occurrences de l’ancien nom de domaine par le nouveau nom de domaine (aussi bien pour le nom DNS du domaine que pour le nom Netbios).
Un simple rechercher/remplacer suffit, par exemple, remplacer ancien.domain par nouveau.superdomaine (le nom DNS) et remplacer ancien par nouveau (le nom Netbios).

4. Une fois les modification effectuées, vous pouvez exécuter le commande rendom /showforest
Cette commande affiche les informations de votre futur domaine. Vérifiez et modifiez si nécessaire.

5. Vous pouvez maintenant exécuter la commande rendom /upload
Cette commande traduit la structure de la nouvelle forêt en une séquence de mise à jour qui sera exécutée individuellement sur chaque contrôleur de domaine de la forêt.

6. L’étape suivante consiste à vérifier si chaque contrôleur de domaine est prêt pour effectuer les modifications. Pour ce faire, exécutez la commande rendom /prepare

7. Ensuite exécutez le renommage de domaine avec rendom /execute
Un message vous avertit du redémarrage du serveur

8. Il reste tout de même quelques opérations à effectuer et notamment réparer les GPO avec les commandes suivantes :
gpfixup /olddns:ancien.domaine /newdns:nouveau.superdomaine
gpfixup /oldnb:ancien /newnb:nouveau

9. Il ne vous reste plus qu’à redémarrer deux fois les ordinateurs du domaine pour qu’ils intègrent les modifications

10. La dernière étape consiste à nettoyer les informations de l’ancien domaine avec la commande rendom /clean

11. Vous pouvez supprimer les zones DNS des anciens domaines et modifier le FQDN du contrôleur de domaine (propriétés système -> onglet nom de l'ordinateur -> modifier (Ok) -> Autres)

Liste de commandes pour les utilitaires ou consoles windows

Voici une liste de commandes qui vous permettra de lancer les utilitaires ou des consoles. Il suffit de les taper dans rechercher ou démarrer->exécuter, ou tout simplement dans un invite de commande.

Add/Remove Programs = appwiz.cpl
Administrative Tools = control admintools
Authorization Manager= azman.msc Calculator = calc
Certificate Manager = certmgr.msc
Character Map = charmap
Check Disk Utility = chkdsk
Command Prompt = cmd.exe
Component Services = dcomcnfg
Computer Management = compmgmt.msc
Control Panel = control
Date and Time Properties = timedate.cpl
Defragment User Interface = dfrgui
Device Manager = devmgmt.msc
Direct X Troubleshooter = dxdiag
Disk Cleanup Utility = cleanmgr
Disk Management = diskmgmt.msc
Disk Parmelonion Manager = diskpart
Display Properties = control desktop or, alternatively desk.cpl
Ditilizer Calibration Tool = tabcal
Downloads = Downloads
DPI Scaling = dpiscaling
Driver Package
Installer = dpinst
Driver Verifier Utility = verifier or, alternatively reset
DVD Player = dvdplay
Encryption File System = rekeywiz
Event Viewer = eventvwr.msc
Fax Cover Sheet Editor = fxscover
File Signature Verification Tool = sigverif
Folders Properties = control folders
Fonts = control fonts
Free Cell Card Game = freecell
Group Policy Editor = gpedit.msc
Iexpress Wizard = iexpress
Internet Explorer = iexplore
Internet Properties = inetcpl.cpl
IP Configuration = ipconfig.exe
iSCSI Initiator = iscsicpl
Keyboard Properties = control keyboard
Libraries = explorer or, alternatively Windows key + E
Local Security Settings = secpol.msc
Local Users and Groups = lusrmgr.msc
Logs You Out Of Windows = logoff
Microsoft Paint = mspaint.exe
Microsoft Support Diagnostic Tool = msdt
Mobility Center (mobile) = mblctr or, alternatively Windows key + X
Mouse Properties = control mouse
Mouse Properties = main.cpl
Network Connections = control netconnections
Network Connections = ncpa.cpl
Notepad = notepad
ODBC Data Source Administrator = odbcad32
On Screen Keyboard = osk or, alternatively Windows key + U
Optional Features Manager = optionalfeatures
Performance Monitor = perfmon.msc
Phone and Modem Options = telephon.cpl
Power Configuration = powercfg.cpl
Printer Migration = PrintBrmUi
Printers and Faxes = control printers
Private Character Editor = eudcedit
Regional Settings = intl.cpl
Registry Editor = regedit.exe
Remote Assistance = msra
Remote Desktop = mstsc
Resultant Set of Policy = rsop.msc
Scheduled Tasks = control schedtasks
Security Center = wscui.cpl
Services = services.msc
Shared Folders/MMC = fsmgmt.msc
Shuts Down Windows = shutdown Snipping
Tool = snippingtool
Sound Recorder = soundrecorder
Sound Volume = sndvol
Sounds and Audio = mmsys.cpl
Spider Solitare Card Game = spider
SQL Client Configuration = cliconfg Sticky
Note = StikyNot
Stored User Names and Passwords = credwiz
System Configuration Editor = sysedit System
Configuration Utility = msconfig
System File Checker Utility = sfc
System Information = msinfo32
System Properties = sysdm.cpl or, alternatively Windows key + Pause
Task Manager = taskmgr
Trusted Platform Module = TpmInit
User Accounts = netplwiz or, alternatively control userpasswords2
Utility Manager = utilman
Windows Activation = slui
Windows Backup Utility = sdclt
Windows Fax and Scan = wfs
Windows Firewall = firewall.cpl
Windows Firewall with Advanced Security = wf.msc
Windows Image Acquisition = wiaacmgr
Windows Magnifier = magnify
Windows Management Infrastructure = wmimgmt.msc
Windows Media Player = wmplayer Windows Share Creation
Wizard = shrpubw
Windows Standalong Update Manager = wusa
Windows System Security Tool = syskey
Windows Update App Manager = wuapp
Wordpad = write

Différents raccourcis pour Windows 7
Ces raccourcis vous permettent d'accéder à des fonctionnalités et utilitaires spécifiques de Windows 7
Action Center = rundll32.exe shell32.dll,Control_RunDLL wscui.cpl
Add Network Location = rundll32.exe shwebsvc.dll,AddNetPlaceRunDll
Add/Remove Programs = rundll32.exe shell32.dll,Control_RunDLL appwiz.cpl
Add/Remove Programs = RunDll32.exe shell32.dll,Control_RunDLL appwiz.cpl,,0
Add/Remove Windows Components = rundll32.exe shell32.dll,Control_RunDLL appwiz.cpl,,2 Advanced Restore = sdclt.exe /restorewizardadmin
Aero (Transparency feature) Off = Rundll32.exe DwmApi #104
Aero (Transparency feature) On = Rundll32.exe DwmApi #102
Backup Location and Settings = sdclt.exe /configure
Content Advisor = RunDll32.exe msrating.dll,RatingSetupUI
Control Panel = RunDll32.exe shell32.dll,Control_RunDLL
Date and Time = rundll32.exe shell32.dll,Control_RunDLL timedate.cpl
Date and Time (Additional Clocks) = rundll32.exe shell32.dll,Control_RunDLL timedate.cpl,,1
Date and Time (Properties) = RunDll32.exe shell32.dll,Control_RunDLL timedate.cpl
Device Manager = RunDll32.exe devmgr.dll DeviceManager_Execute
Device Manager = rundll32.exe shell32.dll,Control_RunDLL hdwwiz.cpl
Display Settings = RunDll32.exe shell32.dll,Control_RunDLL access.cpl,,3
Folder Options = RunDll32.exe shell32.dll,Options_RunDLL 0
Folder Options (File Types) = RunDll32.exe shell32.dll,Control_Options 2
Folder Options (Search) = RunDll32.exe shell32.dll,Options_RunDLL 2
Folder Options (View) = RunDll32.exe shell32.dll,Options_RunDLL 7
Forgotten Password Wizard = RunDll32.exe keymgr.dll,PRShowSaveWizardExW
Hibernate = RunDll32.exe powrprof.dll,SetSuspendState
Indexing Options = control.exe srchadmin.dll
Keyboard Properties = RunDll32.exe shell32.dll,Control_RunDLL main.cpl @1
Lock Screen = RunDll32.exe user32.dll,LockWorkStation
Manage Wireless Networks = explorer.exe shell:::{1fa9085f-25a2-489b-85d4-86326eedcd87}
Map Network Drive = RunDll32.exe shell32.dll,SHHelpShortcuts_RunDLL Connect
Mouse Properties = RunDll32.exe shell32.dll,Control_RunDLL main.cpl @0
Network Connections = RunDll32.exe shell32.dll,Control_RunDLL ncpa.cpl
Notification Cache = rundll32.exe shell32.dll,Options_RunDLL 5
Open Control Panel (All Items) = explorer.exe shell:::{21ec2020-3aea-1069-a2dd-08002b30309d}
Pen and Touch Tablet PC (Settings) = rundll32.exe shell32.dll,Control_RunDLL tabletpc.cpl
Pen and Touch Tablet PC (Settings Flicks Tab) = rundll32.exe shell32.dll,Control_RunDLL tabletpc.cpl,,1
Pen and Touch Tablet PC (Settings Handwriting Tab) = rundll32.exe shell32.dll,Control_RunDLL tabletpc.cpl,,2
People Near Me = rundll32.exe shell32.dll,Control_RunDLL collab.cpl
People Near Me (Sign Up Tab) = rundll32.exe shell32.dll,Control_RunDLL collab.cpl,,1
Personalization = rundll32.exe shell32.dll,Control_RunDLL desk.cpl,,2
Phone and Modem (Options) = rundll32.exe shell32.dll,Control_RunDLL telephon.cpl
Phone and Modem (Options Modems Tab) = rundll32.exe shell32.dll,Control_RunDLL telephon.cpl,,1
Phone and Modems (Options Advanced Tab) = rundll32.exe shell32.dll,Control_RunDLL telephon.cpl,,2
Power Options = rundll32.exe shell32.dll,Control_RunDLL powercfg.cpl
Power Options Modify Plan Settings = rundll32.exe shell32.dll,Control_RunDLL powercfg.cpl,,1
Regional Settings = RunDll32.exe shell32.dll,Control_RunDLL intl.cpl,,3
Restore Files = sdclt.exe /restorewizard
Screen Resolution = rundll32.exe shell32.dll,Control_RunDLL desk.cpl
ScreenSaver = rundll32.exe shell32.dll,Control_RunDLL desk.cpl,,1
Set Program Access and Computer Defaults = rundll32.exe shell32.dll,Control_RunDLL appwiz.cpl,,3
Sound Control Playback Tab = rundll32.exe shell32.dll,Control_RunDLLmmsys.cpl
Sound Control Recording Tab = rundll32.exe shell32.dll,Control_RunDLLmmsys.cpl,,1
Sound Control Sounds Tab = rundll32.exe shell32.dll,Control_RunDLLmmsys.cpl,,2
Stored Usernames /Passwords = RunDll32.exe keymgr.dll,KRShowKeyMgr
System Properties = rundll32.exe shell32.dll,Control_RunDLL sysdm.cpl
System Properties (Advanced Tab) = rundll32.exe shell32.dll,Control_RunDLL sysdm.cpl,,3
System Properties (Hardware Tab) = rundll32.exe shell32.dll,Control_RunDLL sysdm.cpl,,2
System Properties (Remote Tab) = rundll32.exe shell32.dll,Control_RunDLL sysdm.cpl,,5
System Properties (System Protection Tab) = rundll32.exe shell32.dll,Control_RunDLL sysdm.cpl,,4
System Properties (Advanced) RunDll32.exe shell32.dll,Control_RunDLL sysdm.cpl,,4
System Properties (Automatic Updates) = RunDll32.exe shell32.dll,Control_RunDLL sysdm.cpl,,5
Taskbar Properties = RunDll32.exe shell32.dll,Options_RunDLL 1
Unplug Eject Hardware = RunDll32.exe shell32.dll,Control_RunDLL hotplug.dll
User Accounts = RunDll32.exe shell32.dll,Control_RunDLL nusrmgr.cpl
Welcome Center = rundll32.exe oobefldr.dll,ShowWelcomeCenter
Windows (About) = RunDll32.exe SHELL32.DLL,ShellAboutW
Windows Firewall = RunDll32.exe shell32.dll,Control_RunDLL firewall.cpl
Windows Firewall = rundll32.exe shell32.dll,Control_RunDLL firewall.cpl
Windows Security Center = RunDll32.exe shell32.dll,Control_RunDLL wscui.cpl
Wireless Network Setup = RunDll32.exe shell32.dll,Control_RunDLL NetSetup.cpl,@0,WNSW Wireless Networks pop-up = rundll32.exe van.dll,RunVAN

Paramètres avancés d'Internet Explorer
Delete All (Deeper Cleaning Including Add-on Data Deletion) = RunDll32.exe InetCpl.cpl,ClearMyTracksByProcess 4351 Delete All = RunDll32.exe InetCpl.cpl,ClearMyTracksByProcess 255 Delete Cookies = RunDll32.exe InetCpl.cpl,ClearMyTracksByProcess 2 Delete Form Data = RunDll32.exe InetCpl.cpl,ClearMyTracksByProcess 16
Delete History = RunDll32.exe InetCpl.cpl,ClearMyTracksByProcess 1 Delete Passwords = RunDll32.exe InetCpl.cpl,ClearMyTracksByProcess 32 Delete Temporary Internet Files = RunDll32.exe InetCpl.cpl,ClearMyTracksByProcess 8

Source wiki technet

Définir le Controleur de domaine secondaire comme DC primaire

Il peut arriver que le contrôleur de domaine primaire (PDC : Primary Domein Controler) d'un domaine ne soit plus disponible. Dans ce cas l'implémentation préalable d'un contrôleur de domaine secondaire (BDC : Backup Domain Controler) permet de conserver une continuité de service jusqu'au retour en ligne du DC primaire.
Microsoft conseille de prendre les mesures qui permettront de ramener ou de maintenir le contrôleur de domaine primaire à son état de fonctionnement initial.
Cependant, il peut arriver que l'on ne puisse restaurer le DC primaire.
Si le DC primaire est irrécupérable, il est possible de "promouvoir" le contrôleur de domaine secondaire en primaire. Il suffit d'assigner les rôles FSMO (Flexible Single Master Operations) attribués au PDC au BDC avec une "prise de rôle". La "prise de rôle" diffère du transfert de rôle dans la mesure ou le transfert ne s'effectue que si le PDC est disponible.
Voici la procédure. Ouvrir un invite de commande en administrateur sur le DC secondaire et taper les commandes suivantes :

ntdsutil
roles
connections
connect to server nom_du_serveur_secondaire
quit
#Note : A chaque commande seize vous aurez un temps d'attente puis un message d'erreur. Le système essaie d'abord de transférer le rôle à partir du PDC qui est bien sûr indisponible et renvoi donc une erreur, il effectue ensuite la prise de rôle.
seize schema master
seize rid master
seize infrastructure master
seize domain naming master
seize pdc
quit
quit

Voir la documentation complète : Utilisation de Ntdsutil.exe pour prendre ou transférer des rôles FSMO vers un contrôleur de domaine

Moteur de recherche pour les GPO

Ceux qui manipulent les stratégies de groupes ont pu le remarquer, il est généralement assez difficile de trouver la GPO que l'on souhaite dans l'editeur de stratégie de groupe surtout sur windows serveur 2003. Sous 2008R2 (à vérifier pour 2008), il est possible de filtrer les gpo affichées mais que pour la partie "modèle d'administration" utilisateur et ordinateur. C'est un plus mais cela ne résoud pas complètement le problème.

Microsoft a développé un  "moteur de recherche" pour ces fameuses GPO et héberger sur sa technologie cloud "Azure" : gps.cloudapp.net

Au programme :
- Des options de filtrage selon le système d'exploitation, la version d'office ou d'Internet Explorer,
- La possibilité d'effectuer une recherche
- La possibilité de récupérer la clé de registre de la GPO
- Un search connector pour Windows 7

Synchronisation NTP externe sur un serveur 2008

Par défaut, un serveur 2008 (ou 2008 R2) possède l'onglet "temps internet" dans la fenêtre de configuration "date et heure" qui permet de synchroniser le système avec un serveur de temps disponible sur internet.
Cet onglet n'apparaît que si le serveur est un serveur autonome (non membre d'un domaine).
Si vous configurez votre serveur comme contrôleur de domaine primaire, cet onglet disparaît, de même pour toutes les machines membres du domaine (clientes et serveurs).
Automatiquement toutes les machines du domaines vont se synchroniser sur le contrôleur de domaine primaire qui sert de serveur de temps local via le service w32time (Temps Windows).
Note : Une machine membre du domaine ne doit pas voir un décalage de temps avec le contrôleur de domaine primaire (ou plus exacte le KDC : Key Distribution Center) supérieur à 5 min. Cette valeur, liée au protocole Kerberos et définit par défaut à 5 minutes, est appelée "skewtime".


Le problème qui peut se poser alors, c'est un décalage de temps, par rapport à l'heure H, du contrôleur de domaine primaire qui lui utilise son horloge interne.
Voici la procédure pour faire en sorte que votre serveur se synchronise avec un serveur de temps internet. Microsoft ne propose pas de liste de serveurs de temps mais nous renvoie vers le site : www.pool.ntp.org
En ce qui me concerne, j'ai choisi deux serveurs de temps français : canon.inria.fr et ntp-sop.inria.fr.

Dans un invite de commande sur le contrôleur de domaine primaire, exécuter :

#Afficher la source actuelle de temps
w32tm /query /source

#Modifier la source de temps et utiliser les serveurs de temps
w32tm /config /syncfromflags:manual /manualpeerlist:”canon.inria.fr,ntp-sop.inria.fr”

#Redémarrer le service de temps
net stop w32time && net start w32time

#Afficher la configuration complète du temps windows :
w32tm /query /configuration
...
[Fournisseurs de temps]
NtpClient (Locale)
...
Type: NTP (Locale)
NtpServer: canon.inria.fr (Locale)
...

#Synchroniser manuellement le serveur
w32tm /resync

Update 25/03/12 : Si cela ne fonctionne pas compléter avec les commandes fournies par fossoyeur en commentaire.

Note : La commande w32tm remplace la commande net time pour la configuration du temps.

Bien sûr, il est nécessaire d'autoriser, sur le ou les pare-feux adéquats, votre serveur à envoyer des requêtes sur le port UDP 123 (In -> Out)

Après ça, normalement plus personne ne devrait venir se plaindre que les machines ne sont pas à l'heure H.