Configurare il meccanismo temporale per Windows Macchine virtuali di Active Directory in Azure

Si applica a: ✔️ Windows Macchine virtuali

Usare questa guida per informazioni su come configurare la sincronizzazione dell'ora per l'Macchine virtuali di Windows di Azure appartenente a un Dominio di Active Directory.

Gerarchia di sincronizzazione dell'ora nei servizi di Dominio di Active Directory

La sincronizzazione dell'ora in Active Directory deve essere gestita solo consentendo al PDC di accedere a un'origine ora esterna o a un server NTP.

Tutti gli altri controller di dominio eseguiranno quindi la sincronizzazione dell'ora rispetto al PDC e tutti gli altri membri otterranno il loro tempo dal controller di dominio che ha soddisfatto la richiesta di autenticazione del membro.

Se si dispone di un dominio di Active Directory in esecuzione in macchine virtuali ospitate in Azure, seguire questa procedura per configurare correttamente Sincronizzazione dell'ora.

Nota

Questa guida è incentrata sull'uso della console Gestione Criteri di gruppo per eseguire la configurazione. È possibile ottenere gli stessi risultati usando il prompt dei comandi, PowerShell o modificando manualmente il Registro di sistema; Tuttavia, questi metodi non rientrano nell'ambito di questo articolo.

Oggetto Criteri di gruppo per consentire al PDC di eseguire la sincronizzazione con un'origine NTP esterna

Per controllare l'origine dell'ora corrente nel PDC, da un prompt dei comandi con privilegi elevati eseguire w32tm /query /source e prendere nota dell'output per un confronto successivo.

1. Da Avvia eseguire gpmc.msc.
2. Passare alla foresta e al dominio in cui si vuole creare l'oggetto Criteri di gruppo.
3. Creare un nuovo oggetto Criteri di gruppo, ad esempio sincronizzazione ora PDC, negli oggetti Criteri di gruppo del contenitore.
4. Fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo appena creato e su Modifica.
5. Passare al criterio Configurazione globale Impostazioni in Configurazione computer ->modelli Amministrazione istrativi -Sistema ->>Servizio ora di Windows.
6. Impostarla su Enabled e configurare il parametro AnnounceFlags su 5.
7. Passare a Configurazione computer ->Amministrazione modellistrativi -Sistema ->>Servizio ora di Windows ->Provider di tempo.
8. Fare doppio clic sul criterio Configura client Windows NTP e impostarlo su Abilitato, configurare il parametro NTPServer in modo che punti a un indirizzo IP o un FQDN di un server ora seguito da ,0x9 , ad esempio, 131.107.13.100,0x9 e configurare Type su NTP. Per tutti gli altri parametri è possibile usare i valori predefiniti o quelli personalizzati in base alle esigenze aziendali.
9. Fare clic sul pulsante Impostazione successiva, impostare il criterio Abilita client Windows NTP su Abilitato e fare clic su OK
10. Nella scheda Ambito dell'oggetto Criteri di gruppo appena creato passare a Filtro sicurezza ed evidenziare il gruppo Utenti autenticati -> Fare clic sul pulsante Rimuovi ->OK ->OK
11. Creare un filtro WMI per ottenere dinamicamente il controller di dominio che contiene il ruolo PDC:
    • Nella console Gestione Criteri di gruppo passare a Filtri WMI, fare clic con il pulsante destro del mouse su di esso e selezionare Nuovo.
    • Nella finestra Nuovo filtro WMI assegnare un nome al nuovo filtro, ad esempio Get PDC Emulator -> Compilare il campo Descrizione (facoltativo) -> Fare clic sul pulsante Aggiungi.
    • Nella finestra Query WMI lasciare invariato lo spazio dei nomi, nella casella di testo Query incollare la stringa Select * from Win32_ComputerSystem where DomainRole = 5seguente, quindi fare clic sul pulsante OK.
    • Nella finestra Nuovo filtro WMI fare clic sul pulsante Salva.
12. Nella scheda Ambito dell'oggetto Criteri di gruppo appena creato passare al menu a discesa Filtro WMI e selezionare il filtro WMI creato in precedenza e quindi fare clic su OK.
13. Nella scheda Ambito dell'oggetto Criteri di gruppo appena creato passare al filtro di sicurezza fare clic sul pulsante Aggiungi e cercare il gruppo Controller di dominio, quindi fare clic sul pulsante OK.
14. Collegare l'oggetto Criteri di gruppo all'unità organizzativa controller di dominio.

Nota

Possono essere necessari fino a 15 minuti perché queste modifiche vengano riflesse dal sistema.

Da un prompt dei comandi con privilegi elevati eseguire nuovamente w32tm /query /source e confrontare l'output con quello annotato all'inizio della configurazione. Ora verrà impostato sul server NTP scelto.

Suggerimento

Se si vuole velocizzare il processo di modifica dell'origine NTP nel PDC, da un prompt dei comandi con privilegi elevati eseguire gpupdate /force, seguito da w32tm /resync /nowait, quindi eseguire nuovamente w32tm /query /source; l'output deve essere il server NTP usato nell'oggetto Criteri di gruppo precedente.

Oggetto Criteri di gruppo per i membri

In genere, NTP in Dominio di Active Directory Services seguirà la gerarchia temporale di Active Directory Domain Services indicata all'inizio di questo articolo e non sono necessarie altre configurazioni.

Tuttavia, le macchine virtuali ospitate in Azure hanno impostazioni di sicurezza specifiche applicate direttamente dalla piattaforma cloud.

Per tutti gli altri membri di dominio che non sono controller di dominio, è necessario modificare il Registro di sistema e impostare il valore su 0 nella chiave Abilitata in HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider

Importante

Tenere presente che potrebbero verificarsi gravi problemi se si modifica il Registro di sistema in modo non corretto. Assicurarsi quindi di seguire attentamente questi passaggi e testarli in un paio di macchine virtuali di test per assicurarsi di ottenere il risultato previsto. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. Successivamente, è possibile ripristinare il Registro di sistema se si verifica un problema. Per eseguire il backup e il ripristino del Registro di sistema di Windows, seguire questa procedura.

Eseguire il backup del Registro di sistema

1. Da Start digitare regedit.exe, quindi premere Enter. Se è richiesta una password di amministratore o una conferma, digita la password oppure fornisci una conferma.
2. Nella finestra Editor del Registro di sistema individuare e fare clic sulla chiave o sulla sottochiave del Registro di sistema di cui si vuole eseguire il backup.
3. Scegliere Esporta dal menu File.
4. Nella finestra di dialogo Esporta file del Registro di sistema selezionare il percorso in cui salvare la copia di backup, digitare un nome per il file di backup nel campo Nome file e quindi fare clic su Salva.

Ripristinare un backup del Registro di sistema

1. Da Start digitare regedit.exe, quindi premere Enter. Se è richiesta una password di amministratore o una conferma, digita la password oppure fornisci una conferma.
2. Nella finestra Editor del Registro di sistema scegliere Importa dal menu File.
3. Nella finestra di dialogo Importa file del Registro di sistema selezionare il percorso in cui è stata salvata la copia di backup, selezionare il file di backup e quindi fare clic su Apri.

Oggetto Criteri di gruppo per disabilitare VMICTimeProvider

Configurare l'oggetto Criteri di gruppo seguente per consentire ai membri del dominio di sincronizzare l'ora con i controller di dominio nel sito Active Directory corrispondente:

Per controllare l'origine dell'ora corrente, accedere a qualsiasi membro del dominio e da un prompt dei comandi con privilegi elevati eseguire w32tm /query /source e prendere nota dell'output per un confronto successivo.

1. Da un controller di dominio passare a Avvia esecuzione gpmc.msc.
2. Passare alla foresta e al dominio in cui si vuole creare l'oggetto Criteri di gruppo.
3. Creare un nuovo oggetto Criteri di gruppo, ad esempio Sincronizzazione ora client, negli oggetti Criteri di gruppo del contenitore.
4. Fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo appena creato e su Modifica.
5. Passare a Configurazione computer ->Preferenze ->Windows Impostazioni -> Fare clic con il pulsante destro del mouse su Registro di sistema ->Nuovo ->Elemento del Registro di sistema
6. Nella finestra New Registry Properties (Proprietà nuovo Registro di sistema) impostare i valori seguenti:
   • In azione:Aggiorna
   • In Hive:HKEY_LOCAL_MACHINE
   • In Percorso chiave: passare a SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider
   • In Nome valore tipo Abilitato
   • In Tipo valore: REG_DWORD
   • In Dati valore: tipo 0
7. Per tutti gli altri parametri usare i valori predefiniti e fare clic su OK
8. Collegare l'oggetto Criteri di gruppo all'unità organizzativa in cui si trovano i membri.
9. Attendere o forzare manualmente un aggiornamento di Criteri di gruppo nel membro del dominio.

Tornare al membro del dominio e da un prompt dei comandi con privilegi elevati eseguire di nuovo w32tm /query /source e confrontare l'output con quello annotato all'inizio della configurazione. Ora verrà impostato sul controller di dominio che ha soddisfatto la richiesta di autenticazione del membro.

Passaggi successivi

Di seguito sono riportati i collegamenti a informazioni più dettagliate sulla sincronizzazione dell'ora:

• Strumenti e impostazioni del servizio Ora di Windows
• Windows Server 2016 Improvements (Miglioramenti di Windows Server 2016)
• Accurate Time for Windows Server 2016 (Ora esatta per Windows Server 2016)
• Limiti di supporto per configurare il servizio Ora di Windows per gli ambienti con accuratezza elevata