Condividi tramite


Configurare il meccanismo temporale per macchine virtuali Windows di Active Directory in Azure

Si applica a: ✔️ macchine virtuali Windows

Consultare questa guida per informazioni su come configurare la sincronizzazione dell'ora per le macchine virtuali Windows di Azure appartenenti a un dominio di Active Directory.

Gerarchia di sincronizzazione dell'ora in Active Directory Domain Services

La sincronizzazione dell'ora in Active Directory deve essere gestita consentendo soltanto al PDC di accedere a un'origine ora esterna o a un server NTP.

Tutti gli altri controller di dominio eseguiranno quindi la sincronizzazione dell'ora rispetto al PDC; tutti gli altri membri riceveranno l'ora dal controller di dominio che soddisfi la richiesta di autenticazione del membro.

Se un dominio di Active Directory è in esecuzione in macchine virtuali ospitate in Azure, seguire questa procedura per configurare correttamente la sincronizzazione dell'ora.

Nota

Questa guida è incentrata sull'uso della console Gestione Criteri di gruppo per eseguire la configurazione. È possibile ottenere gli stessi risultati usando il prompt dei comandi, PowerShell o modificando manualmente il Registro di sistema; tuttavia, questi metodi non rientrano nell'ambito di questo articolo.

Oggetto Criteri di gruppo che consente al PDC di eseguire la sincronizzazione con un'origine NTP esterna

Per controllare l'origine dell'ora corrente nel PDC da un prompt dei comandi con privilegi elevati, eseguire w32tm /query /source e annotare l'output per un confronto successivo.

  1. Da Avvia eseguire gpmc.msc.
  2. Passare alla Foresta e al Dominio in cui si vuole creare l'oggetto Criteri di gruppo.
  3. Creare un nuovo oggetto Criteri di gruppo, ad esempio Sincronizzazione ora PDC, in Oggetti Criteri di gruppo del contenitore.
  4. Fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo appena creato e su Modifica.
  5. Passare al criterio Impostazioni configurazione globale in Configurazione computer ->Modelli amministrativi ->Sistema ->Servizio Ora di Windows.
  6. Scegliere l'opzione Abilitato e configurare il parametro AnnounceFlags su 5.
  7. Passare a Configurazione computer ->Modelli amministrativi -->Sistema ->Servizio Ora di Windows ->Provider ora.
  8. Fare doppio clic sul criterio Configura client Windows NTP e impostarlo su Abilitato, configurare il parametro NTPServer in modo che punti a un indirizzo IP o FQDN di un server di riferimento ora, seguito da ,0x9, ad esempio: 131.107.13.100,0x9 e impostare Tipo su NTP. Per tutti gli altri parametri è possibile usare i valori predefiniti o quelli personalizzati, in base alle esigenze aziendali.
  9. Fare clic sul pulsante Impostazione successiva, impostare il criterio Abilita client NTP Windows su Abilitato, quindi fare clic su OK
  10. Nella scheda Ambito dell'oggetto Criteri di gruppo appena creato, passare a Filtri di protezione ed evidenziare il gruppoUtenti autenticati -> Fare clic sul pulsante Rimuovi ->OK ->OK
  11. Creare un filtro WMI per ottenere dinamicamente il controller di dominio che contiene il ruolo PDC:
    • Nella console Gestione Criteri di gruppo, passare a Filtri WMI, fare clic con il pulsante destro del mouse sull’opzione e selezionare Nuovo.
    • Nella finestra Nuovo filtro WMI, assegnare un nome al nuovo filtro, ad esempio Ottieni emulatore PDC -> Compilare il campo Descrizione (facoltativo) -> Fare clic sul pulsante Aggiungi.
    • Nella finestra Query WMI lasciare invariato lo Spazio dei nomi, nella casella di testo Query incollare la stringa seguente Select * from Win32_ComputerSystem where DomainRole = 5, quindi fare clic sul pulsante OK.
    • Quando si torna alla finestra Nuovo filtro WMI fare clic sul pulsante Salva.
  12. Nella scheda Ambito dell'oggetto Criteri di gruppo appena creato, passare al menu a discesa Filtri WMI e selezionare il filtro WMI creato in precedenza, quindi fare clic su OK.
  13. Nella scheda Ambito dell'oggetto Criteri di gruppo appena creato, passare a Filtri di protezione e fare clic sul pulsante Aggiungi, cercare il gruppo Controller di dominio, quindi fare clic sul pulsante OK.
  14. Collegare l'oggetto Criteri di gruppo all'unità organizzativa Controller di dominio.

Nota

Potrebbero essere richiesti fino a 15 minuti affinché tali modifiche siano riflesse nel sistema.

Da un prompt dei comandi con privilegi elevati eseguire nuovamente w32tm /query /source e confrontare l'output con quello annotato all'inizio della configurazione. Adesso verrà impostato sul server NTP scelto.

Suggerimento

Per velocizzare il processo di modifica dell'origine NTP nel PDC da un prompt dei comandi con privilegi elevati, eseguire gpupdate /force, seguito da w32tm /resync /nowait, infine, eseguire nuovamente w32tm /query /source; l'output deve essere il server NTP usato nell'oggetto Criteri di gruppo sopra riportato.

Oggetto Criteri di gruppo per i membri

Solitamente, NTP in Active Directory Domain Services seguirà la gerarchia orario di Active Directory Domain Services indicata all'inizio di questo articolo, senza ricorrere a ulteriore configurazione.

Tuttavia, le macchine virtuali ospitate in Azure hanno impostazioni di protezione specifiche applicate direttamente dalla piattaforma cloud.

Per tutti gli altri membri del dominio che non sono controller di dominio, sarà necessario modificare il Registro di sistema e impostare il valore su 0 nella chiave Abilitata in HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider

Importante

Promemoria: l'errata modifica del Registro di sistema può causare problemi gravi. È molto importante, quindi, seguire attentamente tutti i passaggi e testarli in un paio di macchine virtuali di prova per assicurarsi di ottenere il risultato previsto. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. Successivamente, è possibile ripristinare il Registro di sistema se si verifica un problema. Per eseguire il backup e ripristino del Registro di sistema di Windows, attenersi alla procedura seguente.

Eseguire il backup del Registro di sistema

  1. Fare clic sul pulsante Start, digitare regedit.exe, quindi premere Enter. Se è richiesta una password di amministratore o una conferma, digita la password oppure fornisci una conferma.
  2. Nella finestra Editor del Registro di sistema individuare e fare clic sulla chiave o sottochiave del Registro di sistema per il quale si vuole eseguire il backup.
  3. Nel menu File selezionare Esporta.
  4. Nella finestra di dialogo Esporta file del Registro di sistema, selezionare il percorso in cui salvare la copia di backup, digitare un nome per il file di backup nel campo Nome file, quindi fare clic su Salva.

Ripristinare un backup del Registro di sistema

  1. Fare clic sul pulsante Start, digitare regedit.exe, quindi premere Enter. Se è richiesta una password di amministratore o una conferma, digita la password oppure fornisci una conferma.
  2. Nella finestra Editor del Registro di sistema, nel menu File selezionare Importa.
  3. Nella finestra di dialogo Importa file del Registro di sistema, selezionare il percorso in cui è stata salvata la copia di backup, selezionare il file di backup, quindi fare clic su Apri.

Oggetto Criteri di gruppo che consente di disabilitare VMICTimeProvider

Configurare il seguente oggetto Criteri di gruppo per consentire ai membri del dominio di sincronizzare l'ora con i controller di dominio nel sito Active Directory corrispondente:

Per controllare l'origine dell'ora corrente, accedere a qualsiasi membro del dominio e da un prompt dei comandi con privilegi elevati eseguire w32tm /query /source e annotare l'output per un confronto futuro.

  1. Da un controller di dominio, passare a Avvia esegui gpmc.msc.
  2. Passare alla Foresta e al Dominio in cui si vuole creare l'oggetto Criteri di gruppo.
  3. Creare un nuovo oggetto Criteri di gruppo, ad esempio Sincronizzazione orario client, nel contenitore Oggetti Criteri di gruppo.
  4. Fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo appena creato e su Modifica.
  5. Passare a Configurazione computer ->Preferenze ->Impostazioni di Windows -> Fare clic con il pulsante destro del mouse su Registro di sistema ->Nuovo ->Elemento del Registro di sistema
  6. Nella finestra Nuove proprietà del Registro di sistema impostare i valori seguenti:
    • In Azione: Aggiorna
    • In Hive: HKEY_LOCAL_MACHINE
    • In Percorso chiave: passare a SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\VMICTimeProvider
    • In Nome valore digitare Abilitato
    • In Tipo valore: REG_DWORD
    • In Dati valore: digitare 0
  7. Per tutti gli altri parametri usare i valori predefiniti e fare clic su OK
  8. Collegare l'oggetto Criteri di gruppo all'unità organizzativa in cui si trovano i membri.
  9. Attendere o forzare manualmente un Aggiornamento criteri di gruppo per il membro del dominio.

Tornare al membro del dominio e da un prompt dei comandi con privilegi elevati eseguire nuovamente w32tm /query /source e confrontare l'output con quello annotato all'inizio della configurazione. Adesso verrà impostato sul controller di dominio che ha soddisfatto la richiesta di autenticazione del membro.

Passaggi successivi

Di seguito sono riportati i collegamenti a informazioni più dettagliate sulla sincronizzazione dell'ora: