Identificativo articolo: 816042 - Ultima modifica: martedì 20 giugno 2006 - Revisione: 6.1

Configurazione di un server di riferimento ora autorevole in Windows Server 2003

Visualizza i prodotti a cui si riferisce l?articolo.
Importante In questo articolo sono contenute informazioni su come modificare il Registro di sistema. Assicurarsi di eseguire il backup del Registro di sistema prima di modificarlo e di sapere come ripristinare il Registro di sistema qualora si verifichino dei problemi. Per informazioni su come eseguire il backup, ripristinare e modificare il Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
256986  (http://support.microsoft.com/kb/256986/ ) Descrizione del Registro di sistema di Microsoft Windows

In questa pagina

Espandi tutto | Chiudi tutto

INTRODUZIONE

In Windows è disponibile W32Time, lo strumento del servizio Ora richiesto dal protocollo di autenticazione Kerberos. Scopo del servizio Ora è garantire che tutti i computer in cui è installato Microsoft Windows 2000 o versioni successive presenti in un'azienda utilizzino un'ora comune.

Per garantire un utilizzo corretto dell'ora comune, il servizio Ora di Windows si basa su una relazione gerarchica che consente di controllare l'autorità e non consente loop. Per impostazione predefinita, per i computer basati su Windows viene utilizzata la gerarchia seguente:
  • Tutti i computer desktop client nominano come partner orario interno il controller di dominio di autenticazione.
  • Tutti i server membri seguono lo stesso processo adottato dai computer desktop client.
  • Tutti i controller di dominio presenti in un dominio nominano come partner orario interno il master operazioni del controller di dominio primario (PDC).
  • Tutti i master operazioni del controller di dominio primario rispettano la gerarchia dei domini per la selezione del relativo partner orario interno.
In questa gerarchia il master operazioni del controller di dominio primario situato nella directory principale dell'insieme di strutture diventa quello autorevole per l'organizzazione. Si consiglia di configurare il server di riferimento ora autorevole per ottenere l'ora da un'origine hardware. Quando si configura il server di riferimento ora autorevole per la sincronizzazione con un'origine ora Internet, non viene eseguita l'autenticazione. Si consiglia inoltre di ridurre le impostazioni di correzione dell'ora per i server e i client autonomi. Questi suggerimenti assicurano una maggiore accuratezza e protezione al dominio.

Torna all'inizio

Configurazione del servizio Ora di Windows per utilizzare un orologio hardware interno

Avviso L'errato utilizzo dell'editor del Registro di sistema o di un altro metodo può causare seri problemi, che potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non garantisce la soluzione di eventuali problemi derivanti dall'errata modifica del Registro di sistema. La modifica del Registro di sistema è a rischio e pericolo dell'utente.

Per configurare il master PDC senza utilizzare un'origine ora esterna, cambiare il flag di notifica sul master PDC. Il master PDC è il server che ha il ruolo di master PDC principale dell'insieme di strutture per il dominio. Questa configurazione impone al master PDC di notificarsi come origine ora affidabile e utilizza l'orologio CMOS (Complementary Metal Oxide Semiconductor) incorporato. Per configurare il master PDC in modo che venga utilizzato un orologio hardware interno, attenersi alla seguente procedura.
  1. Fare clic sul pulsante Start, scegliere Esegui, digitare regedit, quindi scegliere OK.
  2. Individuare e selezionare la seguente sottochiave del Registro di sistema:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags
  3. Nel riquadro destro fare clic con il pulsante destro del mouse su AnnounceFlags, quindi scegliere Modifica.
  4. In Modifica valore DWORD digitare A nella casella Dati valore, quindi scegliere OK.
  5. Chiudere l'editor del Registro di sistema.
  6. Al prompt dei comandi digitare il seguente comando per riavviare il servizio Ora di Windows, quindi premere INVIO:
    net stop w32time && net start w32time
Nota Il master PDC non deve essere configurato per sincronizzarsi con se stesso. Se il master PDC viene configurato per sincronizzarsi con se stesso, vengono registrati i seguenti eventi nel registro applicazione:

Il provider servizi orari NtpClient non è raggiungibile o è in fase di ricezione di dati orari non validi da 192.168.1.1 (ntp.m|0x0|192.168.1.1:123->192.168.1.1:123).

Nessuna risposta valida ricevuta dal peer configurato manualmente 192.168.1.1 dopo 8 tentativi di comunicazione. Il peer verrà eliminato come riferimento per l'ora ed NtpClient tenterà di individuare un nuovo peer con questo nome DNS.

Il provider servizi orari NtpClient è configurato per acquisire l'ora da una o più origini dell'ora, ma nessuna origine dell'ora è accessibile attualmente e non verrà eseguito alcun tentativo di contattare un'origine per 960 minuti. NtpClient non dispone di alcuna origine di ora esatta.

Quando il master PDC viene eseguito senza utilizzare un'origine ora esterna, il seguente evento viene registrato nel registro applicazione:

Provider servizi orari NtpClient: questo computer è configurato per utilizzare la gerarchia di domini per determinare la relativa origine ora, ma è l'emulatore PDC per il dominio nel dominio principale della struttura di domini, pertanto non sono presenti computer di livello superiore nella gerarchia di domini da utilizzare come origine ora. Si consiglia di configurare un servizio Ora affidabile nel dominio principale o di configurare manualmente il PDC in modo che venga sincronizzato con un'origine ora esterna. In caso contrario questo computer funzionerà come origine ora autorevole all'interno della gerarchia di domini. Se un'origine ora esterna non è configurata o utilizzata per questo computer, è possibile disattivare NtpClient.

Questo testo è un promemoria che indica di utilizzare un'origine ora esterna e può essere ignorato.

Torna all'inizio

Configurazione del servizio Ora di Windows per utilizzare un'origine ora esterna

Per configurare un server di riferimento ora interno in modo che venga effettuata la sincronizzazione con un'origine ora esterna, attenersi alla seguente procedura:
  1. Cambiare il tipo di server in NTP. Per effettuare questa operazione, attenersi alla seguente procedura:
    1. Fare clic sul pulsante Start, scegliere Esegui, digitare regedit, quindi scegliere OK.
    2. Individuare e selezionare la seguente sottochiave del Registro di sistema:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type
    3. Nel riquadro destro fare clic con il pulsante destro del mouse su Type, quindi scegliere Modifica.
    4. In Modifica valore, digitare NTP nella casella Dati valore, quindi scegliere OK.
  2. Impostare AnnounceFlags su 5. Per effettuare questa operazione, attenersi alla seguente procedura:
    1. Individuare e selezionare la seguente sottochiave del Registro di sistema:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags
    2. Nel riquadro destro fare clic con il pulsante destro del mouse su AnnounceFlags, quindi scegliere Modifica.
    3. In Modifica valore DWORD, digitare 5 nella casella Dati valore, quindi scegliere OK.
  3. Abilitare NTPServer. Per effettuare questa operazione, attenersi alla seguente procedura:
    1. Individuare e selezionare la seguente sottochiave del Registro di sistema:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer
    2. Nel riquadro destro fare clic con il pulsante destro del mouse su Enabled, quindi scegliere Modifica.
    3. In Modifica valore DWORD, digitare 1 nella casella Dati valore, quindi scegliere OK.
  4. Specificare le origini ora. Per effettuare questa operazione, attenersi alla seguente procedura:
    1. Individuare e selezionare la seguente sottochiave del Registro di sistema:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\NtpServer
    2. Nel riquadro destro fare clic con il pulsante destro del mouse su NtpServer, quindi scegliere Modifica.
    3. In Modifica valore digitare Peers nella casella Dati valore, quindi scegliere OK.

      Nota Peers è un segnaposto per un elenco di peer delimitato da spazi da cui il computer ottiene i time stamp. Ogni nome DNS elencato deve essere univoco. È necessario aggiungere ,0x1 alla fine di ogni nome DNS. Se non si aggiunge ,0x1 alla fine di ogni nome DNS, le modifiche apportate nel passaggio 5 non avranno effetto.
  5. Selezionare l'intervallo di polling. Per effettuare questa operazione, attenersi alla seguente procedura:
    1. Individuare e selezionare la seguente sottochiave del Registro di sistema:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\SpecialPollInterval
    2. Nel riquadro destro fare clic con il pulsante destro del mouse su SpecialPollInterval, quindi scegliere Modifica.
    3. In Modifica valore DWORD digitare Tempoinsecondi nella casella Dati valore, quindi scegliere OK.

      Nota Tempoinsecondi è un segnaposto per il numero di secondi desiderato tra ogni polling. Si consiglia di impostare 900 Decimale. Questo valore consente di configurare il server di riferimento ora in modo che venga eseguito il polling ogni 15 minuti.
  6. Configurare le impostazioni di correzione ora. Per effettuare questa operazione, attenersi alla seguente procedura:
    1. Individuare e selezionare la seguente sottochiave del Registro di sistema:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxPosPhaseCorrection
    2. Nel riquadro destro fare clic con il pulsante destro del mouse su MaxPosPhaseCorrection, quindi scegliere Modifica.
    3. Nella finestra di dialogo Modifica valore DWORD selezionare Decimale nella casella Base.
    4. In Modifica valore DWORD digitare Tempoinsecondi nella casella Dati valore, quindi scegliere OK.

      Nota Tempoinsecondi è un segnaposto per un valore ragionevole, quale 1 ora (3600) o 30 minuti (1800). Il valore selezionato dipenderà dall'intervallo di polling, dalla condizione della rete e dall'origine ora esterna.
    5. Individuare e selezionare la seguente sottochiave del Registro di sistema: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\MaxNegPhaseCorrection
    6. Nel riquadro destro fare clic con il pulsante destro del mouse su MaxNegPhaseCorrection, quindi scegliere Modifica.
    7. Nella finestra di dialogo Modifica valore DWORD selezionare Decimale nella casella Base.
    8. In Modifica valore DWORD digitare Tempoinsecondi nella casella Dati valore, quindi scegliere OK.

      Nota Tempoinsecondi è un segnaposto per un valore ragionevole, quale 1 ora (3600) o 30 minuti (1800). Il valore selezionato dipenderà dall'intervallo di polling, dalla condizione della rete e dall'origine ora esterna.
  7. Chiudere l'editor del Registro di sistema.
  8. Al prompt dei comandi digitare il seguente comando per riavviare il servizio Ora di Windows, quindi premere INVIO:
    net stop w32time && net start w32time

Torna all'inizio

Risoluzione dei problemi

Per il corretto funzionamento del servizio Ora di Windows, è necessario che anche l'infrastruttura di rete funzioni correttamente. Di seguito sono riportati i problemi più comuni del servizio Ora di Windows:
  • Si è verificato un problema di connettività TCP/IP, ad esempio un Dead Gateway.
  • Il servizio di risoluzione dei nomi non funziona correttamente.
  • Sulla rete si verificano ritardi dovuti al traffico elevato, soprattutto se la sincronizzazione avviene su collegamenti WAN (Wide Area Network) a latenza elevata.
  • Il servizio Ora di Windows tenta di effettuare la sincronizzazione con origini ora non precise.
Si consiglia di utilizzare l'utilità Netdiag.exe per risolvere i problemi relativi alla rete. Netdiag.exe è incluso nel pacchetto Strumenti di supporto di Windows Server 2003. Per un elenco completo dei parametri della riga di comando che è possibile utilizzare con Netdiag.exe, vedere la Guida in linea degli Strumenti. Se il problema non si risolve, è possibile attivare il registro di debug del servizio Ora di Windows. Poiché il registro di debug può contenere informazioni molto dettagliate, si consiglia di rivolgersi al Servizio Supporto Tecnico Clienti Microsoft quando si attiva il registro di debug del servizio Ora di Windows.

Per un elenco completo di numeri di telefono del Servizio Supporto Tecnico Clienti Microsoft e per informazioni sui costi dell'assistenza, visitare il sito Web Microsoft:
http://support.microsoft.com/default.aspx?scid=fh;[LN];CNTACTMS (http://support.microsoft.com/default.aspx?scid=fh;%5Bln%5D;cntactms)
Nota In casi particolari, le spese normalmente addebitate per le chiamate al Servizio Supporto Tecnico Clienti Microsoft potrebbero essere annullate qualora un addetto del Servizio Supporto Tecnico Clienti Microsoft dovesse determinare che uno specifico aggiornamento risolverà il problema. I normali costi del Servizio Supporto Tecnico Clienti Microsoft verranno applicati per eventuali ulteriori domande e problemi che non dovessero rientrare nello specifico aggiornamento in questione.

Torna all'inizio

Informazioni

NTP supporta diversi tipi di pacchetto. In genere i client NTP e i client SNTP (Simple Network Time Protocol) inviano i pacchetti di richiesta in modalità client a un server NTP. Il server NTP risponde con un pacchetto in modalità server. Per configurare il servizio W32time affinché invii a un server NTP pacchetti simmetrici in modalità attiva anziché pacchetti in modalità client, digitare il seguente comando al prompt dei comandi:
w32tm /config /manualpeerlist:<server>,0x4 /syncfromflags:MANUAL
Nota Utilizzare il flag 0x8 per imporre a W32time l'invio di normali richieste client al posto di pacchetti simmetrici in modalità attiva. Il server NTP risponde nel modo usuale a queste normali richieste client.
Torna all'inizio

Configurazione dell'origine ora affidabile

Un computer configurato per essere un'origine ora affidabile è identificato come directory principale del servizio Ora di Windows. La directory principale del servizio Ora di Windows è il server autorevole per il dominio ed è in genere configurato per recuperare l'ora da una periferica hardware o da un server NTP esterno. Un server di riferimento ora può essere configurato come origine ora affidabile per ottimizzare il trasferimento dell'ora nella gerarchia di domini. Se un controller di dominio è configurato per essere un'origine ora affidabile, il servizio Accesso rete annuncia il controller di dominio come origine ora affidabile quando accede alla rete. Quando altri controller di dominio cercano un'origine ora con cui effettuare la sincronizzazione, viene selezionata prima un'origine affidabile, se disponibile.

Torna all'inizio

Sincronizzazione manuale

Con la sincronizzazione manuale è possibile designare un solo peer o un elenco di peer da cui un computer ottiene l'ora. Se il computer non è membro di un dominio, deve essere configurato manualmente per la sincronizzazione con un'origine ora specificata. Per impostazione predefinita, un computer membro di un dominio è configurato per la sincronizzazione dalla gerarchia di domini. La sincronizzazione manuale è molto utile per la directory principale dell'insieme di strutture del dominio o per i computer che non appartengono a un dominio. Quando si specifica manualmente un server NTP esterno per la sincronizzazione con il computer autorevole per il dominio, si fornisce un'ora affidabile. Tuttavia, per garantire precisione e protezione elevate al dominio, si consiglia di configurare il computer autorevole per il dominio per la sincronizzazione con un orologio hardware.

Senza un'origine ora hardware, W32time viene configurato come tipo NTP. È necessario riconfigurare le voci del Registro di sistema MaxPosPhaseCorrection e MaxNegPhaseCorrection. Il valore consigliato è di 15 minuti o meno, a seconda dell'origine ora, della condizione della rete e dei requisiti di protezione. Questi requisiti si applicano anche a qualsiasi origine ora affidabile configurata come origine ora della directory principale dell'insieme di strutture nella subnet di sincronizzazione dell'ora. Per ulteriori informazioni su queste voci del Registro di sistema, vedere la sezione "Voci del Registro di sistema relative al servizio Ora di Windows" in questo articolo.

Nota Le origini ora specificate manualmente non vengono autenticate, a meno che non venga scritto un provider servizi orari specifico, e pertanto queste origini ora sono soggette ad attacchi. Inoltre, se un computer viene sincronizzato con un'origine specificata manualmente anziché con il relativo controller di dominio di autenticazione, i due computer potrebbero non essere sincronizzati. In questo scenario l'autenticazione Kerberos non verrà completata e potrebbe non essere possibile eseguire alcune operazioni che richiedono l'autenticazione di rete, ad esempio la stampa o la condivisione di file. Se solo la directory principale dell'insieme di strutture è configurata per la sincronizzazione con un'origine esterna, tutti gli altri computer all'interno dell'insieme di strutture rimangono sincronizzati tra loro. Questa configurazione rende difficili gli attacchi di tipo replay.

Torna all'inizio

Tutti i meccanismi di sincronizzazione disponibili

L'opzione "tutti i meccanismi di sincronizzazione disponibili" è il metodo di sincronizzazione più valido per gli utenti di una rete. Questo metodo consente la sincronizzazione con la gerarchia di domini e può inoltre fornire un'origine ora alternativa, se la gerarchia di domini non è più disponibile, a seconda della configurazione. Se il client non è in grado di sincronizzare l'ora con la gerarchia di domini, l'origine ora passa automaticamente all'origine ora specificata dall'impostazione NtpServer. Questo metodo di sincronizzazione è il più adatto a fornire l'ora esatta ai client.

Torna all'inizio

Voci del Registro di sistema relative al servizio Ora di Windows

Le seguenti voci del Registro di sistema si trovano in HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\
Riduci questa tabellaEspandi questa tabella
Voce del Registro di sistemaMaxPosPhaseCorrection
PercorsoHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
NoteQuesta voce specifica la correzione ora positiva maggiore, in secondi, eseguita dal servizio. Se il servizio determina che è necessaria una modifica maggiore, la modifica non viene eseguita e viene registrato un evento. 0xFFFFFFFF è un caso particolare che indica che deve sempre essere eseguita la correzione dell'ora. Il valore predefinito per i membri di dominio è 0xFFFFFFFF. Il valore predefinito per i client autonomi e i server è 54.000 o 15 ore.
Riduci questa tabellaEspandi questa tabella
Voce del Registro di sistemaMaxNegPhaseCorrection
PercorsoHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
NoteQuesta voce specifica la correzione ora negativa maggiore, in secondi, eseguita dal servizio. Se il servizio determina che è necessaria una modifica maggiore, la modifica non viene eseguita e viene registrato un evento. -1 è un caso particolare che indica che deve sempre essere eseguita la correzione dell'ora. Il valore predefinito per i membri di dominio è 0xFFFFFFFF. Il valore predefinito per i client autonomi e i server è 54.000 o 15 ore.
Riduci questa tabellaEspandi questa tabella
Voce del Registro di sistemaMaxPollInterval
PercorsoHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
Nota Questa voce specifica l'intervallo maggiore, in secondi, consentito per l'intervallo di polling del sistema. Mentre un sistema deve eseguire il polling in base all'intervallo pianificato, se necessario un provider può rifiutare di produrre campioni. Il valore predefinito per i membri di dominio è 10. Il valore predefinito per i client autonomi e i server è 15.
Riduci questa tabellaEspandi questa tabella
Voce del Registro di sistemaSpecialPollInterval
PercorsoHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient
Nota Questa voce specifica l'intervallo di polling speciale, in secondi, per i peer manuali. Quando il flag 0x1 di SpecialInterval è abilitato, W32Time utilizza questo intervallo di polling invece di un intervallo di polling determinato dal sistema operativo. Il valore predefinito per i membri di dominio è 3.600. Il valore predefinito per i client autonomi e i server è 604.800.
Riduci questa tabellaEspandi questa tabella
Voce del Registro di sistemaMaxAllowedPhaseOffset
PercorsoHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
Nota Questa voce specifica la differenza massima, in secondi, per cui W32Time tenta di regolare l'orologio del computer utilizzando la frequenza di clock. Quando la differenza è superiore a questa frequenza, W32Time imposta direttamente l'orologio del computer. Il valore predefinito per i membri di dominio è 300. Il valore predefinito per i client autonomi e i server è 1.
Torna all'inizio

Riferimenti

Per ulteriori informazioni sul servizio Ora di Windows, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportati di seguito:
816043  (http://support.microsoft.com/kb/816043/ ) HOW TO: Attivare la registrazione di debug nel servizio Ora di Windows
884776  (http://support.microsoft.com/kb/884776/ ) Configurazione del servizio Ora di Windows con una differenza orario elevata
321708  (http://support.microsoft.com/kb/321708/ ) Utilizzo dello strumento Diagnostica di rete (Netdiag.exe) in Windows 2000
314054  (http://support.microsoft.com/kb/314054/ ) Configurazione di un server di riferimento ora autorevole in Windows XP
216734  (http://support.microsoft.com/kb/216734/ ) Configurazione di un server di riferimento orario di fiducia in Windows 2000
Per ulteriori informazioni sul servizio Ora di Windows in un insieme di strutture basato su Windows Server 2003, visitare il seguente sito Web Microsoft (informazioni in lingua inglese):
http://technet2.microsoft.com/windowsserver/en/library/A0FCD250-E5F7-41B3-B0E8-240F8236E2101033.mspx

Torna all'inizio
Le informazioni in questo articolo si applicano a
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
Torna all'inizio
Chiavi: 
kbhowto kbsecurity KB816042
Torna all'inizio
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.
 

Get Help Now

Contact a support professional by E-mail, Online, or Phone

Traduzione articoli

 

Related Support Centers