Configurazione del servizio Ora di Windows con una differenza orario elevata

Questo articolo descrive come configurare il servizio Ora di Windows in base a un offset di tempo elevato.

Si applica a: Windows 10: tutte le edizioni, Windows Server 2012 R2
Numero KB originale: 884776

Introduzione

I sistemi operativi Windows includono lo strumento Time Service (servizio W32Time) usato dal protocollo di autenticazione Kerberos. L'autenticazione Kerberos funzionerà se l'intervallo di tempo tra i computer pertinenti è compreso nell'asimmetria temporale massima abilitata. Il valore predefinito è 5 minuti. È anche possibile disattivare lo strumento Time Service. È quindi possibile installare un servizio ora di terze parti.

Lo scopo dello strumento Time Service è assicurarsi che tutti i computer di un'organizzazione che eseguono Microsoft Windows 2000 o versioni successive di sistemi operativi Windows usno un orario comune. Per assicurarsi che l'utilizzo comune dell'ora sia appropriato, il servizio ora usa una relazione gerarchica che controlla l'autorità. Per impostazione predefinita, per i computer basati su Windows viene utilizzata la gerarchia seguente:

• Tutti i computer desktop client designano il controller di dominio di autenticazione come origine ora autorevole.

• In un dominio tutti i server seguono lo stesso processo seguito dai computer desktop client.

• Tutti i controller di dominio in un dominio nominano il master operazioni del controller di dominio primario come origine ora.

• Tutti i master operazioni PDC seguono la gerarchia dei domini nella selezione dell'origine ora. Tuttavia, i master operazioni PDC possono usare un controller di dominio padre basato sulla numerazione degli strati.

  Nota

  Un numero di strato definisce la vicinanza di un server di tempo all'origine di riferimento primaria.

Minore è il numero, più vicino è il server all'origine ora primaria. In questa gerarchia, il master operazioni PDC nella radice della foresta diventa il server ora autorevole per l'organizzazione. È consigliabile configurare il server ora autorevole per raccogliere l'ora da un'origine hardware. Quando si tenta di configurare il server ora autorevole per la sincronizzazione con un'origine ora Internet, non viene eseguita alcuna autenticazione. È anche consigliabile ridurre le impostazioni di correzione del tempo per i server e per i client autonomi. Quando si seguono queste raccomandazioni, al dominio viene fornito un tempo più accurato.

Ulteriori informazioni

Una revisione dei rollback del tempo ha dimostrato che i computer possono adottare tempi che possono essere giorni, mesi, anni o anche decine di anni nel futuro o nel passato. I problemi seguenti possono verificarsi quando i computer vengono rollforward o rollback nel tempo:

• Le password per gli account computer, gli account utente e le relazioni di trust possono essere aggiornate prematuramente.
• Le quarantene possono essere identificate dall'evento di replica NTDS 2042 nella replica del servizio directory active directory.
• La mancata corrispondenza delle password viene ripristinata in modo autorevole per gli account computer, per gli account utente o per le relazioni di trust. Il ripristino da tali mancata corrispondenza può richiedere la reimpostazione manuale della password per tutti gli account e i trust interessati.

Come proteggersi dal tempo che esegue il rollback del tempo e dal rollback del tempo

Quando i computer e i cicli di alimentazione vengono riavviati, il BIOS mantiene il tempo nell'EPROM locale che si trova sulla scheda madre del computer. All'avvio di Windows, il kernel esegue il pull dell'ora corrente dal BIOS. Questa ora corrente viene usata come ora iniziale fino a quando il servizio W32Time non può essere sincronizzato con un'altra origine ora.

Il servizio ora di Windows 32 supporta due voci del Registro di sistema, e MaxPosPhaseCorrectionMaxNegPhaseCorrection. Queste voci limitano gli esempi accettati dal servizio ora in un computer locale quando tali esempi vengono inviati da un computer remoto.

Quando un computer in esecuzione in uno stato stabile riceve un campione di ora dall'origine ora, l'esempio viene controllato in base ai limiti di correzione della fase che le MaxPosPhaseCorrection voci del Registro di sistema e MaxNegPhaseCorrection impongono. Se l'esempio di ora rientra nei limiti previsti dalle due voci del Registro di sistema, questo esempio viene accettato per un'ulteriore elaborazione. Se l'esempio di ora non rientra in questi limiti, l'esempio di tempo viene ignorato e il servizio ora registra il messaggio seguente nel file di log privato W32Time:

TROPPO GRANDE

Se gli amministratori riducono il valore per le correzioni di fase positive e negative, gli amministratori possono ridurre la minaccia che i computer riceveranno tempo da esempi di ora non validi per un computer basato su Windows. D'altra parte, se gli amministratori riducono il valore, gli amministratori possono impedire ai computer di essere in anticipo o indietro rispetto al tempo corrente di oltre i limiti che questi valori impongono.

Il valore predefinito per le voci del MaxPosPhaseCorrection Registro di sistema e MaxNegPhaseCorrection in Windows 2000, in Windows XP, in Windows Server 2003 e in Windows Vista è il valore seguente:
0xFFFFFFF

Questo valore consente al computer di ricevere l'ora contenuta in qualsiasi esempio di tempo, indipendentemente dall'imprecisione.

In Windows Server 2008 è stato adottato un nuovo valore predefinito per le voci del Registro di sistema MaxPosPhaseCorrection e MaxNegPhaseCorrection. Questo nuovo valore predefinito è 48 ore. Questo valore di 48 ore può essere rappresentato come uno dei valori seguenti:

• 2a300 (esadecimale)
• 172800 (decimale)

È consigliabile impostare le MaxPosPhaseCorrection voci del Registro di sistema e MaxNegPhaseCorrection su un valore diverso dal valore seguente:
MAX (0xFFFFFFFF)

L'accuratezza dell'ora è particolarmente importante nel controller di dominio primario radice della foresta. Poiché il controller di dominio primario è l'origine dell'ora radice per il dominio, le modifiche temporali non accurate nel controller di dominio primario possono causare un salto temporale a livello di dominio. Se si impongono restrizioni di correzione di fase al controller di dominio primario, è possibile impedire ad altri controller di dominio nella foresta di accettare la nuova ora.

Il valore predefinito di 48 ore anziché un valore predefinito di 5 minuti o 15 minuti si basa sui motivi seguenti:

• L'output dell'utilità W32TM è difficile da leggere.
• W32TM attualmente non ha come destinazione l'ora nei computer membri e nei server membri.
• Gli errori e gli eventi registrati dal sistema operativo Windows e dalle applicazioni autonome di terze parti sono altamente incoerenti. I possibili errori includono codici restituiti simili a quelli seguenti:
  • accesso negato
  • Il server RPC non è disponibile

  Nota

  Questi errori hanno una correlazione bassa con l'asimmetria temporale perché la causa potrebbe impedire ai computer basati su Windows di adottare un valore di ora accurato.

• I bug dell'ora legale possono causare differenze di ora legale di 1 ora.
• La configurazione errata di AM o PM può causare una differenza di orario di 12 ore.
• Gli errori di giorno o di data possono causare una differenza di ora di 24 ore.

Quindi 48 ore sono state il successivo offset temporale ovvio dopo 25 o 36 ore. Gli amministratori possono anche ridurre il valore con gli strumenti corretti che segnalano l'infrastruttura e i test.

Le raccomandazioni specifiche in base alla versione del sistema operativo e al ruolo del computer sono descritte nelle sezioni seguenti.

Windows XP Professional e tutte le versioni di Windows Server 2003

Server di dominio

PDC radice foresta (server ora autorevole)

È consigliabile configurare il server ora autorevole per raccogliere l'ora da un'origine hardware. Quando si configura il server ora autorevole per la sincronizzazione con un'origine ora Internet, non viene eseguita alcuna autenticazione. È necessario riconfigurare le voci del Registro di sistema seguenti:

• MaxPosPhaseCorrection
• MaxNegPhaseCorrection

Il valore predefinito di queste due voci del Registro di sistema è 0xFFFFFFFF. Questo valore predefinito indica "Accetta modifiche in qualsiasi momento". È consigliabile un valore di 48 ore. È rappresentato nel Registro di sistema come 2a300 (esadecimale) o 172800 (decimale). È consigliabile impostare il valore della voce del Registro di sistema MaxPollInterval su 10 o meno oppure impostare il valore della voce del Registro di sistema SpecialPollInterval su 3600 (1 ora) o meno.

Controller di dominio e server membri all'interno del dominio

Il MaxPosPhaseCorrection valore predefinito delle voci del Registro di sistema e MaxNegPhaseCorrection è 0xFFFFFFFF. Questo valore predefinito indica "Accetta modifiche in qualsiasi momento". È consigliabile impostare questo valore su 48 ore in tutti i controller di dominio. Il valore di 48 ore può essere impostato anche nei server membri che eseguono applicazioni basate su dati sensibili al tempo.

Client autonomi

Le MaxPosPhaseCorrection voci del Registro di sistema e MaxNegPhaseCorrection hanno un valore predefinito di 54.000 (15 ore). Come procedura consigliata per la sicurezza, è consigliabile ridurre questo valore predefinito. È anche consigliabile impostare il valore su 3600 (1 ora) o su un valore ancora più piccolo, a seconda dell'origine ora, della condizione di rete, dell'intervallo di polling e dei requisiti di sicurezza.

Voci del Registro di sistema del servizio ora di Windows Server 2003 e Windows XP

I valori predefiniti dei parametri del servizio Ora di Windows definiti nell'oggetto Criteri di gruppo potrebbero non corrispondere ai valori predefiniti definiti nel Registro di sistema dei controller di dominio basati su Windows Server 2003. Quando si distribuiscono i valori MaxPosPhaseCorrection e MaxNegPhaseCorrection nei controller di dominio di Windows Server 2003 usando un oggetto Criteri di gruppo, assicurarsi che l'oggetto Criteri di gruppo non modifichi i valori di altri parametri del servizio Ora di Windows nel Registro di sistema. Altri valori dei parametri del servizio Ora di Windows possono anche essere modificati nell'oggetto Criteri di gruppo in modo che corrispondano ai valori predefiniti del Registro di sistema nei controller di dominio.

Tutte le versioni di Windows 2000 Service Pack 4 (SP4)

Server di dominio

PDC radice foresta (server ora autorevole)

È consigliabile configurare il server ora autorevole per raccogliere l'ora da un'origine hardware. Quando si configura il server ora autorevole per la sincronizzazione con un'origine ora Internet, non viene eseguita alcuna autenticazione in modalità manuale. È possibile riconfigurare la voce del MaxAllowedClockErrInSecs Registro di sistema. Il valore predefinito è 43.200. Il valore consigliato è 900 (15 minuti) o un valore ancora più piccolo, a seconda dell'origine ora, delle condizioni di rete e dei requisiti di sicurezza. Dipende anche dall'intervallo di polling. È consigliabile impostare il valore dell'intervallo di polling su un'ora ogni 24 ore.

Controller di dominio e server membri all'interno del dominio

Il tipo di sincronizzazione è NT5DS. Il servizio ora viene sincronizzato dalla gerarchia di dominio e il servizio ora accetta modifiche di tutti i tempi. Poiché NT5DS accetta modifiche in qualsiasi momento senza considerare l'offset temporale, è importante configurare un'origine ora radice della foresta affidabile nella subnet di sincronizzazione dell'ora.

Client autonomi

Il MaxAllowedClockErrInSecs valore predefinito della voce del Registro di sistema è 43.200 (12 ore). Come procedura consigliata per la sicurezza, è consigliabile ridurre questo valore predefinito. È consigliabile impostare il valore su 3600 (1 ora) o su un valore ancora più piccolo, a seconda dell'origine ora, delle condizioni di rete, dell'intervallo di polling e dei requisiti di sicurezza.

Voce del Registro di sistema di Windows Server 2000 SP 4