Il Network Time Protocol è un protocollo per sincronizzare gli orologi dei computer all’interno di una rete TCP/IP, quindi con tempi di latenza variabili e potenzialmente inaffidabili. L’NTP viene eseguito sulla porta Transport Layer 123 UDP e consente una sincronizzazione temporale accurata per i computer presenti all’interno della rete, permettendo di eliminare le incongruenze temporali su server e client. In questo articolo, illustreremo il processo di installazione, configurazione e query di un server NTP su Windows Server 2016/2019/2022 (In realtà il metodo vale anche per Windows Server 2012/2012R2).
NTP Server: cosa sono e a cosa servono
I server NTP utilizzano il Network Time Protocol per inviare segnali orari ai server di tutto il mondo su richiesta. I server NTP utilizzano l’origine dell’ora UTC (Universal Time Coordinated) per la sincronizzazione del segnale orario. Lo scopo principale dei server NTP è fornire la sincronizzazione dell’ora per server e reti di computer con altri server e client di rete in tutto il mondo. A sua volta, questo semplifica le comunicazioni e le transazioni in tutto il mondo.
Configurazione del Server NTP su Windows Server 2016 – 2019 – 2022 – 2025
In un’infrastruttura Microsoft Active Directory, la corretta sincronizzazione dell’orario tra i dispositivi è un requisito fondamentale per garantire la sicurezza e il buon funzionamento di servizi critici, come l’autenticazione Kerberos, la replica tra Domain Controller e la validità dei certificati digitali.
In questo articolo vedremo come configurare la sincronizzazione dell’orario (NTP) sul Domain Controller che ha il ruolo di PDC Emulator, affinché l’intero dominio mantenga un orario coerente e affidabile.
Perché è importante la sincronizzazione dell’orario nel dominio
Quando un computer è unito a un dominio Active Directory, il suo orologio viene sincronizzato automaticamente con un Domain Controller. Tuttavia, l’intera gerarchia si basa su un solo DC: quello che ricopre il ruolo FSMO (Flexible Single Master Operation) PDC Emulator. Questo server diventa la fonte autorevole dell’orario per tutto il dominio.
Se l’orologio del PDC Emulator è fuori sincronia, si possono verificare errori di accesso, problemi con i log degli eventi, malfunzionamenti di GPO e altre anomalie di sistema.
Passaggio 1 – Individuare il Domain Controller con ruolo PDC Emulator
Il primo passo consiste nell’identificare quale Domain Controller ha il ruolo di PDC Emulator. Per farlo, apri il prompt dei comandi e digita:
Il risultato mostrerà i 5 ruoli FSMO, tra cui il PDC. Annotati il nome del server, perché sarà lì che configurerai l’NTP.
Passaggio 2 – Configurare i server NTP sul PDC Emulator
Ora che hai individuato il PDC Emulator, accedi a quel server con privilegi amministrativi e apri PowerShell come amministratore. Esegui i seguenti comandi per impostare server NTP esterni affidabili, in powershell come amministratore:
w32tm /config /manualpeerlist:”ntp1.inrim.it ntp2.inrim.it” /syncfromflags:MANUAL
Stop-Service w32time
Start-Service w32time
Dopodichè sarà possibile ottenere la sincronizzazione completa dell’ora della rete e dell’infrastruttura associata sincronizzando oltre a tutte le workstation e i server, anche i router, switch ed altri apparati di rete, impostando sui device gli stessi server NTP.
NB: Se il server Windows 2016 – 2019 – 2022 -2025 è una macchina virtuale (Hyper-V o VMWare) si deve disabilitare la “Time Synchronization” con l’host di virtualizzazione altrimenti l’orario verrà sincronizzato con gli Host di virtualizzazione e non con il server NTP.
Comandi utili per il troubleshooting sul servizio NTP
Ecco alcuni comandi che potrebbero essere utili per il troubleshooting sul servizio NTP, previa assicurazione che la porta UDP 123 venga regolarmente fatta passare dal Firewall.
w32tm /query /configuration -> per controllare la configurazione del server NTP.
w32tm /query /peers -> per verificare la raggiungibilità dei server NTP impostati e il loro stato
w32tm /resync /nowait -> per forzare immediatamente la ri-sincronizzazione con il server NTP (l’adeguamento tipicamente non è immediato, ma avviene gradualmente)
w32tm /query /source -> per verificare il server NTP
w32tm /query /status -> per verificare lo stato del servizio Server NTP
Server NTP italiani
Quali server quindi configurare come server NTP? Eccone alcuni… L’INRiM fornisce un servizio di sincronizzazione per sistemi informatici collegati alla rete Internet.
La precisione di sincronizzazione dipende dalla tipologia della rete e dalla distanza interposta tra il server NTP e l’utente che richiede il time, ma le differenze tipicamente rappresentano valori di tempo nell’ordine di alcune centinaia di microsecondi, per cui tranquillamente trascurabili.
Gli indirizzi dei server NTP INRIM sono raggiungibili a questi indirizzi:
ntp1.inrim.it 193.204.114.232
ntp2.inrim.it 193.204.114.233
time.inrim.it 193.204.114.105
In alternativa a questi Time Server INRIM, è possibile optare per un Pool in alta disponibilità di server NTP Italiani che risponde all’indirizzo it.pool.ntp.org messi a disposizione all’interno del progetto NTP Pool (disponibile worldwide)
Se vuoi approfondire le tematiche inerenti a questo tema, potrebbe interessanti il seguente Corso Windows Server.
Nel frattempo, buon settaggio del time 🙂